CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 ZLoader Now Targets 64-bit Systems: Analyze The New Version in ANY.RUN https://any.run/cybersecurity-blog/new-zloader-campaign Report completeness: Low Threats: Z_loader Junk_code_technique Zeus Industry: Financial…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----
Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый вариант ZLoader с расширенными возможностями, такими как нежелательный код и запутывание строк, чтобы избежать анализа. Эта вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader продолжает представлять значительную угрозу, потенциально приводя к атакам программ-вымогателей. Для устранения этой угрозы компаниям рекомендуется обновить свои системы безопасности, используя индикаторы компрометации, извлеченные из вредоносного ПО, с использованием таких инструментов, как интерактивная песочница ANY.RUN.
-----
Был обнаружен новый вариант ZLoader, в версиях 2.1.6.0 и 2.1.7.0 представлены новые возможности, такие как нежелательный код и запутывание строк, чтобы избежать анализа. Вредоносная программа шифрует свою конфигурацию с помощью шифрования RC4 и использует обновленный алгоритм генерации домена для связи. Несмотря на предыдущие сбои, ZLoader остается серьезной угрозой, потенциально приводящей к атакам программ-вымогателей. Чтобы бороться с этой угрозой, компаниям следует обновить свои системы безопасности индикаторами компрометации (IOCS), извлеченными из вредоносного ПО с помощью таких инструментов, как интерактивная песочница ANY.RUN.
#ParsedReport #CompletenessHigh
07-02-2024
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Report completeness: High
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool
Industry:
Energy, Transport, Military, Ics
Geo:
Guam, China, Australian, Canadian, Canada
CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)
TTPs:
Tactics: 13
Technics: 67
IOCs:
File: 16
Path: 12
Hash: 4
Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...
Algorithms:
zip, aes, sha256, md5, exhibit, ecc
Languages:
python, powershell
Links:
07-02-2024
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Report completeness: High
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Lolbin_technique
Blackcat
Playcrypt
Vssadmin_tool
Credential_dumping_technique
Kv-botnet
Minidump_tool
Scanline_tool
Upx_tool
Ntdsutil_tool
Putty_tool
Mimikatz_tool
Impacket_tool
Nltest_tool
Netstat_tool
Wevtutil_tool
Taskkill
Passthehash_technique
Portproxy_tool
Frpc_tool
Industry:
Energy, Transport, Military, Ics
Geo:
Guam, China, Australian, Canadian, Canada
CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)
TTPs:
Tactics: 13
Technics: 67
IOCs:
File: 16
Path: 12
Hash: 4
Soft:
Active Directory, Ivanti, Local Security Authority, Google Chrome, Windows PowerShell, Chrome, PSExec, Windows Terminal, Remote Desktop Services, Windows Security, have more...
Algorithms:
zip, aes, sha256, md5, exhibit, ecc
Languages:
python, powershell
Links:
https://github.com/sandialabs/gaithttps://github.com/cisagov/ScubaGearhttps://github.com/cisagov/Decider/https://github.com/fatedier/frp
CTT Report Hub
#ParsedReport #CompletenessHigh 07-02-2024 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----
В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----
В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
#ParsedReport #CompletenessLow
08-02-2024
Securonix Threat Labs Monthly Intelligence Insights January 2024
https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024
Report completeness: Low
Actors/Campaigns:
Ta444
Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln
Victims:
Boeing
Industry:
Ics, Aerospace
Geo:
Chinese, Korean
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...
IOCs:
File: 6
Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office
Wallets:
bitcoincore
Algorithms:
zip
Languages:
python
Platforms:
apple
08-02-2024
Securonix Threat Labs Monthly Intelligence Insights January 2024
https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024
Report completeness: Low
Actors/Campaigns:
Ta444
Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln
Victims:
Boeing
Industry:
Ics, Aerospace
Geo:
Chinese, Korean
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...
