CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2024 KV-Botnet: Don t call it a Comeback https://blog.lumen.com/kv-botnet-dont-call-it-a-comeback Report completeness: Low Actors/Campaigns: Volt_typhoon Threats: Kv-botnet Beacon Victims: Netgear prosafe devices…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Black Lotus Labs из Lumen сообщила об использовании KV-ботнета спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по удалению, что привело к усилиям операторов по борьбе с этими действиями и восстановлению их контроля. Несмотря на попытки повторного заражения, активность ботнета снизилась, что подчеркивает сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов, и необходимость мер мониторинга и защиты.
-----
Лаборатория Black Lotus Labs из Lumen сообщила о том, что KV-ботнет используется спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по уничтожению в декабре 2023 года, что привело к усилиям операторов ботнета по борьбе с этими действиями и восстановлению их структуры командования и контроля. Операторы нацелились на повторную эксплуатацию устройств NetGear ProSafe, что привело к заметному воздействию на кластеры ботнета. Вмешательство Lumen Technologies и действия ФБР существенно повлияли на работу ботнета. Несмотря на попытки повторного заражения, активность ботнета снизилась, а некоторые кластеры стали инертными. В отчете указывается на сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов и брандмауэров, подчеркивается необходимость мониторинга и мер защиты от таких атак. Продолжаются усилия по анализу и смягчению последствий, направленные на противодействие рискам, связанным с KV-ботнетом и аналогичными угрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Black Lotus Labs из Lumen сообщила об использовании KV-ботнета спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по удалению, что привело к усилиям операторов по борьбе с этими действиями и восстановлению их контроля. Несмотря на попытки повторного заражения, активность ботнета снизилась, что подчеркивает сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов, и необходимость мер мониторинга и защиты.
-----
Лаборатория Black Lotus Labs из Lumen сообщила о том, что KV-ботнет используется спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по уничтожению в декабре 2023 года, что привело к усилиям операторов ботнета по борьбе с этими действиями и восстановлению их структуры командования и контроля. Операторы нацелились на повторную эксплуатацию устройств NetGear ProSafe, что привело к заметному воздействию на кластеры ботнета. Вмешательство Lumen Technologies и действия ФБР существенно повлияли на работу ботнета. Несмотря на попытки повторного заражения, активность ботнета снизилась, а некоторые кластеры стали инертными. В отчете указывается на сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов и брандмауэров, подчеркивается необходимость мониторинга и мер защиты от таких атак. Продолжаются усилия по анализу и смягчению последствий, направленные на противодействие рискам, связанным с KV-ботнетом и аналогичными угрозами.
#ParsedReport #CompletenessMedium
08-02-2024
Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs?
https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Pyration
Threats:
Agent_tesla
Cloudeye
Formbook
Wannacry
Eternalblue_vuln
Dridex
Velvetsweatshop_technique
Burden
Industry:
Financial, Healthcare
Geo:
India, Russia, Turkey, Russian, Pakistan
CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
ChatGPT TTPs:
T1566.002, T1204.002, T1566.001, T1027, T1059.005, T1047, T1588.002, T1193, T1218, T1071.001, have more...
IOCs:
Hash: 9
File: 5
Soft:
Microsoft Office, Microsoft Word, Microsoft Excel
Wallets:
harmony_wallet
Algorithms:
xor, aes, zip
Win Services:
bits
Languages:
python
Links:
08-02-2024
Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs?
https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Pyration
Threats:
Agent_tesla
Cloudeye
Formbook
Wannacry
Eternalblue_vuln
Dridex
Velvetsweatshop_technique
Burden
Industry:
Financial, Healthcare
Geo:
India, Russia, Turkey, Russian, Pakistan
CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
ChatGPT TTPs:
do not use without manual checkT1566.002, T1204.002, T1566.001, T1027, T1059.005, T1047, T1588.002, T1193, T1218, T1071.001, have more...
