CTT Report Hub
3.4K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Coyote: A multi-stage banking Trojan abusing the Squirrel installer https://securelist.com/coyote-multi-stage-banking-trojan/111846 Report completeness: Medium Threats: Coyote Dll_sideloading_technique Donut…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового банковского троянца под названием Coyote, нацеленного на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения, включающую такие технологии, как Squirrel installer, NodeJS и язык программирования Nim, для сокрытия своего загрузчика, копирования и запуска исполняемых файлов, сохранения с помощью сценариев входа в Windows и кражи информации из банковских приложений. Coyote взаимодействует с сервером управления, используя SSL-каналы для вредоносных действий, таких как кейлоггинг и создание скриншотов, демонстрируя растущую сложность киберугроз в наше время.
-----

Была обнаружена новая банковская троянская программа под названием Coyote, нацеленная на пользователей более чем 60 банковских учреждений Бразилии. Эта вредоносная программа использует сложную цепочку заражения с использованием таких технологий, как Squirrel installer, NodeJS и язык программирования Nim. Coyote скрывает свой загрузчик как средство обновления через Squirrel, а затем выполняет запутанный код JavaScript для копирования и запуска исполняемых файлов. Использование Nim для загрузки заключительного этапа.Исполняемый файл NET усложняет конструкцию трояна. Coyote упорствует, злоупотребляя сценариями входа в систему Windows и отслеживая банковские приложения для кражи информации. Он взаимодействует с сервером управления, используя SSL-каналы для таких действий, как регистрация ключей и создание скриншотов. Растущая изощренность Coyote демонстрирует, как участники угроз адаптируют современные технологии в своих вредоносных кампаниях, знаменуя собой переход от старых банковских троянов, основанных на языках.
#ParsedReport #CompletenessLow
08-02-2024

MoqHao evolution: New variants start automatically right after installation

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation

Report completeness: Low

Actors/Campaigns:
Roaming_mantis

Threats:
Moqhao
Dexter

Geo:
India, Korea, Germany, Japan, Japanese, France, Asian, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1475, T1575, T1402, T1027, T1507, T1192, T1071

IOCs:
Hash: 6

Soft:
Android, Chrome

Algorithms:
exhibit
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 MoqHao evolution: New variants start automatically right after installation https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-evolution-new-variants-start-automatically-right-after-installation Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Вредоносная программа MoqHao для Android, связанная с Roaming Mantis group, разработала новый вариант, который автономно запускается при установке, обманывая систему. Она распространяется через SMS с вредоносными ссылками и имитирует законные приложения, чтобы обмануть пользователей. Этот вариант нацелен на несколько стран и устанавливает соединение с сервером управления для удаленного контроля. Google и программное обеспечение для обеспечения безопасности, такое как McAfee, работают над устранением этой угрозы.
-----

Семейство вредоносных программ MoqHao для Android, относящихся к группе Roaming Mantis threat actor group, пополнилось новым вариантом, который не требует ручного запуска после установки. Этот вариант распространяется через SMS-сообщения, содержащие вредоносные ссылки, и использует службы сокращения URL-адресов, чтобы избежать обнаружения. После установки этот новый вариант автоматически запускается без взаимодействия с пользователем, используя уникальное значение в системе Android, чтобы заставить приложение работать при установке. Вредоносная программа использует методы социальной инженерии, чтобы выглядеть как законные приложения, такие как Chrome, и устанавливает себя в качестве SMS-приложения по умолчанию. Он также нацелен на несколько стран за пределами Азии, включая Японию, Южную Корею, Францию, Германию и Индию. Кроме того, вредоносная программа устанавливает соединение с сервером командования и контроля (C2) через WebSocket для удаленного управления. Google была уведомлена об этом методе автоматического выполнения, и предпринимаются шаги для устранения подобных угроз в будущих версиях Android. Пользователям рекомендуется полагаться на Google Play Protect для обнаружения и блокировки вредоносных приложений, в то время как служба мобильной безопасности McAfee обнаруживает эту угрозу как Android/MoqHao.
Крупные языковые модели ИИ, разработанные китайскими техкомпаниями, все еще отстают от GPT-4 Turbo американской Open AI в области сложных рассуждений, но конкурентоспособны с точки зрения базы знаний и языковых возможностей, особенно на китайском

