CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Unmasking the Dot Stealer https://labs.k7computing.com/index.php/unmasking-the-dot-stealer Report completeness: Low Threats: Dot-stealer ChatGPT TTPs: do not use without manual check T1059, T1562.001, T1027, T1533…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----

В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
#ParsedReport #CompletenessLow
08-02-2024

The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker

https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker

Report completeness: Low

Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt

Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574

IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4

Soft:
Docker, curl, sudo, Unix, systemd, alpine

Algorithms:
base64, exhibit

Links:
https://github.com/creaktive/tsh
https://github.com/lukaszlach/commando
https://github.com/cado-security
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание новой кампании по криптоджекингу под названием Commando Cat, которая использует Docker для первоначального доступа. Кампания включает в себя внедрение различных сложных методов, нацеливание на учетные данные поставщика облачных услуг и использование нескольких полезных нагрузок для создания персистентности, извлечения учетных данных и выполнения операций по добыче криптовалюты. Вредоносная программа направлена на то, чтобы избежать обнаружения с помощью использования ключа шифрования, и включает в себя пользовательский форк XMRig для майнинга, имеющий сходство с тактикой, используемой известной группой исполнителей угроз TeamTNT.
-----

Commando Cat - это новая кампания криптоджекинга, которая использует Docker для первоначального доступа. Злоумышленник развертывает безопасный контейнер с помощью проекта Commando, выходит из контейнера и запускает несколько полезных нагрузок на хосте Docker. Кампания нацелена на учетные данные поставщиков облачных услуг, таких как AWS, GCP и Azure, с использованием различных сложных методов, включая механизм сокрытия процессов и черную дыру в реестре Docker. Вредоносная программа, распространяемая по IP 45.9.148.193, направлена на создание персистентности, включение бэкдоров, извлечение учетных данных и запуск майнера. Она включает в себя такие полезные приложения, как user.sh, TinyShell и gs-netcat, с тактикой уклонения и использованием ключа шифрования. Вредоносная программа развертывает пользовательский форк XMRig для майнинга криптовалют, удаляя конкурирующих майнеров в системе. Кампания сложная, с избыточностью и методами уклонения, затрудняющими обнаружение, демонстрирующими сходство со сценариями, используемыми TeamTNT, потенциально группой подражателей, основанной на их работе.
#ParsedReport #CompletenessLow
08-02-2024

ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN

https://any.run/cybersecurity-blog/new-zloader-campaign

Report completeness: Low

Threats:
Z_loader
Junk_code_technique
Zeus

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1568.002, T1090, T1583.001, T1566, T1193

IOCs:
IP: 2

Algorithms:
rc4
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN https://any.run/cybersecurity-blog/new-zloader-campaign Report completeness: Low Threats: Z_loader Junk_code_technique Zeus Industry: Financial…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----

Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
#ParsedReport #CompletenessHigh
07-02-2024

PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

Report completeness: High

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool

Industry:
Energy, Transport, Military, Ics

Geo:
Guam, China, Australian, Canadian, Canada

CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)


TTPs:
Tactics: 13
Technics: 67

IOCs:
File: 16
Path: 12
Hash: 4

Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...

Algorithms:
zip, aes, sha256, md5, exhibit, ecc

Languages:
python, powershell

Links:
https://github.com/sandialabs/gait
https://github.com/cisagov/ScubaGear
https://github.com/cisagov/Decider/
https://github.com/fatedier/frp
CTT Report Hub
#ParsedReport #CompletenessHigh 07-02-2024 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----

В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
#ParsedReport #CompletenessLow
08-02-2024

Securonix Threat Labs Monthly Intelligence Insights January 2024

https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024

Report completeness: Low

Actors/Campaigns:
Ta444

Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln

Victims:
Boeing

Industry:
Ics, Aerospace

Geo:
Chinese, Korean

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...

IOCs:
File: 6

Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office

Wallets:
bitcoincore

Algorithms:
zip

Languages:
python

Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Securonix Threat Labs Monthly Intelligence Insights January 2024 https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024 Report completeness: Low Actors/Campaigns: Ta444…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----

В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
#ParsedReport #CompletenessMedium
08-02-2024

Coyote: A multi-stage banking Trojan abusing the Squirrel installer

https://securelist.com/coyote-multi-stage-banking-trojan/111846

Report completeness: Medium

Threats:
Coyote
Dll_sideloading_technique
Donut

Victims:
Banking institutions users

Industry:
Financial

Geo:
Brazil, Brazilian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001

IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7

Soft:
NuGet, node.js, Chrome

Algorithms:
base64, aes, md5

Languages:
delphi, javascript, python

Platforms:
cross-platform

Links:
https://github.com/Squirrel/Squirrel.Windows
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Coyote: A multi-stage banking Trojan abusing the Squirrel installer https://securelist.com/coyote-multi-stage-banking-trojan/111846 Report completeness: Medium Threats: Coyote Dll_sideloading_technique Donut…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового банковского троянца под названием Coyote, нацеленного на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения, включающую такие технологии, как Squirrel installer, NodeJS и язык программирования Nim, для сокрытия своего загрузчика, копирования и запуска исполняемых файлов, сохранения с помощью сценариев входа в Windows и кражи информации из банковских приложений. Coyote взаимодействует с сервером управления, используя SSL-каналы для вредоносных действий, таких как кейлоггинг и создание скриншотов, демонстрируя растущую сложность киберугроз в наше время.
-----

Была обнаружена новая банковская троянская программа под названием Coyote, нацеленная на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения с использованием таких технологий, как Squirrel installer, NodeJS и язык программирования Nim. Coyote скрывает свой загрузчик как средство обновления через Squirrel, а затем выполняет запутанный код JavaScript для копирования и запуска исполняемых файлов. Использование Nim для загрузки заключительного этапа.Исполняемый файл NET усложняет конструкцию трояна. Coyote упорствует, злоупотребляя сценариями входа в систему Windows и отслеживая банковские приложения для кражи информации. Он взаимодействует с сервером управления, используя SSL-каналы для таких действий, как регистрация ключей и создание скриншотов. Растущая изощренность Coyote демонстрирует, как участники угроз адаптируют современные технологии в своих вредоносных кампаниях, знаменуя собой переход от старых банковских троянов, основанных на языках.
#ParsedReport #CompletenessLow
08-02-2024

MoqHao evolution: New variants start automatically right after installation

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation

Report completeness: Low

Actors/Campaigns:
Roaming_mantis

Threats:
Moqhao
Dexter

Geo:
India, Korea, Germany, Japan, Japanese, France, Asian, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1475, T1575, T1402, T1027, T1507, T1192, T1071

IOCs:
Hash: 6

Soft:
Android, Chrome

Algorithms:
exhibit