IOCs:
File: 6
Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office
Wallets:
bitcoincore
Algorithms:
zip
Languages:
python
Platforms:
apple
Securonix
Securonix Threat Labs Monthly Intelligence Insights – January 2024
Securonix Threat Labs Monthly Intelligence Insights January 2024 provides a summary of top threats curated, monitored, and analyzed by Securonix Threat Labs.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Securonix Threat Labs Monthly Intelligence Insights January 2024 https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024 Report completeness: Low Actors/Campaigns: Ta444…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----
В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----
В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
#ParsedReport #CompletenessMedium
08-02-2024
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
https://securelist.com/coyote-multi-stage-banking-trojan/111846
Report completeness: Medium
Threats:
Coyote
Dll_sideloading_technique
Donut
Victims:
Banking institutions users
Industry:
Financial
Geo:
Brazil, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001
IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7
Soft:
NuGet, node.js, Chrome
Algorithms:
base64, aes, md5
Languages:
delphi, javascript, python
Platforms:
cross-platform
Links:
08-02-2024
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
https://securelist.com/coyote-multi-stage-banking-trojan/111846
Report completeness: Medium
Threats:
Coyote
Dll_sideloading_technique
Donut
Victims:
Banking institutions users
Industry:
Financial
Geo:
Brazil, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001
IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7
Soft:
NuGet, node.js, Chrome
Algorithms:
base64, aes, md5
Languages:
delphi, javascript, python
Platforms:
cross-platform
Links:
https://github.com/Squirrel/Squirrel.WindowsSecurelist
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
We will delve into the workings of the infection chain and explore the capabilities of the new Trojan that specifically targets users of more than 60 banking institutions, mainly from Brazil.
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Coyote: A multi-stage banking Trojan abusing the Squirrel installer https://securelist.com/coyote-multi-stage-banking-trojan/111846 Report completeness: Medium Threats: Coyote Dll_sideloading_technique Donut…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового банковского троянца под названием Coyote, нацеленного на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения, включающую такие технологии, как Squirrel installer, NodeJS и язык программирования Nim, для сокрытия своего загрузчика, копирования и запуска исполняемых файлов, сохранения с помощью сценариев входа в Windows и кражи информации из банковских приложений. Coyote взаимодействует с сервером управления, используя SSL-каналы для вредоносных действий, таких как кейлоггинг и создание скриншотов, демонстрируя растущую сложность киберугроз в наше время.
-----
Была обнаружена новая банковская троянская программа под названием Coyote, нацеленная на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения с использованием таких технологий, как Squirrel installer, NodeJS и язык программирования Nim. Coyote скрывает свой загрузчик как средство обновления через Squirrel, а затем выполняет запутанный код JavaScript для копирования и запуска исполняемых файлов. Использование Nim для загрузки заключительного этапа.Исполняемый файл NET усложняет конструкцию трояна. Coyote упорствует, злоупотребляя сценариями входа в систему Windows и отслеживая банковские приложения для кражи информации. Он взаимодействует с сервером управления, используя SSL-каналы для таких действий, как регистрация ключей и создание скриншотов. Растущая изощренность Coyote демонстрирует, как участники угроз адаптируют современные технологии в своих вредоносных кампаниях, знаменуя собой переход от старых банковских троянов, основанных на языках.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового банковского троянца под названием Coyote, нацеленного на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения, включающую такие технологии, как Squirrel installer, NodeJS и язык программирования Nim, для сокрытия своего загрузчика, копирования и запуска исполняемых файлов, сохранения с помощью сценариев входа в Windows и кражи информации из банковских приложений. Coyote взаимодействует с сервером управления, используя SSL-каналы для вредоносных действий, таких как кейлоггинг и создание скриншотов, демонстрируя растущую сложность киберугроз в наше время.
-----
Была обнаружена новая банковская троянская программа под названием Coyote, нацеленная на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения с использованием таких технологий, как Squirrel installer, NodeJS и язык программирования Nim. Coyote скрывает свой загрузчик как средство обновления через Squirrel, а затем выполняет запутанный код JavaScript для копирования и запуска исполняемых файлов. Использование Nim для загрузки заключительного этапа.Исполняемый файл NET усложняет конструкцию трояна. Coyote упорствует, злоупотребляя сценариями входа в систему Windows и отслеживая банковские приложения для кражи информации. Он взаимодействует с сервером управления, используя SSL-каналы для таких действий, как регистрация ключей и создание скриншотов. Растущая изощренность Coyote демонстрирует, как участники угроз адаптируют современные технологии в своих вредоносных кампаниях, знаменуя собой переход от старых банковских троянов, основанных на языках.
