CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Ivanti Connect Secure: Journey to the core of the DSLog backdoor https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----

Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.

Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.

Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.

Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.

Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.

Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.

Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
#ParsedReport #CompletenessHigh
13-02-2024

CharmingCypress: Innovating Persistence

https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence

Report completeness: High

Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore

Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl

Victims:
Think tanks, Ngos, Journalists, Policy experts

Industry:
Ngo

Geo:
Iran, Iranian

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...

IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10

Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome

Algorithms:
sha1, base64, aes, md5

Functions:
SetNewConfig

Win API:
AmsiScanBuffer, EtwEventWrite

Languages:
powershell, visual_basic

Platforms:
apple

Links:
https://github.com/tedburke/CommandCam
https://github.com/snail007/goproxy
https://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/rules.yar
https://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/iocs.csv
https://github.com/rapiz1/rathole
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 CharmingCypress: Innovating Persistence https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence Report completeness: High Actors/Campaigns: Charming_kitten Apt42 Educated_manticore Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----

Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.

CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.

CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.

Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.

CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.

Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.

Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.

CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.

Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
#ParsedReport #CompletenessMedium
13-02-2024

Bumblebee Buzzes Back in Black

https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black

Report completeness: Medium

Actors/Campaigns:
Ta579
Ta576 (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta582
Ta2541
Ta571
Ta577
Ta544
Ta558

Threats:
Bumblebee
Smuggling_technique
Darkgate
Qakbot
Pikabot

Industry:
Aerospace

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1027, T1190, T1567, T1086, T1218

IOCs:
Email: 1
Url: 4
Hash: 4
Domain: 1
IP: 1

Algorithms:
rc4, sha256, zip

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Bumblebee Buzzes Back in Black https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black Report completeness: Medium Actors/Campaigns: Ta579 Ta576 (motivation: financially_motivated) Ta866…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в следующем: исследователи Proofpoint выявили возрождение вредоносного ПО Bumblebee, сложного загрузчика, пользующегося популярностью у киберпреступников, после четырехмесячного отсутствия. Эта недавняя кампания демонстрирует изменения в методах распространения и потенциальную привязку к известному субъекту угрозы в будущем. Возрождение Bumblebee является частью более широкого роста активности киберпреступников, когда различные субъекты угроз и вредоносное ПО возвращаются после периодов бездействия. Анализ показывает, что устойчиво высокие темпы работы киберпреступников, как ожидается, сохранятся в течение всего года.
-----

Исследователи Proofpoint недавно обнаружили возрождение вредоносного ПО Bumblebee 8 февраля 2024 года после четырехмесячного отсутствия. Bumblebee - это сложный загрузчик, пользующийся популярностью у различных участников киберпреступных угроз с момента его первоначального появления в марте 2022 года. Вредоносная программа работает, используя документы с поддержкой макросов VBA в своей цепочке атак, метод, который в последнее время реже используется участниками угроз из-за усиления мер безопасности, введенных Microsoft в 2022 году. Цепочка атак включает вредоносные документы Word, содержащие команду PowerShell, которая загружает и выполняет следующий этап с удаленного сервера, что в конечном итоге приводит к развертыванию библиотеки DLL Bumblebee.

Заслуживающие внимания изменения в этой недавней кампании Bumblebee включают в себя переход от ранее наблюдавшихся методов распространения. В прошлых кампаниях по распространению Bumblebee использовались электронные письма с URL-адресами, ведущими к загрузке DLL-файлов, HTML-вложения, использующие уязвимости WinRAR, заархивированные вложения VBS, использующие PowerShell, и заархивированные файлы LNK для загрузки исполняемых файлов. Из примерно 230 кампаний Bumblebee, выявленных с 2022 года, лишь небольшое число включало макросы, причем наиболее часто использовались макросы XL4 и VBA.

