CTT Report Hub
3.39K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 RCEs in FortiOS SSL VPN, shim ; Latest Ivanti Flaw Possibly Exploited (CVE-2024-21762, CVE-2023-40547, CVE-2024-22024) https://socradar.io/rces-in-fortios-ssl-vpn-shim-latest-ivanti-flaw-possibly-exploited Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Fortinet раскрыла критические уязвимости в FortiOS SSL VPN, которые активно эксплуатируются, в том числе спонсируемой китайским государством группой Volt Typhoon. CISA выпустила руководство по устранению уязвимостей и поручила федеральным агентствам США отключить уязвимые продукты Ivanti из соображений безопасности.
-----

Fortinet раскрыла две критические уязвимости в FortiOS SSL VPN, CVE-2024-21762 и CVE-2024-23113, которые потенциально могут быть использованы злоумышленниками, включая спонсируемую китайским государством группу Volt Typhoon. CISA выпустила руководства по устранению. Еще одна критическая уязвимость (CVE-2023-40547) в поддержке HTTP-загрузки shim может привести к обходу безопасной загрузки, что приведет к компрометации системы. Разработчики выпустили исправление с shim версии 15.8. На продукты Ivanti также влияет уязвимость CVE-2024-22024 XXE, причем сообщения об эксплуатации затрагивают такие платформы, как X. CISA направила федеральным агентствам США указание отключить уязвимые продукты Ivanti из соображений безопасности.
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2024 Malware that attacks by disguising North Korean market price analysis documents created by Konni - North Korean market price analysis (Hoeryeong).hwp? (2023.11.17) https://wezard4u.tistory.com/6728 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейская хакерская группа под названием Konni создала вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp, предназначенный для лиц, занимающихся вопросами, связанными с Северной Кореей. Вредоносная программа представлена в формате HWP, содержит анализ рыночных цен Северной Кореи, использует метод вставки вредоносного OLE в обычный документ для обмана пользователей и отображается в виде документа Microsoft Word, чтобы побудить пользователей нажать.
-----

В тексте обсуждается вредоносный код под названием Joseon Market Price Analysis (Hoeryeong).hwp? (2023.11.17), созданный северокорейской хакерской группой Konni. Вредоносная программа представлена в формате HWP и нацелена на лиц, занимающихся вопросами, связанными с Северной Кореей. Она содержит анализ рыночных цен в Северной Корее и содержит конкретное значение хэша для идентификации. Вредоносная программа использует метод вставки вредоносного OLE в обычный документ, чтобы побудить пользователей нажать. Описание объекта файла было изменено, чтобы ввести пользователей в заблуждение, в результате чего он отображался как документ Microsoft Word, а не как файл HWP.
#ParsedReport #CompletenessMedium
09-02-2024

Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware

https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r-ransomware

Report completeness: Medium

Threats:
C3rb3r
Sliver_c2_tool
Xorddos
Upx_tool
Xmrig_miner

Industry:
Government, Financial, Healthcare, Entertainment

Geo:
German, French

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1219, T1496, T1041, T1560, T1064, T1105

IOCs:
IP: 39
File: 16
Url: 1
Hash: 5

Soft:
Confluence, Ubuntu, Mac OS, curl

Algorithms:
base64, sha1

Languages:
java

Platforms:
x64, intel

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/cve-2023-22527-leading-to-c3rb3r
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 Exploitation of Confluence Server Vulnerability CVE-2023-22527 Leading to C3RB3R Ransomware https://arcticwolf.com/resources/blog-uk/exploitation-of-confluence-server-vulnerability-cve-2023-22527-leading-to-c3rb3r…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R. Atlassian раскрывает уязвимость в определенных версиях Confluence, позволяющую удаленно выполнять код. Первое публичное сообщение о распространении C3RB3R посредством использования CVE-2023-22527. Arctic Wolf Labs разрабатывает пользовательские правила Yara для обнаружения вредоносных действий. Текст включает предупреждение от Atlassian, сообщение в блоге об эксплуатации CVE-2023-22527 и исследование программы-вымогателя C3RB3R, завершающееся подробной информацией о решениях Arctic Wolf и ресурсах кибербезопасности.
-----

Arctic Wolf Labs выявила использование CVE-2023-22527 для развертывания программы-вымогателя C3RB3R и других вредоносных полезных нагрузок. Atlassian раскрыл уязвимость, затрагивающую определенные версии Confluence, позволяющую выполнять удаленный код без проверки подлинности. В записке о выкупе, оставленной C3RB3R, жертвам предлагается приобрести программное обеспечение для расшифровки и предостерегается от попыток восстановления файлов. Этот инцидент знаменует собой первое публичное сообщение о распространении C3RB3R с использованием CVE-2023-22527. Arctic Wolf Labs разработала пользовательские правила Yara для обнаружения связанных с этим вредоносных действий. Дополнительная информация включает предупреждение от Atlassian, сообщение в блоге об использовании CVE-2023-22527 и исследование программы-вымогателя C3RB3R. Текст завершается подробностями о решениях Arctic Wolf и ресурсах, связанных с кибербезопасностью.
#ParsedReport #CompletenessMedium
09-02-2024