IOCs:
Hash: 9
File: 5
Soft:
Microsoft Office, Microsoft Word, Microsoft Excel
Wallets:
harmony_wallet
Algorithms:
xor, aes, zip
Win Services:
bits
Languages:
python
Links:
https://github.com/decalage2/oletools/wiki/olevbahttps://github.com/decalage2/ViperMonkeyCheck Point Research
Maldocs of Word and Excel: Vigor of the Ages - Check Point Research
Research by: Raman Ladutska We chose a fantasy decoration style at certain points of the article to attract attention to the described problem. We hope that visualizing a fantasy adventure as a fight against the source of evil will transform the real world…
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs? https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году, нацеленных на прибыльные секторы, такие как финансы/банковское дело, правительство и здравоохранение. В нем освещаются проблемы обнаружения и пресечения этих угроз из-за короткого времени активности maldocs и обманной тактики, используемой для уклонения от обнаружения. Кроме того, в тексте обсуждается сложность шелл-кодов внутри maldocs, шифрование, защита паролем и постоянная угроза старых CVE в рисках кибербезопасности, связанных с maldocs.
-----
В тексте подчеркивается использование вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году. В нем упоминаются конкретные семейства вредоносных программ, такие как Gamaredon APT, Agent Tesla, GuLoader и Formbook, которые распространялись через maldocs. Операторы, стоящие за этими maldocs, фокусируются на таких прибыльных секторах, как финансы/банковское дело, государственное управление и здравоохранение. В тексте также подчеркивается сложность своевременного обнаружения и пресечения этих угроз, поскольку у maldocs короткое время активности, что затрудняет их обнаружение решениями безопасности. Кроме того, в нем обсуждаются уловки, используемые в maldocs для обмана как людей, так и автоматизированных систем, такие как использование удаленных шаблонов или ссылок без расширений, чтобы скрыть свои вредоносные намерения. Шелл-коды внутри maldocs выделены как сложные и запутанные, требующие детального анализа. Кроме того, в тексте исследуется использование шифрования и защиты паролем для затруднения анализа. В заключение статьи признается постоянная угроза, исходящая от старых CVE, и необходимость постоянной бдительности при устранении рисков кибербезопасности, связанных с maldocs.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году, нацеленных на прибыльные секторы, такие как финансы/банковское дело, правительство и здравоохранение. В нем освещаются проблемы обнаружения и пресечения этих угроз из-за короткого времени активности maldocs и обманной тактики, используемой для уклонения от обнаружения. Кроме того, в тексте обсуждается сложность шелл-кодов внутри maldocs, шифрование, защита паролем и постоянная угроза старых CVE в рисках кибербезопасности, связанных с maldocs.
-----
В тексте подчеркивается использование вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году. В нем упоминаются конкретные семейства вредоносных программ, такие как Gamaredon APT, Agent Tesla, GuLoader и Formbook, которые распространялись через maldocs. Операторы, стоящие за этими maldocs, фокусируются на таких прибыльных секторах, как финансы/банковское дело, государственное управление и здравоохранение. В тексте также подчеркивается сложность своевременного обнаружения и пресечения этих угроз, поскольку у maldocs короткое время активности, что затрудняет их обнаружение решениями безопасности. Кроме того, в нем обсуждаются уловки, используемые в maldocs для обмана как людей, так и автоматизированных систем, такие как использование удаленных шаблонов или ссылок без расширений, чтобы скрыть свои вредоносные намерения. Шелл-коды внутри maldocs выделены как сложные и запутанные, требующие детального анализа. Кроме того, в тексте исследуется использование шифрования и защиты паролем для затруднения анализа. В заключение статьи признается постоянная угроза, исходящая от старых CVE, и необходимость постоянной бдительности при устранении рисков кибербезопасности, связанных с maldocs.
#ParsedReport #CompletenessLow
08-02-2024
Unmasking the Dot Stealer
https://labs.k7computing.com/index.php/unmasking-the-dot-stealer
Report completeness: Low
Threats:
Dot-stealer
ChatGPT TTPs:
T1059, T1562.001, T1027, T1533, T1005, T1113, T1071.001, T1496, T1505, T1082, have more...
IOCs:
File: 4
Path: 1
Hash: 1
Soft:
Telegram
Algorithms:
zip
08-02-2024
Unmasking the Dot Stealer
https://labs.k7computing.com/index.php/unmasking-the-dot-stealer
Report completeness: Low
Threats:
Dot-stealer
ChatGPT TTPs:
do not use without manual checkT1059, T1562.001, T1027, T1533, T1005, T1113, T1071.001, T1496, T1505, T1082, have more...
