CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2024 KV-Botnet: Don t call it a Comeback https://blog.lumen.com/kv-botnet-dont-call-it-a-comeback Report completeness: Low Actors/Campaigns: Volt_typhoon Threats: Kv-botnet Beacon Victims: Netgear prosafe devices…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Black Lotus Labs из Lumen сообщила об использовании KV-ботнета спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по удалению, что привело к усилиям операторов по борьбе с этими действиями и восстановлению их контроля. Несмотря на попытки повторного заражения, активность ботнета снизилась, что подчеркивает сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов, и необходимость мер мониторинга и защиты.
-----
Лаборатория Black Lotus Labs из Lumen сообщила о том, что KV-ботнет используется спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по уничтожению в декабре 2023 года, что привело к усилиям операторов ботнета по борьбе с этими действиями и восстановлению их структуры командования и контроля. Операторы нацелились на повторную эксплуатацию устройств NetGear ProSafe, что привело к заметному воздействию на кластеры ботнета. Вмешательство Lumen Technologies и действия ФБР существенно повлияли на работу ботнета. Несмотря на попытки повторного заражения, активность ботнета снизилась, а некоторые кластеры стали инертными. В отчете указывается на сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов и брандмауэров, подчеркивается необходимость мониторинга и мер защиты от таких атак. Продолжаются усилия по анализу и смягчению последствий, направленные на противодействие рискам, связанным с KV-ботнетом и аналогичными угрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Black Lotus Labs из Lumen сообщила об использовании KV-ботнета спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по удалению, что привело к усилиям операторов по борьбе с этими действиями и восстановлению их контроля. Несмотря на попытки повторного заражения, активность ботнета снизилась, что подчеркивает сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов, и необходимость мер мониторинга и защиты.
-----
Лаборатория Black Lotus Labs из Lumen сообщила о том, что KV-ботнет используется спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по уничтожению в декабре 2023 года, что привело к усилиям операторов ботнета по борьбе с этими действиями и восстановлению их структуры командования и контроля. Операторы нацелились на повторную эксплуатацию устройств NetGear ProSafe, что привело к заметному воздействию на кластеры ботнета. Вмешательство Lumen Technologies и действия ФБР существенно повлияли на работу ботнета. Несмотря на попытки повторного заражения, активность ботнета снизилась, а некоторые кластеры стали инертными. В отчете указывается на сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов и брандмауэров, подчеркивается необходимость мониторинга и мер защиты от таких атак. Продолжаются усилия по анализу и смягчению последствий, направленные на противодействие рискам, связанным с KV-ботнетом и аналогичными угрозами.
#ParsedReport #CompletenessMedium
08-02-2024
Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs?
https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Pyration
Threats:
Agent_tesla
Cloudeye
Formbook
Wannacry
Eternalblue_vuln
Dridex
Velvetsweatshop_technique
Burden
Industry:
Financial, Healthcare
Geo:
India, Russia, Turkey, Russian, Pakistan
CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
ChatGPT TTPs:
T1566.002, T1204.002, T1566.001, T1027, T1059.005, T1047, T1588.002, T1193, T1218, T1071.001, have more...
IOCs:
Hash: 9
File: 5
Soft:
Microsoft Office, Microsoft Word, Microsoft Excel
Wallets:
harmony_wallet
Algorithms:
xor, aes, zip
Win Services:
bits
Languages:
python
Links:
08-02-2024
Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs?
https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Pyration
Threats:
Agent_tesla
Cloudeye
Formbook
Wannacry
Eternalblue_vuln
Dridex
Velvetsweatshop_technique
Burden
Industry:
Financial, Healthcare
Geo:
India, Russia, Turkey, Russian, Pakistan
CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
ChatGPT TTPs:
do not use without manual checkT1566.002, T1204.002, T1566.001, T1027, T1059.005, T1047, T1588.002, T1193, T1218, T1071.001, have more...
