CTT Report Hub
3.39K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessHigh 07-02-2024 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается киберугроза, исходящая от спонсируемой государством группировки Volt Typhoon, которая нацелена на критически важную инфраструктуру в США и других регионах с помощью разведки, использования уязвимостей и методов "жизни за пределами земли". Стратегии и рекомендации по смягчению последствий сосредоточены на исправлениях, многофакторной аутентификации, методах ведения журнала и отраслевых стандартах облачной безопасности, с подробным руководством по мерам защиты от действий и тактики Volt Typhoon.
-----

В тексте основное внимание уделяется киберугрозе, исходящей от спонсируемой государством группы Volt Typhoon, связанной с Китаем, нацеленной на критически важную инфраструктуру в США и других странах. Группа проводит обширную предварительную разведку и использует уязвимости в сетевых устройствах и общедоступных системах для первоначального доступа. Они используют автономные методы извлечения данных и сохранения их в скомпрометированных сетях, стремясь получить доступ к операционным технологическим активам. Стратегии смягчения последствий включают исправление, надежную многофакторную аутентификацию, методы ведения журнала и следование отраслевым стандартам облачной безопасности. В рекомендациях особое внимание уделяется исправлению уязвимостей, внедрению MFA, аудиту учетных записей и мониторингу несанкционированных действий. Руководство включает включение ведения журнала, мониторинг целостности файлов, хранение SIEM, обнаружение аномалий, обучение кибербезопасности, обучение безопасности паролей, сетевые политики OT, сегментацию из IT, проверки целостности и конкретные команды PowerShell, связанные с действиями и тактикой Volt Typhoon. В тексте подробно описывается поведение, тактика Volt Typhoon, методы утечки данных, использование инструментов, тактика обхода системы безопасности, таргетинг веб-браузеров и кража учетных данных, что дает представление об их возможностях.
#ParsedReport #CompletenessLow
08-02-2024

Securonix Threat Labs Monthly Intelligence Insights January 2024

https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024

Report completeness: Low

Actors/Campaigns:
Ta444

Threats:
Lockbit
Spectralblur
Kandykorn
Amos_stealer
Meta_stealer
Realst
Zuru
Keysteal
Androxgh0st
Alienfox
Greenbot_tool
Legion
Follina_vuln

Victims:
Boeing

Industry:
Ics, Aerospace

Geo:
Chinese, Korean

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1566, T1547, T1059, T1555, T1027, T1071, T1211, T1550, T1190, T1068, have more...

IOCs:
File: 6

Soft:
macOS, Ivanti, ChatGPT, Laravel, SendGrid, Microsoft Office 365, Microsoft Office

Wallets:
bitcoincore

Algorithms:
zip

Languages:
python

Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Securonix Threat Labs Monthly Intelligence Insights January 2024 https://www.securonix.com/blog/securonix-threat-labs-monthly-intelligence-insights-january-2024 Report completeness: Low Actors/Campaigns: Ta444…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Threat Labs провела анализ растущих киберугроз macOS, использования защищенного VPN Ivanti Connect, активных вредоносных кампаний и атаки программ-вымогателей на Boeing. В нем также обсуждаются выводы Securonix Autonomous Threat Sweeper, включая идентификацию и анализ многочисленных угроз, возникающих угроз, потенциальных угроз и инцидентов с повышенной опасностью. В тексте подчеркивается рост активности вредоносных программ для macOS, конкретные угрозы, нацеленные на системы macOS, новый тип вредоносного ПО для macOS, использование уязвимостей нулевого дня в Ivanti Connect Secure VPN, предупреждения о вредоносном ПО AndroxGh0st и подробности атаки программы-вымогателя LockBit на Boeing. Кроме того, предоставляются рекомендации по мониторингу и обнаружению угроз, связанных с различными киберугрозами.
-----

