CTT Report Hub
3.4K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 09-02-2024 FBI and CISA publish guide to Living off the Land techniques https://www.malwarebytes.com/blog/news/2024/02/fbi-and-cisa-publish-guide-to-living-off-the-land-techniques Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в совместном руководстве, выпущенном несколькими агентствами США по методам "Жизни за пределами земли" (LOTL) и пробелам в киберзащите, особенно в ответ на предупреждения об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Руководство охватывает различные аспекты защиты от киберугроз, включая рекомендации по детальному ведению журнала, анализу поведения, защите от программ-вымогателей и важность разработки безопасного программного обеспечения для предотвращения методов LOTL.
-----

Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA), Федеральное бюро расследований (ФБР) и другие агентства выпустили совместное руководство по методам совместного проживания за пределами страны (LOTL) и пробелам в киберзащите. LOTL - это метод скрытой атаки, использующий законные ИТ-инструменты. Этот ответ последовал за предупреждениями об атаках на критически важную инфраструктуру со стороны групп, связанных с правительством Китая. Официальные лица США выявили атаку Volt Typhoon, предположительно поддерживаемую Китаем, с использованием ботнета для доступа к критически важной инфраструктуре. Корпорация Майкрософт обнаружила целенаправленную активность Volt Typhoon, направленную на критически важную инфраструктуру США. Руководство охватывает российских спонсируемых государством субъектов и банды программ-вымогателей. Рекомендации включают внедрение подробного ведения журнала, базовых показателей, автоматизации для просмотра журналов, анализа поведения и многого другого. Выделены ключевые советы по защите от программ-вымогателей, включая исправление уязвимостей, безопасность конечных точек, резервное копирование и восстановление после атаки. Наконец, в тексте подчеркивается необходимость разработки безопасного программного обеспечения для предотвращения методов LOTL и последующих атак.
#ParsedReport #CompletenessLow
11-02-2024

RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024)

https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited

Report completeness: Low

Actors/Campaigns:
Volt_typhoon

Threats:
Mitm_technique

Victims:
Fortinet, Linux distributions using shim, Ivanti products

Industry:
Government

Geo:
Chinese

CVEs:
CVE-2023-40547 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)

CVE-2023-40548 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.9
X-Force: Patch: Official fix
Soft:
- redhat shim (le15.8)

CVE-2023-40546 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)

CVE-2023-40550 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)

CVE-2023-40549 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.2
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)

CVE-2024-23113 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix

CVE-2023-40551 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.1
X-Force: Patch: Official fix
Soft:
- redhat shim (<15.8)


ChatGPT TTPs:
do not use without manual check
T1190, T1550, T1566, T1068, T1194, T1102

IOCs:
Domain: 3

Soft:
Ivanti, Mastodon
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024) https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Fortinet раскрыла критические уязвимости в FortiOS SSL VPN, которые активно эксплуатируются, в том числе спонсируемой китайским государством группой Volt Typhoon. CISA выпустила руководство по устранению уязвимостей и поручила федеральным агентствам США отключить уязвимые продукты Ivanti из соображений безопасности.
-----

Fortinet раскрыла две критические уязвимости в FortiOS SSL VPN, CVE-2024-21762 и CVE-2024-23113, которые потенциально могут быть использованы злоумышленниками, включая спонсируемую китайским государством группу Volt Typhoon. CISA выпустила руководства по устранению. Еще одна критическая уязвимость (CVE-2023-40547) в поддержке HTTP-загрузки shim может привести к обходу безопасной загрузки, что приведет к компрометации системы. Разработчики выпустили исправление с shim версии 15.8. На продукты Ivanti также влияет уязвимость CVE-2024-22024 XXE, причем сообщения об эксплуатации затрагивают такие платформы, как X. CISA направила федеральным агентствам США указание отключить уязвимые продукты Ivanti из соображений безопасности.
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 Malware that attacks by disguising North Korean market price analysis documents created by Konni - North Korean market price analysis (Hoeryeong).hwp? (2023.11.17) https://wezard4u.tistory.com/6728 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейская хакерская группа под названием Konni создала вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp, предназначенный для лиц, занимающихся вопросами, связанными с Северной Кореей. Вредоносная программа представлена в формате HWP, содержит анализ рыночных цен Северной Кореи, использует метод вставки вредоносного OLE в обычный документ для обмана пользователей и отображается в виде документа Microsoft Word, чтобы побудить пользователей нажать.
-----

