#ParsedReport #CompletenessLow
08-02-2024
Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics
https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024
Report completeness: Low
Threats:
Psoa_actor
Hack-for-hire
Ars_loader
Pykspa
Kmsauto_tool
Victims:
Fortune 500 tech companies, Islamic charitable non-profit organization
Industry:
Government, Retail
Geo:
France
CVEs:
CVE-2024-23222 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple ipados (<16.7.5, <17.3)
- apple iphone os (<16.7.5, <17.3)
- apple macos (<12.7.3, <13.6.4, <14.3)
- apple safari (<17.3)
- apple tvos (<17.3)
have more...
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1588, T1589, T1595, T1203, T1071, T1110, T1552, T1105, T1070, T1027, have more...
IOCs:
Email: 1
Hash: 10
File: 5
Soft:
Instagram, Ivanti, Internet Explorer, Kmsauto
Algorithms:
md5
Platforms:
apple, x86
08-02-2024
Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics
https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024
Report completeness: Low
Threats:
Psoa_actor
Hack-for-hire
Ars_loader
Pykspa
Kmsauto_tool
Victims:
Fortune 500 tech companies, Islamic charitable non-profit organization
Industry:
Government, Retail
Geo:
France
CVEs:
CVE-2024-23222 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple ipados (<16.7.5, <17.3)
- apple iphone os (<16.7.5, <17.3)
- apple macos (<12.7.3, <13.6.4, <14.3)
- apple safari (<17.3)
- apple tvos (<17.3)
have more...
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1588, T1589, T1595, T1203, T1071, T1110, T1552, T1105, T1070, T1027, have more...
IOCs:
Email: 1
Hash: 10
File: 5
Soft:
Instagram, Ivanti, Internet Explorer, Kmsauto
Algorithms:
md5
Platforms:
apple, x86
Cisco Talos
Spyware isn’t going anywhere, and neither are its tactics
For their part, the U.S. did roll out new restrictions on the visas of any foreign individuals who misuse commercial spyware.
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Cisco Talos Blog. Spyware isn t going anywhere, and neither are its tactics https://blog.talosintelligence.com/threat-source-newsletter-feb-8-2024 Report completeness: Low Threats: Psoa_actor Hack-for-hire Ars_loader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наращивании усилий по борьбе с использованием программ-шпионов и групп наемников посредством действий правительства, международного сотрудничества и обновлений безопасности от технологических компаний для устранения глобальных угроз, создаваемых программами-шпионами и шпионскими кампаниями.
-----
В последнее время активизировались усилия по борьбе с использованием программ-шпионов и групп наемников: правительство США принимает меры против пользователей программ-шпионов, а крупные технологические компании призывают международные правительства делать больше. Программы-шпионы представляют глобальную угрозу, позволяя отслеживать, красть данные и прослушивать телефонные звонки. Злоумышленники из частного сектора (PSOA) разрабатывают и продают шпионские программы без учета мотивов. Технологические компании США, Великобритании, Франции и списка Fortune 500 подписали соглашение об ограничении использования шпионских программ во всем мире. Однако остаются проблемы в борьбе с глубоким проникновением шпионских программ в систему безопасности. Google сообщила, что в 2023 году коммерческие поставщики шпионских программ использовали множество уязвимостей нулевого дня. Шпионское ПО широко распространено даже на таких популярных платформах, как Instagram и Facebook, а некоторые группы наемников внедряют шпионское ПО в онлайн-рекламу. Борьба со шпионским ПО требует международных усилий государственного и частного секторов и улучшения взаимодействия между организациями. Тем временем активно используются уязвимости программного обеспечения VPN Ivanti, что требует срочного исправления, рекомендованного Агентством США по кибербезопасности и инфраструктурной безопасности. Apple устранила проблему безопасности в своей гарнитуре Apple Vision Pro, выпустив обновление для системы безопасности, исправляющее уязвимость WebKit. Кроме того, Cisco Talos раскрыла скрытую шпионскую кампанию, направленную против исламской некоммерческой организации с использованием пользовательского бэкдора под названием Zardoor. Talos опубликовала подписи и правила для защиты от Zardoor.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наращивании усилий по борьбе с использованием программ-шпионов и групп наемников посредством действий правительства, международного сотрудничества и обновлений безопасности от технологических компаний для устранения глобальных угроз, создаваемых программами-шпионами и шпионскими кампаниями.