IOCs:
Hash: 9
File: 5
Soft:
Microsoft Office, Microsoft Word, Microsoft Excel
Wallets:
harmony_wallet
Algorithms:
xor, aes, zip
Win Services:
bits
Languages:
python
Links:
https://github.com/decalage2/oletools/wiki/olevbahttps://github.com/decalage2/ViperMonkeyCheck Point Research
Maldocs of Word and Excel: Vigor of the Ages - Check Point Research
Research by: Raman Ladutska We chose a fantasy decoration style at certain points of the article to attract attention to the described problem. We hope that visualizing a fantasy adventure as a fight against the source of evil will transform the real world…
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs? https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году, нацеленных на прибыльные секторы, такие как финансы/банковское дело, правительство и здравоохранение. В нем освещаются проблемы обнаружения и пресечения этих угроз из-за короткого времени активности maldocs и обманной тактики, используемой для уклонения от обнаружения. Кроме того, в тексте обсуждается сложность шелл-кодов внутри maldocs, шифрование, защита паролем и постоянная угроза старых CVE в рисках кибербезопасности, связанных с maldocs.
-----
В тексте подчеркивается использование вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году. В нем упоминаются конкретные семейства вредоносных программ, такие как Gamaredon APT, Agent Tesla, GuLoader и Formbook, которые распространялись через maldocs. Операторы, стоящие за этими maldocs, фокусируются на таких прибыльных секторах, как финансы/банковское дело, государственное управление и здравоохранение. В тексте также подчеркивается сложность своевременного обнаружения и пресечения этих угроз, поскольку у maldocs короткое время активности, что затрудняет их обнаружение решениями безопасности. Кроме того, в нем обсуждаются уловки, используемые в maldocs для обмана как людей, так и автоматизированных систем, такие как использование удаленных шаблонов или ссылок без расширений, чтобы скрыть свои вредоносные намерения. Шелл-коды внутри maldocs выделены как сложные и запутанные, требующие детального анализа. Кроме того, в тексте исследуется использование шифрования и защиты паролем для затруднения анализа. В заключение статьи признается постоянная угроза, исходящая от старых CVE, и необходимость постоянной бдительности при устранении рисков кибербезопасности, связанных с maldocs.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году, нацеленных на прибыльные секторы, такие как финансы/банковское дело, правительство и здравоохранение. В нем освещаются проблемы обнаружения и пресечения этих угроз из-за короткого времени активности maldocs и обманной тактики, используемой для уклонения от обнаружения. Кроме того, в тексте обсуждается сложность шелл-кодов внутри maldocs, шифрование, защита паролем и постоянная угроза старых CVE в рисках кибербезопасности, связанных с maldocs.
-----
В тексте подчеркивается использование вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году. В нем упоминаются конкретные семейства вредоносных программ, такие как Gamaredon APT, Agent Tesla, GuLoader и Formbook, которые распространялись через maldocs. Операторы, стоящие за этими maldocs, фокусируются на таких прибыльных секторах, как финансы/банковское дело, государственное управление и здравоохранение. В тексте также подчеркивается сложность своевременного обнаружения и пресечения этих угроз, поскольку у maldocs короткое время активности, что затрудняет их обнаружение решениями безопасности. Кроме того, в нем обсуждаются уловки, используемые в maldocs для обмана как людей, так и автоматизированных систем, такие как использование удаленных шаблонов или ссылок без расширений, чтобы скрыть свои вредоносные намерения. Шелл-коды внутри maldocs выделены как сложные и запутанные, требующие детального анализа. Кроме того, в тексте исследуется использование шифрования и защиты паролем для затруднения анализа. В заключение статьи признается постоянная угроза, исходящая от старых CVE, и необходимость постоянной бдительности при устранении рисков кибербезопасности, связанных с maldocs.
#ParsedReport #CompletenessLow
08-02-2024
Unmasking the Dot Stealer
https://labs.k7computing.com/index.php/unmasking-the-dot-stealer
Report completeness: Low
Threats:
Dot-stealer
ChatGPT TTPs:
T1059, T1562.001, T1027, T1533, T1005, T1113, T1071.001, T1496, T1505, T1082, have more...
IOCs:
File: 4
Path: 1
Hash: 1
Soft:
Telegram
Algorithms:
zip
08-02-2024
Unmasking the Dot Stealer
https://labs.k7computing.com/index.php/unmasking-the-dot-stealer
Report completeness: Low
Threats:
Dot-stealer
ChatGPT TTPs:
do not use without manual checkT1059, T1562.001, T1027, T1533, T1005, T1113, T1071.001, T1496, T1505, T1082, have more...