В настоящее время Proofpoint не относит это действие к конкретному субъекту угрозы, хотя некоторые характеристики, такие как тема приманки голосовой почты и использование URL-адресов OneDrive, предполагают сходство с предыдущими действиями TA579. Продолжение расследований может привести к тому, что в будущем эта кампания будет приписана известному исполнителю угрозы. Анализ показывает, что загрузчик Bumblebee с высокой степенью уверенности может служить в качестве средства первоначального доступа для доставки последующих полезных нагрузок, таких как программы-вымогатели.

Возрождение Bumblebee совпадает с более широким ростом активности киберпреступников, когда различные субъекты угроз и вредоносные программы возвращаются после длительных периодов бездействия. Примечательными примерами являются повторные появления TA576 на налоговую тематику, сложного TA866, оператора постэксплуатации TA582 и участника ecrime TA2541. Вредоносная программа DarkGate также появилась вновь, выпущенная TA571 с новым обновлением (версия 6.1.6) после некоторого перерыва. Кроме того, основные участники электронной преступности TA577, TA544 и TA558 вернулись в конце января, а TA577 повторно внедрила вредоносное ПО Qbot после его сбоя в августе.

В течение года исследователи Proofpoint ожидают сохранения высокого уровня активности киберугроз, при этом субъекты угроз внедряют новые цепочки атак, эволюционируют тактики уклонения и обновляют вредоносное ПО. Текущая тенденция предполагает сохранение высоких темпов работы киберпреступников до ожидаемых перерывов в летнее время.
#ParsedReport #CompletenessMedium
13-02-2024

Python s Colorama Typosquatting Meets Fade Stealer Malware

https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant

Threats:
W4sp
Typosquatting_technique

Victims:
Developers

Industry:
Entertainment, Financial

Geo:
French

ChatGPT TTPs:
do not use without manual check
T1588.001, T1199, T1550.002, T1003.001, T1036.001, T1583.005, T1071.001

IOCs:
Url: 1
Hash: 3

Soft:
Discord, Telegram, Roblox

Algorithms:
base64

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Python s Colorama Typosquatting Meets Fade Stealer Malware https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware Report completeness: Medium Actors/Campaigns: Dropping_elephant…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи киберугроз обнаружили попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python под названием Colorama, который в настоящее время входит в число самых загружаемых пакетов на PyPI. Это открытие выявляет тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения, в частности, нацеливаясь на пользователей Windows для извлечения конфиденциальных данных с популярных веб-сайтов. Анализ также подчеркивает необходимость бдительности в сообществе кибербезопасности для оперативного выявления таких действий и сообщения о них, а также важность тщательного изучения деталей пакетов, чтобы не стать жертвой этих атак.
-----

Исследование угроз Imperva выявило попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python Colorama, который в настоящее время занимает 44-е место среди наиболее загружаемых пакетов на PyPI. Это открытие высвечивает тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения и обмана ничего не подозревающих разработчиков. В прошлом году было выявлено несколько аналогичных попыток использовать пакет colorama с помощью typosquatting, таких как colarama, colourama и colorama-api, которые впоследствии были удалены из PyPI.

В ходе анализа кода setup.py была обнаружена ссылка на Fade Stealer, что привело к дальнейшему расследованию. Информация из различных блогов, в том числе из Fortinet, показала, что Fade Stealer в первую очередь нацелен на пользователей Windows, о чем свидетельствуют конкретные переменные среды и пути внутри вредоносного ПО. Вредоносная программа предназначена для извлечения конфиденциальных данных с популярных веб-сайтов в различных секторах, таких как игры, социальные сети и развлечения. Известные цели включают Facebook, Telegram, Roblox и Discord, с акцентом на получение платежных реквизитов от пользователей Discord. Используя Discord API с использованием обозначения @me, злоумышленник может получить доступ к токенам сеанса для несанкционированных действий.

Интересным наблюдением из анализа кода стало использование термина "methode", который указывает на возможного неродного носителя английского языка, стоящего за созданием Fade Stealer. Это расхождение в написании больше соответствует словам в других языках, таких как французский, а не стандартной английской терминологии. Комбинация тактик, включающих как Fade Stealer, так и typosquatting из Colorama, представляет собой новый подход в сфере кибербезопасности. В нем подчеркиваются изощренные методы, используемые участниками угроз для использования доверия сообщества Python, подчеркивается критическая важность тщательного изучения деталей пакета, включая имена и авторов, чтобы не стать жертвой таких атак.

