CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
13-02-2024

Ivanti Connect Secure: Journey to the core of the DSLog backdoor

https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor

Report completeness: Low

Threats:
Dslog

Victims:
Ivanti

Geo:
Chinese

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1190, T1199, T1133, T1021.001, T1552.004, T1190, T1547.013, T1070.004, T1553.007, T1486, have more...

IOCs:
File: 2
IP: 1

Soft:
Ivanti

Algorithms:
base64, sha256, rot47

Languages:
perl
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Ivanti Connect Secure: Journey to the core of the DSLog backdoor https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----

Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.

Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.

Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.

Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.

Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.

Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.

Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
#ParsedReport #CompletenessHigh
13-02-2024

CharmingCypress: Innovating Persistence

https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence

Report completeness: High

Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore

Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl

Victims:
Think tanks, Ngos, Journalists, Policy experts

Industry:
Ngo

Geo:
Iran, Iranian

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...

IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10

Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome

Algorithms:
sha1, base64, aes, md5

Functions:
SetNewConfig

Win API:
AmsiScanBuffer, EtwEventWrite

Languages:
powershell, visual_basic

Platforms:
apple

Links:
https://github.com/tedburke/CommandCam
https://github.com/snail007/goproxy
https://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/rules.yar
https://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/iocs.csv
https://github.com/rapiz1/rathole
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 CharmingCypress: Innovating Persistence https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence Report completeness: High Actors/Campaigns: Charming_kitten Apt42 Educated_manticore Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----

Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.

CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.

CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.

Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.

CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.

Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.

Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.

CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.

Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
#ParsedReport #CompletenessMedium
13-02-2024

Bumblebee Buzzes Back in Black

https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black

Report completeness: Medium

Actors/Campaigns:
Ta579
Ta576 (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta582
Ta2541
Ta571
Ta577
Ta544
Ta558

Threats:
Bumblebee
Smuggling_technique
Darkgate
Qakbot
Pikabot

Industry:
Aerospace

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1027, T1190, T1567, T1086, T1218

IOCs:
Email: 1
Url: 4
Hash: 4
Domain: 1
IP: 1

Algorithms:
rc4, sha256, zip

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Bumblebee Buzzes Back in Black https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black Report completeness: Medium Actors/Campaigns: Ta579 Ta576 (motivation: financially_motivated) Ta866…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в следующем: исследователи Proofpoint выявили возрождение вредоносного ПО Bumblebee, сложного загрузчика, пользующегося популярностью у киберпреступников, после четырехмесячного отсутствия. Эта недавняя кампания демонстрирует изменения в методах распространения и потенциальную привязку к известному субъекту угрозы в будущем. Возрождение Bumblebee является частью более широкого роста активности киберпреступников, когда различные субъекты угроз и вредоносное ПО возвращаются после периодов бездействия. Анализ показывает, что устойчиво высокие темпы работы киберпреступников, как ожидается, сохранятся в течение всего года.
-----

Исследователи Proofpoint недавно обнаружили возрождение вредоносного ПО Bumblebee 8 февраля 2024 года после четырехмесячного отсутствия. Bumblebee - это сложный загрузчик, пользующийся популярностью у различных участников киберпреступных угроз с момента его первоначального появления в марте 2022 года. Вредоносная программа работает, используя документы с поддержкой макросов VBA в своей цепочке атак, метод, который в последнее время реже используется участниками угроз из-за усиления мер безопасности, введенных Microsoft в 2022 году. Цепочка атак включает вредоносные документы Word, содержащие команду PowerShell, которая загружает и выполняет следующий этап с удаленного сервера, что в конечном итоге приводит к развертыванию библиотеки DLL Bumblebee.

Заслуживающие внимания изменения в этой недавней кампании Bumblebee включают в себя переход от ранее наблюдавшихся методов распространения. В прошлых кампаниях по распространению Bumblebee использовались электронные письма с URL-адресами, ведущими к загрузке DLL-файлов, HTML-вложения, использующие уязвимости WinRAR, заархивированные вложения VBS, использующие PowerShell, и заархивированные файлы LNK для загрузки исполняемых файлов. Из примерно 230 кампаний Bumblebee, выявленных с 2022 года, лишь небольшое число включало макросы, причем наиболее часто использовались макросы XL4 и VBA.