From OnlyDcRatFans to RemcosRAT

https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat

Report completeness: Medium

Threats:
Dcrat
Remcos_rat
Anydesk_tool
Process_injection_technique

Geo:
Africa, Apac, America, Emea

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1027, T1055, T1071, T1560, T1573

IOCs:
Hash: 6
File: 5
Domain: 1

Soft:
Discord

Algorithms:
zip, gzip, md5

Languages:
javascript

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/DcRAT\_RemcosRAT/iocs.txt
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/DcRat\_config\_extract.py
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/remcos\_config\_extract.py
CTT Report Hub
#ParsedReport #CompletenessMedium 09-02-2024 From OnlyDcRatFans to RemcosRAT https://www.esentire.com/blog/from-onlydcratfans-to-remcosrat Report completeness: Medium Threats: Dcrat Remcos_rat Anydesk_tool Process_injection_technique Geo: Africa, Apac…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Подразделение реагирования на угрозы eSentire (TRU) - это команда проактивной кибербезопасности, занимающаяся повышением устойчивости организаций путем обеспечения непрерывного обнаружения угроз, защиты от различных вредоносных действий и активного поиска угроз. Инцидент в январе 2024 года, связанный с подозрительным ZIP-файлом, высветил использование изощренной тактики субъектами киберугроз для доставки и запуска инструментов удаленного доступа, подчеркнув уровень сложности и постоянства киберугроз в текущем ландшафте.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, занимающаяся повышением устойчивости организаций к кибербезопасности. Они обеспечивают непрерывное обнаружение угроз, защиту от известных и неизвестных угроз и активный поиск вредоносных действий. В ходе недавнего инцидента, произошедшего в январе 2024 года, кибер-аналитики SOC 24/7 идентифицировали подозрительный ZIP-архив с именем IMG_Mia_khlifa, содержащий исполняемый файл AnyDesk и winrm.vbs. Было обнаружено, что файл VBS запускает DcRat, инструмент удаленного доступа, поддерживающий динамическое выполнение плагинов. Метод доставки с использованием заманчивых имен файлов и популярных платформ, таких как Discord CDN, является распространенной тактикой для заманивания жертв. Наличие нескольких компонентов в атаке подчеркивает сложную стратегию: DcRat обеспечивает удаленный поиск и выполнение файлов, в то время как RemcosRAT внедряется в процесс winhlp32.exe демонстрирует целенаправленное внедрение процесса для обеспечения постоянства и скрытности. Эти результаты демонстрируют уровень изощренности и постоянства киберугроз в нынешних условиях.
👍1
#technique

Exploiting a vulnerable Minifilter Driver to create a process killer

https://antonioparata.blogspot.com/2024/02/exploiting-vulnerable-minifilter-driver.html
#ParsedReport #CompletenessLow
12-02-2024

Diving Into Glupteba's UEFI Bootkit

https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit

Report completeness: Low

Threats:
Glupteba
Smokeloader
Redline_stealer
Privateloader
Ruzki_actor
Lojax
Blacklotus
Efiguard

Victims:
Palo alto networks customers, Organizations in greece,nepal,bangladesh,brazil,korea,algeria,ukraine,slovakia,turkey,italy,sweden

Industry:
Financial

Geo:
Italy, Greece, Korea, Nepal, Turkey, Bangladesh, Slovakia, Algeria, Ukraine, Sweden, Brazil, Russian

ChatGPT TTPs:
do not use without manual check
T1542.002, T1583.001, T1566, T1547.001, T1548.002, T1059, T1014, T1112, T1119

IOCs:
File: 6
Path: 5
Hash: 32
Domain: 12

Soft:
Telegram, Windows kernel, Bindiff

Algorithms:
zip

Functions:
SetVariable

Win API:
WinMain

Links:
https://github.com/tianocore/tianocore.github.io/wiki/PI-Boot-Flow
https://github.com/hfiref0x/UPGDSED
https://github.com/Mattiwatti/EfiGuard
https://github.com/hfiref0x/DSEFix
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 Diving Into Glupteba's UEFI Bootkit https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit Report completeness: Low Threats: Glupteba Smokeloader Redline_stealer Privateloader Ruzki_actor Lojax Blacklotus…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается Glupteba, сложная и универсальная вредоносная программа, используемая в финансово мотивированных операциях по борьбе с киберпреступностью на протяжении более десяти лет, а недавняя кампания демонстрирует новую функцию UEFI bootkit. Glupteba является модульной системой, позволяющей осуществлять различные вредоносные действия, такие как кража учетных данных и проведение криптомайнинга. В статье освещается широкое использование Glupteba в кампаниях, нацеленных на организации с помощью таких методов распространения, как услуги с оплатой за установку и фишинговые атаки, подчеркивая растущую сложность современных киберугроз. В нем также затрагивается роль экосистемы PPI в распространении вредоносных программ и важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
-----

