#ParsedReport #CompletenessLow
21-02-2024

Attackers Quick to Weaponize CVE-2023-22527 for Malware Delivery

https://www.imperva.com/blog/attackers-quick-to-weaponize-cve-2023-22527-for-malware-delivery

Report completeness: Low

Threats:
C3pool
Log4shell_vuln
C3rb3r

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)

CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)


ChatGPT TTPs:
do not use without manual check
T1190, T1211, T1068, T1059.004, T1041, T1496

IOCs:
Url: 8
Hash: 3

Soft:
Confluence, Discord

Crypto:
monero

Algorithms:
sha256

Languages:
java

Links:
https://github.com/Avento/CVE-2023-22527\_Confluence\_RCE
https://github.com/C3Pool/xmrig\_setup

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что была раскрыта критическая уязвимость CVE-2023-22527, затрагивающая сервер и центр обработки данных Atlassian Confluence, что привело к многочисленным попыткам использования злоумышленниками с целью распространения вредоносного ПО C3Pool Cryptominer. Эта эксплуатация является частью более широкой тенденции, когда киберпреступники используют уязвимости в программном обеспечении для злонамеренного распространения своих вредоносных программ в таких целях, как криптоджекинг и распространение ботнетов.
-----

16 января 2024 года Atlassian выявил критическую уязвимость, затрагивающую центр обработки данных Confluence и сервер Confluence, известную как CVE-2023-22527. Эта уязвимость классифицируется как ошибка внедрения OGNL без проверки подлинности, позволяющая неавторизованным злоумышленникам выполнять выражения Java, вызовы методов, навигацию по объектам и доступ к свойствам. По сути, этот недостаток позволяет выполнять произвольный код на скомпрометированном сервере. Вскоре после анонса в Сети появились многочисленные доказательства концепций (POC) и эксплойтов. CVE-2023-22527 имеет сходство с двумя предыдущими раскрытиями Atlassian: CVE-2021-26084 и CVE-2022-26134, оба облегчают удаленное внедрение выражения OGNL, приводящее к удаленному выполнению кода (RCE). Эти уязвимости были занесены в реестр известных эксплуатируемых уязвимостей CISA.

После раскрытия информации произошел заметный всплеск массового сканирования и попыток эксплуатации, нацеленных на новую уязвимость Atlassian Confluence. Исследование угроз Imperva сразу после этого зафиксировало более 620 000 попыток сканирования и эксплуатации с более чем 2800 уникальных IP-адресов. При дальнейшем расследовании было обнаружено, что участники угроз использовали уязвимость CVE-2023-22527 для распространения вредоносного ПО C3Pool Cryptominer. Было замечено, что злоумышленники отправляли запросы, содержащие команды Wget во введенном выражении OGNL, с целью загрузки файла с указанного URL-адреса. В ходе попытки эксплойта был идентифицирован скрипт bash, связанный с платформой криптомайнинга C3Pool, предназначенный для того, чтобы позволить отдельным лицам использовать доступные вычислительные ресурсы для майнинга Monero.

Платформа C3Pool, широко представленная на GitHub и поддерживаемая ресурсами сообщества на таких платформах, как Discord и Reddit, облегчает эксплуатацию уязвимых веб-серверов для майнинга криптовалюты. Эксплойты, подобные тому, который доступен для CVE-2023-22527, используются киберпреступниками для злонамеренного распространения программного обеспечения C3Pool. В последние годы эта тактика применялась с использованием множества уязвимостей в различных библиотеках и фреймворках. Адрес кошелька, связанный с попыткой эксплойта, также был идентифицирован в других кампаниях, в том числе связанных с использованием CVE-2021-44228 (Log4Shell), что указывает на повторяющуюся схему вредоносной активности.

Дальнейшая проверка адреса кошелька через C3Pool показала, что на нем хранится 39,7 XMR, что эквивалентно приблизительно 4800 долларам на момент расследования. Это изменение, касающееся CVE-2023-22527, дополняет документированную историю кампаний вредоносных программ, использующих предыдущие уязвимости Atlassian Confluence, такие как CVE-2022-26134 и CVE-2021-26084, для таких целей, как криптоджекинг и распространение ботнетов. Обнаружение использования CVE-2023-22527 для распространения вредоносного ПО подчеркивает более широкое злоупотребление этой уязвимостью, о чем свидетельствуют такие случаи, как распространение вредоносного ПО C3RB3R, подробно описанного в блоге Arctic Wolf Labs.