IOCs:
File: 4
Path: 1
Hash: 1
Soft:
Telegram
Algorithms:
zip
K7 Labs
Unmasking the Dot Stealer
Recently we came across a tweet about DotStealer malware, and on observing its behavior we found it to be stealing […]
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Unmasking the Dot Stealer https://labs.k7computing.com/index.php/unmasking-the-dot-stealer Report completeness: Low Threats: Dot-stealer ChatGPT TTPs: do not use without manual check T1059, T1562.001, T1027, T1533…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----
В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----
В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
#ParsedReport #CompletenessLow
08-02-2024
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker
Report completeness: Low
Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt
Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574
IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4
Soft:
Docker, curl, sudo, Unix, systemd, alpine
Algorithms:
base64, exhibit
Links:
08-02-2024
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker
Report completeness: Low
Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt
Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574
IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4
Soft:
Docker, curl, sudo, Unix, systemd, alpine
Algorithms:
base64, exhibit
Links:
https://github.com/creaktive/tshhttps://github.com/lukaszlach/commandohttps://github.com/cado-securityCadosecurity
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
Cado researchers have recently encountered a novel malware campaign, dubbed “Commando Cat”, targeting exposed Docker API endpoints.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание новой кампании по криптоджекингу под названием Commando Cat, которая использует Docker для первоначального доступа. Кампания включает в себя внедрение различных сложных методов, нацеливание на учетные данные поставщика облачных услуг и использование нескольких полезных нагрузок для создания персистентности, извлечения учетных данных и выполнения операций по добыче криптовалюты. Вредоносная программа направлена на то, чтобы избежать обнаружения с помощью использования ключа шифрования, и включает в себя пользовательский форк XMRig для майнинга, имеющий сходство с тактикой, используемой известной группой исполнителей угроз TeamTNT.
-----
Commando Cat - это новая кампания криптоджекинга, которая использует Docker для первоначального доступа. Злоумышленник развертывает безопасный контейнер с помощью проекта Commando, выходит из контейнера и запускает несколько полезных нагрузок на хосте Docker. Кампания нацелена на учетные данные поставщиков облачных услуг, таких как AWS, GCP и Azure, с использованием различных сложных методов, включая механизм сокрытия процессов и черную дыру в реестре Docker. Вредоносная программа, распространяемая по IP 45.9.148.193, направлена на создание персистентности, включение бэкдоров, извлечение учетных данных и запуск майнера. Она включает в себя такие полезные приложения, как user.sh, TinyShell и gs-netcat, с тактикой уклонения и использованием ключа шифрования. Вредоносная программа развертывает пользовательский форк XMRig для майнинга криптовалют, удаляя конкурирующих майнеров в системе. Кампания сложная, с избыточностью и методами уклонения, затрудняющими обнаружение, демонстрирующими сходство со сценариями, используемыми TeamTNT, потенциально группой подражателей, основанной на их работе.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание новой кампании по криптоджекингу под названием Commando Cat, которая использует Docker для первоначального доступа. Кампания включает в себя внедрение различных сложных методов, нацеливание на учетные данные поставщика облачных услуг и использование нескольких полезных нагрузок для создания персистентности, извлечения учетных данных и выполнения операций по добыче криптовалюты. Вредоносная программа направлена на то, чтобы избежать обнаружения с помощью использования ключа шифрования, и включает в себя пользовательский форк XMRig для майнинга, имеющий сходство с тактикой, используемой известной группой исполнителей угроз TeamTNT.