-----
В последнее время активизировались усилия по борьбе с использованием программ-шпионов и групп наемников: правительство США принимает меры против пользователей программ-шпионов, а крупные технологические компании призывают международные правительства делать больше. Программы-шпионы представляют глобальную угрозу, позволяя отслеживать, красть данные и прослушивать телефонные звонки. Злоумышленники из частного сектора (PSOA) разрабатывают и продают шпионские программы без учета мотивов. Технологические компании США, Великобритании, Франции и списка Fortune 500 подписали соглашение об ограничении использования шпионских программ во всем мире. Однако остаются проблемы в борьбе с глубоким проникновением шпионских программ в систему безопасности. Google сообщила, что в 2023 году коммерческие поставщики шпионских программ использовали множество уязвимостей нулевого дня. Шпионское ПО широко распространено даже на таких популярных платформах, как Instagram и Facebook, а некоторые группы наемников внедряют шпионское ПО в онлайн-рекламу. Борьба со шпионским ПО требует международных усилий государственного и частного секторов и улучшения взаимодействия между организациями. Тем временем активно используются уязвимости программного обеспечения VPN Ivanti, что требует срочного исправления, рекомендованного Агентством США по кибербезопасности и инфраструктурной безопасности. Apple устранила проблему безопасности в своей гарнитуре Apple Vision Pro, выпустив обновление для системы безопасности, исправляющее уязвимость WebKit. Кроме того, Cisco Talos раскрыла скрытую шпионскую кампанию, направленную против исламской некоммерческой организации с использованием пользовательского бэкдора под названием Zardoor. Talos опубликовала подписи и правила для защиты от Zardoor.
#ParsedReport #CompletenessLow
09-02-2024
Coinminer on a Vulnerable Tomcat Server
https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server
Report completeness: Low
Geo:
Emea, America, Africa, Apac
ChatGPT TTPs:
T1059.004, T1053.005, T1105, T1070.004, T1190, T1496
IOCs:
IP: 1
Hash: 1
File: 1
Domain: 1
Coin: 1
Soft:
Unix, curl, crontab
Crypto:
bitcoin
Algorithms:
md5, ghostrider
Platforms:
amd64
09-02-2024
Coinminer on a Vulnerable Tomcat Server
https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server
Report completeness: Low
Geo:
Emea, America, Africa, Apac
ChatGPT TTPs:
do not use without manual checkT1059.004, T1053.005, T1105, T1070.004, T1190, T1496
IOCs:
IP: 1
Hash: 1
File: 1
Domain: 1
Coin: 1
Soft:
Unix, curl, crontab
Crypto:
bitcoin
Algorithms:
md5, ghostrider
Platforms:
amd64
eSentire
Coinminer on a Vulnerable Tomcat Server
Learn more about a recent cryptojacking incident on a vulnerable Apache Tomcat server and get security recommendations from our Threat Response Unit (TRU)…
CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 Coinminer on a Vulnerable Tomcat Server https://www.esentire.com/blog/coinminer-on-a-vulnerable-tomcat-server Report completeness: Low Geo: Emea, America, Africa, Apac ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - о подразделении реагирования на угрозы eSentire (TRU), команде охотников за угрозами и исследователей, занимающейся повышением устойчивости организации путем поддержки операционных центров безопасности, построения моделей обнаружения и проведения глобальных проверок угроз для защиты от известных и неизвестных угроз. В тексте также освещается инцидент, связанный с вредоносным скриптом, и подчеркивается важность своевременных обновлений и мониторинга системных ресурсов на предмет необычного поведения для противодействия тактике криптоджекинга.
