#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи из Лаборатории Касперского обнаружили новую вредоносную программу для macOS под названием macOS.Bkdr.Активатор, который распространяется через взломанные копии популярного программного обеспечения на торрент-сервисах. Вредоносная программа нацелена на бизнес-приложения и приложения для повышения производительности, и ее цель - массово заражать пользователей macOS, потенциально создавая ботнет macOS или распространяя другие типы вредоносных программ. Вредоносная программа использует код на Python и использует необычные методы для отключения Центра уведомлений и установки LaunchAgents. Он работает как установщик и загрузчик 1-го этапа, извлекая зашифрованные сообщения с DNS-сервера, содержащие скрипт на Python для загрузки следующего этапа. Заключительный этап - это бэкдор на Python, который позволяет оператору выполнять произвольные команды на зараженном устройстве. Кампания продолжается, и пользователям рекомендуется проверять свои устройства на наличие признаков заражения. Агент SentinelOne может блокировать выполнение этих вредоносных образцов или создавать предупреждения в целях наблюдения.
-----

Исследователи лаборатории Касперского обнаружили новую вредоносную программу для macOS под названием macOS.Bkdr.Активатор.

Вредоносная программа распространяется через взломанные копии популярного программного обеспечения на торрент-сервисах.

Он ориентирован на бизнес-приложения и приложения для повышения производительности, которые обычно используются на рабочих местах.

Вредоносная программа включает в себя двоичный файл Swift с именем "GUI", двоичный файл Objective-C с именем "tool" и законный установщик Python 3.9.

Он отключает Центр уведомлений, чтобы обойти уведомления Apple.

Более 70 взломанных приложений были идентифицированы как скомпрометированные в ходе кампании Activator.

Вредоносная программа работает как установщик и загрузчик 1-го этапа, извлекая зашифрованные сообщения с DNS-сервера.

Зашифрованные сообщения содержат скрипт на Python, который подключается к удаленному серверу для следующего этапа.

Заключительный этап - это бэкдор на Python, который позволяет оператору выполнять произвольные команды на зараженных устройствах.

Кампания продолжается, и обнаруживаются новые образцы вредоносного ПО.

Агент SentinelOne может заблокировать выполнение этих выборок в режиме "Защита". В режиме "Только обнаружение" он выдает предупреждение в целях наблюдения.

#ParsedReport #CompletenessMedium
02-02-2024

Frog4Shell - FritzFrog Botnet Adds One-Days to Its Arsenal

https://www.akamai.com/blog/security-research/2024/feb/fritzfrog-botnet-new-capabilities-log4shell

Report completeness: Medium

Threats:
Fritzfrog
Log4shell_vuln
Pkexec_tool

Industry:
Entertainment, Healthcare, Retail, E-commerce, Financial

Geo:
Japanese, Chinese, Korean

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (<121)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1110, T1190, T1078, T1005, T1059, T1547

IOCs:
File: 2
Hash: 5

Soft:
nginx

Algorithms:
base64

Functions:
memfd_create

Languages:
javascript, golang, java

Platforms:
arm, amd64

Links:
https://github.com/guardicore/labs\_campaigns/blob/master/FritzFrog/detect\_fritzfrog.sh
https://gist.github.com/VVX7/736986268d08ee2c6ba5a5b46046014a

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Akamai Security Intelligence Group (SIG) обнаружила новый вариант ботнета FritzFrog, который использует уязвимость Log4Shell для проведения атак. Этот вариант ботнета заразил множество жертв, нацеливаясь на серверы, подключенные к Интернету, с помощью использования учетных данных SSH методом грубой силы. Что отличает этот вариант, так это его способность считывать системные файлы для выявления уязвимых целей, а также возможность повышения привилегий. FritzFrog использует различные методы, такие как эксплуатация Log4Shell и перебор SSH, для компрометации своих жертв. Стратегии смягчения включают сегментацию сети и обнаружение распространенных тактик вредоносного ПО, в то время как Akamai SIG продолжает отслеживать и анализировать поведение ботнета.
-----

Важные факты из текста:.

Разведывательная группа Akamai Security Intelligence Group (SIG) обнаружила новый вариант ботнета FritzFrog, использующий уязвимость Log4Shell.

FritzFrog уже провел более 20 000 атак и заразил более 1500 жертв.

Вредоносная программа нацелена на серверы, подключенные к Интернету, главным образом с помощью методов грубой силы для использования слабых учетных данных Secure Shell (SSH).

Новый вариант FritzFrog может считывать системные файлы для выявления потенциальных целей, уязвимых для атаки Log4Shell.

FritzFrog делится информацией, полезной нагрузкой и конфигурацией с другими зараженными узлами, чтобы расширить свои возможности.

