CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion https://www.crowdstrike.com/blog/hijackloader-expands-techniques Report completeness: Medium Threats: Hijackloader Idat_loader Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----
Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----
Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
#ParsedReport #CompletenessLow
12-02-2024
PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content
Report completeness: Low
Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback
Threats:
Viking
Magnitude
Melissa
Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial
Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish
ChatGPT TTPs:
T1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...
IOCs:
Domain: 136
IP: 10
Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
12-02-2024
PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content
Report completeness: Low
Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback
Threats:
Viking
Magnitude
Melissa
Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial
Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish
ChatGPT TTPs:
do not use without manual checkT1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...
IOCs:
Domain: 136
IP: 10
Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
The Citizen Lab
PAPERWALL
A network of at least 123 websites operated from within the People’s Republic of China while posing as local news outlets in 30 countries across Europe, Asia, and Latin America, disseminates pro-Beijing disinformation and ad hominem attacks within much larger…
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----
Краткое содержание:.
Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----
Краткое содержание:.
Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
#ParsedReport #CompletenessLow
12-02-2024
RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group
Report completeness: Low
Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012
IOCs:
File: 5
Hash: 33
IP: 2
Soft:
MacOS, Mac OS, Visual Studio, sysctl
Algorithms:
zip
Languages:
python, rust
Platforms:
intel, arm, apple
12-02-2024
RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group
Report completeness: Low
Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012
IOCs:
File: 5
Hash: 33
IP: 2
Soft:
MacOS, Mac OS, Visual Studio, sysctl
Algorithms:
zip
Languages:
python, rust
Platforms:
intel, arm, apple
Bitdefender Labs
New macOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
UPDATE:
Following our initial release, we have been contacted by our fellow researchers at Jamf who were able to identify three more samples that act like first-stage payloads.
Following our initial release, we have been contacted by our fellow researchers at Jamf who were able to identify three more samples that act like first-stage payloads.
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----
Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----
Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.
#ParsedReport #CompletenessLow
13-02-2024
Ivanti Connect Secure: Journey to the core of the DSLog backdoor
https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor
Report completeness: Low
Threats:
Dslog
Victims:
Ivanti
Geo:
Chinese
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1190, T1199, T1133, T1021.001, T1552.004, T1190, T1547.013, T1070.004, T1553.007, T1486, have more...
IOCs:
File: 2
IP: 1
Soft:
Ivanti
Algorithms:
base64, sha256, rot47
Languages:
perl
13-02-2024
Ivanti Connect Secure: Journey to the core of the DSLog backdoor
https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor
Report completeness: Low
Threats:
Dslog
Victims:
Ivanti
Geo:
Chinese
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1190, T1199, T1133, T1021.001, T1552.004, T1190, T1547.013, T1070.004, T1553.007, T1486, have more...
IOCs:
File: 2
IP: 1
Soft:
Ivanti
Algorithms:
base64, sha256, rot47
Languages:
perl
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Ivanti Connect Secure: Journey to the core of the DSLog backdoor https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----
Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.
Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.
Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.
Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.
Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.
Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.
Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----
Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.
Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.
Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.
Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.
Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.
Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.
Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
#ParsedReport #CompletenessHigh
13-02-2024
CharmingCypress: Innovating Persistence
https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence
Report completeness: High
Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore
Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl
Victims:
Think tanks, Ngos, Journalists, Policy experts
Industry:
Ngo
Geo:
Iran, Iranian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...
IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10
Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome
Algorithms:
sha1, base64, aes, md5
Functions:
SetNewConfig
Win API:
AmsiScanBuffer, EtwEventWrite
Languages:
powershell, visual_basic
Platforms:
apple
Links:
13-02-2024
CharmingCypress: Innovating Persistence
https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence
Report completeness: High
Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore
Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl
Victims:
Think tanks, Ngos, Journalists, Policy experts
Industry:
Ngo
Geo:
Iran, Iranian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...
IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10
Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome
Algorithms:
sha1, base64, aes, md5
Functions:
SetNewConfig
Win API:
AmsiScanBuffer, EtwEventWrite
Languages:
powershell, visual_basic
Platforms:
apple
Links:
https://github.com/tedburke/CommandCamhttps://github.com/snail007/goproxyhttps://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/rules.yarhttps://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/iocs.csvhttps://github.com/rapiz1/ratholeVolexity
CharmingCypress: Innovating Persistence
Through its managed security services offerings, Volexity routinely identifies spear-phishing campaigns targeting its customers. One persistent threat actor, whose campaigns Volexity frequently observes, is the Iranian-origin threat actor CharmingCypress…
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 CharmingCypress: Innovating Persistence https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence Report completeness: High Actors/Campaigns: Charming_kitten Apt42 Educated_manticore Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----
Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.
CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.
CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.
Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.
CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.
Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.
Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.
CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.
Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----
Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.
CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.
CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.
Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.
CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.
Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.
Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.
CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.
Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
#ParsedReport #CompletenessMedium
13-02-2024
Bumblebee Buzzes Back in Black
https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black
Report completeness: Medium
Actors/Campaigns:
Ta579
Ta576 (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta582
Ta2541
Ta571
Ta577
Ta544
Ta558
Threats:
Bumblebee
Smuggling_technique
Darkgate
Qakbot
Pikabot
Industry:
Aerospace
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
ChatGPT TTPs:
T1566, T1204, T1059, T1105, T1027, T1190, T1567, T1086, T1218
IOCs:
Email: 1
Url: 4
Hash: 4
Domain: 1
IP: 1
Algorithms:
rc4, sha256, zip
Languages:
powershell
13-02-2024
Bumblebee Buzzes Back in Black
https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black
Report completeness: Medium
Actors/Campaigns:
Ta579
Ta576 (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta582
Ta2541
Ta571
Ta577
Ta544
Ta558
Threats:
Bumblebee
Smuggling_technique
Darkgate
Qakbot
Pikabot
Industry:
Aerospace
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1105, T1027, T1190, T1567, T1086, T1218
IOCs:
Email: 1
Url: 4
Hash: 4
Domain: 1
IP: 1
Algorithms:
rc4, sha256, zip
Languages:
powershell
Proofpoint
Bumblebee Malware Attack Analysis: Why It’s Back | Proofpoint US
Explore Proofpoint’s Bumblebee malware attack analysis. Discover why the loader is back, how it’s being used in attacks, and what security teams need to do.
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Bumblebee Buzzes Back in Black https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black Report completeness: Medium Actors/Campaigns: Ta579 Ta576 (motivation: financially_motivated) Ta866…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в следующем: исследователи Proofpoint выявили возрождение вредоносного ПО Bumblebee, сложного загрузчика, пользующегося популярностью у киберпреступников, после четырехмесячного отсутствия. Эта недавняя кампания демонстрирует изменения в методах распространения и потенциальную привязку к известному субъекту угрозы в будущем. Возрождение Bumblebee является частью более широкого роста активности киберпреступников, когда различные субъекты угроз и вредоносное ПО возвращаются после периодов бездействия. Анализ показывает, что устойчиво высокие темпы работы киберпреступников, как ожидается, сохранятся в течение всего года.
-----
Исследователи Proofpoint недавно обнаружили возрождение вредоносного ПО Bumblebee 8 февраля 2024 года после четырехмесячного отсутствия. Bumblebee - это сложный загрузчик, пользующийся популярностью у различных участников киберпреступных угроз с момента его первоначального появления в марте 2022 года. Вредоносная программа работает, используя документы с поддержкой макросов VBA в своей цепочке атак, метод, который в последнее время реже используется участниками угроз из-за усиления мер безопасности, введенных Microsoft в 2022 году. Цепочка атак включает вредоносные документы Word, содержащие команду PowerShell, которая загружает и выполняет следующий этап с удаленного сервера, что в конечном итоге приводит к развертыванию библиотеки DLL Bumblebee.
Заслуживающие внимания изменения в этой недавней кампании Bumblebee включают в себя переход от ранее наблюдавшихся методов распространения. В прошлых кампаниях по распространению Bumblebee использовались электронные письма с URL-адресами, ведущими к загрузке DLL-файлов, HTML-вложения, использующие уязвимости WinRAR, заархивированные вложения VBS, использующие PowerShell, и заархивированные файлы LNK для загрузки исполняемых файлов. Из примерно 230 кампаний Bumblebee, выявленных с 2022 года, лишь небольшое число включало макросы, причем наиболее часто использовались макросы XL4 и VBA.
В настоящее время Proofpoint не относит это действие к конкретному субъекту угрозы, хотя некоторые характеристики, такие как тема приманки голосовой почты и использование URL-адресов OneDrive, предполагают сходство с предыдущими действиями TA579. Продолжение расследований может привести к тому, что в будущем эта кампания будет приписана известному исполнителю угрозы. Анализ показывает, что загрузчик Bumblebee с высокой степенью уверенности может служить в качестве средства первоначального доступа для доставки последующих полезных нагрузок, таких как программы-вымогатели.
Возрождение Bumblebee совпадает с более широким ростом активности киберпреступников, когда различные субъекты угроз и вредоносные программы возвращаются после длительных периодов бездействия. Примечательными примерами являются повторные появления TA576 на налоговую тематику, сложного TA866, оператора постэксплуатации TA582 и участника ecrime TA2541. Вредоносная программа DarkGate также появилась вновь, выпущенная TA571 с новым обновлением (версия 6.1.6) после некоторого перерыва. Кроме того, основные участники электронной преступности TA577, TA544 и TA558 вернулись в конце января, а TA577 повторно внедрила вредоносное ПО Qbot после его сбоя в августе.