В настоящее время Proofpoint не относит это действие к конкретному субъекту угрозы, хотя некоторые характеристики, такие как тема приманки голосовой почты и использование URL-адресов OneDrive, предполагают сходство с предыдущими действиями TA579. Продолжение расследований может привести к тому, что в будущем эта кампания будет приписана известному исполнителю угрозы. Анализ показывает, что загрузчик Bumblebee с высокой степенью уверенности может служить в качестве средства первоначального доступа для доставки последующих полезных нагрузок, таких как программы-вымогатели.

Возрождение Bumblebee совпадает с более широким ростом активности киберпреступников, когда различные субъекты угроз и вредоносные программы возвращаются после длительных периодов бездействия. Примечательными примерами являются повторные появления TA576 на налоговую тематику, сложного TA866, оператора постэксплуатации TA582 и участника ecrime TA2541. Вредоносная программа DarkGate также появилась вновь, выпущенная TA571 с новым обновлением (версия 6.1.6) после некоторого перерыва. Кроме того, основные участники электронной преступности TA577, TA544 и TA558 вернулись в конце января, а TA577 повторно внедрила вредоносное ПО Qbot после его сбоя в августе.

В течение года исследователи Proofpoint ожидают сохранения высокого уровня активности киберугроз, при этом субъекты угроз внедряют новые цепочки атак, эволюционируют тактики уклонения и обновляют вредоносное ПО. Текущая тенденция предполагает сохранение высоких темпов работы киберпреступников до ожидаемых перерывов в летнее время.
#ParsedReport #CompletenessMedium
13-02-2024

Python s Colorama Typosquatting Meets Fade Stealer Malware

https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant

Threats:
W4sp
Typosquatting_technique

Victims:
Developers

Industry:
Entertainment, Financial

Geo:
French

ChatGPT TTPs:
do not use without manual check
T1588.001, T1199, T1550.002, T1003.001, T1036.001, T1583.005, T1071.001

IOCs:
Url: 1
Hash: 3

Soft:
Discord, Telegram, Roblox

Algorithms:
base64

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Python s Colorama Typosquatting Meets Fade Stealer Malware https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware Report completeness: Medium Actors/Campaigns: Dropping_elephant…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи киберугроз обнаружили попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python под названием Colorama, который в настоящее время входит в число самых загружаемых пакетов на PyPI. Это открытие выявляет тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения, в частности, нацеливаясь на пользователей Windows для извлечения конфиденциальных данных с популярных веб-сайтов. Анализ также подчеркивает необходимость бдительности в сообществе кибербезопасности для оперативного выявления таких действий и сообщения о них, а также важность тщательного изучения деталей пакетов, чтобы не стать жертвой этих атак.
-----

Исследование угроз Imperva выявило попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python Colorama, который в настоящее время занимает 44-е место среди наиболее загружаемых пакетов на PyPI. Это открытие высвечивает тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения и обмана ничего не подозревающих разработчиков. В прошлом году было выявлено несколько аналогичных попыток использовать пакет colorama с помощью typosquatting, таких как colarama, colourama и colorama-api, которые впоследствии были удалены из PyPI.

В ходе анализа кода setup.py была обнаружена ссылка на Fade Stealer, что привело к дальнейшему расследованию. Информация из различных блогов, в том числе из Fortinet, показала, что Fade Stealer в первую очередь нацелен на пользователей Windows, о чем свидетельствуют конкретные переменные среды и пути внутри вредоносного ПО. Вредоносная программа предназначена для извлечения конфиденциальных данных с популярных веб-сайтов в различных секторах, таких как игры, социальные сети и развлечения. Известные цели включают Facebook, Telegram, Roblox и Discord, с акцентом на получение платежных реквизитов от пользователей Discord. Используя Discord API с использованием обозначения @me, злоумышленник может получить доступ к токенам сеанса для несанкционированных действий.

Интересным наблюдением из анализа кода стало использование термина "methode", который указывает на возможного неродного носителя английского языка, стоящего за созданием Fade Stealer. Это расхождение в написании больше соответствует словам в других языках, таких как французский, а не стандартной английской терминологии. Комбинация тактик, включающих как Fade Stealer, так и typosquatting из Colorama, представляет собой новый подход в сфере кибербезопасности. В нем подчеркиваются изощренные методы, используемые участниками угроз для использования доверия сообщества Python, подчеркивается критическая важность тщательного изучения деталей пакета, включая имена и авторов, чтобы не стать жертвой таких атак.