Glupteba - это сложная и универсальная вредоносная программа, которая уже более десяти лет используется в финансово мотивированных операциях по борьбе с киберпреступностью. Недавняя кампания в ноябре 2023 года выявила новую функцию: загрузочный набор Unified Extensible Firmware Interface (UEFI), который позволяет Glupteba скрывать себя во время процесса загрузки операционной системы, что затрудняет его обнаружение и удаление. Вредоносная программа является модульной, что позволяет ей загружать и запускать дополнительные компоненты для различных вредоносных действий, таких как кража учетных данных, проведение криптомайнинга и мошенничество с цифровой рекламой.

В статье обсуждается использование Glupteba в широкомасштабных кампаниях, нацеленных на организации во многих странах. Вредоносное ПО часто распространяется через сервисы с оплатой за установку, что подчеркивает прибыльность таких сервисов при распространении вредоносного программного обеспечения. В ходе недавних кампаний Glupteba распространялась с помощью веб-методов и крупномасштабных фишинговых атак, что привело к многочисленным заражениям. Одним из примечательных аспектов Glupteba является включение недокументированного загрузочного набора UEFI, демонстрирующего растущую сложность современных киберугроз.

Кроме того, в статье затрагивается экосистема PPI, которая играет решающую роль в распространении вредоносных программ. Сервисы PPI эволюционировали от распространения рекламы до распространения программ-шпионов и вредоносного ПО, а такие платформы, как Ruzki, облегчают распространение различного вредоносного программного обеспечения. Стратегии сотрудничества и монетизации в рамках экосистемы PPI подчеркивают важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
#ParsedReport #CompletenessLow
12-02-2024

PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI

https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai

Report completeness: Low

Actors/Campaigns:
Smoothoperator

Industry:
Financial, Government

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1566, T1585, T1583, T1584

Soft:
ChatGPT
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai Report completeness: Low Actors/Campaigns: Smoothoperator Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте подчеркивается важность федеральной политики, поддерживающей исследования и разработки в области кибербезопасности, с особым упором на роль технологий искусственного интеллекта, таких как Purple AI, в борьбе с киберугрозами. В нем обсуждается использование генеративного ИИ в кибератаках, развитие тактики социальной инженерии с использованием ИИ и преимущества ИИ в поиске угроз и анализе данных. Также подчеркивается необходимость междисциплинарного подхода с привлечением экспертов по кибербезопасности, инженеров по искусственному интеллекту и юристов для обеспечения соответствия требованиям и доверия пользователей, наряду с более широкими правовыми, этическими последствиями использования агентов искусственного интеллекта в операциях по кибербезопасности и обеспечению безопасности.
-----

В тексте подчеркивается важность федеральной политики, поддерживающей исследования и разработки в области кибербезопасности для устранения возникающих угроз. В нем упоминается технология кибербезопасности с поддержкой искусственного интеллекта Purple AI, разработанная для стимулирования инноваций и опережения рисков. Обсуждается более широкое использование генеративного ИИ для социальной инженерии в кибератаках с примерами использования ИИ для обмана жертв. Также подчеркивается, как технологии ИИ позволяют хакерам проводить продвинутые атаки социальной инженерии, сочетающие текст, голос и видео. В тексте обсуждается, как искусственный интеллект может помочь в поиске угроз с помощью анализа данных и разговорных чатов, позволяя аналитикам быстро выявлять подозрительное поведение. Кроме того, в нем подчеркивается необходимость применения методов обеспечения безопасности, учитывающих как злонамеренные угрозы, так и непреднамеренные действия пользователей, что требует сочетания экспертов по кибербезопасности, инженеров AI/ML и юристов для обеспечения соответствия требованиям и доверия пользователей. Представлено более широкое обсуждение правовых, этических соображений и соображений безопасности, связанных с растущей мощью и распространенностью агентов искусственного интеллекта в операциях по обеспечению кибербезопасности.
#ParsedReport #CompletenessMedium
12-02-2024

The (D)Evolution of Pikabot

https://www.zscaler.com/blogs/security-research/d-evolution-pikabot

Report completeness: Medium

Threats:
Pikabot
Qakbot
Blackbasta
Cobalt_strike
Advobfuscator_tool
Junk_code_technique
Beacon

Geo:
Ukrainian, Russian, Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1059, T1112, T1543, T1105, T1071, T1027.002, T1055, T1497, have more...

IOCs:
Hash: 2
IP: 13
File: 2

Algorithms:
rc4, aes, aes-cbc

Functions:
Windows

Win API:
CheckRemoteDebuggerPresent, GetVolumeInformationW

Languages:
python

Links:
https://github.com/andrivet/ADVobfuscator