FritzFrog теперь добавляет использование Log4Shell в качестве дополнительного вектора заражения, нацеленного как на интернет-приложения, так и на внутренние хосты.

FritzFrog идентифицирует потенциальные цели Log4Shell путем поиска HTTP-серверов на определенных портах и вводит полезную нагрузку через HTTP-заголовки.

FritzFrog улучшил свою способность идентифицировать цели SSH путем сканирования системных журналов и включил возможность повышения привилегий.

FritzFrog пытается выполнить файлы, не записывая их на диск, что усложняет обнаружение и смягчение последствий.

Стратегии смягчения последствий включают сегментацию сети и обнаружение распространенных тактик вредоносного ПО.

Akamai SIG будет постоянно отслеживать FritzFrog и предоставлять актуальную информацию специалистам по безопасности.

Akamai SIG советует организациям сохранять бдительность в отношении любых признаков компрометации.

#ParsedReport #CompletenessLow
01-02-2024

How We Were Able to Infiltrate Attacker Telegram Bots

https://checkmarx.com/blog/how-we-were-able-to-infiltrate-attacker-telegram-bots

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1001, T1048, T1020, T1213

IOCs:
Url: 1

Soft:
Telegram, curl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники используют Telegram-ботов для извлечения данных жертв, и автор предлагает метод перехвата и сбора информации от этих ботов. Демонстрация показывает успех злоумышленников, использующих Telegram-ботов, и подчеркивает необходимость улучшения мер безопасности для обнаружения и предотвращения таких атак.
-----

В этом блоге автор обсуждает распространенную тактику, используемую злоумышленниками для извлечения данных жертв с помощью Telegram-ботов. Однако они предлагают метод подслушивания того, что видят злоумышленники. Затем в блоге демонстрируется пример, в котором анализируется вредоносный пакет, содержащий запутанную вредоносную программу info stealer. Из этого пакета автор извлекает сведения о Telegram-боте, используемом злоумышленником.

Автор объясняет, что, используя тактику, упомянутую выше, они смогли перехватить Telegram-ботов злоумышленников из многочисленных вредоносных пакетов. Этот перехват позволил им собрать информацию с более чем 2000 уникальных компьютеров. Во многих случаях они даже обнаруживали файлы, содержащие отфильтрованные конфиденциальные данные, которые были получены с этих компьютеров и все еще были доступны.

Эта демонстрация подчеркивает значительный успех, достигнутый злоумышленниками при использовании ботов Telegram во вредоносных пакетах. Это подчеркивает необходимость улучшенных мер безопасности для обнаружения и предотвращения таких атак.

#ParsedReport #CompletenessLow
02-02-2024

Reporting on Volt Typhoon s JDY Botnet Administration Via Tor Sparks Questions

https://medium.com/@DCSO_CyTec/reporting-on-volt-typhoons-jdy-botnet-administration-via-tor-sparks-questions-c4c5f4afcae5

Report completeness: Low

Actors/Campaigns:
Volt_typhoon

Threats:
Aitm_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1190, T1550.002, T1550.003, T1059.001, T1105, T1047, T1083, have more...

IOCs:
IP: 2
Hash: 1

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в сообщении в блоге обсуждается спрос на конфиденциальность в Интернете и проблемы достижения анонимности. Основное внимание уделяется расследованию деятельности участника угроз China-nexus, известного как Volt Typhoon, и использованию им сети Tor для связи командования и контроля (C2). В сообщении исследуется возможность использования Volt Typhoon скрытых сервисов Tor для повышения анонимности и защиты от атак. В нем также упоминаются потенциальные преимущества использования ретранслятора Tor для повышения устойчивости к некоторым атакам на корреляцию трафика. Анализ показывает, что IP-адрес 67.205.139.175 не использовался Volt Typhoon в качестве ретранслятора выхода из Tor.
-----

В тексте обсуждается спрос на конфиденциальность среди интернет-пользователей и проблемы достижения анонимности в Интернете. Сеть Tor упоминается как популярная сеть анонимизации. Основное внимание в сообщении блога уделяется расследованию деятельности участника угрозы China-nexus, известного как Volt Typhoon. Они были вовлечены в эксплуатацию уязвимых устройств и расширение своей ботнета под названием JDY.

В сообщении в блоге подчеркивается интерес к изучению структуры командования и контроля (C2) ботнетов. В нем упоминается, что Volt Typhoon использовала Tor для своих коммуникаций C2. Анализируется активность, связанная с IP-адресами 45.63.60.39 и 67.205.139.175, с возможностью того, что они представляют собой коммуникации C2 между различными ресурсами, контролируемыми Volt Typhoon. Отмечается, что последний IP-адрес является выходным узлом Tor, но неясно, размещался ли на нем выходной узел Tor в течение соответствующего периода времени. Это открытие поднимает вопросы о том, как Volt Typhoon использует Tor для маскировки своего исходного IP-адреса при выполнении административных задач.

