CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 FBI and CISA publish guide to Living off the Land techniques https://www.malwarebytes.com/blog/news/2024/02/fbi-and-cisa-publish-guide-to-living-off-the-land-techniques Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в совместном руководстве, выпущенном несколькими агентствами США по методам "Жизни за пределами земли" (LOTL) и пробелам в киберзащите, особенно в ответ на предупреждения об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Руководство охватывает различные аспекты защиты от киберугроз, включая рекомендации по детальному ведению журнала, анализу поведения, защите от программ-вымогателей и важность разработки безопасного программного обеспечения для предотвращения методов LOTL.
-----
Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA), Федеральное бюро расследований (ФБР) и другие агентства выпустили совместное руководство по методам совместного проживания за пределами страны (LOTL) и пробелам в киберзащите. LOTL - это метод скрытой атаки, использующий законные ИТ-инструменты. Этот ответ последовал за предупреждениями об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Официальные лица США выявили атаку Volt Typhoon, предположительно поддерживаемую Китаем, с использованием ботнета для доступа к критически важной инфраструктуре. Корпорация Майкрософт обнаружила целенаправленную активность Volt Typhoon, направленную на критически важную инфраструктуру США. Руководство охватывает российских спонсируемых государством субъектов и банды программ-вымогателей. Рекомендации включают внедрение подробного ведения журнала, базовых показателей, автоматизации для просмотра журналов, анализа поведения и многого другого. Выделены ключевые советы по защите от программ-вымогателей, включая исправление уязвимостей, безопасность конечных точек, резервное копирование и восстановление после атаки. Наконец, в тексте подчеркивается необходимость разработки безопасного программного обеспечения для предотвращения методов LOTL и последующих атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в совместном руководстве, выпущенном несколькими агентствами США по методам "Жизни за пределами земли" (LOTL) и пробелам в киберзащите, особенно в ответ на предупреждения об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Руководство охватывает различные аспекты защиты от киберугроз, включая рекомендации по детальному ведению журнала, анализу поведения, защите от программ-вымогателей и важность разработки безопасного программного обеспечения для предотвращения методов LOTL.
-----
Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA), Федеральное бюро расследований (ФБР) и другие агентства выпустили совместное руководство по методам совместного проживания за пределами страны (LOTL) и пробелам в киберзащите. LOTL - это метод скрытой атаки, использующий законные ИТ-инструменты. Этот ответ последовал за предупреждениями об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Официальные лица США выявили атаку Volt Typhoon, предположительно поддерживаемую Китаем, с использованием ботнета для доступа к критически важной инфраструктуре. Корпорация Майкрософт обнаружила целенаправленную активность Volt Typhoon, направленную на критически важную инфраструктуру США. Руководство охватывает российских спонсируемых государством субъектов и банды программ-вымогателей. Рекомендации включают внедрение подробного ведения журнала, базовых показателей, автоматизации для просмотра журналов, анализа поведения и многого другого. Выделены ключевые советы по защите от программ-вымогателей, включая исправление уязвимостей, безопасность конечных точек, резервное копирование и восстановление после атаки. Наконец, в тексте подчеркивается необходимость разработки безопасного программного обеспечения для предотвращения методов LOTL и последующих атак.
#ParsedReport #CompletenessLow
11-02-2024
RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024)
https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Threats:
Mitm_technique
Victims:
Fortinet, Linux distributions using shim, Ivanti products
Industry:
Government
Geo:
Chinese
CVEs:
CVE-2023-40547 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40548 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.9
X-Force: Patch: Official fix
Soft:
- redhat shim (le15.8)
CVE-2023-40546 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40550 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40549 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2024-23113 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
CVE-2023-40551 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.1
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
ChatGPT TTPs:
T1190, T1550, T1566, T1068, T1194, T1102
IOCs:
Domain: 3
Soft:
Ivanti, Mastodon
11-02-2024
RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024)
https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Threats:
Mitm_technique
Victims:
Fortinet, Linux distributions using shim, Ivanti products
Industry:
Government
Geo:
Chinese
CVEs:
CVE-2023-40547 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40548 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.9
X-Force: Patch: Official fix
Soft:
- redhat shim (le15.8)
CVE-2023-40546 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40550 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2023-40549 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
CVE-2024-23113 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
CVE-2023-40551 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.1
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)
ChatGPT TTPs:
do not use without manual checkT1190, T1550, T1566, T1068, T1194, T1102
IOCs:
Domain: 3
Soft:
Ivanti, Mastodon
SOCRadar® Cyber Intelligence Inc.