#ParsedReport #CompletenessLow
08-02-2024
MoqHao evolution: New variants start automatically right after installation
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation
Report completeness: Low
Actors/Campaigns:
Roaming_mantis
Threats:
Moqhao
Dexter
Geo:
India, Korea, Germany, Japan, Japanese, France, Asian, Korean
ChatGPT TTPs:
T1566, T1475, T1575, T1402, T1027, T1507, T1192, T1071
IOCs:
Hash: 6
Soft:
Android, Chrome
Algorithms:
exhibit
08-02-2024
MoqHao evolution: New variants start automatically right after installation
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation
Report completeness: Low
Actors/Campaigns:
Roaming_mantis
Threats:
Moqhao
Dexter
Geo:
India, Korea, Germany, Japan, Japanese, France, Asian, Korean
ChatGPT TTPs:
do not use without manual checkT1566, T1475, T1575, T1402, T1027, T1507, T1192, T1071
IOCs:
Hash: 6
Soft:
Android, Chrome
Algorithms:
exhibit
McAfee Blog
MoqHao evolution: New variants start automatically right after installation | McAfee Blog
Authored by Dexter Shin MoqHao is a well-known Android malware family associated with the Roaming Mantis threat actor group first discovered in 2015.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 MoqHao evolution: New variants start automatically right after installation https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Вредоносная программа MoqHao для Android, связанная с Roaming Mantis group, разработала новый вариант, который автономно запускается при установке, обманывая систему. Она распространяется через SMS с вредоносными ссылками и имитирует законные приложения, чтобы обмануть пользователей. Этот вариант нацелен на несколько стран и устанавливает соединение с сервером управления для удаленного контроля. Google и программное обеспечение для обеспечения безопасности, такое как McAfee, работают над устранением этой угрозы.
-----
Семейство вредоносных программ MoqHao для Android, относящихся к группе Roaming Mantis threat actor group, пополнилось новым вариантом, который не требует ручного запуска после установки. Этот вариант распространяется через SMS-сообщения, содержащие вредоносные ссылки, и использует службы сокращения URL-адресов, чтобы избежать обнаружения. После установки этот новый вариант автоматически запускается без взаимодействия с пользователем, используя уникальное значение в системе Android, чтобы заставить приложение работать при установке. Вредоносная программа использует методы социальной инженерии, чтобы выглядеть как законные приложения, такие как Chrome, и устанавливает себя в качестве SMS-приложения по умолчанию. Он также нацелен на несколько стран за пределами Азии, включая Японию, Южную Корею, Францию, Германию и Индию. Кроме того, вредоносная программа устанавливает соединение с сервером командования и контроля (C2) через WebSocket для удаленного управления. Google была уведомлена об этом методе автоматического выполнения, и предпринимаются шаги для устранения подобных угроз в будущих версиях Android. Пользователям рекомендуется полагаться на Google Play Protect для обнаружения и блокировки вредоносных приложений, в то время как служба мобильной безопасности McAfee обнаруживает эту угрозу как Android/MoqHao.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Вредоносная программа MoqHao для Android, связанная с Roaming Mantis group, разработала новый вариант, который автономно запускается при установке, обманывая систему. Она распространяется через SMS с вредоносными ссылками и имитирует законные приложения, чтобы обмануть пользователей. Этот вариант нацелен на несколько стран и устанавливает соединение с сервером управления для удаленного контроля. Google и программное обеспечение для обеспечения безопасности, такое как McAfee, работают над устранением этой угрозы.
-----
Семейство вредоносных программ MoqHao для Android, относящихся к группе Roaming Mantis threat actor group, пополнилось новым вариантом, который не требует ручного запуска после установки. Этот вариант распространяется через SMS-сообщения, содержащие вредоносные ссылки, и использует службы сокращения URL-адресов, чтобы избежать обнаружения. После установки этот новый вариант автоматически запускается без взаимодействия с пользователем, используя уникальное значение в системе Android, чтобы заставить приложение работать при установке. Вредоносная программа использует методы социальной инженерии, чтобы выглядеть как законные приложения, такие как Chrome, и устанавливает себя в качестве SMS-приложения по умолчанию. Он также нацелен на несколько стран за пределами Азии, включая Японию, Южную Корею, Францию, Германию и Индию. Кроме того, вредоносная программа устанавливает соединение с сервером командования и контроля (C2) через WebSocket для удаленного управления. Google была уведомлена об этом методе автоматического выполнения, и предпринимаются шаги для устранения подобных угроз в будущих версиях Android. Пользователям рекомендуется полагаться на Google Play Protect для обнаружения и блокировки вредоносных приложений, в то время как служба мобильной безопасности McAfee обнаруживает эту угрозу как Android/MoqHao.