-----
Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организации. Они поддерживают центры обеспечения безопасности в режиме 24/7, создают модели обнаружения на облачной платформе XDR и работают с клиентами над улучшением управляемых служб обнаружения и реагирования. Команда проводит глобальную проверку угроз, упреждающий поиск угроз и оригинальные исследования для защиты от известных и неизвестных угроз. Инцидент, связанный с загрузкой вредоносного скрипта с IP-адреса и выполнением через оболочку Unix, был расследован кибераналитиками SOC eSentire 24/7, подтвердив вредоносную активность. В атаке использовались незащищенные уязвимости в программном обеспечении, таком как Apache Tomcat, что подчеркивает важность своевременных обновлений. Инцидент продемонстрировал тактику криптоджекинга, продемонстрировав необходимость мониторинга системных ресурсов и сетевого трафика на предмет необычного поведения.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - о подразделении реагирования на угрозы eSentire (TRU), команде охотников за угрозами и исследователей, занимающейся повышением устойчивости организации путем поддержки операционных центров безопасности, построения моделей обнаружения и проведения глобальных проверок угроз для защиты от известных и неизвестных угроз. В тексте также освещается инцидент, связанный с вредоносным скриптом, и подчеркивается важность своевременных обновлений и мониторинга системных ресурсов на предмет необычного поведения для противодействия тактике криптоджекинга.
-----
Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организации. Они поддерживают центры обеспечения безопасности в режиме 24/7, создают модели обнаружения на облачной платформе XDR и работают с клиентами над улучшением управляемых служб обнаружения и реагирования. Команда проводит глобальную проверку угроз, упреждающий поиск угроз и оригинальные исследования для защиты от известных и неизвестных угроз. Инцидент, связанный с загрузкой вредоносного скрипта с IP-адреса и выполнением через оболочку Unix, был расследован кибераналитиками SOC eSentire 24/7, подтвердив вредоносную активность. В атаке использовались незащищенные уязвимости в программном обеспечении, таком как Apache Tomcat, что подчеркивает важность своевременных обновлений. Инцидент продемонстрировал тактику криптоджекинга, продемонстрировав необходимость мониторинга системных ресурсов и сетевого трафика на предмет необычного поведения.
#ParsedReport #CompletenessMedium
09-02-2024
The Oncoming Wave of SolarMarker
https://www.esentire.com/blog/the-oncoming-wave-of-solarmarker
Report completeness: Medium
Threats:
Solarmarker
Junk_code_technique
Hvnc_tool
Geo:
Emea, America, Africa, Apac
ChatGPT TTPs:
T1566, T1027, T1204, T1573, T1059, T1082
IOCs:
File: 1
Coin: 1
Hash: 3
IP: 4
Algorithms:
aes
Languages:
powershell
Links:
09-02-2024
The Oncoming Wave of SolarMarker
https://www.esentire.com/blog/the-oncoming-wave-of-solarmarker
Report completeness: Medium
Threats:
Solarmarker
Junk_code_technique
Hvnc_tool
Geo:
Emea, America, Africa, Apac
ChatGPT TTPs:
do not use without manual checkT1566, T1027, T1204, T1573, T1059, T1082
IOCs:
File: 1
Coin: 1
Hash: 3
IP: 4
Algorithms:
aes
Languages:
powershell
Links:
https://github.com/MScholtes/PS2EXEhttps://github.com/RussianPanda95/Yara-Rules/tree/main/SolarMarkereSentire
The Oncoming Wave of SolarMarker
Learn more about the oncoming wave of SolarMarker and get security recommendations from our Threat Response Unit (TRU) to protect your business from this…
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 The Oncoming Wave of SolarMarker https://www.esentire.com/blog/the-oncoming-wave-of-solarmarker Report completeness: Medium Threats: Solarmarker Junk_code_technique Hvnc_tool Geo: Emea, America, Africa, Apac…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) активно отслеживает растущую угрозу заражения SolarMarker и реагирует на нее, подчеркивая меняющуюся тактику субъекта угрозы и важность постоянного информирования и адаптации механизмов обнаружения в области кибербезопасности.