RCEs in FortiOS SSL VPN, ‘shim’; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024) - SOCRadar®…
Fortinet has revealed a new critical Remote Code Execution (RCE) vulnerability in FortiOS SSL VPN, cautioning about potential exploitation...
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024) https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Fortinet раскрыла критические уязвимости в FortiOS SSL VPN, которые активно эксплуатируются, в том числе спонсируемой китайским государством группой Volt Typhoon. CISA выпустила руководство по устранению уязвимостей и поручила федеральным агентствам США отключить уязвимые продукты Ivanti из соображений безопасности.
-----
Fortinet раскрыла две критические уязвимости в FortiOS SSL VPN, CVE-2024-21762 и CVE-2024-23113, которые потенциально могут быть использованы злоумышленниками, включая спонсируемую китайским государством группу Volt Typhoon. CISA выпустила руководства по устранению. Еще одна критическая уязвимость (CVE-2023-40547) в поддержке HTTP-загрузки shim может привести к обходу безопасной загрузки, что приведет к компрометации системы. Разработчики выпустили исправление с shim версии 15.8. На продукты Ivanti также влияет уязвимость CVE-2024-22024 XXE, причем сообщения об эксплуатации затрагивают такие платформы, как X. CISA направила федеральным агентствам США указание отключить уязвимые продукты Ivanti из соображений безопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Fortinet раскрыла критические уязвимости в FortiOS SSL VPN, которые активно эксплуатируются, в том числе спонсируемой китайским государством группой Volt Typhoon. CISA выпустила руководство по устранению уязвимостей и поручила федеральным агентствам США отключить уязвимые продукты Ivanti из соображений безопасности.
-----
Fortinet раскрыла две критические уязвимости в FortiOS SSL VPN, CVE-2024-21762 и CVE-2024-23113, которые потенциально могут быть использованы злоумышленниками, включая спонсируемую китайским государством группу Volt Typhoon. CISA выпустила руководства по устранению. Еще одна критическая уязвимость (CVE-2023-40547) в поддержке HTTP-загрузки shim может привести к обходу безопасной загрузки, что приведет к компрометации системы. Разработчики выпустили исправление с shim версии 15.8. На продукты Ivanti также влияет уязвимость CVE-2024-22024 XXE, причем сообщения об эксплуатации затрагивают такие платформы, как X. CISA направила федеральным агентствам США указание отключить уязвимые продукты Ivanti из соображений безопасности.
#ParsedReport #CompletenessLow
11-02-2024
Malware that attacks by disguising North Korean market price analysis documents created by Konni - North Korean market price analysis (Hoeryeong).hwp? (2023.11.17)
https://wezard4u.tistory.com/6728
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Virobot
Geo:
Korean, Korea
ChatGPT TTPs:
T1204, T1566, T1566.001, T1027, T1105, T1059
IOCs:
Hash: 3
File: 1
Soft:
Microsoft Word
Algorithms:
sha256, sha1, md5
Win API:
decompress
11-02-2024
Malware that attacks by disguising North Korean market price analysis documents created by Konni - North Korean market price analysis (Hoeryeong).hwp? (2023.11.17)
https://wezard4u.tistory.com/6728
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Virobot
Geo:
Korean, Korea
ChatGPT TTPs:
do not use without manual checkT1204, T1566, T1566.001, T1027, T1105, T1059
IOCs:
Hash: 3
File: 1
Soft:
Microsoft Word
Algorithms:
sha256, sha1, md5
Win API:
decompress
꿈을꾸는 파랑새
Konni(코니) 만든 북한 시장 물가 분석 문서 위장 해서 공격 하는 악성코드-조선 시장 물가 분석(회령).hwp?(2023.11.17)
오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 조선 시장 물가 분석(회령).hwp?(2023.11.17)에 대해 글을 적어 보겠습니다. 해당 악성코드는 hwp 즉 한글과 컴퓨터에서 만든 HWP 첨부 파일로 돼 있으며 북한의 시장(장마당) 물가 분석 내용을 담고 있어서 대북 관계자 또는 북한 관련해서 다루는 분들을 타켓으로 하는 것을 추측할 수가 있으며 해쉬값은 다음과 같습니다. 파일명:조선 시장 물가 분석(회령).hwp 사이즈:71.0…
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 Malware that attacks by disguising North Korean market price analysis documents created by Konni - North Korean market price analysis (Hoeryeong).hwp? (2023.11.17) https://wezard4u.tistory.com/6728 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что северокорейская хакерская группа под названием Konni создала вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp, предназначенный для лиц, занимающихся вопросами, связанными с Северной Кореей. Вредоносная программа представлена в формате HWP, содержит анализ рыночных цен Северной Кореи, использует метод вставки вредоносного OLE в обычный документ для обмана пользователей и отображается в виде документа Microsoft Word, чтобы побудить пользователей нажать.
