#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что была обнаружена новая киберугроза, связанная с использованием файлов быстрого доступа для загрузки и запуска вредоносного ПО под названием AsyncRAT или VenomRAT. Злоумышленники маскируют файлы быстрого доступа под сжатые файлы и объединяют их с обычными текстовыми документами, чтобы обманом заставить пользователей открыть их. После запуска вредоносная программа загружает дополнительные файлы, в том числе троян удаленного доступа (RAT) под названием VenomRAT. Эти атаки подчеркивают необходимость осторожности при открытии файлов документов и важность надежных мер кибербезопасности.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил новую киберугрозу, связанную с использованием файлов быстрого доступа (.lnk) для загрузки вредоносного ПО под названием AsyncRAT, также известного как VenomRAT. Злоумышленники маскируют файл LNK под сжатый файл с именем survey.docx.lnk и объединяют его с обычным текстовым документом. Цель этой тактики - обманом заставить пользователей открыть файл, думая, что это безобидный документ Word.

Атака начинается со сжатого файла, содержащего текстовый документ и вредоносный LNK-файл. Внутри текстового документа есть фраза, которая побуждает пользователей запускать вредоносный LNK-файл. Когда файл LNK выполняется, он подключается к внешнему URL-адресу через mshta (Microsoft HTML Application Host) и выполняет дополнительный код скрипта. Рассматриваемый URL-адрес - hxxp://194.33.191 . 248:7287/docx1.hta, где можно найти запутанную строку.

Расшифровка этой строки показывает команду PowerShell, которая загружает дополнительные файлы, сохраняет их в папке %appdata% и выполняет их. Загруженный файл, qfqe.docx, выглядит как обычный документ Word, связанный с опросом, что затрудняет пользователям обнаружение происходящих вредоносных действий. Однако файл blues.exe, который сопровождает документ Word, представляет собой вредоносную программу типа загрузчика, замаскированную под сертификат отечественной ИТ-компании.

При выполнении blues.exe загружает дополнительный код скрипта через PowerShell. Другой файл с именем sys.ps1 запускается через blues.exe и является другой вредоносной программой типа загрузчика. Он загружает дополнительные данные из hxxp://194.33.191 . 248:7287/adb.dll и выполняет их в формате без файлов. Внутри adb.dll есть закодированный шелл-код, который расшифровывается с помощью операции XOR со строкой "sorootktools" в кодировке Base64. Конечным результатом этого процесса является запуск VenomRAT (AsyncRAT), вредоносной программы-трояна удаленного доступа (RAT), которая не только крадет информацию о ПК пользователя, но и выполняет кейлоггинг. Кроме того, эта КРЫСА способна выполнять различные вредоносные действия на основе команд, отправляемых злоумышленником.

Важно отметить, что эти вредоносные файлы быстрого доступа, замаскированные под обычные документы, часто распространяются. Расширение .lnk скрыто в имени файла, что позволяет пользователям легко принять их за законные файлы. Следовательно, пользователям необходимо проявлять осторожность при открытии любых файлов документов, особенно полученных из незнакомых источников или с подозрительными именами файлов. Эти типы атак напоминают нам о важности сохранения бдительности и внедрения надежных мер кибербезопасности для защиты от развивающихся угроз.

#ParsedReport #CompletenessLow
18-01-2024

Ivanti Connect Secure VPN Exploitation: New Observations

https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations

Report completeness: Low

Actors/Campaigns:
Uta0178

Threats:
Xmrig_miner

Victims:
Various organizations using ivanti connect secure vpn appliances

Geo:
China

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1210, T1505, T1049, T1074, T1053, T1602, T1490, T1068, T1211