-----
Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающихся повышением устойчивости организации. Они обеспечивают поддержку в режиме 24/7, создают модели обнаружения угроз и помогают совершенствовать управляемые службы обнаружения и реагирования. TRU отмечает рост числа заражений SolarMarker с ноября 2023 года в таких отраслях, как страхование, производство и программное обеспечение. Threat actor от SolarMarker чередует инструменты Inno Setup и PS2EXE, причем последние полезные загрузки содержат зашифрованные скрипты, предназначенные для нарушения работы систем. Меняющаяся тактика threat actor подчеркивает важность постоянного информирования об угрозах кибербезопасности. Добавление ненужных инструкций и массивов байтов в последние полезные нагрузки означает попытку избежать обнаружения и подчеркивает необходимость адаптивных механизмов обнаружения в инструментах кибербезопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) активно отслеживает растущую угрозу заражения SolarMarker и реагирует на нее, подчеркивая меняющуюся тактику субъекта угрозы и важность постоянного информирования и адаптации механизмов обнаружения в области кибербезопасности.
-----
Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающихся повышением устойчивости организации. Они обеспечивают поддержку в режиме 24/7, создают модели обнаружения угроз и помогают совершенствовать управляемые службы обнаружения и реагирования. TRU отмечает рост числа заражений SolarMarker с ноября 2023 года в таких отраслях, как страхование, производство и программное обеспечение. Threat actor от SolarMarker чередует инструменты Inno Setup и PS2EXE, причем последние полезные загрузки содержат зашифрованные скрипты, предназначенные для нарушения работы систем. Меняющаяся тактика threat actor подчеркивает важность постоянного информирования об угрозах кибербезопасности. Добавление ненужных инструкций и массивов байтов в последние полезные нагрузки означает попытку избежать обнаружения и подчеркивает необходимость адаптивных механизмов обнаружения в инструментах кибербезопасности.
#ParsedReport #CompletenessMedium
09-02-2024
Cisco Talos Blog. New Zardoor backdoor used in long-term cyber espionage operation targeting an Islamic organization
https://blog.talosintelligence.com/new-zardoor-backdoor
Report completeness: Medium
Threats:
Zardoor
Lolbin_technique
Netstat_tool
Taskkill
Htran
Earthworm_tool
Natbypass_tool
Regeorg
Dll_sideloading_technique
Process_injection_technique
Victims:
Islamic non-profit organization
Geo:
Chinese, China
TTPs:
Tactics: 7
Technics: 15
IOCs:
File: 10
Path: 5
IP: 11
Hash: 20
Domain: 3
Soft:
Rsocx
Functions:
ServiceMain, DllEntryPoint, MainEntry
Platforms:
arm, x64, mips, x86
Links:
09-02-2024
Cisco Talos Blog. New Zardoor backdoor used in long-term cyber espionage operation targeting an Islamic organization
https://blog.talosintelligence.com/new-zardoor-backdoor
Report completeness: Medium
Threats:
Zardoor
Lolbin_technique
Netstat_tool
Taskkill
Htran
Earthworm_tool
Natbypass_tool
Regeorg
Dll_sideloading_technique
Process_injection_technique
Victims:
Islamic non-profit organization
Geo:
Chinese, China
TTPs:
Tactics: 7
Technics: 15
IOCs:
File: 10
Path: 5
IP: 11
Hash: 20
Domain: 3
Soft:
Rsocx
Functions:
ServiceMain, DllEntryPoint, MainEntry
Platforms:
arm, x64, mips, x86
Links:
https://github.com/b23r0/rsocxhttps://github.com/fatedier/frphttps://github.com/cw1997/NATBypasshttps://github.com/ehang-io/npshttps://github.com/Dliv3/Venomhttps://github.com/sensepost/reGeorghttps://github.com/serjs/socks5-serverhttps://github.com/tostercx/ssockshttps://github.com/EddieIvan01/ioxhttps://github.com/HiwinCN/HTranCisco Talos
New Zardoor backdoor used in long-term cyber espionage operation targeting an Islamic organization
Talos discovered a new, stealthy espionage campaign that has likely persisted since at least March 2021. The observed activity affects an Islamic non-profit organization using backdoors for a previously unreported malware family we have named “Zardoor.”