В тексте обсуждается вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp? (2023.11.17), созданный северокорейской хакерской группой Konni. Вредоносная программа представлена в формате HWP и нацелена на лиц, занимающихся вопросами, связанными с Северной Кореей. Она содержит анализ рыночных цен в Северной Корее и содержит конкретное значение хэша для идентификации. Вредоносная программа использует метод вставки вредоносного OLE в обычный документ, чтобы побудить пользователей нажать. Описание объекта файла было изменено, чтобы ввести пользователей в заблуждение, в результате чего он отображался как документ Microsoft Word, а не как файл HWP.
#ParsedReport #CompletenessMedium
09-02-2024

Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware

https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r-ransomware

Report completeness: Medium

Threats:
C3rb3r
Sliver_c2_tool
Xorddos
Upx_tool
Xmrig_miner

Industry:
Government, Financial, Healthcare, Entertainment

Geo:
German, French

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1219, T1496, T1041, T1560, T1064, T1105

IOCs:
IP: 39
File: 16
Url: 1
Hash: 5

Soft:
Confluence, Ubuntu, Mac OS, curl

Algorithms:
base64, sha1

Languages:
java

Platforms:
x64, intel

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/cve-2023-22527-leading-to-c3rb3r
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R. Atlassian раскрывает уязвимость в определенных версиях Confluence, позволяющую удаленно выполнять код. Первое публичное сообщение о распространении C3RB3R посредством использования CVE-2023-22527. Arctic Wolf Labs разрабатывает пользовательские правила Yara для обнаружения вредоносных действий. Текст включает предупреждение от Atlassian, сообщение в блоге об эксплуатации CVE-2023-22527 и исследование программы-вымогателя C3RB3R, завершающееся подробной информацией о решениях Arctic Wolf и ресурсах кибербезопасности.
-----

Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R и других вредоносных полезных нагрузок. Atlassian раскрыл уязвимость, затрагивающую определенные версии Confluence, позволяющую выполнять удаленный код без проверки подлинности. В записке о выкупе, оставленной C3RB3R, жертвам предлагается приобрести программное обеспечение для расшифровки и предостерегается от попыток восстановления файлов. Этот инцидент знаменует собой первое публичное сообщение о распространении C3RB3R с использованием CVE-2023-22527. Arctic Wolf Labs разработала пользовательские правила Yara для обнаружения связанных с этим вредоносных действий. Дополнительная информация включает предупреждение от Atlassian, сообщение в блоге об использовании CVE-2023-22527 и исследование программы-вымогателя C3RB3R. Текст завершается подробностями о решениях Arctic Wolf и ресурсах, связанных с кибербезопасностью.
#ParsedReport #CompletenessMedium
09-02-2024

From OnlyDcRatFans to RemcosRAT

https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat

Report completeness: Medium

Threats:
Dcrat
Remcos_rat
Anydesk_tool
Process_injection_technique

Geo:
Africa, Apac, America, Emea

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1027, T1055, T1071, T1560, T1573

IOCs:
Hash: 6
File: 5
Domain: 1

Soft:
Discord

Algorithms:
zip, gzip, md5

Languages:
javascript

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/DcRAT\_RemcosRAT/iocs.txt
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/DcRat\_config\_extract.py
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/remcos\_config\_extract.py
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 From OnlyDcRatFans to RemcosRAT https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat Report completeness: Medium Threats: Dcrat Remcos_rat Anydesk_tool Process_injection_technique Geo: Africa, Apac…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Подразделение реагирования на угрозы eSentire (TRU) - это команда проактивной кибербезопасности, занимающаяся повышением устойчивости организаций путем обеспечения непрерывного обнаружения угроз, защиты от различных вредоносных действий и активного поиска угроз. Инцидент в январе 2024 года, связанный с подозрительным ZIP-файлом, высветил использование изощренной тактики субъектами киберугроз для доставки и запуска инструментов удаленного доступа, подчеркнув уровень сложности и постоянства киберугроз в текущем ландшафте.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организаций к кибербезопасности. Они обеспечивают непрерывное обнаружение угроз, защиту от известных и неизвестных угроз и активный поиск вредоносных действий. В ходе недавнего инцидента, произошедшего в январе 2024 года, кибер-аналитики SOC 24/7 идентифицировали подозрительный ZIP-архив с именем IMG_Mia_khlifa, содержащий исполняемый файл AnyDesk и winrm.vbs. Было обнаружено, что файл VBS запускает DcRat, инструмент удаленного доступа, поддерживающий динамическое выполнение плагинов. Метод доставки с использованием заманчивых имен файлов и популярных платформ, таких как Discord CDN, является распространенной тактикой для заманивания жертв. Наличие нескольких компонентов в атаке подчеркивает сложную стратегию: DcRat обеспечивает удаленный поиск и выполнение файлов, в то время как RemcosRAT внедряется в процесс winhlp32.exe демонстрирует целенаправленное внедрение процесса для обеспечения постоянства и скрытности. Эти результаты демонстрируют уровень изощренности и постоянства киберугроз в нынешних условиях.
👍1
#technique