IOCs:
Hash: 2
Url: 5
Domain: 1
Coin: 2

Algorithms:
zip

Languages:
rust, python

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-18%20Ivanti%20Connect%20Secure%20pt3/indicators/iocs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Volexity сообщила о широко распространенной эксплуатации уязвимостей Ivanti Connect Secure VPN, в частности CVE-2024-21887 и CVE-2023-46805. Это привело к увеличению числа атак на уязвимые устройства и обнаружению более 2100 скомпрометированных устройств. Злоумышленники смогли получить эксплойты с помощью общедоступного кода проверки концепции, что привело к загрузке и выполнению вредоносного кода. Кроме того, злоумышленники украли данные конфигурации и попытались избежать обнаружения, изменив средство проверки целостности. Меры по смягчению последствий, применяемые организациями, иногда сводились на нет путем импорта предыдущих файлов конфигурации резервных копий.
-----

Краткое содержание:.

15 января 2024 года Volexity сообщила о широкомасштабном использовании уязвимостей Ivanti Connect Secure VPN. Идентифицированными уязвимостями были CVE-2024-21887 и CVE-2023-46805. В сообщении в блоге подчеркивалось, что злоумышленники использовали непубличные эксплойты для компрометации различных устройств. 16 января был обнародован код проверки концепции эксплойта, что привело к увеличению числа атак на устройства Ivanti Connect Secure VPN.

Расследование Volexity деятельности, проведенное конкретным субъектом угроз, UTA0178, выявило несколько важных выводов. Во-первых, они обнаружили веб-оболочку GIFTEDVISITOR, которая привела к идентификации более 1700 скомпрометированных устройств Ivanti Connect Secure VPN. Последующее сканирование выявило еще 368 скомпрометированных устройств, в результате чего общее количество превысило 2100. Во-вторых, они обнаружили, что UTA0178 внесла изменения во встроенный инструмент проверки целостности, благодаря чему он всегда сообщает об отсутствии новых или несоответствующих файлов, независимо от фактических результатов.

Кроме того, Volexity узнала о потенциальных проблемах, с которыми могут столкнуться организации при подключении к сети новых устройств Ivanti Connect Secure VPN. Эти проблемы могут сделать устройства уязвимыми для эксплуатации и могут способствовать увеличению числа скомпрометированных систем при последующих проверках.

Volexity обнаружила, что участники преступных угроз получили необходимые эксплойты с помощью общедоступного кода проверки концепции и начали широкомасштабные атаки на уязвимые устройства Ivanti Connect Secure VPN. Результатом этих атак была загрузка и выполнение вредоносного кода с URL-адресов, контролируемых злоумышленниками. Один наблюдаемый случай был связан с развертыванием криптовалютного майнера XMRig. Volexity также выявила несколько URL-адресов, используемых для загрузки полезной нагрузки на основе Rust, анализ которой все еще продолжается.

Помимо взломанных систем, Volexity обнаружила, что злоумышленники крали данные конфигурации, веб-журналы и файлы баз данных, связанные с учетными записями и данными сеансов, со взломанных устройств Ivanti Connect Secure VPN. Эти файлы были размещены в доступных через Интернет папках для удаленной загрузки.

Кроме того, Volexity обнаружила, что UTA0178 пытался избежать обнаружения, изменив встроенный инструмент проверки целостности. Изменив файл scanner.py, UTA0178 гарантировал, что инструмент всегда будет указывать на отсутствие результатов, даже при наличии новых или несоответствующих файлов. Это изменение было направлено на то, чтобы обойти усилия организаций по обнаружению компрометации на их устройствах Ivanti Connect Secure VPN.

Volexity также стало известно о случаях, когда организации применяли меры по смягчению последствий, но были повторно скомпрометированы после импорта предыдущих файлов конфигурации резервной копии. Файлы конфигурации резервной копии аннулировали ранее примененные меры по смягчению последствий.