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 Cisco Talos Blog. New Zardoor backdoor used in long-term cyber espionage operation targeting an Islamic organization https://blog.talosintelligence.com/new-zardoor-backdoor Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cisco Talos раскрыла сложную шпионскую кампанию, направленную против исламской некоммерческой организации, использующей новое семейство вредоносных программ под названием Zardoor. Злоумышленник использовал автономные двоичные файлы (LoLBins) для создания бэкдоров, поддержания командования и контроля и уклонения от обнаружения. Кампания демонстрирует продвинутого исполнителя угроз, обладающего высокими навыками в создании пользовательских инструментов и методах уклонения, не связанного с известными группами. Использование злоумышленником законных инструментов, таких как Fast Reverse Proxy (FRP), усложняет анализ сетевого трафика, подчеркивая их скрытность.
-----
Недавно Cisco Talos обнаружила сложную шпионскую кампанию, направленную против исламской некоммерческой организации с помощью нового семейства вредоносных программ под названием Zardoor. Злоумышленник использовал автономные двоичные файлы (LoLBins) для развертывания бэкдоров, установления командования и контроля (C2) и поддержания долгосрочного доступа к сети жертвы. Злоумышленник развернул бэкдоры Zardoor, модифицировал инструменты обратного прокси и использовал методы, позволяющие избежать обнаружения. Вредоносная активность включала использование инструментов обратного прокси, таких как Fast Reverse Proxy (FRP), sSocks и Venom. Злоумышленник использовал такую тактику, как боковая загрузка бэкдоров через MSDTC для повышения стойкости. Кампания указывает на продвинутого участника угроз, не связанного ни с какими известными группами, демонстрирующего высокие навыки в создании пользовательских инструментов и методах уклонения. Использование злоумышленником легальных инструментов, таких как FRP, усложняет анализ сетевого трафика, повышая скрытность. В отчете также содержится подробная информация о процессе выполнения вредоносного ПО и функциональных возможностях C2, проливающая свет на тактику злоумышленника.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cisco Talos раскрыла сложную шпионскую кампанию, направленную против исламской некоммерческой организации, использующей новое семейство вредоносных программ под названием Zardoor. Злоумышленник использовал автономные двоичные файлы (LoLBins) для создания бэкдоров, поддержания командования и контроля и уклонения от обнаружения. Кампания демонстрирует продвинутого исполнителя угроз, обладающего высокими навыками в создании пользовательских инструментов и методах уклонения, не связанного с известными группами. Использование злоумышленником законных инструментов, таких как Fast Reverse Proxy (FRP), усложняет анализ сетевого трафика, подчеркивая их скрытность.
-----
Недавно Cisco Talos обнаружила сложную шпионскую кампанию, направленную против исламской некоммерческой организации с помощью нового семейства вредоносных программ под названием Zardoor. Злоумышленник использовал автономные двоичные файлы (LoLBins) для развертывания бэкдоров, установления командования и контроля (C2) и поддержания долгосрочного доступа к сети жертвы. Злоумышленник развернул бэкдоры Zardoor, модифицировал инструменты обратного прокси и использовал методы, позволяющие избежать обнаружения. Вредоносная активность включала использование инструментов обратного прокси, таких как Fast Reverse Proxy (FRP), sSocks и Venom. Злоумышленник использовал такую тактику, как боковая загрузка бэкдоров через MSDTC для повышения стойкости. Кампания указывает на продвинутого участника угроз, не связанного ни с какими известными группами, демонстрирующего высокие навыки в создании пользовательских инструментов и методах уклонения. Использование злоумышленником легальных инструментов, таких как FRP, усложняет анализ сетевого трафика, повышая скрытность. В отчете также содержится подробная информация о процессе выполнения вредоносного ПО и функциональных возможностях C2, проливающая свет на тактику злоумышленника.