#ParsedReport #CompletenessLow
22-02-2024

Unmasking Lorenz Ransomware: A Dive into Recent Tactics, Techniques and Procedures

https://research.nccgroup.com/2024/02/22/unmasking-lorenz-ransomware-a-dive-into-recent-tactics-techniques-and-procedures

Report completeness: Low

Threats:
Lorenz

Geo:
Apac

ChatGPT TTPs:
do not use without manual check
T1486, T1567

IOCs:
File: 3
Path: 7
Command: 3
IP: 7
Domain: 1

Soft:
Windows Registry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программы-вымогатели, особенно от таких групп, как Lorenz, представляют значительную угрозу для малого и среднего бизнеса по всему миру. В тексте освещаются последние тактики, применяемые компанией Lorenz, такие как тактика двойного вымогательства и изменения в расширении шифрования, а также подчеркивается важность того, чтобы организации сохраняли бдительность и адаптировали свои средства защиты от кибербезопасности для противодействия растущим угрозам со стороны программ-вымогателей.
-----

Программы-вымогатели, постоянная угроза в киберпространстве, продолжают представлять значительный риск для малого и среднего бизнеса по всему миру, а такие группы, как Lorenz, активно используют уязвимости для получения финансовой выгоды. В начале 2021 года Лоренц начал применять тактику двойного вымогательства, когда они извлекают конфиденциальные данные перед шифрованием систем и требуют выплаты выкупа под угрозой публичной утечки данных. Недавно команда NCC Group по цифровой криминалистике и реагированию на инциденты (DFIR) в регионе APAC провела расследования, которые выявили существенные изменения в тактике, методах и процедурах Лоренца (TTP), подчеркнув эволюционирующие стратегии группы.

Одним из ключевых изменений в недавней деятельности Lorenz является изменение их расширения для шифрования. Ранее известная использованием таких расширений, как Lorenz.sz40 или .sz40, группа была идентифицирована с использованием нового расширения .sz41 в результате недавнего компромисса. Хотя это может показаться незначительной деталью, эти расширения часто служат подписью группы, что делает это изменение значительным. Более того, изменение расширения шифрования может указывать на изменения в методах шифрования, используемых группой.

Поскольку группы программ-вымогателей постоянно адаптируют свою тактику, организациям настоятельно рекомендуется сохранять бдительность и соответствующим образом корректировать свои средства защиты от кибербезопасности. Недавнее расследование, проведенное NCC Group, подчеркивает важность постоянного мониторинга и анализа для упреждающего реагирования на угрозы программ-вымогателей. Получая представление о недавних изменениях в деятельности Lorenz, предприятия и специалисты по кибербезопасности могут повысить свою готовность к выявлению ранних признаков атак программ-вымогателей и эффективному снижению связанных с ними рисков.

#ParsedReport #CompletenessLow
22-02-2024

Decrypted: HomuWitch Ransomware

https://decoded.avast.io/threatresearch/decrypted-homuwitch-ransomware

Report completeness: Low

Threats:
Homuwitch
Smokeloader

Industry:
Financial

Geo:
Indonesia, Poland, Netherlands, Germany, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1027, T1566, T1204, T1485, T1071, T1105

IOCs:
Hash: 11
IP: 4

Crypto:
monero

Algorithms:
sha256, aes-cbc

Links:
https://github.com/avast/ioc/tree/master/HomuWitch

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в уникальном штамме программы-вымогателя под названием HomuWitch, который нацелен на отдельных лиц, а не на учреждения, сохраняет скрытность, использует комбинацию шифрования и сжатия для шифрования файлов, имеет уязвимость, позволяющую жертвам расшифровывать файлы без уплаты выкупа, и работает через инфраструктуру ЧПУ, расположенную в основном в Европа. Постоянный мониторинг и анализ необходимы в связи с возможностью использования новых методов шифрования и необходимостью дальнейшего дешифрования в нестандартных случаях.
-----

HomuWitch - это уникальная разновидность программ-вымогателей, появившаяся в июле 2023 года, отличающаяся своей ориентацией на отдельных конечных пользователей, а не на учреждения и компании. В отличие от многих других разновидностей программ-вымогателей, HomuWitch удалось сохранить относительно низкий профиль с точки зрения распространенности и сумм выплат выкупа, оставаясь незамеченным. Расследование этой угрозы выявило уязвимость, которая позволила создать бесплатный инструмент дешифрования, помогающий жертвам восстанавливать свои файлы без необходимости платить выкуп. В настоящее время этот инструмент публикуется публично, чтобы помочь пострадавшим лицам, и, несмотря на недавнее снижение активности HomuWitch, необходим постоянный мониторинг этой угрозы.