IOCs:
File: 4
Path: 1
Hash: 1
Soft:
Telegram
Algorithms:
zip
K7 Labs
Unmasking the Dot Stealer
Recently we came across a tweet about DotStealer malware, and on observing its behavior we found it to be stealing […]
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Unmasking the Dot Stealer https://labs.k7computing.com/index.php/unmasking-the-dot-stealer Report completeness: Low Threats: Dot-stealer ChatGPT TTPs: do not use without manual check T1059, T1562.001, T1027, T1533…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----
В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----
В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
#ParsedReport #CompletenessLow
08-02-2024
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker
Report completeness: Low
Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt
Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574
IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4
Soft:
Docker, curl, sudo, Unix, systemd, alpine
Algorithms:
base64, exhibit
Links:
08-02-2024
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker
Report completeness: Low
Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt
Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574
IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4
Soft:
Docker, curl, sudo, Unix, systemd, alpine
Algorithms:
base64, exhibit
Links:
https://github.com/creaktive/tshhttps://github.com/lukaszlach/commandohttps://github.com/cado-securityCadosecurity
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
Cado researchers have recently encountered a novel malware campaign, dubbed “Commando Cat”, targeting exposed Docker API endpoints.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание новой кампании по криптоджекингу под названием Commando Cat, которая использует Docker для первоначального доступа. Кампания включает в себя внедрение различных сложных методов, нацеливание на учетные данные поставщика облачных услуг и использование нескольких полезных нагрузок для создания персистентности, извлечения учетных данных и выполнения операций по добыче криптовалюты. Вредоносная программа направлена на то, чтобы избежать обнаружения с помощью использования ключа шифрования, и включает в себя пользовательский форк XMRig для майнинга, имеющий сходство с тактикой, используемой известной группой исполнителей угроз TeamTNT.
-----
Commando Cat - это новая кампания криптоджекинга, которая использует Docker для первоначального доступа. Злоумышленник развертывает безопасный контейнер с помощью проекта Commando, выходит из контейнера и запускает несколько полезных нагрузок на хосте Docker. Кампания нацелена на учетные данные поставщиков облачных услуг, таких как AWS, GCP и Azure, с использованием различных сложных методов, включая механизм сокрытия процессов и черную дыру в реестре Docker. Вредоносная программа, распространяемая по IP 45.9.148.193, направлена на создание персистентности, включение бэкдоров, извлечение учетных данных и запуск майнера. Она включает в себя такие полезные приложения, как user.sh, TinyShell и gs-netcat, с тактикой уклонения и использованием ключа шифрования. Вредоносная программа развертывает пользовательский форк XMRig для майнинга криптовалют, удаляя конкурирующих майнеров в системе. Кампания сложная, с избыточностью и методами уклонения, затрудняющими обнаружение, демонстрирующими сходство со сценариями, используемыми TeamTNT, потенциально группой подражателей, основанной на их работе.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание новой кампании по криптоджекингу под названием Commando Cat, которая использует Docker для первоначального доступа. Кампания включает в себя внедрение различных сложных методов, нацеливание на учетные данные поставщика облачных услуг и использование нескольких полезных нагрузок для создания персистентности, извлечения учетных данных и выполнения операций по добыче криптовалюты. Вредоносная программа направлена на то, чтобы избежать обнаружения с помощью использования ключа шифрования, и включает в себя пользовательский форк XMRig для майнинга, имеющий сходство с тактикой, используемой известной группой исполнителей угроз TeamTNT.
-----
Commando Cat - это новая кампания криптоджекинга, которая использует Docker для первоначального доступа. Злоумышленник развертывает безопасный контейнер с помощью проекта Commando, выходит из контейнера и запускает несколько полезных нагрузок на хосте Docker. Кампания нацелена на учетные данные поставщиков облачных услуг, таких как AWS, GCP и Azure, с использованием различных сложных методов, включая механизм сокрытия процессов и черную дыру в реестре Docker. Вредоносная программа, распространяемая по IP 45.9.148.193, направлена на создание персистентности, включение бэкдоров, извлечение учетных данных и запуск майнера. Она включает в себя такие полезные приложения, как user.sh, TinyShell и gs-netcat, с тактикой уклонения и использованием ключа шифрования. Вредоносная программа развертывает пользовательский форк XMRig для майнинга криптовалют, удаляя конкурирующих майнеров в системе. Кампания сложная, с избыточностью и методами уклонения, затрудняющими обнаружение, демонстрирующими сходство со сценариями, используемыми TeamTNT, потенциально группой подражателей, основанной на их работе.