#ParsedReport #CompletenessLow
18-01-2024

Containerised Clicks: Malicious use of 9hits on vulnerable docker hosts

https://www.cadosecurity.com/containerised-clicks-malicious-use-of-9hits-on-vulnerable-docker-hosts

Report completeness: Low

Actors/Campaigns:
Diicot

Threats:
Xmrig_miner

Geo:
Japan, China, Romanian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1496, T1529, T1078.004

IOCs:
IP: 2
Hash: 1

Soft:
docker, chrome, Alpine

Links:
https://github.com/cado-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Cado Security Labs обнаружили новую кампанию, нацеленную на уязвимые сервисы Docker. Кампания включает в себя развертывание двух контейнеров на скомпрометированных экземплярах, XMRig miner и приложение 9hits viewer, с целью получения просмотров и кредитов для злоумышленника. Кампания использует вызовы API для извлечения ранее существовавших изображений из Dockerhub и не пытается выйти из контейнера, запуская его с заранее определенным аргументом. Основное воздействие кампании - исчерпание ресурсов на скомпрометированных хостах, что потенциально может привести к более серьезным нарушениям. Эта кампания подчеркивает растущую популярность незащищенных хостов Docker в качестве точек входа для атак и необходимость уделять приоритетное внимание безопасности сред Docker.
-----

Важные факты из текста:.

Исследователи из Cado Security Labs обнаружили новую кампанию, нацеленную на уязвимые сервисы Docker.

Кампания развертывает два контейнера на скомпрометированных экземплярах: XMRig miner и приложение 9hits viewer.

Это первый известный случай вредоносного ПО, использующего приложение 9hits в качестве полезной нагрузки.

Цель развертывания приложения viewer - генерировать просмотры и кредиты для злоумышленника.

Подозрительные сетевые снимки с honeypot позволяют предположить, что активность кампании исходит с IP 27.36.82.56 в Фошане, Китай.

IP 43.163.195.252, идентифицированный как хостинг Tencent в Японии, был замечен в предыдущих случаях.

Злоумышленник извлекает ранее существовавшие изображения из Dockerhub для программного обеспечения 9hits и XMRig, используя вызовы API.

Злоумышленник не пытается выйти из контейнера, а вместо этого запускает его с заранее заданным аргументом.

Контейнер XMRig подключается к частному пулу майнинга, что затрудняет получение статистики кампании и подробной информации.

Домен "dscloud" подключается к динамическому DNS Synology, обновляя домен IP-адресом злоумышленника.

Кампания приводит к исчерпанию ресурсов на скомпрометированных хостах, поскольку майнер XMRig потребляет ресурсы центрального процессора, а приложение 9hits потребляет полосу пропускания, память и мощность центрального процессора.

В результате страдает законная рабочая нагрузка на зараженных серверах.

Кампания потенциально может эволюционировать таким образом, чтобы оставить удаленную оболочку на скомпрометированных системах.

Аналогичный инцидент произошел с румынским исполнителем угроз "mexals/diicot", который поддерживал доступ к скомпрометированным серверам, используя вредоносный SSH-ключ одновременно с выполнением XMRig.

Эта кампания подчеркивает растущую популярность незащищенных хостов Docker в качестве точек входа для атак, подчеркивая необходимость уделять приоритетное внимание безопасности сред Docker.

#ParsedReport #CompletenessMedium
19-01-2024

XMRig Coin Miner installed through game hack

https://asec.ahnlab.com/ko/60542

Report completeness: Medium

Threats:
Xmrig_miner
Dosvc
Defendercontrol_tool

Victims:
Game hack users

Industry:
Entertainment

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1204, T1059, T1064, T1107, T1112, T1053, T1007, T1057, T1518, have more...