Китайские чат-боты, такие как GLM-4 от Zhipu AI, Qwen-Max от Alibaba Group Holding и Ernie Bot 4.0 от Baidu, показали результаты чуть ниже GPT-4 Turbo в масштабной оценке модели ИИ, проведенной Шанхайской лабораторией искусственного интеллекта. Но даже GPT-4 Turbo набрал всего 61,8 балла из 100, что указывает на то, что чат-ботам есть куда совершенствоваться.

Шанхайская лаборатория ИИ впервые запустила OpenCompass в июле прошлого года, это один из четырех крупных инструментов оценки моделей искусственного интеллекта. Yicai Global
#ParsedReport #CompletenessLow
08-02-2024

Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics

https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024

Report completeness: Low

Threats:
Psoa_actor
Hack-for-hire
Ars_loader
Pykspa
Kmsauto_tool

Victims:
Fortune 500 tech companies, Islamic charitable non-profit organization

Industry:
Government, Retail

Geo:
France

CVEs:
CVE-2024-23222 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple ipados (<16.7.5, <17.3)
- apple iphone os (<16.7.5, <17.3)
- apple macos (<12.7.3, <13.6.4, <14.3)
- apple safari (<17.3)
- apple tvos (<17.3)
have more...
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1588, T1589, T1595, T1203, T1071, T1110, T1552, T1105, T1070, T1027, have more...

IOCs:
Email: 1
Hash: 10
File: 5

Soft:
Instagram, Ivanti, Internet Explorer, Kmsauto

Algorithms:
md5

Platforms:
apple, x86
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024 Report completeness: Low Threats: Psoa_actor Hack-for-hire Ars_loader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в наращивании усилий по борьбе с использованием программ-шпионов и групп наемников посредством действий правительства, международного сотрудничества и обновлений безопасности от технологических компаний для устранения глобальных угроз, создаваемых программами-шпионами и шпионскими кампаниями.
-----

В последнее время активизировались усилия по борьбе с использованием программ-шпионов и групп наемников: правительство США принимает меры против пользователей программ-шпионов, а крупные технологические компании призывают международные правительства делать больше. Программы-шпионы представляют глобальную угрозу, позволяя отслеживать, красть данные и прослушивать телефонные звонки. Злоумышленники из частного сектора (PSOA) разрабатывают и продают шпионские программы без учета мотивов. Технологические компании США, Великобритании, Франции и списка Fortune 500 подписали соглашение об ограничении использования шпионских программ во всем мире. Однако остаются проблемы в борьбе с глубоким проникновением шпионских программ в систему безопасности. Google сообщила, что в 2023 году коммерческие поставщики шпионских программ использовали множество уязвимостей нулевого дня. Шпионское ПО широко распространено даже на таких популярных платформах, как Instagram и Facebook, а некоторые группы наемников внедряют шпионское ПО в онлайн-рекламу. Борьба со шпионским ПО требует международных усилий государственного и частного секторов и улучшения взаимодействия между организациями. Тем временем активно используются уязвимости программного обеспечения VPN Ivanti, что требует срочного исправления, рекомендованного Агентством США по кибербезопасности и инфраструктурной безопасности. Apple устранила проблему безопасности в своей гарнитуре Apple Vision Pro, выпустив обновление для системы безопасности, исправляющее уязвимость WebKit. Кроме того, Cisco Talos раскрыла скрытую шпионскую кампанию, направленную против исламской некоммерческой организации с использованием пользовательского бэкдора под названием Zardoor. Talos опубликовала подписи и правила для защиты от Zardoor.
#ParsedReport #CompletenessLow
09-02-2024