Инцидент также подчеркивает ключевую роль сопровождающих репозитория и более широкого сообщества в оперативном обнаружении вредоносных действий и сообщении о них для защиты целостности экосистемы. Поддержание бдительности и внедрение надежных методов обеспечения безопасности необходимы для пресечения такой тактики обмана и обеспечения общей безопасности процессов разработки программного обеспечения. В заключение, этот случай служит предостерегающим напоминанием пользователям о необходимости проявлять осторожность и осмотрительность при работе с программными пакетами, особенно в критически важных проектах, где повышены риски компрометации.
#ParsedReport #CompletenessHigh
13-02-2024

From Cracked to Hacked: Malware Spread via YouTube Videos

https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos

Report completeness: High

Threats:
Redline_stealer
Raccoon_stealer
Smokeloader
Seo_poisoning_technique
Tropicracked_actor
Vidar_stealer
Privateloader
De4dot_tool
Process_injection_technique

Industry:
Education

Geo:
Spanish, Finland, American, Indonesian, Portuguese, Korean, French, America, Bangladesh, Italian

TTPs:
Tactics: 4
Technics: 8

IOCs:
File: 1
IP: 1
Hash: 2

Soft:
Adobe Animate, Microsoft Office, Telegram

Algorithms:
sha256

Win API:
decompress

Languages:
visual_basic

Links:
https://github.com/dnSpy/dnSpy
https://github.com/de4dot/de4dot
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 From Cracked to Hacked: Malware Spread via YouTube Videos https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos Report completeness: High Threats: Redline_stealer Raccoon_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
В отчете об анализе угроз подчеркивается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносного ПО, замаскированного под взломанные версии популярного программного обеспечения, уделяя особое внимание недорогим целевым кампаниям в Южной Америке. В нем подчеркивается тактика, используемая субъектами угроз, распространенные типы вредоносных программ, такие как Redline и RacoonStealer, и конкретный субъект угроз с именем TropiCracked. В отчете рекомендуется обучать пользователей, обновлять системы обнаружения на основе сигнатур и внедрять механизмы обнаружения, основанные на поведении, такие как платформа защиты от киберугроз, для повышения безопасности от таких атак.
-----

В отчете об анализе угроз обсуждается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносных программ, в частности таких инфокрадов, как Redline и Racoonstealer, под видом взломанных версий популярного платного программного обеспечения. Эти атаки характеризуются недорогими кампаниями с медленным запуском, которые нацелены на жертв в основном в Южной Америке. Участники угроз используют различные методы, такие как SEO-отравление и поддельные положительные комментарии, чтобы заманить жертв на загрузку вредоносных файлов. Наиболее часто встречающиеся вредоносные программы включают Redline и RacoonStealer, оба из которых относительно дешевы и доступны для исполнителей угроз. В отчете также подробно описывается конкретный исполнитель угроз по имени TropiCracked, который скомпрометировал более 800 аккаунтов YouTube в Южной Америке для распространения вредоносной полезной нагрузки. TropiCracked использует облегченную архитектуру и использует такие платформы, как Telegraph и Mediafire, для размещения и распространения вредоносных программ. Часто обновляя ссылки для скачивания и полезную нагрузку, злоумышленники могут избежать обнаружения и продолжать нацеливаться на ничего не подозревающих пользователей.