-----
В тексте обсуждается вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp? (2023.11.17), созданный северокорейской хакерской группой Konni. Вредоносная программа представлена в формате HWP и нацелена на лиц, занимающихся вопросами, связанными с Северной Кореей. Она содержит анализ рыночных цен в Северной Корее и содержит конкретное значение хэша для идентификации. Вредоносная программа использует метод вставки вредоносного OLE в обычный документ, чтобы побудить пользователей нажать. Описание объекта файла было изменено, чтобы ввести пользователей в заблуждение, в результате чего он отображался как документ Microsoft Word, а не как файл HWP.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что северокорейская хакерская группа под названием Konni создала вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp, предназначенный для лиц, занимающихся вопросами, связанными с Северной Кореей. Вредоносная программа представлена в формате HWP, содержит анализ рыночных цен Северной Кореи, использует метод вставки вредоносного OLE в обычный документ для обмана пользователей и отображается в виде документа Microsoft Word, чтобы побудить пользователей нажать.
-----
В тексте обсуждается вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp? (2023.11.17), созданный северокорейской хакерской группой Konni. Вредоносная программа представлена в формате HWP и нацелена на лиц, занимающихся вопросами, связанными с Северной Кореей. Она содержит анализ рыночных цен в Северной Корее и содержит конкретное значение хэша для идентификации. Вредоносная программа использует метод вставки вредоносного OLE в обычный документ, чтобы побудить пользователей нажать. Описание объекта файла было изменено, чтобы ввести пользователей в заблуждение, в результате чего он отображался как документ Microsoft Word, а не как файл HWP.
#ParsedReport #CompletenessMedium
09-02-2024
Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware
https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r-ransomware
Report completeness: Medium
Threats:
C3rb3r
Sliver_c2_tool
Xorddos
Upx_tool
Xmrig_miner
Industry:
Government, Financial, Healthcare, Entertainment
Geo:
German, French
CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)
ChatGPT TTPs:
T1190, T1486, T1219, T1496, T1041, T1560, T1064, T1105
IOCs:
IP: 39
File: 16
Url: 1
Hash: 5
Soft:
Confluence, Ubuntu, Mac OS, curl
Algorithms:
base64, sha1
Languages:
java
Platforms:
x64, intel
Links:
09-02-2024
Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware
https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r-ransomware
Report completeness: Medium
Threats:
C3rb3r
Sliver_c2_tool
Xorddos
Upx_tool
Xmrig_miner
Industry:
Government, Financial, Healthcare, Entertainment
Geo:
German, French
CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)
ChatGPT TTPs:
do not use without manual checkT1190, T1486, T1219, T1496, T1041, T1560, T1064, T1105
IOCs:
IP: 39
File: 16
Url: 1
Hash: 5
Soft:
Confluence, Ubuntu, Mac OS, curl
Algorithms:
base64, sha1
Languages:
java
Platforms:
x64, intel
Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/cve-2023-22527-leading-to-c3rb3rArctic Wolf
Blog - UK Archives - Arctic Wolf
Arctic Wolf's blog provides the latest cybersecurity news, trends, and industry information.