Coinminer on a Vulnerable Tomcat Server

https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server

Report completeness: Low

Geo:
Emea, America, Africa, Apac

ChatGPT TTPs:
do not use without manual check
T1059.004, T1053.005, T1105, T1070.004, T1190, T1496

IOCs:
IP: 1
Hash: 1
File: 1
Domain: 1
Coin: 1

Soft:
Unix, curl, crontab

Crypto:
bitcoin

Algorithms:
md5, ghostrider

Platforms:
amd64
CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 Coinminer on a Vulnerable Tomcat Server https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server Report completeness: Low Geo: Emea, America, Africa, Apac ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о подразделении реагирования на угрозы eSentire (TRU), команде охотников за угрозами и исследователей, занимающейся повышением устойчивости организации путем поддержки операционных центров безопасности, построения моделей обнаружения и проведения глобальных проверок угроз для защиты от известных и неизвестных угроз. В тексте также освещается инцидент, связанный с вредоносным скриптом, и подчеркивается важность своевременных обновлений и мониторинга системных ресурсов на предмет необычного поведения для противодействия тактике криптоджекинга.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организации. Они поддерживают центры обеспечения безопасности в режиме 24/7, создают модели обнаружения на облачной платформе XDR и работают с клиентами над улучшением управляемых служб обнаружения и реагирования. Команда проводит глобальную проверку угроз, упреждающий поиск угроз и оригинальные исследования для защиты от известных и неизвестных угроз. Инцидент, связанный с загрузкой вредоносного скрипта с IP-адреса и выполнением через оболочку Unix, был расследован кибераналитиками SOC eSentire 24/7, подтвердив вредоносную активность. В атаке использовались незащищенные уязвимости в программном обеспечении, таком как Apache Tomcat, что подчеркивает важность своевременных обновлений. Инцидент продемонстрировал тактику криптоджекинга, продемонстрировав необходимость мониторинга системных ресурсов и сетевого трафика на предмет необычного поведения.
#ParsedReport #CompletenessMedium
09-02-2024

The Oncoming Wave of SolarMarker

https://www.esentire.com/blog/the-oncoming-wave-of-solarmarker

Report completeness: Medium

Threats:
Solarmarker
Junk_code_technique
Hvnc_tool

Geo:
Emea, America, Africa, Apac

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1204, T1573, T1059, T1082

IOCs:
File: 1
Coin: 1
Hash: 3
IP: 4

Algorithms:
aes

Languages:
powershell

Links:
https://github.com/MScholtes/PS2EXE
https://github.com/RussianPanda95/Yara-Rules/tree/main/SolarMarker
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 The Oncoming Wave of SolarMarker https://www.esentire.com/blog/the-oncoming-wave-of-solarmarker Report completeness: Medium Threats: Solarmarker Junk_code_technique Hvnc_tool Geo: Emea, America, Africa, Apac…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) активно отслеживает растущую угрозу заражения SolarMarker и реагирует на нее, подчеркивая меняющуюся тактику субъекта угрозы и важность постоянного информирования и адаптации механизмов обнаружения в области кибербезопасности.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающихся повышением устойчивости организации. Они обеспечивают поддержку в режиме 24/7, создают модели обнаружения угроз и помогают совершенствовать управляемые службы обнаружения и реагирования. TRU отмечает рост числа заражений SolarMarker с ноября 2023 года в таких отраслях, как страхование, производство и программное обеспечение. Threat actor от SolarMarker чередует инструменты Inno Setup и PS2EXE, причем последние полезные загрузки содержат зашифрованные скрипты, предназначенные для нарушения работы систем. Меняющаяся тактика threat actor подчеркивает важность постоянного информирования об угрозах кибербезопасности. Добавление ненужных инструкций и массивов байтов в последние полезные нагрузки означает попытку избежать обнаружения и подчеркивает необходимость адаптивных механизмов обнаружения в инструментах кибербезопасности.
#ParsedReport #CompletenessMedium
09-02-2024