IOCs:
File: 10
Path: 1
Command: 1
Coin: 1
Domain: 1
Hash: 3
Url: 1

Soft:
Windows Defender, AutoHotkey, wuauserv

Algorithms:
md5

Win Services:
UsoSvc, bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что майнеры монет XMRig распространяются среди пользователей с помощью игровых взломов. Эти майнеры монет замаскированы под сжатые файлы и загружаются на веб-сайты, предлагающие игровые взломы. Веб-сайт содержит инструкции о том, как блокировать загрузку из браузера и отключать антивирусное программное обеспечение, поощряя пользователей устанавливать и выполнять вредоносный код. Вредоносные файлы содержат загрузчик, который устанавливает coin miner и завершает работу антивирусного программного обеспечения. Затем coin miner загружается с помощью программы под названием loader.exe, которая устанавливает и запускает ее по пути к папке %temp%. Текст предупреждает пользователей быть осторожными при загрузке игровых взломов или исполняемых файлов из неизвестных источников и рекомендует принять соответствующие меры предосторожности для защиты от этого типа вредоносных программ.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно подтвердил, что майнеры XMRig coin распространяются с помощью игровых взломов. Этот метод аналогичен тому, как XMRig Coin Miner распространялся с использованием платформы web hard в прошлом.

The coin miner распространяется через веб-сайт, предлагающий игровые взломы для популярных игр. На сайт загружаются сжатые файлы, замаскированные под игровые взломы. Чтобы избежать обнаружения браузером и антивирусным программным обеспечением, на веб-сайте представлены инструкции о том, как блокировать загрузки из браузера и отключать антивирусное программное обеспечение. Это побуждает пользователей устанавливать и выполнять вредоносный код. Пользователи игрового сообщества сообщили, что им известно о вредоносном коде в программе.

Загруженный сжатый файл содержит загрузчик, который устанавливает coin miner, и вредоносный код для завершения работы антивирусного программного обеспечения. Злоумышленник инструктирует пользователя вручную завершить работу антивирусной программы, что затрудняет пользователю идентификацию повреждения.

Как только процесс подготовки к запуску coin miner завершен, пользователь загружает coin miner с помощью программы под названием loader.exe. Этот начальный загрузчик создается с помощью AutoHotkey и устанавливает и запускает coin miner по пути к папке %temp%. При запуске coin miner не позволяет защитнику Windows сканировать расширение .exe в пути ProgramData через PowerShell. Он также удаляет службы, связанные с обновлениями Windows, и пытается обойти обнаружение путем изменения файла hosts.

Предоставленная информация включает идентификатор кошелька, пул майнинга и другие детали, связанные с распространяемым майнером монет.

Пользователям важно быть осторожными, поскольку вредоносный код активно распространяется через игры и игровые взломы. При использовании игровых взломов пользователям часто требуется периодически загружать загрузчик, подобный loader.exe, который потенциально может содержать другие вредоносные коды в дополнение к упомянутому в статье coin miner. Пользователям рекомендуется проявлять осторожность при загрузке исполняемых файлов с сайтов обмена данными из неизвестных источников и скачивании программ с официальных веб-сайтов.

AhnLab идентифицирует этот тип вредоносного ПО и рекомендует принять соответствующие меры предосторожности для защиты от него.

#ParsedReport #CompletenessHigh
19-01-2024

The regiment of warriors arrived

https://www.facct.ru/blog/radx-rat

Report completeness: High

Threats:
Radx
Dcrat
Spear-phishing_technique

Industry:
E-commerce, Retail, Telco, Financial

Geo:
Russian

TTPs:
Tactics: 13
Technics: 29

IOCs:
Email: 1
File: 19
IP: 3
Path: 3
Coin: 1
Url: 29
Hash: 33

Soft:
Telegram, Discord, task scheduler, Microsoft Edge, Chrome, Opera, Slimjet, Vivaldi, Windows Defender, elegram an, have more...

