CTT Report Hub
3.4K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 Cisco Talos Blog. New Zardoor backdoor used in long-term cyber espionage operation targeting an Islamic organization https://blog.talosintelligence.com/new-zardoor-backdoor Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos раскрыла сложную шпионскую кампанию, направленную против исламской некоммерческой организации, использующей новое семейство вредоносных программ под названием Zardoor. Злоумышленник использовал автономные двоичные файлы (LoLBins) для создания бэкдоров, поддержания командования и контроля и уклонения от обнаружения. Кампания демонстрирует продвинутого исполнителя угроз, обладающего высокими навыками в создании пользовательских инструментов и методах уклонения, не связанного с известными группами. Использование злоумышленником законных инструментов, таких как Fast Reverse Proxy (FRP), усложняет анализ сетевого трафика, подчеркивая их скрытность.
-----

Недавно Cisco Talos обнаружила сложную шпионскую кампанию, направленную против исламской некоммерческой организации с помощью нового семейства вредоносных программ под названием Zardoor. Злоумышленник использовал автономные двоичные файлы (LoLBins) для развертывания бэкдоров, установления командования и контроля (C2) и поддержания долгосрочного доступа к сети жертвы. Злоумышленник развернул бэкдоры Zardoor, модифицировал инструменты обратного прокси и использовал методы, позволяющие избежать обнаружения. Вредоносная активность включала использование инструментов обратного прокси, таких как Fast Reverse Proxy (FRP), sSocks и Venom. Злоумышленник использовал такую тактику, как боковая загрузка бэкдоров через MSDTC для повышения стойкости. Кампания указывает на продвинутого участника угроз, не связанного ни с какими известными группами, демонстрирующего высокие навыки в создании пользовательских инструментов и методах уклонения. Использование злоумышленником легальных инструментов, таких как FRP, усложняет анализ сетевого трафика, повышая скрытность. В отчете также содержится подробная информация о процессе выполнения вредоносного ПО и функциональных возможностях C2, проливающая свет на тактику злоумышленника.
#ParsedReport #CompletenessLow
09-02-2024

Puckungfu 2: Another NETGEAR WAN Command Injection. Summary

https://research.nccgroup.com/2024/02/09/puckungfu-2-another-netgear-wan-command-injection

Report completeness: Low

Geo:
Canada

ChatGPT TTPs:
do not use without manual check
T1190, T1568.002, T1553.004, T1059.007, T1059.001, T1102.002

IOCs:
Hash: 1

Soft:
curl

Functions:
SetFileValue, Perform, GetFileValue, GetDLFileSize

Win Services:
syncTime
CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 Puckungfu 2: Another NETGEAR WAN Command Injection. Summary https://research.nccgroup.com/2024/02/09/puckungfu-2-another-netgear-wan-command-injection Report completeness: Low Geo: Canada ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа разработчиков эксплойтов в NCC Group работает над разработкой эксплойтов для Pwn2Own Toronto 2022, обнаруживая уязвимости нулевого дня и манипулируя ответами DNS для запуска командных инъекций, сталкиваясь с неожиданными проблемами во время финального тестирования перед соревнованиями и внедряя временные решения для предотвращения атак.
-----

Группа разработки эксплойтов в NCC Group работала над разработкой эксплойтов в течение нескольких месяцев, предшествовавших Pwn2Own Toronto 2022, обнаружив многочисленные уязвимости нулевого дня в различных целях. Они манипулировали ответами DNS с помощью DHCP-сервера, чтобы заставить маршрутизатор взаимодействовать с их веб-сервером, используя слабую проверку сертификата для запуска командных инъекций. Несмотря на успешное тестирование в Великобритании, неожиданные изменения времени загрузки в Канаде вызвали проблемы во время финального тестирования перед соревнованиями. Было реализовано временное решение для предотвращения атак с использованием самоподписанных веб-приложений, но системный вызов в коде был оставлен в исправлении без изменений.
#ParsedReport #CompletenessLow
09-02-2024

FBI and CISA publish guide to Living off the Land techniques

https://www.malwarebytes.com/blog/news/2024/02/fbi-and-cisa-publish-guide-to-living-off-the-land-techniques

Report completeness: Low

Actors/Campaigns:
Volt_typhoon

Threats:
Lolbin_technique

Victims:
Critical infrastructure organizations

Industry:
Government

Geo:
Chinese, Americans, Russian

ChatGPT TTPs:
do not use without manual check
T1078, T1021, T1190, T1550, T1543, T1059, T1562, T1003, T1046, T1486, have more...
CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 FBI and CISA publish guide to Living off the Land techniques https://www.malwarebytes.com/blog/news/2024/02/fbi-and-cisa-publish-guide-to-living-off-the-land-techniques Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в совместном руководстве, выпущенном несколькими агентствами США по методам "Жизни за пределами земли" (LOTL) и пробелам в киберзащите, особенно в ответ на предупреждения об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Руководство охватывает различные аспекты защиты от киберугроз, включая рекомендации по детальному ведению журнала, анализу поведения, защите от программ-вымогателей и важность разработки безопасного программного обеспечения для предотвращения методов LOTL.
-----

Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA), Федеральное бюро расследований (ФБР) и другие агентства выпустили совместное руководство по методам совместного проживания за пределами страны (LOTL) и пробелам в киберзащите. LOTL - это метод скрытой атаки, использующий законные ИТ-инструменты. Этот ответ последовал за предупреждениями об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Официальные лица США выявили атаку Volt Typhoon, предположительно поддерживаемую Китаем, с использованием ботнета для доступа к критически важной инфраструктуре. Корпорация Майкрософт обнаружила целенаправленную активность Volt Typhoon, направленную на критически важную инфраструктуру США. Руководство охватывает российских спонсируемых государством субъектов и банды программ-вымогателей. Рекомендации включают внедрение подробного ведения журнала, базовых показателей, автоматизации для просмотра журналов, анализа поведения и многого другого. Выделены ключевые советы по защите от программ-вымогателей, включая исправление уязвимостей, безопасность конечных точек, резервное копирование и восстановление после атаки. Наконец, в тексте подчеркивается необходимость разработки безопасного программного обеспечения для предотвращения методов LOTL и последующих атак.
#ParsedReport #CompletenessLow
11-02-2024

RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024)

https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited

Report completeness: Low

Actors/Campaigns:
Volt_typhoon

Threats:
Mitm_technique

Victims:
Fortinet, Linux distributions using shim, Ivanti products

Industry:
Government

Geo:
Chinese

CVEs:
CVE-2023-40547 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)

CVE-2023-40548 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.9
X-Force: Patch: Official fix
Soft:
- redhat shim (le15.8)

CVE-2023-40546 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)

CVE-2023-40550 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)

CVE-2023-40549 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)

CVE-2024-23113 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix

CVE-2023-40551 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.1
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)


ChatGPT TTPs:
do not use without manual check
T1190, T1550, T1566, T1068, T1194, T1102

IOCs:
Domain: 3

Soft:
Ivanti, Mastodon
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024) https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Fortinet раскрыла критические уязвимости в FortiOS SSL VPN, которые активно эксплуатируются, в том числе спонсируемой китайским государством группой Volt Typhoon. CISA выпустила руководство по устранению уязвимостей и поручила федеральным агентствам США отключить уязвимые продукты Ivanti из соображений безопасности.
-----

Fortinet раскрыла две критические уязвимости в FortiOS SSL VPN, CVE-2024-21762 и CVE-2024-23113, которые потенциально могут быть использованы злоумышленниками, включая спонсируемую китайским государством группу Volt Typhoon. CISA выпустила руководства по устранению. Еще одна критическая уязвимость (CVE-2023-40547) в поддержке HTTP-загрузки shim может привести к обходу безопасной загрузки, что приведет к компрометации системы. Разработчики выпустили исправление с shim версии 15.8. На продукты Ivanti также влияет уязвимость CVE-2024-22024 XXE, причем сообщения об эксплуатации затрагивают такие платформы, как X. CISA направила федеральным агентствам США указание отключить уязвимые продукты Ivanti из соображений безопасности.
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 Malware that attacks by disguising North Korean market price analysis documents created by Konni - North Korean market price analysis (Hoeryeong).hwp? (2023.11.17) https://wezard4u.tistory.com/6728 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейская хакерская группа под названием Konni создала вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp, предназначенный для лиц, занимающихся вопросами, связанными с Северной Кореей. Вредоносная программа представлена в формате HWP, содержит анализ рыночных цен Северной Кореи, использует метод вставки вредоносного OLE в обычный документ для обмана пользователей и отображается в виде документа Microsoft Word, чтобы побудить пользователей нажать.
-----

В тексте обсуждается вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp? (2023.11.17), созданный северокорейской хакерской группой Konni. Вредоносная программа представлена в формате HWP и нацелена на лиц, занимающихся вопросами, связанными с Северной Кореей. Она содержит анализ рыночных цен в Северной Корее и содержит конкретное значение хэша для идентификации. Вредоносная программа использует метод вставки вредоносного OLE в обычный документ, чтобы побудить пользователей нажать. Описание объекта файла было изменено, чтобы ввести пользователей в заблуждение, в результате чего он отображался как документ Microsoft Word, а не как файл HWP.
#ParsedReport #CompletenessMedium
09-02-2024

Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware

https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r-ransomware

Report completeness: Medium

Threats:
C3rb3r
Sliver_c2_tool
Xorddos
Upx_tool
Xmrig_miner

Industry:
Government, Financial, Healthcare, Entertainment

Geo:
German, French

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1219, T1496, T1041, T1560, T1064, T1105

IOCs:
IP: 39
File: 16
Url: 1
Hash: 5

Soft:
Confluence, Ubuntu, Mac OS, curl

Algorithms:
base64, sha1

Languages:
java

Platforms:
x64, intel

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/cve-2023-22527-leading-to-c3rb3r
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R. Atlassian раскрывает уязвимость в определенных версиях Confluence, позволяющую удаленно выполнять код. Первое публичное сообщение о распространении C3RB3R посредством использования CVE-2023-22527. Arctic Wolf Labs разрабатывает пользовательские правила Yara для обнаружения вредоносных действий. Текст включает предупреждение от Atlassian, сообщение в блоге об эксплуатации CVE-2023-22527 и исследование программы-вымогателя C3RB3R, завершающееся подробной информацией о решениях Arctic Wolf и ресурсах кибербезопасности.
-----

Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R и других вредоносных полезных нагрузок. Atlassian раскрыл уязвимость, затрагивающую определенные версии Confluence, позволяющую выполнять удаленный код без проверки подлинности. В записке о выкупе, оставленной C3RB3R, жертвам предлагается приобрести программное обеспечение для расшифровки и предостерегается от попыток восстановления файлов. Этот инцидент знаменует собой первое публичное сообщение о распространении C3RB3R с использованием CVE-2023-22527. Arctic Wolf Labs разработала пользовательские правила Yara для обнаружения связанных с этим вредоносных действий. Дополнительная информация включает предупреждение от Atlassian, сообщение в блоге об использовании CVE-2023-22527 и исследование программы-вымогателя C3RB3R. Текст завершается подробностями о решениях Arctic Wolf и ресурсах, связанных с кибербезопасностью.
#ParsedReport #CompletenessMedium
09-02-2024

From OnlyDcRatFans to RemcosRAT

https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat

Report completeness: Medium

Threats:
Dcrat
Remcos_rat
Anydesk_tool
Process_injection_technique

Geo:
Africa, Apac, America, Emea

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1027, T1055, T1071, T1560, T1573

IOCs:
Hash: 6
File: 5
Domain: 1

Soft:
Discord

Algorithms:
zip, gzip, md5

Languages:
javascript

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/DcRAT\_RemcosRAT/iocs.txt
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/DcRat\_config\_extract.py
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/remcos\_config\_extract.py
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 From OnlyDcRatFans to RemcosRAT https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat Report completeness: Medium Threats: Dcrat Remcos_rat Anydesk_tool Process_injection_technique Geo: Africa, Apac…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Подразделение реагирования на угрозы eSentire (TRU) - это команда проактивной кибербезопасности, занимающаяся повышением устойчивости организаций путем обеспечения непрерывного обнаружения угроз, защиты от различных вредоносных действий и активного поиска угроз. Инцидент в январе 2024 года, связанный с подозрительным ZIP-файлом, высветил использование изощренной тактики субъектами киберугроз для доставки и запуска инструментов удаленного доступа, подчеркнув уровень сложности и постоянства киберугроз в текущем ландшафте.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организаций к кибербезопасности. Они обеспечивают непрерывное обнаружение угроз, защиту от известных и неизвестных угроз и активный поиск вредоносных действий. В ходе недавнего инцидента, произошедшего в январе 2024 года, кибер-аналитики SOC 24/7 идентифицировали подозрительный ZIP-архив с именем IMG_Mia_khlifa, содержащий исполняемый файл AnyDesk и winrm.vbs. Было обнаружено, что файл VBS запускает DcRat, инструмент удаленного доступа, поддерживающий динамическое выполнение плагинов. Метод доставки с использованием заманчивых имен файлов и популярных платформ, таких как Discord CDN, является распространенной тактикой для заманивания жертв. Наличие нескольких компонентов в атаке подчеркивает сложную стратегию: DcRat обеспечивает удаленный поиск и выполнение файлов, в то время как RemcosRAT внедряется в процесс winhlp32.exe демонстрирует целенаправленное внедрение процесса для обеспечения постоянства и скрытности. Эти результаты демонстрируют уровень изощренности и постоянства киберугроз в нынешних условиях.
👍1
#technique

Exploiting a vulnerable Minifilter Driver to create a process killer

https://antonioparata.blogspot.com/2024/02/exploiting-vulnerable-minifilter-driver.html