#ParsedReport #CompletenessLow
09-02-2024
Puckungfu 2: Another NETGEAR WAN Command Injection. Summary
https://research.nccgroup.com/2024/02/09/puckungfu-2-another-netgear-wan-command-injection
Report completeness: Low
Geo:
Canada
ChatGPT TTPs:
T1190, T1568.002, T1553.004, T1059.007, T1059.001, T1102.002
IOCs:
Hash: 1
Soft:
curl
Functions:
SetFileValue, Perform, GetFileValue, GetDLFileSize
Win Services:
syncTime
09-02-2024
Puckungfu 2: Another NETGEAR WAN Command Injection. Summary
https://research.nccgroup.com/2024/02/09/puckungfu-2-another-netgear-wan-command-injection
Report completeness: Low
Geo:
Canada
ChatGPT TTPs:
do not use without manual checkT1190, T1568.002, T1553.004, T1059.007, T1059.001, T1102.002
IOCs:
Hash: 1
Soft:
curl
Functions:
SetFileValue, Perform, GetFileValue, GetDLFileSize
Win Services:
syncTime
CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 Puckungfu 2: Another NETGEAR WAN Command Injection. Summary https://research.nccgroup.com/2024/02/09/puckungfu-2-another-netgear-wan-command-injection Report completeness: Low Geo: Canada ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа разработчиков эксплойтов в NCC Group работает над разработкой эксплойтов для Pwn2Own Toronto 2022, обнаруживая уязвимости нулевого дня и манипулируя ответами DNS для запуска командных инъекций, сталкиваясь с неожиданными проблемами во время финального тестирования перед соревнованиями и внедряя временные решения для предотвращения атак.
-----
Группа разработки эксплойтов в NCC Group работала над разработкой эксплойтов в течение нескольких месяцев, предшествовавших Pwn2Own Toronto 2022, обнаружив многочисленные уязвимости нулевого дня в различных целях. Они манипулировали ответами DNS с помощью DHCP-сервера, чтобы заставить маршрутизатор взаимодействовать с их веб-сервером, используя слабую проверку сертификата для запуска командных инъекций. Несмотря на успешное тестирование в Великобритании, неожиданные изменения времени загрузки в Канаде вызвали проблемы во время финального тестирования перед соревнованиями. Было реализовано временное решение для предотвращения атак с использованием самоподписанных веб-приложений, но системный вызов в коде был оставлен в исправлении без изменений.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа разработчиков эксплойтов в NCC Group работает над разработкой эксплойтов для Pwn2Own Toronto 2022, обнаруживая уязвимости нулевого дня и манипулируя ответами DNS для запуска командных инъекций, сталкиваясь с неожиданными проблемами во время финального тестирования перед соревнованиями и внедряя временные решения для предотвращения атак.
-----
Группа разработки эксплойтов в NCC Group работала над разработкой эксплойтов в течение нескольких месяцев, предшествовавших Pwn2Own Toronto 2022, обнаружив многочисленные уязвимости нулевого дня в различных целях. Они манипулировали ответами DNS с помощью DHCP-сервера, чтобы заставить маршрутизатор взаимодействовать с их веб-сервером, используя слабую проверку сертификата для запуска командных инъекций. Несмотря на успешное тестирование в Великобритании, неожиданные изменения времени загрузки в Канаде вызвали проблемы во время финального тестирования перед соревнованиями. Было реализовано временное решение для предотвращения атак с использованием самоподписанных веб-приложений, но системный вызов в коде был оставлен в исправлении без изменений.