Одна из гипотез, предложенных DCSO, заключается в том, что Volt Typhoon осуществляет часть своего управления C2, подключаясь к системе C2 через скрытые сервисы Tor. Этот подход обеспечивает такие преимущества, как повышенная анонимность и защита от атак, нацеленных на используемое приложение. Использование скрытых сервисов Tor гарантирует, что трафик остается в сети Tor, оставляя меньше следов, которые могут быть перехвачены.

В сообщении в блоге также содержится ссылка на часто задаваемые вопросы проекта Tor, в котором предполагается, что запуск вашего собственного ретранслятора Tor может повысить устойчивость к некоторым атакам на корреляцию трафика. Идея заключается в том, что злоумышленникам было бы трудно определить, было ли соединение создано ретранслятором Tor или пользователем Tor, подключающимся с того же IP-адреса, что и ретранслятор. Однако в нем признается, что риски и преимущества запуска ретранслятора Tor зависят от конкретных атак, о которых идет речь.

Основываясь на анализе результатов ExoneraTor и данных консенсуса сети Tor, выясняется, что IP-адрес 67.205.139.175 не использовался Volt Typhoon в качестве ретранслятора выхода из Tor, чтобы скрыть источник подключений к серверу C2 по адресу 45.63.60.39.

#ParsedReport #CompletenessLow
01-02-2024

How Memory Forensics Revealed Exploitation of Ivanti Connect Secure VPN Zero-Day Vulnerabilities

https://www.volexity.com/blog/2024/02/01/how-memory-forensics-revealed-exploitation-of-ivanti-connect-secure-vpn-zero-day-vulnerabilities

Report completeness: Low

Threats:
Smokeloader

Victims:
Ivanti connect secure vpn, Cyberoam devices

Industry:
Ics

ChatGPT TTPs:
do not use without manual check
T1078, T1059, T1033, T1213, T1547, T1203, T1491, T1485, T1553, T1083, have more...

IOCs:
IP: 2
File: 2

Soft:
Volexity Volcano, macOS

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Volexity обнаружила и исследовала использование двух уязвимостей нулевого дня в Ivanti Connect Secure VPN. Они использовали анализ памяти, индикаторы компрометации на основе строк и другие методы для идентификации атаки и наличия вредоносной активности. Использование криминалистики памяти было подчеркнуто как важнейший инструмент для расследования и понимания атаки. Злоумышленники использовали SSH и другие инструменты для получения несанкционированного доступа, в то время как предпринимались попытки избежать обнаружения. Была подчеркнута важность независимой проверки целостности целей с использованием криминалистики памяти.
-----

Недавно компания Volexity, занимающаяся кибербезопасностью, поделилась подробной информацией об активном использовании двух уязвимостей нулевого дня в Ivanti Connect Secure VPN. Серия сообщений в блоге освещала использование вредоносных программ и модификаций встроенного средства проверки целостности для обхода обнаружения. Криминалистика памяти сыграла решающую роль в расследовании и понимании того, как уязвимости были связаны друг с другом для обеспечения удаленного выполнения кода без проверки подлинности на устройствах VPN.

Volexity использует экспертизу памяти в качестве приоритета при реагировании на инциденты, поскольку это расширяет возможности расследования в различных операционных системах, включая Windows, Linux и macOS. Один из методов, который они часто используют, - это индикаторы компрометации на основе строк (IOCs), которые помогают идентифицировать вредоносные команды. В данном случае Volexity обнаружила обращения, связанные с командой base64 -d, что указывает на потенциальную вредоносную активность. Эти обращения были отнесены к процессу веб-сервера uwsgi, что снизило вероятность ложных срабатываний. Декодированные данные base64 выявили вредоносные команды, включая выполнение скрипта bash.

Дальнейшее изучение смежных областей памяти выявило полный заголовок HTTP-запроса с путем, указывающим на запуск эксплойта. Кроме того, в памяти содержался IP-адрес 98.160.48.170, связанный со скомпрометированными устройствами Cyberoam. Это подтвердило компромисс и подтвердило правомерность подхода Volexity к расследованию.

Злоумышленник получил доступ суперпользователя через SSH connect-back и провел разведку других ресурсов. Хотя инструмент проверки целостности мог обнаруживать измененные файлы, для этого требовалась перезагрузка системы, что потенциально приводило к удалению нестабильных данных. Следовательно, Volexity рекомендовал сначала захватить память. Они также подчеркнули необходимость проведения проверок целостности активных компонентов ОС и приложений, а не только жесткого диска. Хотя в первоначальных инцидентах не были задействованы имплантаты, работающие только с памятью, или руткиты, будущие атаки не должны игнорировать возможность их использования.

