CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Unmasking the Dot Stealer https://labs.k7computing.com/index.php/unmasking-the-dot-stealer Report completeness: Low Threats: Dot-stealer ChatGPT TTPs: do not use without manual check T1059, T1562.001, T1027, T1533…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----
В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----
В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
#ParsedReport #CompletenessLow
08-02-2024
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker
Report completeness: Low
Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt
Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574
IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4
Soft:
Docker, curl, sudo, Unix, systemd, alpine
Algorithms:
base64, exhibit
Links:
08-02-2024
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker
Report completeness: Low
Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt
Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574
IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4
Soft:
Docker, curl, sudo, Unix, systemd, alpine
Algorithms:
base64, exhibit
Links:
https://github.com/creaktive/tshhttps://github.com/lukaszlach/commandohttps://github.com/cado-securityCadosecurity
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
Cado researchers have recently encountered a novel malware campaign, dubbed “Commando Cat”, targeting exposed Docker API endpoints.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание новой кампании по криптоджекингу под названием Commando Cat, которая использует Docker для первоначального доступа. Кампания включает в себя внедрение различных сложных методов, нацеливание на учетные данные поставщика облачных услуг и использование нескольких полезных нагрузок для создания персистентности, извлечения учетных данных и выполнения операций по добыче криптовалюты. Вредоносная программа направлена на то, чтобы избежать обнаружения с помощью использования ключа шифрования, и включает в себя пользовательский форк XMRig для майнинга, имеющий сходство с тактикой, используемой известной группой исполнителей угроз TeamTNT.
-----
Commando Cat - это новая кампания криптоджекинга, которая использует Docker для первоначального доступа. Злоумышленник развертывает безопасный контейнер с помощью проекта Commando, выходит из контейнера и запускает несколько полезных нагрузок на хосте Docker. Кампания нацелена на учетные данные поставщиков облачных услуг, таких как AWS, GCP и Azure, с использованием различных сложных методов, включая механизм сокрытия процессов и черную дыру в реестре Docker. Вредоносная программа, распространяемая по IP 45.9.148.193, направлена на создание персистентности, включение бэкдоров, извлечение учетных данных и запуск майнера. Она включает в себя такие полезные приложения, как user.sh, TinyShell и gs-netcat, с тактикой уклонения и использованием ключа шифрования. Вредоносная программа развертывает пользовательский форк XMRig для майнинга криптовалют, удаляя конкурирующих майнеров в системе. Кампания сложная, с избыточностью и методами уклонения, затрудняющими обнаружение, демонстрирующими сходство со сценариями, используемыми TeamTNT, потенциально группой подражателей, основанной на их работе.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание новой кампании по криптоджекингу под названием Commando Cat, которая использует Docker для первоначального доступа. Кампания включает в себя внедрение различных сложных методов, нацеливание на учетные данные поставщика облачных услуг и использование нескольких полезных нагрузок для создания персистентности, извлечения учетных данных и выполнения операций по добыче криптовалюты. Вредоносная программа направлена на то, чтобы избежать обнаружения с помощью использования ключа шифрования, и включает в себя пользовательский форк XMRig для майнинга, имеющий сходство с тактикой, используемой известной группой исполнителей угроз TeamTNT.
-----
Commando Cat - это новая кампания криптоджекинга, которая использует Docker для первоначального доступа. Злоумышленник развертывает безопасный контейнер с помощью проекта Commando, выходит из контейнера и запускает несколько полезных нагрузок на хосте Docker. Кампания нацелена на учетные данные поставщиков облачных услуг, таких как AWS, GCP и Azure, с использованием различных сложных методов, включая механизм сокрытия процессов и черную дыру в реестре Docker. Вредоносная программа, распространяемая по IP 45.9.148.193, направлена на создание персистентности, включение бэкдоров, извлечение учетных данных и запуск майнера. Она включает в себя такие полезные приложения, как user.sh, TinyShell и gs-netcat, с тактикой уклонения и использованием ключа шифрования. Вредоносная программа развертывает пользовательский форк XMRig для майнинга криптовалют, удаляя конкурирующих майнеров в системе. Кампания сложная, с избыточностью и методами уклонения, затрудняющими обнаружение, демонстрирующими сходство со сценариями, используемыми TeamTNT, потенциально группой подражателей, основанной на их работе.