-----
Commando Cat - это новая кампания криптоджекинга, которая использует Docker для первоначального доступа. Злоумышленник развертывает безопасный контейнер с помощью проекта Commando, выходит из контейнера и запускает несколько полезных нагрузок на хосте Docker. Кампания нацелена на учетные данные поставщиков облачных услуг, таких как AWS, GCP и Azure, с использованием различных сложных методов, включая механизм сокрытия процессов и черную дыру в реестре Docker. Вредоносная программа, распространяемая по IP 45.9.148.193, направлена на создание персистентности, включение бэкдоров, извлечение учетных данных и запуск майнера. Она включает в себя такие полезные приложения, как user.sh, TinyShell и gs-netcat, с тактикой уклонения и использованием ключа шифрования. Вредоносная программа развертывает пользовательский форк XMRig для майнинга криптовалют, удаляя конкурирующих майнеров в системе. Кампания сложная, с избыточностью и методами уклонения, затрудняющими обнаружение, демонстрирующими сходство со сценариями, используемыми TeamTNT, потенциально группой подражателей, основанной на их работе.
#ParsedReport #CompletenessLow
08-02-2024
ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN
https://any.run/cybersecurity-blog/new-zloader-campaign
Report completeness: Low
Threats:
Z_loader
Junk_code_technique
Zeus
Industry:
Financial
ChatGPT TTPs:
T1027, T1140, T1568.002, T1090, T1583.001, T1566, T1193
IOCs:
IP: 2
Algorithms:
rc4
08-02-2024
ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN
https://any.run/cybersecurity-blog/new-zloader-campaign
Report completeness: Low
Threats:
Z_loader
Junk_code_technique
Zeus
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1027, T1140, T1568.002, T1090, T1583.001, T1566, T1193
IOCs:
IP: 2
Algorithms:
rc4
ANY.RUN's Cybersecurity Blog
ZLoader Now Targets 64-bit Systems: New Version Analysis
Learn about the latest ZLoader campaign distributing the newest versions of the malware, 2.1.6.0 and 2.1.7.0.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN https://any.run/cybersecurity-blog/new-zloader-campaign Report completeness: Low Threats: Z_loader Junk_code_technique Zeus Industry: Financial…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----
Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----
Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
#ParsedReport #CompletenessHigh
07-02-2024
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Report completeness: High
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool
Industry:
Energy, Transport, Military, Ics
Geo:
Guam, China, Australian, Canadian, Canada
CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)
TTPs:
Tactics: 13
Technics: 67
IOCs:
File: 16
Path: 12
Hash: 4
Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...
Algorithms:
zip, aes, sha256, md5, exhibit, ecc
Languages:
python, powershell
Links:
07-02-2024
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Report completeness: High
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool
Industry:
Energy, Transport, Military, Ics
Geo:
Guam, China, Australian, Canadian, Canada
CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)
TTPs:
Tactics: 13
Technics: 67
IOCs:
File: 16
Path: 12
Hash: 4
Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...
Algorithms:
zip, aes, sha256, md5, exhibit, ecc
Languages:
python, powershell
Links:
https://github.com/sandialabs/gaithttps://github.com/cisagov/ScubaGearhttps://github.com/cisagov/Decider/https://github.com/fatedier/frp
CTT Report Hub
#ParsedReport #CompletenessHigh 07-02-2024 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----
В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----
В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
#ParsedReport #CompletenessLow
08-02-2024
Securonix Threat Labs Monthly Intelligence Insights January 2024
https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024
Report completeness: Low
Actors/Campaigns:
Ta444
Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln
Victims:
Boeing
Industry:
Ics, Aerospace
Geo:
Chinese, Korean
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...
IOCs:
File: 6
Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office
Wallets:
bitcoincore
Algorithms:
zip
Languages:
python
Platforms:
apple
08-02-2024
Securonix Threat Labs Monthly Intelligence Insights January 2024
https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024
Report completeness: Low
Actors/Campaigns:
Ta444
Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln
Victims:
Boeing
Industry:
Ics, Aerospace
Geo:
Chinese, Korean
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...
IOCs:
File: 6
Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office
Wallets:
bitcoincore
Algorithms:
zip
Languages:
python
Platforms:
apple
Securonix
Securonix Threat Labs Monthly Intelligence Insights – January 2024
Securonix Threat Labs Monthly Intelligence Insights January 2024 provides a summary of top threats curated, monitored, and analyzed by Securonix Threat Labs.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Securonix Threat Labs Monthly Intelligence Insights January 2024 https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024 Report completeness: Low Actors/Campaigns: Ta444…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----
В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----
В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.