В течение года исследователи Proofpoint ожидают сохранения высокого уровня активности киберугроз, при этом субъекты угроз внедряют новые цепочки атак, эволюционируют тактики уклонения и обновляют вредоносное ПО. Текущая тенденция предполагает сохранение высоких темпов работы киберпреступников до ожидаемых перерывов в летнее время.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в следующем: исследователи Proofpoint выявили возрождение вредоносного ПО Bumblebee, сложного загрузчика, пользующегося популярностью у киберпреступников, после четырехмесячного отсутствия. Эта недавняя кампания демонстрирует изменения в методах распространения и потенциальную привязку к известному субъекту угрозы в будущем. Возрождение Bumblebee является частью более широкого роста активности киберпреступников, когда различные субъекты угроз и вредоносное ПО возвращаются после периодов бездействия. Анализ показывает, что устойчиво высокие темпы работы киберпреступников, как ожидается, сохранятся в течение всего года.
-----
Исследователи Proofpoint недавно обнаружили возрождение вредоносного ПО Bumblebee 8 февраля 2024 года после четырехмесячного отсутствия. Bumblebee - это сложный загрузчик, пользующийся популярностью у различных участников киберпреступных угроз с момента его первоначального появления в марте 2022 года. Вредоносная программа работает, используя документы с поддержкой макросов VBA в своей цепочке атак, метод, который в последнее время реже используется участниками угроз из-за усиления мер безопасности, введенных Microsoft в 2022 году. Цепочка атак включает вредоносные документы Word, содержащие команду PowerShell, которая загружает и выполняет следующий этап с удаленного сервера, что в конечном итоге приводит к развертыванию библиотеки DLL Bumblebee.
Заслуживающие внимания изменения в этой недавней кампании Bumblebee включают в себя переход от ранее наблюдавшихся методов распространения. В прошлых кампаниях по распространению Bumblebee использовались электронные письма с URL-адресами, ведущими к загрузке DLL-файлов, HTML-вложения, использующие уязвимости WinRAR, заархивированные вложения VBS, использующие PowerShell, и заархивированные файлы LNK для загрузки исполняемых файлов. Из примерно 230 кампаний Bumblebee, выявленных с 2022 года, лишь небольшое число включало макросы, причем наиболее часто использовались макросы XL4 и VBA.
В настоящее время Proofpoint не относит это действие к конкретному субъекту угрозы, хотя некоторые характеристики, такие как тема приманки голосовой почты и использование URL-адресов OneDrive, предполагают сходство с предыдущими действиями TA579. Продолжение расследований может привести к тому, что в будущем эта кампания будет приписана известному исполнителю угрозы. Анализ показывает, что загрузчик Bumblebee с высокой степенью уверенности может служить в качестве средства первоначального доступа для доставки последующих полезных нагрузок, таких как программы-вымогатели.
Возрождение Bumblebee совпадает с более широким ростом активности киберпреступников, когда различные субъекты угроз и вредоносные программы возвращаются после длительных периодов бездействия. Примечательными примерами являются повторные появления TA576 на налоговую тематику, сложного TA866, оператора постэксплуатации TA582 и участника ecrime TA2541. Вредоносная программа DarkGate также появилась вновь, выпущенная TA571 с новым обновлением (версия 6.1.6) после некоторого перерыва. Кроме того, основные участники электронной преступности TA577, TA544 и TA558 вернулись в конце января, а TA577 повторно внедрила вредоносное ПО Qbot после его сбоя в августе.
В течение года исследователи Proofpoint ожидают сохранения высокого уровня активности киберугроз, при этом субъекты угроз внедряют новые цепочки атак, эволюционируют тактики уклонения и обновляют вредоносное ПО. Текущая тенденция предполагает сохранение высоких темпов работы киберпреступников до ожидаемых перерывов в летнее время.
#ParsedReport #CompletenessMedium
13-02-2024
Python s Colorama Typosquatting Meets Fade Stealer Malware
https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware
Report completeness: Medium
Actors/Campaigns:
Dropping_elephant
Threats:
W4sp
Typosquatting_technique
Victims:
Developers
Industry:
Entertainment, Financial
Geo:
French
ChatGPT TTPs:
T1588.001, T1199, T1550.002, T1003.001, T1036.001, T1583.005, T1071.001
IOCs:
Url: 1
Hash: 3
Soft:
Discord, Telegram, Roblox
Algorithms:
base64
Languages:
python
13-02-2024
Python s Colorama Typosquatting Meets Fade Stealer Malware
https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware
Report completeness: Medium
Actors/Campaigns:
Dropping_elephant
Threats:
W4sp
Typosquatting_technique
Victims:
Developers
Industry:
Entertainment, Financial
Geo:
French
ChatGPT TTPs:
do not use without manual checkT1588.001, T1199, T1550.002, T1003.001, T1036.001, T1583.005, T1071.001
IOCs:
Url: 1
Hash: 3
Soft:
Discord, Telegram, Roblox
Algorithms:
base64
Languages:
python
Blog
Python’s Colorama Typosquatting Meets ‘Fade Stealer’ Malware | Imperva
Imperva Threat Research explains who they discovered an attempt to masquerade Fade Stealer malware as a nondescript package, Colorama.