Для защиты от таких атак организациям рекомендуется информировать пользователей о рисках загрузки программного обеспечения из ненадежных источников и регулярно обновлять механизмы обнаружения на основе сигнатур. Внедрение механизмов обнаружения, основанных на поведении, таких как платформа Cybereason Defense Platform, может помочь в обнаружении и предотвращении инфекций за счет блокирования вредоносных файлов и использования анализа угроз, машинного обучения и возможностей антивирусов нового поколения. Включение таких функций, как контроль приложений, защита от программ-вымогателей и защита от различных видов полезной нагрузки, может повысить уровень безопасности организации от вредоносных угроз.
#ParsedReport #CompletenessMedium
13-02-2024

Malware Development Competition Fuels Creation of 20+ Malware

https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware

Report completeness: Medium

Threats:
Xsslite
Dll_sideloading_technique
Timestomp_technique

Industry:
Healthcare

Geo:
Russian, Chinese

ChatGPT TTPs:
do not use without manual check
T1587, T1588, T1204, T1547, T1082, T1055, T1497, T1552, T1056, T1071, have more...

IOCs:
Hash: 1

Soft:
Flask, Hyper-V

Wallets:
metamask

Crypto:
dogecoin

Algorithms:
sha1, md5, sha256

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Malware Development Competition Fuels Creation of 20+ Malware https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware Report completeness: Medium Threats: Xsslite Dll_…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение появления XSSLite Stealer, разработанного в рамках конкурса вредоносных программ, организованного российским хакерским сообществом, и его последующего распространения в китайских хакерских сообществах. В тексте также освещаются возможности и функционал XSSLite Stealer, влияние конкуренции на ландшафт угроз и взаимосвязанный характер подпольной кибердеятельности.
-----

В отчете обсуждается появление программы XSSLite Stealer, которая была разработана в рамках конкурса разработчиков вредоносных программ под названием XSSWare, организованного российским хакерским сообществом, известным как XSS. Разработчик XSSLite поделился исходным кодом проекта и указал на переход к новому проекту. После публикации на российском форуме stealer был распространен среди китайских хакерских сообществ, демонстрируя его распространение за пределы первоначальной платформы.

Сообщается, что XSSLite Stealer, созданный на C# с веб-панелью, встроенной в Python Flask, претерпевает переход на C++. Вредоносная программа оснащена различными функциональными возможностями, такими как использование инструментария управления Windows (WMI) для вредоносных команд, использование дополнительной загрузки библиотеки DLL для выполнения полезных нагрузок, извлечение конфиденциальной информации об устройстве, использование контроля записи при выделении памяти и проверка файла hosts на наличие доступных конечных точек. Кроме того, он идентифицирует жертв с помощью проверки общедоступных IP-адресов, реализует методы обхода "песочницы" и защиты от отладки, а также осуществляет кражу учетных данных браузера и ведение журнала нажатий клавиш. Инструкции по настройке сборки для передачи журналов на частный сервер управления перед компиляцией указывают на ее расширенные возможности.

В ответ на объявление о конкурсе на разработку вредоносных программ более 20 разработчиков вредоносных программ представили свои разработки на Российском хакерском форуме, что позволило пользователям бесплатно получить доступ к этим вредоносным инструментам. Среди представленных материалов участник представил три различных вредоносных программы, в том числе XSSLite infostealer, а также средство проверки начальных фраз криптографических данных и брутер кошелька Metamask. Конкуренция спровоцировала распространение различных типов бесплатных вредоносных программ, начиная от утилит, связанных с криптографией, и заканчивая похитителями информации, демонстрируя широту распространения изобретательных и вредоносных инструментов.

Влияние конкуренции на ландшафт угроз очевидно, демонстрируя, как денежные стимулы и вовлечение общественности в такие мероприятия стимулируют производство и распространение опасных вредоносных программ. В условиях продолжающейся конкуренции, стимулирующей создание большего количества вредоносных программ, форум готов увидеть всплеск вредоносных кампаний, использующих разработанные инструменты. Взаимосвязанный характер этой подпольной кибердеятельности подчеркивает важность мониторинга и понимания меняющейся тактики, используемой субъектами угроз в цифровой сфере.
#ParsedReport #CompletenessLow
13-02-2024

Warzone RAT infrastructure seized

https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized

Report completeness: Low

Threats:
Warzone_rat
Avemaria_rat

Geo:
Malta, Nigeria

ChatGPT TTPs:
do not use without manual check
T1566, T1569.002, T1056.001, T1113, T1056.001, T1185

IOCs:
Hash: 7
File: 3