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R. Atlassian раскрывает уязвимость в определенных версиях Confluence, позволяющую удаленно выполнять код. Первое публичное сообщение о распространении C3RB3R посредством использования CVE-2023-22527. Arctic Wolf Labs разрабатывает пользовательские правила Yara для обнаружения вредоносных действий. Текст включает предупреждение от Atlassian, сообщение в блоге об эксплуатации CVE-2023-22527 и исследование программы-вымогателя C3RB3R, завершающееся подробной информацией о решениях Arctic Wolf и ресурсах кибербезопасности.
-----
Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R и других вредоносных полезных нагрузок. Atlassian раскрыл уязвимость, затрагивающую определенные версии Confluence, позволяющую выполнять удаленный код без проверки подлинности. В записке о выкупе, оставленной C3RB3R, жертвам предлагается приобрести программное обеспечение для расшифровки и предостерегается от попыток восстановления файлов. Этот инцидент знаменует собой первое публичное сообщение о распространении C3RB3R с использованием CVE-2023-22527. Arctic Wolf Labs разработала пользовательские правила Yara для обнаружения связанных с этим вредоносных действий. Дополнительная информация включает предупреждение от Atlassian, сообщение в блоге об использовании CVE-2023-22527 и исследование программы-вымогателя C3RB3R. Текст завершается подробностями о решениях Arctic Wolf и ресурсах, связанных с кибербезопасностью.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R. Atlassian раскрывает уязвимость в определенных версиях Confluence, позволяющую удаленно выполнять код. Первое публичное сообщение о распространении C3RB3R посредством использования CVE-2023-22527. Arctic Wolf Labs разрабатывает пользовательские правила Yara для обнаружения вредоносных действий. Текст включает предупреждение от Atlassian, сообщение в блоге об эксплуатации CVE-2023-22527 и исследование программы-вымогателя C3RB3R, завершающееся подробной информацией о решениях Arctic Wolf и ресурсах кибербезопасности.
-----
Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R и других вредоносных полезных нагрузок. Atlassian раскрыл уязвимость, затрагивающую определенные версии Confluence, позволяющую выполнять удаленный код без проверки подлинности. В записке о выкупе, оставленной C3RB3R, жертвам предлагается приобрести программное обеспечение для расшифровки и предостерегается от попыток восстановления файлов. Этот инцидент знаменует собой первое публичное сообщение о распространении C3RB3R с использованием CVE-2023-22527. Arctic Wolf Labs разработала пользовательские правила Yara для обнаружения связанных с этим вредоносных действий. Дополнительная информация включает предупреждение от Atlassian, сообщение в блоге об использовании CVE-2023-22527 и исследование программы-вымогателя C3RB3R. Текст завершается подробностями о решениях Arctic Wolf и ресурсах, связанных с кибербезопасностью.
#ParsedReport #CompletenessMedium
09-02-2024
From OnlyDcRatFans to RemcosRAT
https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat
Report completeness: Medium
Threats:
Dcrat
Remcos_rat
Anydesk_tool
Process_injection_technique
Geo:
Africa, Apac, America, Emea
ChatGPT TTPs:
T1566, T1204, T1059, T1027, T1055, T1071, T1560, T1573
IOCs:
Hash: 6
File: 5
Domain: 1
Soft:
Discord
Algorithms:
zip, gzip, md5
Languages:
javascript
Links:
09-02-2024
From OnlyDcRatFans to RemcosRAT
https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat
Report completeness: Medium
Threats:
Dcrat
Remcos_rat
Anydesk_tool
Process_injection_technique
Geo:
Africa, Apac, America, Emea
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1027, T1055, T1071, T1560, T1573
IOCs:
Hash: 6
File: 5
Domain: 1
Soft:
Discord
Algorithms:
zip, gzip, md5
Languages:
javascript
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/DcRAT\_RemcosRAT/iocs.txthttps://github.com/RussianPanda95/Configuration\_extractors/blob/main/DcRat\_config\_extract.pyhttps://github.com/RussianPanda95/Configuration\_extractors/blob/main/remcos\_config\_extract.pyeSentire
From OnlyDcRatFans to RemcosRAT
Learn more about the OnlyDcRatFans and RemosRAT malware and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 From OnlyDcRatFans to RemcosRAT https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat Report completeness: Medium Threats: Dcrat Remcos_rat Anydesk_tool Process_injection_technique Geo: Africa, Apac…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея:.