Exploiting a vulnerable Minifilter Driver to create a process killer

https://antonioparata.blogspot.com/2024/02/exploiting-vulnerable-minifilter-driver.html
#ParsedReport #CompletenessLow
12-02-2024

Diving Into Glupteba's UEFI Bootkit

https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit

Report completeness: Low

Threats:
Glupteba
Smokeloader
Redline_stealer
Privateloader
Ruzki_actor
Lojax
Blacklotus
Efiguard

Victims:
Palo alto networks customers, Organizations in greece,nepal,bangladesh,brazil,korea,algeria,ukraine,slovakia,turkey,italy,sweden

Industry:
Financial

Geo:
Italy, Greece, Korea, Nepal, Turkey, Bangladesh, Slovakia, Algeria, Ukraine, Sweden, Brazil, Russian

ChatGPT TTPs:
do not use without manual check
T1542.002, T1583.001, T1566, T1547.001, T1548.002, T1059, T1014, T1112, T1119

IOCs:
File: 6
Path: 5
Hash: 32
Domain: 12

Soft:
Telegram, Windows kernel, Bindiff

Algorithms:
zip

Functions:
SetVariable

Win API:
WinMain

Links:
https://github.com/tianocore/tianocore.github.io/wiki/PI-Boot-Flow
https://github.com/hfiref0x/UPGDSED
https://github.com/Mattiwatti/EfiGuard
https://github.com/hfiref0x/DSEFix
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 Diving Into Glupteba's UEFI Bootkit https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit Report completeness: Low Threats: Glupteba Smokeloader Redline_stealer Privateloader Ruzki_actor Lojax Blacklotus…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается Glupteba, сложная и универсальная вредоносная программа, используемая в финансово мотивированных операциях по борьбе с киберпреступностью на протяжении более десяти лет, а недавняя кампания демонстрирует новую функцию UEFI bootkit. Glupteba является модульной системой, позволяющей осуществлять различные вредоносные действия, такие как кража учетных данных и проведение криптомайнинга. В статье освещается широкое использование Glupteba в кампаниях, нацеленных на организации с помощью таких методов распространения, как услуги с оплатой за установку и фишинговые атаки, подчеркивая растущую сложность современных киберугроз. В нем также затрагивается роль экосистемы PPI в распространении вредоносных программ и важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
-----

Glupteba - это сложная и универсальная вредоносная программа, которая уже более десяти лет используется в финансово мотивированных операциях по борьбе с киберпреступностью. Недавняя кампания в ноябре 2023 года выявила новую функцию: загрузочный набор Unified Extensible Firmware Interface (UEFI), который позволяет Glupteba скрывать себя во время процесса загрузки операционной системы, что затрудняет его обнаружение и удаление. Вредоносная программа является модульной, что позволяет ей загружать и запускать дополнительные компоненты для различных вредоносных действий, таких как кража учетных данных, проведение криптомайнинга и мошенничество с цифровой рекламой.

В статье обсуждается использование Glupteba в широкомасштабных кампаниях, нацеленных на организации во многих странах. Вредоносное ПО часто распространяется через сервисы с оплатой за установку, что подчеркивает прибыльность таких сервисов при распространении вредоносного программного обеспечения. В ходе недавних кампаний Glupteba распространялась с помощью веб-методов и крупномасштабных фишинговых атак, что привело к многочисленным заражениям. Одним из примечательных аспектов Glupteba является включение недокументированного загрузочного набора UEFI, демонстрирующего растущую сложность современных киберугроз.

Кроме того, в статье затрагивается экосистема PPI, которая играет решающую роль в распространении вредоносных программ. Сервисы PPI эволюционировали от распространения рекламы до распространения программ-шпионов и вредоносного ПО, а такие платформы, как Ruzki, облегчают распространение различного вредоносного программного обеспечения. Стратегии сотрудничества и монетизации в рамках экосистемы PPI подчеркивают важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
#ParsedReport #CompletenessLow
12-02-2024

PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI

https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai

Report completeness: Low

Actors/Campaigns:
Smoothoperator

Industry:
Financial, Government

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1566, T1585, T1583, T1584

Soft:
ChatGPT