#ParsedReport #CompletenessLow
08-02-2024
ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN
https://any.run/cybersecurity-blog/new-zloader-campaign
Report completeness: Low
Threats:
Z_loader
Junk_code_technique
Zeus
Industry:
Financial
ChatGPT TTPs:
T1027, T1140, T1568.002, T1090, T1583.001, T1566, T1193
IOCs:
IP: 2
Algorithms:
rc4
08-02-2024
ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN
https://any.run/cybersecurity-blog/new-zloader-campaign
Report completeness: Low
Threats:
Z_loader
Junk_code_technique
Zeus
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1027, T1140, T1568.002, T1090, T1583.001, T1566, T1193
IOCs:
IP: 2
Algorithms:
rc4
ANY.RUN's Cybersecurity Blog
ZLoader Now Targets 64-bit Systems: New Version Analysis
Learn about the latest ZLoader campaign distributing the newest versions of the malware, 2.1.6.0 and 2.1.7.0.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN https://any.run/cybersecurity-blog/new-zloader-campaign Report completeness: Low Threats: Z_loader Junk_code_technique Zeus Industry: Financial…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----
Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----
Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
#ParsedReport #CompletenessHigh
07-02-2024
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Report completeness: High
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool
Industry:
Energy, Transport, Military, Ics
Geo:
Guam, China, Australian, Canadian, Canada
CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)
TTPs:
Tactics: 13
Technics: 67
IOCs:
File: 16
Path: 12
Hash: 4
Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...
Algorithms:
zip, aes, sha256, md5, exhibit, ecc
Languages:
python, powershell
Links:
07-02-2024
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Report completeness: High
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool
Industry:
Energy, Transport, Military, Ics
Geo:
Guam, China, Australian, Canadian, Canada
CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)
TTPs:
Tactics: 13
Technics: 67
IOCs:
File: 16
Path: 12
Hash: 4
Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...
Algorithms:
zip, aes, sha256, md5, exhibit, ecc
Languages:
python, powershell
Links:
https://github.com/sandialabs/gaithttps://github.com/cisagov/ScubaGearhttps://github.com/cisagov/Decider/https://github.com/fatedier/frp
CTT Report Hub
#ParsedReport #CompletenessHigh 07-02-2024 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----
В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----
В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
#ParsedReport #CompletenessLow
08-02-2024
Securonix Threat Labs Monthly Intelligence Insights January 2024
https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024
Report completeness: Low
Actors/Campaigns:
Ta444
Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln
Victims:
Boeing
Industry:
Ics, Aerospace
Geo:
Chinese, Korean
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...
IOCs:
File: 6
Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office
Wallets:
bitcoincore
Algorithms:
zip
Languages:
python
Platforms:
apple
08-02-2024
Securonix Threat Labs Monthly Intelligence Insights January 2024
https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024
Report completeness: Low
Actors/Campaigns:
Ta444
Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln
Victims:
Boeing
Industry:
Ics, Aerospace
Geo:
Chinese, Korean
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...
IOCs:
File: 6
Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office
Wallets:
bitcoincore
Algorithms:
zip
Languages:
python
Platforms:
apple
Securonix
Securonix Threat Labs Monthly Intelligence Insights – January 2024
Securonix Threat Labs Monthly Intelligence Insights January 2024 provides a summary of top threats curated, monitored, and analyzed by Securonix Threat Labs.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Securonix Threat Labs Monthly Intelligence Insights January 2024 https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024 Report completeness: Low Actors/Campaigns: Ta444…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----
В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----
В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
#ParsedReport #CompletenessMedium
08-02-2024
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
https://securelist.com/coyote-multi-stage-banking-trojan/111846
Report completeness: Medium
Threats:
Coyote
Dll_sideloading_technique
Donut
Victims:
Banking institutions users
Industry:
Financial
Geo:
Brazil, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001
IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7
Soft:
NuGet, node.js, Chrome
Algorithms:
base64, aes, md5
Languages:
delphi, javascript, python
Platforms:
cross-platform
Links:
08-02-2024
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
https://securelist.com/coyote-multi-stage-banking-trojan/111846
Report completeness: Medium
Threats:
Coyote
Dll_sideloading_technique
Donut
Victims:
Banking institutions users
Industry:
Financial
Geo:
Brazil, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001
IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7
Soft:
NuGet, node.js, Chrome
Algorithms:
base64, aes, md5
Languages:
delphi, javascript, python
Platforms:
cross-platform
Links:
https://github.com/Squirrel/Squirrel.WindowsSecurelist
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
We will delve into the workings of the infection chain and explore the capabilities of the new Trojan that specifically targets users of more than 60 banking institutions, mainly from Brazil.