Подразделение реагирования на угрозы eSentire (TRU) - это команда проактивной кибербезопасности, занимающаяся повышением устойчивости организаций путем обеспечения непрерывного обнаружения угроз, защиты от различных вредоносных действий и активного поиска угроз. Инцидент в январе 2024 года, связанный с подозрительным ZIP-файлом, высветил использование изощренной тактики субъектами киберугроз для доставки и запуска инструментов удаленного доступа, подчеркнув уровень сложности и постоянства киберугроз в текущем ландшафте.
-----
Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организаций к кибербезопасности. Они обеспечивают непрерывное обнаружение угроз, защиту от известных и неизвестных угроз и активный поиск вредоносных действий. В ходе недавнего инцидента, произошедшего в январе 2024 года, кибер-аналитики SOC 24/7 идентифицировали подозрительный ZIP-архив с именем IMG_Mia_khlifa, содержащий исполняемый файл AnyDesk и winrm.vbs. Было обнаружено, что файл VBS запускает DcRat, инструмент удаленного доступа, поддерживающий динамическое выполнение плагинов. Метод доставки с использованием заманчивых имен файлов и популярных платформ, таких как Discord CDN, является распространенной тактикой для заманивания жертв. Наличие нескольких компонентов в атаке подчеркивает сложную стратегию: DcRat обеспечивает удаленный поиск и выполнение файлов, в то время как RemcosRAT внедряется в процесс winhlp32.exe демонстрирует целенаправленное внедрение процесса для обеспечения постоянства и скрытности. Эти результаты демонстрируют уровень изощренности и постоянства киберугроз в нынешних условиях.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея:.
Подразделение реагирования на угрозы eSentire (TRU) - это команда проактивной кибербезопасности, занимающаяся повышением устойчивости организаций путем обеспечения непрерывного обнаружения угроз, защиты от различных вредоносных действий и активного поиска угроз. Инцидент в январе 2024 года, связанный с подозрительным ZIP-файлом, высветил использование изощренной тактики субъектами киберугроз для доставки и запуска инструментов удаленного доступа, подчеркнув уровень сложности и постоянства киберугроз в текущем ландшафте.
-----
Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организаций к кибербезопасности. Они обеспечивают непрерывное обнаружение угроз, защиту от известных и неизвестных угроз и активный поиск вредоносных действий. В ходе недавнего инцидента, произошедшего в январе 2024 года, кибер-аналитики SOC 24/7 идентифицировали подозрительный ZIP-архив с именем IMG_Mia_khlifa, содержащий исполняемый файл AnyDesk и winrm.vbs. Было обнаружено, что файл VBS запускает DcRat, инструмент удаленного доступа, поддерживающий динамическое выполнение плагинов. Метод доставки с использованием заманчивых имен файлов и популярных платформ, таких как Discord CDN, является распространенной тактикой для заманивания жертв. Наличие нескольких компонентов в атаке подчеркивает сложную стратегию: DcRat обеспечивает удаленный поиск и выполнение файлов, в то время как RemcosRAT внедряется в процесс winhlp32.exe демонстрирует целенаправленное внедрение процесса для обеспечения постоянства и скрытности. Эти результаты демонстрируют уровень изощренности и постоянства киберугроз в нынешних условиях.
👍1
#technique
A deep dive into .NET malware obfuscators: Part 1
https://any.run/cybersecurity-blog/net-malware-obfuscators-analysis-part-one/
A deep dive into .NET malware obfuscators: Part 1
https://any.run/cybersecurity-blog/net-malware-obfuscators-analysis-part-one/
ANY.RUN's Cybersecurity Blog
A deep dive into .NET malware obfuscators: Part 1 - ANY.RUN's Cybersecurity Blog
Learn about by obfuscators like .NET Reactor and SmartAssembly favored by malware creators and discover deobfuscation methods.