Программа-вымогатель закодирована на C# .NET, а ее название получено из информации о версии двоичного файла. Типичный способ заражения предполагает, что жертвы подвергаются воздействию через черный ход SmokeLoader, замаскированный под пиратское программное обеспечение. После заражения устанавливается вредоносный дроппер, который в конечном итоге запускает программу-вымогатель HomuWitch в системе жертвы. Основные места, где были зарегистрированы случаи заражения, находятся в Польше и Индонезии.

HomuWitch выделяется своим подходом к шифрованию файлов, использующим комбинацию алгоритма Deflate для сжатия и алгоритма AES-CBC для шифрования. Этот метод приводит к тому, что файлы одновременно сжимаются и шифруются, на что указывает расширение .homuencrypted, добавляемое к именам файлов. В то время как большинство программ-вымогателей сосредоточены исключительно на шифровании файлов, HomuWitch делает все возможное, включая сжатие файлов, что делает зашифрованные файлы меньше оригиналов. Примечательно, что была выявлена уязвимость в процессе шифрования, позволяющая жертвам извлекать все свои файлы без выполнения требования о выкупе. Однако возможность появления новых или неизвестных образцов с использованием различных методов шифрования подчеркивает необходимость дальнейшего анализа для расшифровки потенциально нестандартных случаев.

Для осуществления своей деятельности HomuWitch опирается на инфраструктуру управления (CnC), расположенную в основном в Европе. Перед шифрованием программа-вымогатель отправляет личную информацию на свои серверы CnC, а после шифрования уведомление о выкупе либо извлекается с сервера, либо сохраняется в образцах ресурсов программы-вымогателя. Суммы выкупа обычно находятся в диапазоне от 25 до 70 долларов, при этом ожидается, что оплата будет произведена в криптовалюте Monero. Пример типичной записки с требованием выкупа HomuWitch содержит инструкции для жертв предоставить оригинальный и зашифрованный файл с возможностью ввода пароля шифрования, если таковой имеется. Процесс взлома пароля инициируется для определения правильного ключа дешифрования с использованием всех известных паролей HomuWitch.

#ParsedReport #CompletenessMedium
22-02-2024

8220 Gang Cryptomining Campaign Targets Linux & Windows Platforms. Sign up here:

https://www.uptycs.com/blog/8220-gang-cryptomining-cloud-based-infrastructure-cyber-threat

Report completeness: Medium

Actors/Campaigns:
8220_gang (motivation: cyber_criminal, information_theft)

Threats:
Dll_sideloading_technique
Uac_bypass_technique
Sysrv_botnet
Process_injection_technique
Masscan_tool
Massscan_tool
Upx_tool
Zgrab_scanner_tool
Tsunami_botnet
Ircbot

Geo:
Chinese

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1562, T1059, T1574, T1088, T1112, T1055, T1133, T1496, T1197, have more...

IOCs:
File: 7
Hash: 4
IP: 6

Soft:
Windows PowerShell, Event Tracing for Windows, Windows security, Windows Defender, SELinux, curl

Algorithms:
aes, gzip, base64, md5

Functions:
Createservices, makecron

Win API:
AMSIscanBuffer, EtwEventWrite, CreateDirectory

Languages:
powershell, rust, golang, python

Links:
https://github.com/theaog/spirit/tree/master
https://github.com/uptycslabs/IOCs/blob/main/8220Gang

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1, code: 16, windows: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается возрождение хорошо известной китайской группы исполнителей угроз, the 8220 Gang, с новой кампанией, нацеленной на облачную инфраструктуру, с мая 2023 по февраль 2024 года. Эта кампания демонстрирует их продвинутую тактику, такую как использование уязвимостей как на платформах Linux, так и на Windows, использование сложных методов уклонения и сосредоточение внимания на деятельности по криптомайнингу. Развивающийся подход группы представляет серьезную угрозу для организаций, полагающихся на облачную инфраструктуру, подчеркивая необходимость усиления мер безопасности для борьбы с их сложными технологиями.
-----

Банда 8220, хорошо известная китайская группа исполнителей угроз, вновь появилась с новой кампанией, посвященной облачной инфраструктуре, которая продлится с мая 2023 по февраль 2024 года. Эта кампания демонстрирует переход группы к более изощренной тактике, нацеленной на такие уязвимости, как CVE-2021-44228 и CVE-2022-26134 как на платформах Linux, так и Windows. Используя интернет-сканирование в поисках уязвимых приложений, банда получает несанкционированный доступ к облачным системам, используя незащищенные уязвимости. Оказавшись внутри, они используют передовые методы обхода, такие как отключение принудительного обеспечения безопасности и изменение правил брандмауэра. Такая эволюция их подхода представляет серьезную угрозу для организаций, полагающихся на облачную инфраструктуру, и подчеркивает необходимость усиления мер безопасности.

