CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2024 KV-Botnet: Don t call it a Comeback https://blog.lumen.com/kv-botnet-dont-call-it-a-comeback Report completeness: Low Actors/Campaigns: Volt_typhoon Threats: Kv-botnet Beacon Victims: Netgear prosafe devices…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Black Lotus Labs из Lumen сообщила об использовании KV-ботнета спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по удалению, что привело к усилиям операторов по борьбе с этими действиями и восстановлению их контроля. Несмотря на попытки повторного заражения, активность ботнета снизилась, что подчеркивает сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов, и необходимость мер мониторинга и защиты.
-----

Лаборатория Black Lotus Labs из Lumen сообщила о том, что KV-ботнет используется спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по уничтожению в декабре 2023 года, что привело к усилиям операторов ботнета по борьбе с этими действиями и восстановлению их структуры командования и контроля. Операторы нацелились на повторную эксплуатацию устройств NetGear ProSafe, что привело к заметному воздействию на кластеры ботнета. Вмешательство Lumen Technologies и действия ФБР существенно повлияли на работу ботнета. Несмотря на попытки повторного заражения, активность ботнета снизилась, а некоторые кластеры стали инертными. В отчете указывается на сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов и брандмауэров, подчеркивается необходимость мониторинга и мер защиты от таких атак. Продолжаются усилия по анализу и смягчению последствий, направленные на противодействие рискам, связанным с KV-ботнетом и аналогичными угрозами.
#ParsedReport #CompletenessMedium
08-02-2024

Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs?

https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages

Report completeness: Medium

Actors/Campaigns:
Gamaredon
Pyration

Threats:
Agent_tesla
Cloudeye
Formbook
Wannacry
Eternalblue_vuln
Dridex
Velvetsweatshop_technique
Burden

Industry:
Financial, Healthcare

Geo:
India, Russia, Turkey, Russian, Pakistan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1566.001, T1027, T1059.005, T1047, T1588.002, T1193, T1218, T1071.001, have more...

IOCs:
Hash: 9
File: 5

Soft:
Microsoft Office, Microsoft Word, Microsoft Excel

Wallets:
harmony_wallet

Algorithms:
xor, aes, zip

Win Services:
bits

Languages:
python

Links:
https://github.com/decalage2/oletools/wiki/olevba
https://github.com/decalage2/ViperMonkey
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs? https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году, нацеленных на прибыльные секторы, такие как финансы/банковское дело, правительство и здравоохранение. В нем освещаются проблемы обнаружения и пресечения этих угроз из-за короткого времени активности maldocs и обманной тактики, используемой для уклонения от обнаружения. Кроме того, в тексте обсуждается сложность шелл-кодов внутри maldocs, шифрование, защита паролем и постоянная угроза старых CVE в рисках кибербезопасности, связанных с maldocs.
-----

В тексте подчеркивается использование вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году. В нем упоминаются конкретные семейства вредоносных программ, такие как Gamaredon APT, Agent Tesla, GuLoader и Formbook, которые распространялись через maldocs. Операторы, стоящие за этими maldocs, фокусируются на таких прибыльных секторах, как финансы/банковское дело, государственное управление и здравоохранение. В тексте также подчеркивается сложность своевременного обнаружения и пресечения этих угроз, поскольку у maldocs короткое время активности, что затрудняет их обнаружение решениями безопасности. Кроме того, в нем обсуждаются уловки, используемые в maldocs для обмана как людей, так и автоматизированных систем, такие как использование удаленных шаблонов или ссылок без расширений, чтобы скрыть свои вредоносные намерения. Шелл-коды внутри maldocs выделены как сложные и запутанные, требующие детального анализа. Кроме того, в тексте исследуется использование шифрования и защиты паролем для затруднения анализа. В заключение статьи признается постоянная угроза, исходящая от старых CVE, и необходимость постоянной бдительности при устранении рисков кибербезопасности, связанных с maldocs.
#ParsedReport #CompletenessLow
08-02-2024

Unmasking the Dot Stealer

https://labs.k7computing.com/index.php/unmasking-the-dot-stealer

Report completeness: Low

Threats:
Dot-stealer

ChatGPT TTPs:
do not use without manual check
T1059, T1562.001, T1027, T1533, T1005, T1113, T1071.001, T1496, T1505, T1082, have more...