👍1
#technique
Exploiting a vulnerable Minifilter Driver to create a process killer
https://antonioparata.blogspot.com/2024/02/exploiting-vulnerable-minifilter-driver.html
Exploiting a vulnerable Minifilter Driver to create a process killer
https://antonioparata.blogspot.com/2024/02/exploiting-vulnerable-minifilter-driver.html
#ParsedReport #CompletenessLow
12-02-2024
Diving Into Glupteba's UEFI Bootkit
https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit
Report completeness: Low
Threats:
Glupteba
Smokeloader
Redline_stealer
Privateloader
Ruzki_actor
Lojax
Blacklotus
Efiguard
Victims:
Palo alto networks customers, Organizations in greece,nepal,bangladesh,brazil,korea,algeria,ukraine,slovakia,turkey,italy,sweden
Industry:
Financial
Geo:
Italy, Greece, Korea, Nepal, Turkey, Bangladesh, Slovakia, Algeria, Ukraine, Sweden, Brazil, Russian
ChatGPT TTPs:
T1542.002, T1583.001, T1566, T1547.001, T1548.002, T1059, T1014, T1112, T1119
IOCs:
File: 6
Path: 5
Hash: 32
Domain: 12
Soft:
Telegram, Windows kernel, Bindiff
Algorithms:
zip
Functions:
SetVariable
Win API:
WinMain
Links:
12-02-2024
Diving Into Glupteba's UEFI Bootkit
https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit
Report completeness: Low
Threats:
Glupteba
Smokeloader
Redline_stealer
Privateloader
Ruzki_actor
Lojax
Blacklotus
Efiguard
Victims:
Palo alto networks customers, Organizations in greece,nepal,bangladesh,brazil,korea,algeria,ukraine,slovakia,turkey,italy,sweden
Industry:
Financial
Geo:
Italy, Greece, Korea, Nepal, Turkey, Bangladesh, Slovakia, Algeria, Ukraine, Sweden, Brazil, Russian
ChatGPT TTPs:
do not use without manual checkT1542.002, T1583.001, T1566, T1547.001, T1548.002, T1059, T1014, T1112, T1119
IOCs:
File: 6
Path: 5
Hash: 32
Domain: 12
Soft:
Telegram, Windows kernel, Bindiff
Algorithms:
zip
Functions:
SetVariable
Win API:
WinMain
Links:
https://github.com/tianocore/tianocore.github.io/wiki/PI-Boot-Flowhttps://github.com/hfiref0x/UPGDSEDhttps://github.com/Mattiwatti/EfiGuardhttps://github.com/hfiref0x/DSEFixUnit 42
Diving Into Glupteba's UEFI Bootkit
A 2023 Glupteba campaign includes an unreported feature — a UEFI bootkit. We analyze its complex architecture and how this botnet has evolved.
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 Diving Into Glupteba's UEFI Bootkit https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit Report completeness: Low Threats: Glupteba Smokeloader Redline_stealer Privateloader Ruzki_actor Lojax Blacklotus…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте обсуждается Glupteba, сложная и универсальная вредоносная программа, используемая в финансово мотивированных операциях по борьбе с киберпреступностью на протяжении более десяти лет, а недавняя кампания демонстрирует новую функцию UEFI bootkit. Glupteba является модульной системой, позволяющей осуществлять различные вредоносные действия, такие как кража учетных данных и проведение криптомайнинга. В статье освещается широкое использование Glupteba в кампаниях, нацеленных на организации с помощью таких методов распространения, как услуги с оплатой за установку и фишинговые атаки, подчеркивая растущую сложность современных киберугроз. В нем также затрагивается роль экосистемы PPI в распространении вредоносных программ и важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
-----
Glupteba - это сложная и универсальная вредоносная программа, которая уже более десяти лет используется в финансово мотивированных операциях по борьбе с киберпреступностью. Недавняя кампания в ноябре 2023 года выявила новую функцию: загрузочный набор Unified Extensible Firmware Interface (UEFI), который позволяет Glupteba скрывать себя во время процесса загрузки операционной системы, что затрудняет его обнаружение и удаление. Вредоносная программа является модульной, что позволяет ей загружать и запускать дополнительные компоненты для различных вредоносных действий, таких как кража учетных данных, проведение криптомайнинга и мошенничество с цифровой рекламой.