Wallets:
electrum, coinomi

Algorithms:
md5, zip, des, base64, sha256, sha1

Languages:
visual_basic

Links:
https://github.com/Fody/Costura
https://github.com/Fody/Home/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что преступная группа рассылала российским компаниям фишинговые электронные письма, содержащие трояны удаленного доступа (RATs) под названием DarkCrystal RAT и RADX RAT. Эти RAT позволили злоумышленникам получить доступ к конфиденциальной информации и выполнять различные вредоносные действия в скомпрометированных системах. Управляемая система XDR F.A.C.C.T. успешно заблокировала фишинговые электронные письма. RADX RAT - это семейство вредоносных программ, специально разработанных для сбора секретной информации и обладающих различными возможностями, такими как захват скриншотов, выполнение команд и таргетинг на определенные веб-браузеры и криптовалютные кошельки. Он взаимодействует с сервером управления, используя UUID, и шифрует свои строки. F.A.C.C.T. рекомендует свою управляемую систему XDR для проактивной защиты от киберугроз.
-----

Важные факты из текста:.

В конце 2023 года F.A.C.C.T. Threat Intelligence обнаружила преступную группу, нацелившуюся на российские компании с помощью фишинговых электронных писем.

Фишинговые электронные письма содержали вложения, которые устанавливали троянские программы удаленного доступа (RATs) в системы жертв.

Первой выявленной крысой была DarkCrystal RAT, которая позволила злоумышленникам получить доступ к внутренним финансовым и юридическим документам, клиентским базам данных, а также учетным записям электронной почты и обмена сообщениями.

Управляемая F.A.C.C.T. система XDR успешно перехватила и заблокировала эти фишинговые электронные письма.

При анализе фишинговых писем была обнаружена новая крыса под названием RADX RAT.

Как DarkCrystal RAT, так и RADX RAT были распространены через фишинговые электронные письма с вложениями.

RADX RAT - это вредоносная программа, предназначенная для сбора секретной информации, включая сведения об оборудовании, данные веб-браузера, криптовалютные кошельки и токены мессенджеров.

RADX RAT может делать скриншоты, выполнять команды, открывать ссылки, загружать и запускать файлы, поддерживать виртуальные сетевые вычисления (VNC) и создавать задачи в планировщике задач.

RADX RAT взаимодействует с сервером управления (C2), используя сгенерированные uuid, и шифрует строки с использованием алгоритма Triple DES ECB.

F.A.C.C.T. рекомендует свою управляемую систему XDR в качестве проактивной защиты от различных киберугроз.

Эти факты подчеркивают угрозу, исходящую от преступной группы, нацеленной на российские компании с помощью фишинговых электронных писем, и наличие двух троянских программ удаленного доступа (DarkCrystal RAT и RADX RAT). Подробно описаны возможности и поведение RADX RAT, подчеркивается его способность собирать конфиденциальную информацию и избегать обнаружения. Подчеркивается важность принятия упреждающих мер защиты, таких как управляемая система XDR от F.A.C.C.T., в качестве защиты от киберугроз.

#ParsedReport #CompletenessMedium
19-01-2024

Dark Web Profile: Scattered Spider

https://socradar.io/dark-web-profile-scattered-spider

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft, cyber_espionage)
Muddled_libra

Threats:
Blackcat
Octopus
Spear-phishing_technique
Raccoon_stealer
Vidar_stealer
Mimikatz_tool
Screenconnect_tool
Splashtop_tool
Teamviewer_tool
Avemaria_rat
Rig_tool

Victims:
Federal government, Major corporate networks, Caesars, Mgm resorts, Telecom companies, Bpo companies, Riot games, Mailchimp, Twilio, Doordash, have more...