#ParsedReport #CompletenessLow
09-02-2024
FBI and CISA publish guide to Living off the Land techniques
https://www.malwarebytes.com/blog/news/2024/02/fbi-and-cisa-publish-guide-to-living-off-the-land-techniques
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Threats:
Lolbin_technique
Victims:
Critical infrastructure organizations
Industry:
Government
Geo:
Chinese, Americans, Russian
ChatGPT TTPs:
T1078, T1021, T1190, T1550, T1543, T1059, T1562, T1003, T1046, T1486, have more...
09-02-2024
FBI and CISA publish guide to Living off the Land techniques
https://www.malwarebytes.com/blog/news/2024/02/fbi-and-cisa-publish-guide-to-living-off-the-land-techniques
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Threats:
Lolbin_technique
Victims:
Critical infrastructure organizations
Industry:
Government
Geo:
Chinese, Americans, Russian
ChatGPT TTPs:
do not use without manual checkT1078, T1021, T1190, T1550, T1543, T1059, T1562, T1003, T1046, T1486, have more...
Malwarebytes
FBI and CISA publish guide to Living off the Land techniques | Malwarebytes
FBI and CISA have produced guidance about Chinese APT group Volt Typhoon and other groups that use Living off the Land (LOTL) techniques.
CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 FBI and CISA publish guide to Living off the Land techniques https://www.malwarebytes.com/blog/news/2024/02/fbi-and-cisa-publish-guide-to-living-off-the-land-techniques Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в совместном руководстве, выпущенном несколькими агентствами США по методам "Жизни за пределами земли" (LOTL) и пробелам в киберзащите, особенно в ответ на предупреждения об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Руководство охватывает различные аспекты защиты от киберугроз, включая рекомендации по детальному ведению журнала, анализу поведения, защите от программ-вымогателей и важность разработки безопасного программного обеспечения для предотвращения методов LOTL.
-----
Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA), Федеральное бюро расследований (ФБР) и другие агентства выпустили совместное руководство по методам совместного проживания за пределами страны (LOTL) и пробелам в киберзащите. LOTL - это метод скрытой атаки, использующий законные ИТ-инструменты. Этот ответ последовал за предупреждениями об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Официальные лица США выявили атаку Volt Typhoon, предположительно поддерживаемую Китаем, с использованием ботнета для доступа к критически важной инфраструктуре. Корпорация Майкрософт обнаружила целенаправленную активность Volt Typhoon, направленную на критически важную инфраструктуру США. Руководство охватывает российских спонсируемых государством субъектов и банды программ-вымогателей. Рекомендации включают внедрение подробного ведения журнала, базовых показателей, автоматизации для просмотра журналов, анализа поведения и многого другого. Выделены ключевые советы по защите от программ-вымогателей, включая исправление уязвимостей, безопасность конечных точек, резервное копирование и восстановление после атаки. Наконец, в тексте подчеркивается необходимость разработки безопасного программного обеспечения для предотвращения методов LOTL и последующих атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в совместном руководстве, выпущенном несколькими агентствами США по методам "Жизни за пределами земли" (LOTL) и пробелам в киберзащите, особенно в ответ на предупреждения об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Руководство охватывает различные аспекты защиты от киберугроз, включая рекомендации по детальному ведению журнала, анализу поведения, защите от программ-вымогателей и важность разработки безопасного программного обеспечения для предотвращения методов LOTL.
-----
Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA), Федеральное бюро расследований (ФБР) и другие агентства выпустили совместное руководство по методам совместного проживания за пределами страны (LOTL) и пробелам в киберзащите. LOTL - это метод скрытой атаки, использующий законные ИТ-инструменты. Этот ответ последовал за предупреждениями об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Официальные лица США выявили атаку Volt Typhoon, предположительно поддерживаемую Китаем, с использованием ботнета для доступа к критически важной инфраструктуре. Корпорация Майкрософт обнаружила целенаправленную активность Volt Typhoon, направленную на критически важную инфраструктуру США. Руководство охватывает российских спонсируемых государством субъектов и банды программ-вымогателей. Рекомендации включают внедрение подробного ведения журнала, базовых показателей, автоматизации для просмотра журналов, анализа поведения и многого другого. Выделены ключевые советы по защите от программ-вымогателей, включая исправление уязвимостей, безопасность конечных точек, резервное копирование и восстановление после атаки. Наконец, в тексте подчеркивается необходимость разработки безопасного программного обеспечения для предотвращения методов LOTL и последующих атак.