Cisco Talos Blog. New Zardoor backdoor used in long-term cyber espionage operation targeting an Islamic organization

https://blog.talosintelligence.com/new-zardoor-backdoor

Report completeness: Medium

Threats:
Zardoor
Lolbin_technique
Netstat_tool
Taskkill
Htran
Earthworm_tool
Natbypass_tool
Regeorg
Dll_sideloading_technique
Process_injection_technique

Victims:
Islamic non-profit organization

Geo:
Chinese, China

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 10
Path: 5
IP: 11
Hash: 20
Domain: 3

Soft:
Rsocx

Functions:
ServiceMain, DllEntryPoint, MainEntry

Platforms:
arm, x64, mips, x86

Links:
https://github.com/b23r0/rsocx
https://github.com/fatedier/frp
https://github.com/cw1997/NATBypass
https://github.com/ehang-io/nps
https://github.com/Dliv3/Venom
https://github.com/sensepost/reGeorg
https://github.com/serjs/socks5-server
https://github.com/tostercx/ssocks
https://github.com/EddieIvan01/iox
https://github.com/HiwinCN/HTran
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 Cisco Talos Blog. New Zardoor backdoor used in long-term cyber espionage operation targeting an Islamic organization https://blog.talosintelligence.com/new-zardoor-backdoor Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos раскрыла сложную шпионскую кампанию, направленную против исламской некоммерческой организации, использующей новое семейство вредоносных программ под названием Zardoor. Злоумышленник использовал автономные двоичные файлы (LoLBins) для создания бэкдоров, поддержания командования и контроля и уклонения от обнаружения. Кампания демонстрирует продвинутого исполнителя угроз, обладающего высокими навыками в создании пользовательских инструментов и методах уклонения, не связанного с известными группами. Использование злоумышленником законных инструментов, таких как Fast Reverse Proxy (FRP), усложняет анализ сетевого трафика, подчеркивая их скрытность.
-----

Недавно Cisco Talos обнаружила сложную шпионскую кампанию, направленную против исламской некоммерческой организации с помощью нового семейства вредоносных программ под названием Zardoor. Злоумышленник использовал автономные двоичные файлы (LoLBins) для развертывания бэкдоров, установления командования и контроля (C2) и поддержания долгосрочного доступа к сети жертвы. Злоумышленник развернул бэкдоры Zardoor, модифицировал инструменты обратного прокси и использовал методы, позволяющие избежать обнаружения. Вредоносная активность включала использование инструментов обратного прокси, таких как Fast Reverse Proxy (FRP), sSocks и Venom. Злоумышленник использовал такую тактику, как боковая загрузка бэкдоров через MSDTC для повышения стойкости. Кампания указывает на продвинутого участника угроз, не связанного ни с какими известными группами, демонстрирующего высокие навыки в создании пользовательских инструментов и методах уклонения. Использование злоумышленником легальных инструментов, таких как FRP, усложняет анализ сетевого трафика, повышая скрытность. В отчете также содержится подробная информация о процессе выполнения вредоносного ПО и функциональных возможностях C2, проливающая свет на тактику злоумышленника.
#ParsedReport #CompletenessLow
09-02-2024

Puckungfu 2: Another NETGEAR WAN Command Injection. Summary

https://research.nccgroup.com/2024/02/09/puckungfu-2-another-netgear-wan-command-injection

Report completeness: Low

Geo:
Canada

ChatGPT TTPs:
do not use without manual check
T1190, T1568.002, T1553.004, T1059.007, T1059.001, T1102.002

IOCs:
Hash: 1

Soft:
curl

Functions:
SetFileValue, Perform, GetFileValue, GetDLFileSize

Win Services:
syncTime