Инцидент также подчеркивает ключевую роль сопровождающих репозитория и более широкого сообщества в оперативном обнаружении вредоносных действий и сообщении о них для защиты целостности экосистемы. Поддержание бдительности и внедрение надежных методов обеспечения безопасности необходимы для пресечения такой тактики обмана и обеспечения общей безопасности процессов разработки программного обеспечения. В заключение, этот случай служит предостерегающим напоминанием пользователям о необходимости проявлять осторожность и осмотрительность при работе с программными пакетами, особенно в критически важных проектах, где повышены риски компрометации.
#ParsedReport #CompletenessHigh
13-02-2024

From Cracked to Hacked: Malware Spread via YouTube Videos

https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos

Report completeness: High

Threats:
Redline_stealer
Raccoon_stealer
Smokeloader
Seo_poisoning_technique
Tropicracked_actor
Vidar_stealer
Privateloader
De4dot_tool
Process_injection_technique

Industry:
Education

Geo:
Spanish, Finland, American, Indonesian, Portuguese, Korean, French, America, Bangladesh, Italian

TTPs:
Tactics: 4
Technics: 8

IOCs:
File: 1
IP: 1
Hash: 2

Soft:
Adobe Animate, Microsoft Office, Telegram

Algorithms:
sha256

Win API:
decompress

Languages:
visual_basic

Links:
https://github.com/dnSpy/dnSpy
https://github.com/de4dot/de4dot
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 From Cracked to Hacked: Malware Spread via YouTube Videos https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos Report completeness: High Threats: Redline_stealer Raccoon_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
В отчете об анализе угроз подчеркивается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносного ПО, замаскированного под взломанные версии популярного программного обеспечения, уделяя особое внимание недорогим целевым кампаниям в Южной Америке. В нем подчеркивается тактика, используемая субъектами угроз, распространенные типы вредоносных программ, такие как Redline и RacoonStealer, и конкретный субъект угроз с именем TropiCracked. В отчете рекомендуется обучать пользователей, обновлять системы обнаружения на основе сигнатур и внедрять механизмы обнаружения, основанные на поведении, такие как платформа защиты от киберугроз, для повышения безопасности от таких атак.
-----

В отчете об анализе угроз обсуждается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносных программ, в частности таких инфокрадов, как Redline и Racoonstealer, под видом взломанных версий популярного платного программного обеспечения. Эти атаки характеризуются недорогими кампаниями с медленным запуском, которые нацелены на жертв в основном в Южной Америке. Участники угроз используют различные методы, такие как SEO-отравление и поддельные положительные комментарии, чтобы заманить жертв на загрузку вредоносных файлов. Наиболее часто встречающиеся вредоносные программы включают Redline и RacoonStealer, оба из которых относительно дешевы и доступны для исполнителей угроз. В отчете также подробно описывается конкретный исполнитель угроз по имени TropiCracked, который скомпрометировал более 800 аккаунтов YouTube в Южной Америке для распространения вредоносной полезной нагрузки. TropiCracked использует облегченную архитектуру и использует такие платформы, как Telegraph и Mediafire, для размещения и распространения вредоносных программ. Часто обновляя ссылки для скачивания и полезную нагрузку, злоумышленники могут избежать обнаружения и продолжать нацеливаться на ничего не подозревающих пользователей.

Для защиты от таких атак организациям рекомендуется информировать пользователей о рисках загрузки программного обеспечения из ненадежных источников и регулярно обновлять механизмы обнаружения на основе сигнатур. Внедрение механизмов обнаружения, основанных на поведении, таких как платформа Cybereason Defense Platform, может помочь в обнаружении и предотвращении инфекций за счет блокирования вредоносных файлов и использования анализа угроз, машинного обучения и возможностей антивирусов нового поколения. Включение таких функций, как контроль приложений, защита от программ-вымогателей и защита от различных видов полезной нагрузки, может повысить уровень безопасности организации от вредоносных угроз.
#ParsedReport #CompletenessMedium
13-02-2024

Malware Development Competition Fuels Creation of 20+ Malware

https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware

Report completeness: Medium

Threats:
Xsslite
Dll_sideloading_technique
Timestomp_technique

Industry:
Healthcare

Geo:
Russian, Chinese

ChatGPT TTPs:
do not use without manual check
T1587, T1588, T1204, T1547, T1082, T1055, T1497, T1552, T1056, T1071, have more...

IOCs:
Hash: 1

Soft:
Flask, Hyper-V

Wallets:
metamask

Crypto:
dogecoin

Algorithms:
sha1, md5, sha256

Languages:
python