В январе 2024 года Threat Labs проанализировала растущие киберугрозы macOS, использование Ivanti Connect Secure VPN, активные вредоносные кампании и атаку программ-вымогателей на Boeing. Securonix Autonomous Threat Sweeper выявил и проанализировал многочисленные угрозы, в том числе 3728 TTP и IOC, 121 возникающую угрозу, исследовал 87 потенциальных угроз и выявил 18 инцидентов с угрозами повышенной опасности. Примечательно, что активность вредоносных программ для macOS растет, а такие угрозы, как SpectralBlur и infostealers, нацелены на системы macOS. Кроме того, в отчете был выделен новый тип вредоносных программ для macOS, по-разному компрометирующих компьютеры. Также была выявлена атака злоумышленников, использующих уязвимости нулевого дня в устройстве Ivanti Connect Secure VPN, что побудило к выдаче рекомендаций по безопасности. Кроме того, CISA предупредила о вредоносном ПО AndroxGh0st, используемом для создания ботнетов в целевых сетях. Наконец, были предоставлены подробности атаки программы-вымогателя LockBit на Boeing с указанием претензий хакера и его действий после отказа Boeing выплатить выкуп. Текст содержит руководство по мониторингу и обнаружению угроз, связанных с различными обсуждаемыми киберугрозами.
#ParsedReport #CompletenessMedium
08-02-2024

Coyote: A multi-stage banking Trojan abusing the Squirrel installer

https://securelist.com/coyote-multi-stage-banking-trojan/111846

Report completeness: Medium

Threats:
Coyote
Dll_sideloading_technique
Donut

Victims:
Banking institutions users

Industry:
Financial

Geo:
Brazil, Brazilian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1055, T1574.002, T1140, T1112, T1056.001, T1143, T1071.001

IOCs:
File: 3
Registry: 1
Hash: 4
Domain: 7

Soft:
NuGet, node.js, Chrome

Algorithms:
base64, aes, md5

Languages:
delphi, javascript, python

Platforms:
cross-platform

Links:
https://github.com/Squirrel/Squirrel.Windows
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Coyote: A multi-stage banking Trojan abusing the Squirrel installer https://securelist.com/coyote-multi-stage-banking-trojan/111846 Report completeness: Medium Threats: Coyote Dll_sideloading_technique Donut…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового банковского троянца под названием Coyote, нацеленного на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения, включающую такие технологии, как Squirrel installer, NodeJS и язык программирования Nim, для сокрытия своего загрузчика, копирования и запуска исполняемых файлов, сохранения с помощью сценариев входа в Windows и кражи информации из банковских приложений. Coyote взаимодействует с сервером управления, используя SSL-каналы для вредоносных действий, таких как кейлоггинг и создание скриншотов, демонстрируя растущую сложность киберугроз в наше время.
-----

Была обнаружена новая банковская троянская программа под названием Coyote, нацеленная на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения с использованием таких технологий, как Squirrel installer, NodeJS и язык программирования Nim. Coyote скрывает свой загрузчик как средство обновления через Squirrel, а затем выполняет запутанный код JavaScript для копирования и запуска исполняемых файлов. Использование Nim для загрузки заключительного этапа.Исполняемый файл NET усложняет конструкцию трояна. Coyote упорствует, злоупотребляя сценариями входа в систему Windows и отслеживая банковские приложения для кражи информации. Он взаимодействует с сервером управления, используя SSL-каналы для таких действий, как регистрация ключей и создание скриншотов. Растущая изощренность Coyote демонстрирует, как участники угроз адаптируют современные технологии в своих вредоносных кампаниях, знаменуя собой переход от старых банковских троянов, основанных на языках.
#ParsedReport #CompletenessLow
08-02-2024

MoqHao evolution: New variants start automatically right after installation

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation

Report completeness: Low

Actors/Campaigns:
Roaming_mantis

Threats:
Moqhao
Dexter

Geo:
India, Korea, Germany, Japan, Japanese, France, Asian, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1475, T1575, T1402, T1027, T1507, T1192, T1071