#ParsedReport #CompletenessLow
11-02-2024
RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024)
https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Threats:
Mitm_technique
Victims:
Fortinet, Linux distributions using shim, Ivanti products
Industry:
Government
Geo:
Chinese
CVEs:
CVE-2023-40547 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40548 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.9
X-Force: Patch: Official fix
Soft:
- redhat shim (le15.8)
CVE-2023-40546 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40550 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40549 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2024-23113 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
CVE-2023-40551 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.1
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
ChatGPT TTPs:
T1190, T1550, T1566, T1068, T1194, T1102
IOCs:
Domain: 3
Soft:
Ivanti, Mastodon
11-02-2024
RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024)
https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Threats:
Mitm_technique
Victims:
Fortinet, Linux distributions using shim, Ivanti products
Industry:
Government
Geo:
Chinese
CVEs:
CVE-2023-40547 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40548 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.9
X-Force: Patch: Official fix
Soft:
- redhat shim (le15.8)
CVE-2023-40546 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40550 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40549 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2024-23113 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
CVE-2023-40551 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.1
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
ChatGPT TTPs:
do not use without manual checkT1190, T1550, T1566, T1068, T1194, T1102
IOCs:
Domain: 3
Soft:
Ivanti, Mastodon
SOCRadar® Cyber Intelligence Inc.
RCEs in FortiOS SSL VPN, ‘shim’; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024) - SOCRadar®…
Fortinet has revealed a new critical Remote Code Execution (RCE) vulnerability in FortiOS SSL VPN, cautioning about potential exploitation...
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024) https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Fortinet раскрыла критические уязвимости в FortiOS SSL VPN, которые активно эксплуатируются, в том числе спонсируемой китайским государством группой Volt Typhoon. CISA выпустила руководство по устранению уязвимостей и поручила федеральным агентствам США отключить уязвимые продукты Ivanti из соображений безопасности.
-----
Fortinet раскрыла две критические уязвимости в FortiOS SSL VPN, CVE-2024-21762 и CVE-2024-23113, которые потенциально могут быть использованы злоумышленниками, включая спонсируемую китайским государством группу Volt Typhoon. CISA выпустила руководства по устранению. Еще одна критическая уязвимость (CVE-2023-40547) в поддержке HTTP-загрузки shim может привести к обходу безопасной загрузки, что приведет к компрометации системы. Разработчики выпустили исправление с shim версии 15.8. На продукты Ivanti также влияет уязвимость CVE-2024-22024 XXE, причем сообщения об эксплуатации затрагивают такие платформы, как X. CISA направила федеральным агентствам США указание отключить уязвимые продукты Ivanti из соображений безопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Fortinet раскрыла критические уязвимости в FortiOS SSL VPN, которые активно эксплуатируются, в том числе спонсируемой китайским государством группой Volt Typhoon. CISA выпустила руководство по устранению уязвимостей и поручила федеральным агентствам США отключить уязвимые продукты Ivanti из соображений безопасности.
-----
Fortinet раскрыла две критические уязвимости в FortiOS SSL VPN, CVE-2024-21762 и CVE-2024-23113, которые потенциально могут быть использованы злоумышленниками, включая спонсируемую китайским государством группу Volt Typhoon. CISA выпустила руководства по устранению. Еще одна критическая уязвимость (CVE-2023-40547) в поддержке HTTP-загрузки shim может привести к обходу безопасной загрузки, что приведет к компрометации системы. Разработчики выпустили исправление с shim версии 15.8. На продукты Ivanti также влияет уязвимость CVE-2024-22024 XXE, причем сообщения об эксплуатации затрагивают такие платформы, как X. CISA направила федеральным агентствам США указание отключить уязвимые продукты Ivanti из соображений безопасности.