В этой последней кампании банда 8220 использует Windows PowerShell для выполнения без файлов, что приводит к развертыванию криптоминера. Группа использует новые методы, такие как боковая загрузка библиотеки DLL, обход контроля учетных записей пользователей (UAC) и модификация AMSIscanBuffer и ETWEventWrite для оптимизации скрытности и уклонения. Эта тактика демонстрирует изобретательность группы в обходе мер безопасности и отличает эту кампанию от предыдущих случаев. Что касается Linux, основное внимание по-прежнему уделяется криптоджекингу, при этом группа использует знакомые инструменты, такие как masscan и spirit для разведки, но обновляет их до более новых версий.

Тактика, используемая бандой 8220 в системах Windows, включает в себя различные методы обхода антивирусных систем и систем обнаружения конечных точек, наряду с использованием атак без файлов и дополнительной загрузки DLL. Они исправляют такие функции, как AmsiScanBuffer, чтобы обойти механизмы безопасности и избежать обнаружения. Группа также использует такие методы, как создание каталога с конечным разделителем, используя API CreateDirectory с префиксом unc, чтобы обойти ограничения Windows, с последующим выполнением законной программы, подверженной боковой загрузке DLL.

Выполнение полезной нагрузки включает в себя сложные этапы, включая PowerShell для выполнения без файлов, развертывание криптоминера и использование новых методов обхода. Сосредоточенность группы на системах Windows демонстрирует их способность адаптировать и совершенствовать свою тактику для эффективного обхода мер безопасности. Их кампания в Linux в первую очередь направлена на криптоджекинг, использующий сценарии оболочки для загрузки вредоносных программ и майнеров, с акцентом на разведку и распространение.

В то время как кампания банды 8220 в Linux претерпела незначительные изменения, их кампания в Windows демонстрирует значительные улучшения в тактике и методах уклонения. Организации должны сохранять бдительность, регулярно обновлять системы безопасности и обучать пользователей передовым методам кибербезопасности, чтобы смягчить возникающие угрозы, исходящие от таких групп, как банда 8220. Надежные антивирусные решения, регулярное обновление программного обеспечения, обучение пользователей, фильтрация электронной почты, мониторинг сети и резервное копирование данных являются важными мерами для повышения уровня безопасности от таких сложных угроз.

#ParsedReport #CompletenessMedium
22-02-2024

Web3 Crypto Malware: Angel Drainer From Phishing Sites to Malicious Injections

https://blog.sucuri.net/2024/02/web3-crypto-malware-angel-drainer.html

Report completeness: Medium

Actors/Campaigns:
Darkhotel
Turla

Threats:
Angel_drainer
Socgholish_loader
Pandora
Rilide

Industry:
Financial, Education, Petroleum

Geo:
Moscow, Bulgaria, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1059, T1199, T1547, T1574, T1600, T1583, T1584

IOCs:
Url: 7
Domain: 43
IP: 4
File: 4
Coin: 2

Soft:
WordPress

Wallets:
metamask

Crypto:
bitcoin, ethereum, binance, apecoin, chainlink

Algorithms:
xor, base64

Win API:
Polygon

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается всплеск атак со стороны новой формы вредоносного ПО для веб-сайтов, нацеленного на Web3 и криптовалютные активы, использующего криптодрейнеры для кражи и перераспределения активов. В нем освещается рост вредоносных программ, связанных с криптографией, и веб-взломов, особое внимание уделяется вредоносному ПО Angel Drainer, его механизмам и последствиям для владельцев веб-сайтов. Подчеркивается важность бдительности и упреждающих мер безопасности для устранения развивающихся киберугроз в экосистеме Web3.
-----

Всплеск атак со стороны новой формы вредоносного ПО для веб-сайтов, нацеленного на Web3 и криптовалютные активы, с января 2024 года.

Использование криптодрейнеров в этих атаках для кражи и перераспределения активов из скомпрометированных кошельков.