Forwarded from Китай — Вавилов
Крупные языковые модели ИИ, разработанные китайскими техкомпаниями, все еще отстают от GPT-4 Turbo американской Open AI в области сложных рассуждений, но конкурентоспособны с точки зрения базы знаний и языковых возможностей, особенно на китайском
Китайские чат-боты, такие как GLM-4 от Zhipu AI, Qwen-Max от Alibaba Group Holding и Ernie Bot 4.0 от Baidu, показали результаты чуть ниже GPT-4 Turbo в масштабной оценке модели ИИ, проведенной Шанхайской лабораторией искусственного интеллекта. Но даже GPT-4 Turbo набрал всего 61,8 балла из 100, что указывает на то, что чат-ботам есть куда совершенствоваться.
Шанхайская лаборатория ИИ впервые запустила OpenCompass в июле прошлого года, это один из четырех крупных инструментов оценки моделей искусственного интеллекта. Yicai Global
Китайские чат-боты, такие как GLM-4 от Zhipu AI, Qwen-Max от Alibaba Group Holding и Ernie Bot 4.0 от Baidu, показали результаты чуть ниже GPT-4 Turbo в масштабной оценке модели ИИ, проведенной Шанхайской лабораторией искусственного интеллекта. Но даже GPT-4 Turbo набрал всего 61,8 балла из 100, что указывает на то, что чат-ботам есть куда совершенствоваться.
Шанхайская лаборатория ИИ впервые запустила OpenCompass в июле прошлого года, это один из четырех крупных инструментов оценки моделей искусственного интеллекта. Yicai Global
#ParsedReport #CompletenessLow
08-02-2024
Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics
https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024
Report completeness: Low
Threats:
Psoa_actor
Hack-for-hire
Ars_loader
Pykspa
Kmsauto_tool
Victims:
Fortune 500 tech companies, Islamic charitable non-profit organization
Industry:
Government, Retail
Geo:
France
CVEs:
CVE-2024-23222 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple ipados (<16.7.5, <17.3)
- apple iphone os (<16.7.5, <17.3)
- apple macos (<12.7.3, <13.6.4, <14.3)
- apple safari (<17.3)
- apple tvos (<17.3)
have more...
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1588, T1589, T1595, T1203, T1071, T1110, T1552, T1105, T1070, T1027, have more...
IOCs:
Email: 1
Hash: 10
File: 5
Soft:
Instagram, Ivanti, Internet Explorer, Kmsauto
Algorithms:
md5
Platforms:
apple, x86
08-02-2024
Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics
https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024
Report completeness: Low
Threats:
Psoa_actor
Hack-for-hire
Ars_loader
Pykspa
Kmsauto_tool
Victims:
Fortune 500 tech companies, Islamic charitable non-profit organization
Industry:
Government, Retail
Geo:
France
CVEs:
CVE-2024-23222 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple ipados (<16.7.5, <17.3)
- apple iphone os (<16.7.5, <17.3)
- apple macos (<12.7.3, <13.6.4, <14.3)
- apple safari (<17.3)
- apple tvos (<17.3)
have more...
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1588, T1589, T1595, T1203, T1071, T1110, T1552, T1105, T1070, T1027, have more...
IOCs:
Email: 1
Hash: 10
File: 5
Soft:
Instagram, Ivanti, Internet Explorer, Kmsauto
Algorithms:
md5
Platforms:
apple, x86
Cisco Talos
Spyware isn’t going anywhere, and neither are its tactics
For their part, the U.S. did roll out new restrictions on the visas of any foreign individuals who misuse commercial spyware.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024 Report completeness: Low Threats: Psoa_actor Hack-for-hire Ars_loader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наращивании усилий по борьбе с использованием программ-шпионов и групп наемников посредством действий правительства, международного сотрудничества и обновлений безопасности от технологических компаний для устранения глобальных угроз, создаваемых программами-шпионами и шпионскими кампаниями.