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Coyote: A multi-stage banking Trojan abusing the Squirrel installer https://securelist.com/coyote-multi-stage-banking-trojan/111846 Report completeness: Medium Threats: Coyote Dll_sideloading_technique Donut…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового банковского троянца под названием Coyote, нацеленного на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения, включающую такие технологии, как Squirrel installer, NodeJS и язык программирования Nim, для сокрытия своего загрузчика, копирования и запуска исполняемых файлов, сохранения с помощью сценариев входа в Windows и кражи информации из банковских приложений. Coyote взаимодействует с сервером управления, используя SSL-каналы для вредоносных действий, таких как кейлоггинг и создание скриншотов, демонстрируя растущую сложность киберугроз в наше время.
-----
Была обнаружена новая банковская троянская программа под названием Coyote, нацеленная на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения с использованием таких технологий, как Squirrel installer, NodeJS и язык программирования Nim. Coyote скрывает свой загрузчик как средство обновления через Squirrel, а затем выполняет запутанный код JavaScript для копирования и запуска исполняемых файлов. Использование Nim для загрузки заключительного этапа.Исполняемый файл NET усложняет конструкцию трояна. Coyote упорствует, злоупотребляя сценариями входа в систему Windows и отслеживая банковские приложения для кражи информации. Он взаимодействует с сервером управления, используя SSL-каналы для таких действий, как регистрация ключей и создание скриншотов. Растущая изощренность Coyote демонстрирует, как участники угроз адаптируют современные технологии в своих вредоносных кампаниях, знаменуя собой переход от старых банковских троянов, основанных на языках.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового банковского троянца под названием Coyote, нацеленного на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения, включающую такие технологии, как Squirrel installer, NodeJS и язык программирования Nim, для сокрытия своего загрузчика, копирования и запуска исполняемых файлов, сохранения с помощью сценариев входа в Windows и кражи информации из банковских приложений. Coyote взаимодействует с сервером управления, используя SSL-каналы для вредоносных действий, таких как кейлоггинг и создание скриншотов, демонстрируя растущую сложность киберугроз в наше время.
-----
Была обнаружена новая банковская троянская программа под названием Coyote, нацеленная на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения с использованием таких технологий, как Squirrel installer, NodeJS и язык программирования Nim. Coyote скрывает свой загрузчик как средство обновления через Squirrel, а затем выполняет запутанный код JavaScript для копирования и запуска исполняемых файлов. Использование Nim для загрузки заключительного этапа.Исполняемый файл NET усложняет конструкцию трояна. Coyote упорствует, злоупотребляя сценариями входа в систему Windows и отслеживая банковские приложения для кражи информации. Он взаимодействует с сервером управления, используя SSL-каналы для таких действий, как регистрация ключей и создание скриншотов. Растущая изощренность Coyote демонстрирует, как участники угроз адаптируют современные технологии в своих вредоносных кампаниях, знаменуя собой переход от старых банковских троянов, основанных на языках.
#ParsedReport #CompletenessLow
08-02-2024
MoqHao evolution: New variants start automatically right after installation
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation
Report completeness: Low
Actors/Campaigns:
Roaming_mantis
Threats:
Moqhao
Dexter
Geo:
India, Korea, Germany, Japan, Japanese, France, Asian, Korean
ChatGPT TTPs:
T1566, T1475, T1575, T1402, T1027, T1507, T1192, T1071
IOCs:
Hash: 6
Soft:
Android, Chrome
Algorithms:
exhibit
08-02-2024
MoqHao evolution: New variants start automatically right after installation
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation
Report completeness: Low
Actors/Campaigns:
Roaming_mantis
Threats:
Moqhao
Dexter
Geo:
India, Korea, Germany, Japan, Japanese, France, Asian, Korean
ChatGPT TTPs:
do not use without manual checkT1566, T1475, T1575, T1402, T1027, T1507, T1192, T1071
IOCs:
Hash: 6
Soft:
Android, Chrome
Algorithms:
exhibit
McAfee Blog
MoqHao evolution: New variants start automatically right after installation | McAfee Blog
Authored by Dexter Shin MoqHao is a well-known Android malware family associated with the Roaming Mantis threat actor group first discovered in 2015.