IOCs:
Hash: 6

Soft:
Android, Chrome

Algorithms:
exhibit
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 MoqHao evolution: New variants start automatically right after installation https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Вредоносная программа MoqHao для Android, связанная с Roaming Mantis group, разработала новый вариант, который автономно запускается при установке, обманывая систему. Она распространяется через SMS с вредоносными ссылками и имитирует законные приложения, чтобы обмануть пользователей. Этот вариант нацелен на несколько стран и устанавливает соединение с сервером управления для удаленного контроля. Google и программное обеспечение для обеспечения безопасности, такое как McAfee, работают над устранением этой угрозы.
-----

Семейство вредоносных программ MoqHao для Android, относящихся к группе Roaming Mantis threat actor group, пополнилось новым вариантом, который не требует ручного запуска после установки. Этот вариант распространяется через SMS-сообщения, содержащие вредоносные ссылки, и использует службы сокращения URL-адресов, чтобы избежать обнаружения. После установки этот новый вариант автоматически запускается без взаимодействия с пользователем, используя уникальное значение в системе Android, чтобы заставить приложение работать при установке. Вредоносная программа использует методы социальной инженерии, чтобы выглядеть как законные приложения, такие как Chrome, и устанавливает себя в качестве SMS-приложения по умолчанию. Он также нацелен на несколько стран за пределами Азии, включая Японию, Южную Корею, Францию, Германию и Индию. Кроме того, вредоносная программа устанавливает соединение с сервером командования и контроля (C2) через WebSocket для удаленного управления. Google была уведомлена об этом методе автоматического выполнения, и предпринимаются шаги для устранения подобных угроз в будущих версиях Android. Пользователям рекомендуется полагаться на Google Play Protect для обнаружения и блокировки вредоносных приложений, в то время как служба мобильной безопасности McAfee обнаруживает эту угрозу как Android/MoqHao.
Крупные языковые модели ИИ, разработанные китайскими техкомпаниями, все еще отстают от GPT-4 Turbo американской Open AI в области сложных рассуждений, но конкурентоспособны с точки зрения базы знаний и языковых возможностей, особенно на китайском

Китайские чат-боты, такие как GLM-4 от Zhipu AI, Qwen-Max от Alibaba Group Holding и Ernie Bot 4.0 от Baidu, показали результаты чуть ниже GPT-4 Turbo в масштабной оценке модели ИИ, проведенной Шанхайской лабораторией искусственного интеллекта. Но даже GPT-4 Turbo набрал всего 61,8 балла из 100, что указывает на то, что чат-ботам есть куда совершенствоваться.

Шанхайская лаборатория ИИ впервые запустила OpenCompass в июле прошлого года, это один из четырех крупных инструментов оценки моделей искусственного интеллекта. Yicai Global
#ParsedReport #CompletenessLow
08-02-2024

Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics

https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024

Report completeness: Low

Threats:
Psoa_actor
Hack-for-hire
Ars_loader
Pykspa
Kmsauto_tool

Victims:
Fortune 500 tech companies, Islamic charitable non-profit organization

Industry:
Government, Retail

Geo:
France

CVEs:
CVE-2024-23222 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple ipados (<16.7.5, <17.3)
- apple iphone os (<16.7.5, <17.3)
- apple macos (<12.7.3, <13.6.4, <14.3)
- apple safari (<17.3)
- apple tvos (<17.3)
have more...
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1588, T1589, T1595, T1203, T1071, T1110, T1552, T1105, T1070, T1027, have more...

IOCs:
Email: 1
Hash: 10
File: 5

Soft:
Instagram, Ivanti, Internet Explorer, Kmsauto

Algorithms:
md5

Platforms:
apple, x86
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024 Report completeness: Low Threats: Psoa_actor Hack-for-hire Ars_loader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в наращивании усилий по борьбе с использованием программ-шпионов и групп наемников посредством действий правительства, международного сотрудничества и обновлений безопасности от технологических компаний для устранения глобальных угроз, создаваемых программами-шпионами и шпионскими кампаниями.
-----

