#ParsedReport #CompletenessMedium
12-02-2024
Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner
https://habr.com/ru/companies/f_a_c_c_t/news/792672
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer
Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations
Industry:
Healthcare, Financial, Government
Geo:
Czech, Belarus, Belarusian, Russian, Russia
ChatGPT TTPs:
T1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105
IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1
Soft:
NSIS Installer
Algorithms:
md5, sha1, sha256
Languages:
autoit
12-02-2024
Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner
https://habr.com/ru/companies/f_a_c_c_t/news/792672
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer
Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations
Industry:
Healthcare, Financial, Government
Geo:
Czech, Belarus, Belarusian, Russian, Russia
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105
IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1
Soft:
NSIS Installer
Algorithms:
md5, sha1, sha256
Languages:
autoit
Хабр
Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner
Кибершпионская APT-группа Sticky Werewolf , вероятно , попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного...
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner https://habr.com/ru/companies/f_a_c_c_t/news/792672 Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----
Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----
Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
#ParsedReport #CompletenessMedium
12-02-2024
Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion
https://www.crowdstrike.com/blog/hijackloader-expands-techniques
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique
TTPs:
IOCs:
Url: 4
Path: 3
File: 4
Hash: 2
Algorithms:
xor
Functions:
Gate, WriteFileW
Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...
Platforms:
x64
Links:
12-02-2024
Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion
https://www.crowdstrike.com/blog/hijackloader-expands-techniques
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique
TTPs:
IOCs:
Url: 4
Path: 3
File: 4
Hash: 2
Algorithms:
xor
Functions:
Gate, WriteFileW
Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...
Platforms:
x64
Links:
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29CrowdStrike.com
HijackLoader Expands Techniques to Improve Defense Evasion
Read this blog to learn about the HijackLoader sample that employs sophisticated evasion techniques to enhance the complexity of the threat.
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion https://www.crowdstrike.com/blog/hijackloader-expands-techniques Report completeness: Medium Threats: Hijackloader Idat_loader Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----
Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----
Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
#ParsedReport #CompletenessLow
12-02-2024
PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content
Report completeness: Low
Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback
Threats:
Viking
Magnitude
Melissa
Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial
Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish
ChatGPT TTPs:
T1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...
IOCs:
Domain: 136
IP: 10
Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
12-02-2024
PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content
Report completeness: Low
Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback
Threats:
Viking
Magnitude
Melissa
Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial
Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish
ChatGPT TTPs:
do not use without manual checkT1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...
IOCs:
Domain: 136
IP: 10
Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
The Citizen Lab
PAPERWALL
A network of at least 123 websites operated from within the People’s Republic of China while posing as local news outlets in 30 countries across Europe, Asia, and Latin America, disseminates pro-Beijing disinformation and ad hominem attacks within much larger…
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----
Краткое содержание:.
Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----
Краткое содержание:.
Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
#ParsedReport #CompletenessLow
12-02-2024
RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group
Report completeness: Low
Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012
IOCs:
File: 5
Hash: 33
IP: 2
Soft:
MacOS, Mac OS, Visual Studio, sysctl
Algorithms:
zip
Languages:
python, rust
Platforms:
intel, arm, apple
12-02-2024
RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group
Report completeness: Low
Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012
IOCs:
File: 5
Hash: 33
IP: 2
Soft:
MacOS, Mac OS, Visual Studio, sysctl
Algorithms:
zip
Languages:
python, rust
Platforms:
intel, arm, apple
Bitdefender Labs
New macOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
UPDATE:
Following our initial release, we have been contacted by our fellow researchers at Jamf who were able to identify three more samples that act like first-stage payloads.
Following our initial release, we have been contacted by our fellow researchers at Jamf who were able to identify three more samples that act like first-stage payloads.
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----
Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----
Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.
#ParsedReport #CompletenessLow
13-02-2024
Ivanti Connect Secure: Journey to the core of the DSLog backdoor
https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor
Report completeness: Low
Threats:
Dslog
Victims:
Ivanti
Geo:
Chinese
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1190, T1199, T1133, T1021.001, T1552.004, T1190, T1547.013, T1070.004, T1553.007, T1486, have more...
IOCs:
File: 2
IP: 1
Soft:
Ivanti
Algorithms:
base64, sha256, rot47
Languages:
perl
13-02-2024
Ivanti Connect Secure: Journey to the core of the DSLog backdoor
https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor
Report completeness: Low
Threats:
Dslog
Victims:
Ivanti
Geo:
Chinese
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1190, T1199, T1133, T1021.001, T1552.004, T1190, T1547.013, T1070.004, T1553.007, T1486, have more...
IOCs:
File: 2
IP: 1
Soft:
Ivanti
Algorithms:
base64, sha256, rot47
Languages:
perl
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Ivanti Connect Secure: Journey to the core of the DSLog backdoor https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----
Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.
Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.
Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.
Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.
Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.
Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.
Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----
Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.
Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.
Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.
Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.
Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.
Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.
Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
#ParsedReport #CompletenessHigh
13-02-2024
CharmingCypress: Innovating Persistence
https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence
Report completeness: High
Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore
Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl
Victims:
Think tanks, Ngos, Journalists, Policy experts
Industry:
Ngo
Geo:
Iran, Iranian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...
IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10
Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome
Algorithms:
sha1, base64, aes, md5
Functions:
SetNewConfig
Win API:
AmsiScanBuffer, EtwEventWrite
Languages:
powershell, visual_basic
Platforms:
apple
Links:
13-02-2024
CharmingCypress: Innovating Persistence
https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence
Report completeness: High
Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore
Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl
Victims:
Think tanks, Ngos, Journalists, Policy experts
Industry:
Ngo
Geo:
Iran, Iranian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...
IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10
Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome
Algorithms:
sha1, base64, aes, md5
Functions:
SetNewConfig
Win API:
AmsiScanBuffer, EtwEventWrite
Languages:
powershell, visual_basic
Platforms:
apple
Links:
https://github.com/tedburke/CommandCamhttps://github.com/snail007/goproxyhttps://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/rules.yarhttps://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/iocs.csvhttps://github.com/rapiz1/ratholeVolexity
CharmingCypress: Innovating Persistence
Through its managed security services offerings, Volexity routinely identifies spear-phishing campaigns targeting its customers. One persistent threat actor, whose campaigns Volexity frequently observes, is the Iranian-origin threat actor CharmingCypress…
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 CharmingCypress: Innovating Persistence https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence Report completeness: High Actors/Campaigns: Charming_kitten Apt42 Educated_manticore Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----
Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.
CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.
CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.
Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.
CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.
Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.
Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.
CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.
Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----
Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.
CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.
CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.
Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.
CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.
Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.
Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.
CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.
Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.