В статье обсуждается использование Glupteba в широкомасштабных кампаниях, нацеленных на организации во многих странах. Вредоносное ПО часто распространяется через сервисы с оплатой за установку, что подчеркивает прибыльность таких сервисов при распространении вредоносного программного обеспечения. В ходе недавних кампаний Glupteba распространялась с помощью веб-методов и крупномасштабных фишинговых атак, что привело к многочисленным заражениям. Одним из примечательных аспектов Glupteba является включение недокументированного загрузочного набора UEFI, демонстрирующего растущую сложность современных киберугроз.
Кроме того, в статье затрагивается экосистема PPI, которая играет решающую роль в распространении вредоносных программ. Сервисы PPI эволюционировали от распространения рекламы до распространения программ-шпионов и вредоносного ПО, а такие платформы, как Ruzki, облегчают распространение различного вредоносного программного обеспечения. Стратегии сотрудничества и монетизации в рамках экосистемы PPI подчеркивают важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте обсуждается Glupteba, сложная и универсальная вредоносная программа, используемая в финансово мотивированных операциях по борьбе с киберпреступностью на протяжении более десяти лет, а недавняя кампания демонстрирует новую функцию UEFI bootkit. Glupteba является модульной системой, позволяющей осуществлять различные вредоносные действия, такие как кража учетных данных и проведение криптомайнинга. В статье освещается широкое использование Glupteba в кампаниях, нацеленных на организации с помощью таких методов распространения, как услуги с оплатой за установку и фишинговые атаки, подчеркивая растущую сложность современных киберугроз. В нем также затрагивается роль экосистемы PPI в распространении вредоносных программ и важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
-----
Glupteba - это сложная и универсальная вредоносная программа, которая уже более десяти лет используется в финансово мотивированных операциях по борьбе с киберпреступностью. Недавняя кампания в ноябре 2023 года выявила новую функцию: загрузочный набор Unified Extensible Firmware Interface (UEFI), который позволяет Glupteba скрывать себя во время процесса загрузки операционной системы, что затрудняет его обнаружение и удаление. Вредоносная программа является модульной, что позволяет ей загружать и запускать дополнительные компоненты для различных вредоносных действий, таких как кража учетных данных, проведение криптомайнинга и мошенничество с цифровой рекламой.
В статье обсуждается использование Glupteba в широкомасштабных кампаниях, нацеленных на организации во многих странах. Вредоносное ПО часто распространяется через сервисы с оплатой за установку, что подчеркивает прибыльность таких сервисов при распространении вредоносного программного обеспечения. В ходе недавних кампаний Glupteba распространялась с помощью веб-методов и крупномасштабных фишинговых атак, что привело к многочисленным заражениям. Одним из примечательных аспектов Glupteba является включение недокументированного загрузочного набора UEFI, демонстрирующего растущую сложность современных киберугроз.
Кроме того, в статье затрагивается экосистема PPI, которая играет решающую роль в распространении вредоносных программ. Сервисы PPI эволюционировали от распространения рекламы до распространения программ-шпионов и вредоносного ПО, а такие платформы, как Ruzki, облегчают распространение различного вредоносного программного обеспечения. Стратегии сотрудничества и монетизации в рамках экосистемы PPI подчеркивают важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
#ParsedReport #CompletenessLow
12-02-2024
PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI
https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai
Report completeness: Low
Actors/Campaigns:
Smoothoperator
Industry:
Financial, Government
Geo:
American
ChatGPT TTPs:
T1566, T1585, T1583, T1584
Soft:
ChatGPT
12-02-2024
PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI
https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai
Report completeness: Low
Actors/Campaigns:
Smoothoperator
Industry:
Financial, Government
Geo:
American
ChatGPT TTPs:
do not use without manual checkT1566, T1585, T1583, T1584
Soft:
ChatGPT
SentinelOne
PinnacleOne ExecBrief | Safe, Secure, and Trustworthy AI
For this second post of our re-launched PinnacleOne ExecBrief, we summarize our response to NIST's AI RFI, including our insights on the use of AI in cyber.