В последнее время активизировались усилия по борьбе с использованием программ-шпионов и групп наемников: правительство США принимает меры против пользователей программ-шпионов, а крупные технологические компании призывают международные правительства делать больше. Программы-шпионы представляют глобальную угрозу, позволяя отслеживать, красть данные и прослушивать телефонные звонки. Злоумышленники из частного сектора (PSOA) разрабатывают и продают шпионские программы без учета мотивов. Технологические компании США, Великобритании, Франции и списка Fortune 500 подписали соглашение об ограничении использования шпионских программ во всем мире. Однако остаются проблемы в борьбе с глубоким проникновением шпионских программ в систему безопасности. Google сообщила, что в 2023 году коммерческие поставщики шпионских программ использовали множество уязвимостей нулевого дня. Шпионское ПО широко распространено даже на таких популярных платформах, как Instagram и Facebook, а некоторые группы наемников внедряют шпионское ПО в онлайн-рекламу. Борьба со шпионским ПО требует международных усилий государственного и частного секторов и улучшения взаимодействия между организациями. Тем временем активно используются уязвимости программного обеспечения VPN Ivanti, что требует срочного исправления, рекомендованного Агентством США по кибербезопасности и инфраструктурной безопасности. Apple устранила проблему безопасности в своей гарнитуре Apple Vision Pro, выпустив обновление для системы безопасности, исправляющее уязвимость WebKit. Кроме того, Cisco Talos раскрыла скрытую шпионскую кампанию, направленную против исламской некоммерческой организации с использованием пользовательского бэкдора под названием Zardoor. Talos опубликовала подписи и правила для защиты от Zardoor.
#ParsedReport #CompletenessLow
09-02-2024

Coinminer on a Vulnerable Tomcat Server

https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server

Report completeness: Low

Geo:
Emea, America, Africa, Apac

ChatGPT TTPs:
do not use without manual check
T1059.004, T1053.005, T1105, T1070.004, T1190, T1496

IOCs:
IP: 1
Hash: 1
File: 1
Domain: 1
Coin: 1

Soft:
Unix, curl, crontab

Crypto:
bitcoin

Algorithms:
md5, ghostrider

Platforms:
amd64
CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 Coinminer on a Vulnerable Tomcat Server https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server Report completeness: Low Geo: Emea, America, Africa, Apac ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о подразделении реагирования на угрозы eSentire (TRU), команде охотников за угрозами и исследователей, занимающейся повышением устойчивости организации путем поддержки операционных центров безопасности, построения моделей обнаружения и проведения глобальных проверок угроз для защиты от известных и неизвестных угроз. В тексте также освещается инцидент, связанный с вредоносным скриптом, и подчеркивается важность своевременных обновлений и мониторинга системных ресурсов на предмет необычного поведения для противодействия тактике криптоджекинга.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организации. Они поддерживают центры обеспечения безопасности в режиме 24/7, создают модели обнаружения на облачной платформе XDR и работают с клиентами над улучшением управляемых служб обнаружения и реагирования. Команда проводит глобальную проверку угроз, упреждающий поиск угроз и оригинальные исследования для защиты от известных и неизвестных угроз. Инцидент, связанный с загрузкой вредоносного скрипта с IP-адреса и выполнением через оболочку Unix, был расследован кибераналитиками SOC eSentire 24/7, подтвердив вредоносную активность. В атаке использовались незащищенные уязвимости в программном обеспечении, таком как Apache Tomcat, что подчеркивает важность своевременных обновлений. Инцидент продемонстрировал тактику криптоджекинга, продемонстрировав необходимость мониторинга системных ресурсов и сетевого трафика на предмет необычного поведения.
#ParsedReport #CompletenessMedium
09-02-2024

The Oncoming Wave of SolarMarker

https://www.esentire.com/blog/the-oncoming-wave-of-solarmarker

Report completeness: Medium

Threats:
Solarmarker
Junk_code_technique
Hvnc_tool

Geo:
Emea, America, Africa, Apac

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1204, T1573, T1059, T1082

IOCs:
File: 1
Coin: 1
Hash: 3
IP: 4

Algorithms:
aes

Languages:
powershell

Links:
https://github.com/MScholtes/PS2EXE
https://github.com/RussianPanda95/Yara-Rules/tree/main/SolarMarker