Angel Drainer - известный криптодрейнер, вызывающий нарушения безопасности в экосистеме Web3.

Более 20 000 уникальных фишинговых сайтов Web3, созданных злоумышленниками в 2023 году.

Проверка сайта выявила самый массовый вариант использования Angel Drainer на более чем 550 сайтах в феврале.

Рост криптовалют и блокчейн-технологий привлекает киберпреступников для разработки вредоносных программ, связанных с криптографией, и веб-взломов.

Экосистема Web3 становится мишенью для киберпреступников из-за вовлеченности пользователей и финансовых транзакций.

Angel Drainer обманывает посетителей веб-сайта, заставляя их подключать кошельки к вредоносным сайтам для доступа к средствам и их перевода.

Рекомендации для владельцев веб-сайтов по защите от заражения вредоносными программами включают регулярные обновления, надежные пароли, резервные копии и брандмауэры.

Денис Синегубко, старший исследователь вредоносных программ Sucuri, анализирует возникающие угрозы и создает решения для обеспечения безопасности.

#ParsedReport #CompletenessHigh
22-02-2024

Cisco Talos Blog. TinyTurla-NG in-depth tooling and command and control analysis

https://blog.talosintelligence.com/tinyturla-ng-tooling-and-c2

Report completeness: High

Actors/Campaigns:
Turla

Threats:
Tinyturla-ng
Credential_harvesting_technique
Chisel_tool
Turlapower-ng
Upx_tool

Victims:
Polish ngos

Industry:
Ngo

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1105, T1059, T1071, T1041, T1552, T1557, T1110, T1027, T1150, T1068, have more...

IOCs:
Path: 7
IP: 2
Domain: 8
File: 1
Command: 1
Hash: 5

Soft:
WordPress, Google Chrome, Microsoft Edge

Algorithms:
zip, base64

Functions:
exec, passthru, system, shell_exec

Languages:
powershell, golang, php

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе новых вредоносных компонентов, используемых группой Turla Advanced Persistent Threat (APT), с акцентом на функционирование сценариев command and control (C2), развертывании бэкдоров, команд PowerShell и дополнительных вредоносных модулей. Исследование, проведенное Cisco Talos и CERT.НПО раскрывает внутреннюю работу скриптов C2, как работают различные вредоносные компоненты, а также использование группой Turla нескольких семейств вредоносных программ и тактик для поддержания связи и осуществления вредоносных действий.
-----

Новые вредоносные компоненты, используемые группой Turla Advanced Persistent Threat (APT), идентифицированные Cisco Talos и CERT.NGO.

Анализ раскрывает подробную информацию о действиях после взлома, командах PowerShell для перечисления и эксфильтрации, а также о трех дополнительных вредоносных модулях, развернутых Turla.

Развертывание модифицированного агента/клиента Chisel, связь с отдельным сервером C2, использование нескольких вариантов вредоносных программ, таких как TinyTurla-NG и TurlaPower-NG.

Раскрыта внутренняя работа скриптов C2, включая компонент WebShell для удаленного администрирования.

Возможности веб-оболочки позволяют выполнять команды, основанные на конкретных условиях, взаимодействовать с имплантатами и выполнять различные операции, такие как декодирование base64 и обработка файлов.

Модульные команды PowerShell, используемые для разведки, перечисления файлов, эксфильтрации, нацеливания на конкретные файлы и документы, представляющие интерес.

Развертывание инструмента повышения привилегий, скрипта для сбора данных для входа в систему из браузеров Microsoft Edge.

Наличие модифицированного инструмента туннелирования Chisel на базе GoLang для установления обратного SOCKS-прокси-соединения с сервером C2 подчеркивает сложный подход Turla к коммуникации и операционной безопасности.

#ParsedReport #CompletenessLow
23-02-2024

Technical Advisory: Critical ConnectWise ScreenConnect Authentication Bypass. Vulnerability Details

https://www.bitdefender.com/blog/businessinsights/technical-advisory-critical-connectwise-screenconnect-authentication-bypass

Report completeness: Low

Threats:
Connectwise_rat
Screenconnect_tool

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)


ChatGPT TTPs:
do not use without manual check
T1078, T1550, T1068, T1222, T1190, T1553, T1105

IOCs:
File: 1
Hash: 3

Algorithms:
md5

Platforms:
x86

Links:
https://github.com/W01fh4cker/ScreenConnect-AuthBypass-RCE/blob/main/ScreenConnect-AuthBypass-RCE.py

#ParsedReport #GeneratedSchema
Generated with GPT-4