IOCs:
File: 4
Path: 1
Hash: 1

Soft:
Telegram

Algorithms:
zip
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Unmasking the Dot Stealer https://labs.k7computing.com/index.php/unmasking-the-dot-stealer Report completeness: Low Threats: Dot-stealer ChatGPT TTPs: do not use without manual check T1059, T1562.001, T1027, T1533…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----

В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
#ParsedReport #CompletenessLow
08-02-2024

The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker

https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker

Report completeness: Low

Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt

Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574

IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4

Soft:
Docker, curl, sudo, Unix, systemd, alpine

Algorithms:
base64, exhibit

Links:
https://github.com/creaktive/tsh
https://github.com/lukaszlach/commando
https://github.com/cado-security
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание новой кампании по криптоджекингу под названием Commando Cat, которая использует Docker для первоначального доступа. Кампания включает в себя внедрение различных сложных методов, нацеливание на учетные данные поставщика облачных услуг и использование нескольких полезных нагрузок для создания персистентности, извлечения учетных данных и выполнения операций по добыче криптовалюты. Вредоносная программа направлена на то, чтобы избежать обнаружения с помощью использования ключа шифрования, и включает в себя пользовательский форк XMRig для майнинга, имеющий сходство с тактикой, используемой известной группой исполнителей угроз TeamTNT.
-----

Commando Cat - это новая кампания криптоджекинга, которая использует Docker для первоначального доступа. Злоумышленник развертывает безопасный контейнер с помощью проекта Commando, выходит из контейнера и запускает несколько полезных нагрузок на хосте Docker. Кампания нацелена на учетные данные поставщиков облачных услуг, таких как AWS, GCP и Azure, с использованием различных сложных методов, включая механизм сокрытия процессов и черную дыру в реестре Docker. Вредоносная программа, распространяемая по IP 45.9.148.193, направлена на создание персистентности, включение бэкдоров, извлечение учетных данных и запуск майнера. Она включает в себя такие полезные приложения, как user.sh, TinyShell и gs-netcat, с тактикой уклонения и использованием ключа шифрования. Вредоносная программа развертывает пользовательский форк XMRig для майнинга криптовалют, удаляя конкурирующих майнеров в системе. Кампания сложная, с избыточностью и методами уклонения, затрудняющими обнаружение, демонстрирующими сходство со сценариями, используемыми TeamTNT, потенциально группой подражателей, основанной на их работе.
#ParsedReport #CompletenessLow
08-02-2024

ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN

https://any.run/cybersecurity-blog/new-zloader-campaign

Report completeness: Low

Threats:
Z_loader
Junk_code_technique
Zeus

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1568.002, T1090, T1583.001, T1566, T1193

IOCs:
IP: 2

Algorithms:
rc4
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN https://any.run/cybersecurity-blog/new-zloader-campaign Report completeness: Low Threats: Z_loader Junk_code_technique Zeus Industry: Financial…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----

Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
#ParsedReport #CompletenessHigh
07-02-2024

PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

Report completeness: High

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool

Industry:
Energy, Transport, Military, Ics

Geo:
Guam, China, Australian, Canadian, Canada

CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)


TTPs:
Tactics: 13
Technics: 67

IOCs:
File: 16
Path: 12
Hash: 4

Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...

Algorithms:
zip, aes, sha256, md5, exhibit, ecc

Languages:
python, powershell

Links:
https://github.com/sandialabs/gait
https://github.com/cisagov/ScubaGear
https://github.com/cisagov/Decider/
https://github.com/fatedier/frp
CTT Report Hub
#ParsedReport #CompletenessHigh 07-02-2024 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----

В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
#ParsedReport #CompletenessLow
08-02-2024

Securonix Threat Labs Monthly Intelligence Insights January 2024

https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024

Report completeness: Low

Actors/Campaigns:
Ta444

Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln

Victims:
Boeing

Industry:
Ics, Aerospace

Geo:
Chinese, Korean

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...

IOCs:
File: 6

Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office

Wallets:
bitcoincore

Algorithms:
zip

Languages:
python

Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Securonix Threat Labs Monthly Intelligence Insights January 2024 https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024 Report completeness: Low Actors/Campaigns: Ta444…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----

В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
#ParsedReport #CompletenessMedium
08-02-2024

Coyote: A multi-stage banking Trojan abusing the Squirrel installer

https://securelist.com/coyote-multi-stage-banking-trojan/111846

Report completeness: Medium

Threats:
Coyote
Dll_sideloading_technique
Donut

Victims:
Banking institutions users

Industry:
Financial

Geo:
Brazil, Brazilian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001

IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7

Soft:
NuGet, node.js, Chrome

Algorithms:
base64, aes, md5

Languages:
delphi, javascript, python

Platforms:
cross-platform

Links:
https://github.com/Squirrel/Squirrel.Windows