Industry:
Government, Telco, Entertainment, Bp_outsourcing, Healthcare, Financial

CVEs:
CVE-2021-35464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- forgerock am (<6.5.3)
- forgerock openam (<14.6.3)

CVE-2022-41328 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.2.13, le6.4.11, le7.0.9, le7.2.3)

CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)


TTPs:
Tactics: 14
Technics: 0

IOCs:
File: 4
Domain: 1

Soft:
audacity, Discord, Telegram, Fortinet FortiOS, Active Directory, ESXi, Pulseway

Functions:
IOCTL

Languages:
java

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Scattered Spider - печально известная и неуловимая группа хакеров, представляющая значительную угрозу для федеральных правоохранительных органов, экспертов по кибербезопасности и различных отраслей промышленности по всему миру. Они действуют под несколькими псевдонимами и успешно проникли в крупные корпоративные сети. Их тактика со временем эволюционировала, и они были связаны с агрессивными атаками программ-вымогателей, утечкой данных, мошенничеством с кредитными картами и другими финансово мотивированными действиями. Несмотря на усилия правоохранительных органов, личности участников Spider Spider остаются неизвестными. Их деятельность подчеркивает необходимость международного сотрудничества в противодействии этим безграничным киберугрозам. Для эффективной борьбы с такими группами, как Spider, организации должны уделять приоритетное внимание активным мерам безопасности, обучению сотрудников и надежным стратегиям реагирования на инциденты.
-----

Scattered Spider - печально известный хакерский коллектив, который представляет серьезную проблему для федеральных правоохранительных органов и экспертов по кибербезопасности.

Они действуют под несколькими псевдонимами, включая Muddled Libra, UNC3944, Starfraud и Octo Tempest.

Правоохранительные органы утверждают, что знают их личности, но не смогли задержать их из-за их слабо структурированного и хаотичного характера.

Группа состоит из молодых англоговорящих участников, которые общаются и сотрудничают на хакерских форумах.

Идентификация конкретных людей в коллективе является сложной задачей из-за их разнообразных навыков и использования различных псевдонимов.

Их тактика включает использование поддельных веб-сайтов, социальную инженерию, агрессивные атаки программ-вымогателей, утечку данных, мошенничество с кредитными картами и другие финансово мотивированные действия.

Они эволюционировали, чтобы использовать более разрушительные формы кибератак, включая программы-вымогатели и уничтожение данных.

Их деятельность расширилась по всему миру, ориентируясь на крупные корпоративные сети, финансовые институты и правительственные учреждения.

Они используют сложные методы фишинга, социальную инженерию, мобильный фишинг и точечный фишинг на основе голоса.

Они используют известные уязвимости и фокусируются на повышении привилегий, чтобы получить привилегии учетной записи более высокого уровня.

Они извлекают конфиденциальные данные, используя различные веб-сервисы и центры обработки данных.

Они организовали громкие атаки на компании в различных отраслях и странах, включая Caesars Entertainment, MGM Resorts, телекоммуникационные компании и BPO, а также Riot Games.

Точное определение их деятельности остается сложной задачей из-за их неуловимого характера и передовых методов уклонения.

Для борьбы с такими группами, как Рассеянный паук, организациям необходимо уделять приоритетное внимание упреждающим и адаптивным мерам безопасности, обучению сотрудников и надежным стратегиям реагирования на инциденты.

#technique #llm

LeftoverLocals: Listening to LLM responses through leaked GPU local memory

https://blog.trailofbits.com/2024/01/16/leftoverlocals-listening-to-llm-responses-through-leaked-gpu-local-memory/

#technique

Beyond the Facade: Unraveling URL Redirection in Google Services

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/beyond-the-facade-unraveling-url-redirection-in-google-services/

#ParsedReport #CompletenessMedium
22-01-2024

A Glimpse into Future ScarCruft Campaigns \| Attackers Gather Strategic Intelligence and Target Cybersecurity Professionals

https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Rokrat

Victims:
Media organizations, Experts in north korean affairs, South korean academic sector, News organization focusing on north korea

Geo:
Korea, Lithuania, Russian, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1065, T1566.001, T1195

IOCs:
Email: 3
File: 7
Domain: 28
Url: 7
Hash: 22
IP: 7

Soft:
Microsoft Office

Algorithms:
exhibit, sha1, xor

Functions:
LinkValue

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6