-----
В последнее время активизировались усилия по борьбе с использованием программ-шпионов и групп наемников: правительство США принимает меры против пользователей программ-шпионов, а крупные технологические компании призывают международные правительства делать больше. Программы-шпионы представляют глобальную угрозу, позволяя отслеживать, красть данные и прослушивать телефонные звонки. Злоумышленники из частного сектора (PSOA) разрабатывают и продают шпионские программы без учета мотивов. Технологические компании США, Великобритании, Франции и списка Fortune 500 подписали соглашение об ограничении использования шпионских программ во всем мире. Однако остаются проблемы в борьбе с глубоким проникновением шпионских программ в систему безопасности. Google сообщила, что в 2023 году коммерческие поставщики шпионских программ использовали множество уязвимостей нулевого дня. Шпионское ПО широко распространено даже на таких популярных платформах, как Instagram и Facebook, а некоторые группы наемников внедряют шпионское ПО в онлайн-рекламу. Борьба со шпионским ПО требует международных усилий государственного и частного секторов и улучшения взаимодействия между организациями. Тем временем активно используются уязвимости программного обеспечения VPN Ivanti, что требует срочного исправления, рекомендованного Агентством США по кибербезопасности и инфраструктурной безопасности. Apple устранила проблему безопасности в своей гарнитуре Apple Vision Pro, выпустив обновление для системы безопасности, исправляющее уязвимость WebKit. Кроме того, Cisco Talos раскрыла скрытую шпионскую кампанию, направленную против исламской некоммерческой организации с использованием пользовательского бэкдора под названием Zardoor. Talos опубликовала подписи и правила для защиты от Zardoor.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наращивании усилий по борьбе с использованием программ-шпионов и групп наемников посредством действий правительства, международного сотрудничества и обновлений безопасности от технологических компаний для устранения глобальных угроз, создаваемых программами-шпионами и шпионскими кампаниями.
-----
В последнее время активизировались усилия по борьбе с использованием программ-шпионов и групп наемников: правительство США принимает меры против пользователей программ-шпионов, а крупные технологические компании призывают международные правительства делать больше. Программы-шпионы представляют глобальную угрозу, позволяя отслеживать, красть данные и прослушивать телефонные звонки. Злоумышленники из частного сектора (PSOA) разрабатывают и продают шпионские программы без учета мотивов. Технологические компании США, Великобритании, Франции и списка Fortune 500 подписали соглашение об ограничении использования шпионских программ во всем мире. Однако остаются проблемы в борьбе с глубоким проникновением шпионских программ в систему безопасности. Google сообщила, что в 2023 году коммерческие поставщики шпионских программ использовали множество уязвимостей нулевого дня. Шпионское ПО широко распространено даже на таких популярных платформах, как Instagram и Facebook, а некоторые группы наемников внедряют шпионское ПО в онлайн-рекламу. Борьба со шпионским ПО требует международных усилий государственного и частного секторов и улучшения взаимодействия между организациями. Тем временем активно используются уязвимости программного обеспечения VPN Ivanti, что требует срочного исправления, рекомендованного Агентством США по кибербезопасности и инфраструктурной безопасности. Apple устранила проблему безопасности в своей гарнитуре Apple Vision Pro, выпустив обновление для системы безопасности, исправляющее уязвимость WebKit. Кроме того, Cisco Talos раскрыла скрытую шпионскую кампанию, направленную против исламской некоммерческой организации с использованием пользовательского бэкдора под названием Zardoor. Talos опубликовала подписи и правила для защиты от Zardoor.
#ParsedReport #CompletenessLow
09-02-2024
Coinminer on a Vulnerable Tomcat Server
https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server
Report completeness: Low
Geo:
Emea, America, Africa, Apac
ChatGPT TTPs:
T1059.004, T1053.005, T1105, T1070.004, T1190, T1496
IOCs:
IP: 1
Hash: 1
File: 1
Domain: 1
Coin: 1
Soft:
Unix, curl, crontab
Crypto:
bitcoin
Algorithms:
md5, ghostrider
Platforms:
amd64
09-02-2024
Coinminer on a Vulnerable Tomcat Server
https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server
Report completeness: Low
Geo:
Emea, America, Africa, Apac
ChatGPT TTPs:
do not use without manual checkT1059.004, T1053.005, T1105, T1070.004, T1190, T1496
IOCs:
IP: 1
Hash: 1
File: 1
Domain: 1
Coin: 1
Soft:
Unix, curl, crontab
Crypto:
bitcoin
Algorithms:
md5, ghostrider
Platforms:
amd64
eSentire
Coinminer on a Vulnerable Tomcat Server
Learn more about a recent cryptojacking incident on a vulnerable Apache Tomcat server and get security recommendations from our Threat Response Unit (TRU)…