Злоумышленники использовали встроенный SSH и другие инструменты операционной системы для получения несанкционированного удаленного доступа, не оставляя никаких доказательств на диске. Volexity наблюдала попытки обойти инструмент проверки целостности, что указывает на использование более продвинутых методов скрытности и сохранения. Использование Ivanti Connect Secure VPN выявило две уязвимости нулевого дня, и экспертиза памяти помогла выявить источник компрометации в ходе расследования. Аналитикам рекомендуется самостоятельно проверять целостность важных объектов с помощью экспертизы памяти, а не полагаться исключительно на потенциально скомпрометированные инструменты для устройств.

#ParsedReport #CompletenessLow
02-02-2024

Detecting and Mitigating a Phishing Threat: Greatness

https://blog.sucuri.net/2024/02/detecting-and-mitigating-a-phishing-threat-greatness.html

Report completeness: Low

Threats:
Greatness_tool
Mitm_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1005, T1063, T1001, T1105, T1609

IOCs:
File: 1

Soft:
Telegram, WordPress

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый фишинговый инструмент под названием Greatness, который позволяет злоумышленникам запускать сложные фишинговые атаки против учетных записей Microsoft 365. Инструмент обладает различными функциями и может даже обойти многофакторную аутентификацию. В тексте также приведены семь шагов по предотвращению использования веб-сайтов и серверов такими фишинговыми атаками.
-----

В тексте обсуждается фишинговый инструмент под названием Greatness, который был идентифицирован исследовательской группой. Greatness - это платформа "Фишинг как услуга" (PhaaS), которая помогает выполнять сложные фишинговые атаки против учетных записей Microsoft 365. Этот инструмент был обнаружен на взломанных веб-сайтах и работает как командный элемент управления для злоумышленников, позволяя им запускать персонализированные попытки фишинга.

Greatness обладает несколькими функциями, включая панель результатов, которая предоставляет подробные сведения о полученных учетных данных, страницу Office, которая позволяет создавать убедительные фишинговые кампании и вложения, а также сложную процедуру аутентификации. Инструмент может проверять, включена ли многофакторная аутентификация (MFA), и запрашивать у жертв дополнительную информацию. Он также может получить действительный файл cookie сеанса, используя API Microsoft.

Платформа предлагает такие параметры конфигурации, как проверка состояния сервера, загрузка новых файлов конфигурации и указание альтернативных методов получения украденных учетных данных. Greatness полагается на сложные методы обеспечения безопасности, включая запутывание исходного кода и связь с центральным сервером для проверки ключа API. Без действительного ключа фишинговая страница отказывается загружаться.

Одним из вызывающих беспокойство аспектов Greatness является его способность перехитрить MFA, что является одной из наиболее эффективных мер безопасности против фишинговых атак. Доступность инструментария позволяет даже лицам с небольшими техническими знаниями запускать вредоносные атаки, увеличивая потенциальный ущерб.

Чтобы предотвратить использование фишингом веб-сайтов и серверных ресурсов, в тексте приведены семь шагов, которые необходимо предпринять. К ним относятся проведение глубокого и всестороннего сканирования на предмет заражения, удаление подозрительных файлов или скриптов, проверка предупреждений сайта от поисковых служб и проведение онлайн-проверок статуса, внедрение систем мониторинга целостности файлов и использование брандмауэров веб-приложений для защиты сайтов от атак.

#ParsedReport #CompletenessLow
02-02-2024

The curious case of DangerDev@protonmail.me

https://www.invictus-ir.com/news/the-curious-case-of-dangerdev-protonmail-me

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
Ses, Japanese websites

Geo:
Indonesian, Japanese

TTPs:
Tactics: 6
Technics: 0

IOCs:
Email: 1
File: 2
IP: 113

Functions:
GetSendQuota, GetCallerIdentity, CreateUser, CreateLoginProfile, CreateKeyPair, CreateSecurityGroup, CreateDefaultVpc, DeleteUser, DeleteUserPolicy, DeleteAccessKey, have more...

Links:
https://gist.github.com/invictus-korstiaan/0aed611b8cce0a8e9974a9753aefc0e1/raw/f6c3d46a8247be80fb2b41b99b67d16ae2040512/AWS\_IOCS.csv
https://gist.github.com/invictus-korstiaan/0aed611b8cce0a8e9974a9753aefc0e1#file-aws\_iocs-csv
https://github.com

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 10, chart: 1