#ParsedReport #CompletenessLow
08-02-2024
ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN
https://any.run/cybersecurity-blog/new-zloader-campaign
Report completeness: Low
Threats:
Z_loader
Junk_code_technique
Zeus
Industry:
Financial
ChatGPT TTPs:
T1027, T1140, T1568.002, T1090, T1583.001, T1566, T1193
IOCs:
IP: 2
Algorithms:
rc4
08-02-2024
ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN
https://any.run/cybersecurity-blog/new-zloader-campaign
Report completeness: Low
Threats:
Z_loader
Junk_code_technique
Zeus
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1027, T1140, T1568.002, T1090, T1583.001, T1566, T1193
IOCs:
IP: 2
Algorithms:
rc4
ANY.RUN's Cybersecurity Blog
ZLoader Now Targets 64-bit Systems: New Version Analysis
Learn about the latest ZLoader campaign distributing the newest versions of the malware, 2.1.6.0 and 2.1.7.0.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN https://any.run/cybersecurity-blog/new-zloader-campaign Report completeness: Low Threats: Z_loader Junk_code_technique Zeus Industry: Financial…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----
Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----
Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
#ParsedReport #CompletenessHigh
07-02-2024
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Report completeness: High
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool
Industry:
Energy, Transport, Military, Ics
Geo:
Guam, China, Australian, Canadian, Canada
CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)
TTPs:
Tactics: 13
Technics: 67
IOCs:
File: 16
Path: 12
Hash: 4
Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...
Algorithms:
zip, aes, sha256, md5, exhibit, ecc
Languages:
python, powershell
Links:
07-02-2024
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Report completeness: High
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool
Industry:
Energy, Transport, Military, Ics
Geo:
Guam, China, Australian, Canadian, Canada
CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)
TTPs:
Tactics: 13
Technics: 67
IOCs:
File: 16
Path: 12
Hash: 4
Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...
Algorithms:
zip, aes, sha256, md5, exhibit, ecc
Languages:
python, powershell
Links:
https://github.com/sandialabs/gaithttps://github.com/cisagov/ScubaGearhttps://github.com/cisagov/Decider/https://github.com/fatedier/frp
CTT Report Hub
#ParsedReport #CompletenessHigh 07-02-2024 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----
В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----
В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
#ParsedReport #CompletenessLow
08-02-2024
Securonix Threat Labs Monthly Intelligence Insights January 2024
https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024
Report completeness: Low
Actors/Campaigns:
Ta444
Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln
Victims:
Boeing
Industry:
Ics, Aerospace
Geo:
Chinese, Korean
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...
IOCs:
File: 6
Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office
Wallets:
bitcoincore
Algorithms:
zip
Languages:
python
Platforms:
apple
08-02-2024
Securonix Threat Labs Monthly Intelligence Insights January 2024
https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024
Report completeness: Low
Actors/Campaigns:
Ta444
Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln
Victims:
Boeing
Industry:
Ics, Aerospace
Geo:
Chinese, Korean
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...
IOCs:
File: 6
Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office
Wallets:
bitcoincore
Algorithms:
zip
Languages:
python
Platforms:
apple
Securonix
Securonix Threat Labs Monthly Intelligence Insights – January 2024
Securonix Threat Labs Monthly Intelligence Insights January 2024 provides a summary of top threats curated, monitored, and analyzed by Securonix Threat Labs.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Securonix Threat Labs Monthly Intelligence Insights January 2024 https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024 Report completeness: Low Actors/Campaigns: Ta444…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----
В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----
В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
#ParsedReport #CompletenessMedium
08-02-2024
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
https://securelist.com/coyote-multi-stage-banking-trojan/111846
Report completeness: Medium
Threats:
Coyote
Dll_sideloading_technique
Donut
Victims:
Banking institutions users
Industry:
Financial
Geo:
Brazil, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001
IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7
Soft:
NuGet, node.js, Chrome
Algorithms:
base64, aes, md5
Languages:
delphi, javascript, python
Platforms:
cross-platform
Links:
08-02-2024
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
https://securelist.com/coyote-multi-stage-banking-trojan/111846
Report completeness: Medium
Threats:
Coyote
Dll_sideloading_technique
Donut
Victims:
Banking institutions users
Industry:
Financial
Geo:
Brazil, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001
IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7
Soft:
NuGet, node.js, Chrome
Algorithms:
base64, aes, md5
Languages:
delphi, javascript, python
Platforms:
cross-platform
Links:
https://github.com/Squirrel/Squirrel.WindowsSecurelist
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
We will delve into the workings of the infection chain and explore the capabilities of the new Trojan that specifically targets users of more than 60 banking institutions, mainly from Brazil.