#ParsedReport #CompletenessLow
23-02-2024

Technical Advisory: Critical ConnectWise ScreenConnect Authentication Bypass. Vulnerability Details

https://www.bitdefender.com/blog/businessinsights/technical-advisory-critical-connectwise-screenconnect-authentication-bypass

Report completeness: Low

Threats:
Connectwise_rat
Screenconnect_tool

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)


ChatGPT TTPs:
do not use without manual check
T1078, T1550, T1068, T1222, T1190, T1553, T1105

IOCs:
File: 1
Hash: 3

Algorithms:
md5

Platforms:
x86

Links:
https://github.com/W01fh4cker/ScreenConnect-AuthBypass-RCE/blob/main/ScreenConnect-AuthBypass-RCE.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
ConnectWise выпустила исправление безопасности для устранения критических уязвимостей в программном обеспечении ScreenConnect, направленное на предотвращение атак удаленного выполнения кода (RCE). Уязвимости, включая обход аутентификации и обход пути, создают значительные риски, позволяя осуществлять несанкционированный доступ и повышение привилегий. Активная реакция ConnectWise отражает их приверженность повышению безопасности программного обеспечения и защите пользовательских данных. Организациям следует проявлять бдительность в отношении потенциальной эксплуатации и учитывать конкретные показатели компрометации для укрепления своей позиции в области кибербезопасности.
-----

Недавно, 19 февраля 2024 года, ConnectWise выпустила исправление для системы безопасности, направленное на устранение двух критических уязвимостей в программном обеспечении ScreenConnect, которые потенциально могут привести к удаленному выполнению кода (RCE). Выявленные уязвимости, а именно CVE-2024-1709 и CVE-2024-1708, представляют значительные риски, позволяя злоумышленникам обходить механизмы аутентификации и выполнять обход пути, что может привести к несанкционированному доступу и повышению административных привилегий.

CVE-2024-1709 с оценкой CVSS 10,0 предполагает обход аутентификации с использованием альтернативного пути или канала (CWE-288). Эта уязвимость предоставляет злоумышленникам возможность обойти процесс аутентификации, получив несанкционированный доступ в систему. С другой стороны, CVE-2024-1708, оцененный в 8,4 балла по шкале CVSS, относится к неправильному ограничению пути к каталогу с ограниченным доступом, широко известному как "обход пути" (CWE-22). Этот недостаток может быть использован для манипулирования путями к файлам и доступа к каталогам с ограниченным доступом, что потенциально позволяет злоумышленникам повышать привилегии в системе.

Примечательно, что ConnectWise стремится повысить уровень безопасности своего программного обеспечения, оперативно выпустив это обновление для системы безопасности, чтобы устранить выявленные уязвимости и защитить пользователей от потенциальной эксплуатации. Проактивный подход компании отражает приверженность обеспечению целостности и конфиденциальности пользовательских данных и системных ресурсов.

Кроме того, детальный анализ и данные телеметрии выявили тенденции в потенциальных векторах атак, связанных с программным обеспечением ScreenConnect. В частности, были замечены случаи, когда субъекты угроз использовали папку расширений ScreenConnect, расположенную по адресу %ProgramFiles(x86)%\ScreenConnect\App_Extensions. В то время как в предыдущих отчетах подчеркивалась уязвимость этой папки для загрузки файлов на корневом уровне, недавние наблюдения указывают на то, что злоумышленники используют стандартные расширения внутри каталога.

Несмотря на ограниченный доступ к этим файлам для углубленного анализа, триггеры обнаружения, в частности, идентифицированные как Generic.Cert.Downloader.1, предполагают наличие загрузчика, использующего встроенный инструмент certutil.exe. Злоумышленники обычно используют этот инструмент с такими аргументами, как -urlcache или -f, чтобы облегчить загрузку дополнительных вредоносных программ в систему жертвы. Время проведения этих атак в сочетании с использованием случайно сгенерированных имен файлов указывает на потенциальное соответствие опубликованным доказательствам концепций (POC), что повышает серьезность ландшафта угроз.

В ответ на эти возникающие угрозы организациям следует сохранять бдительность и учитывать следующие признаки компрометации, чтобы укрепить свою систему безопасности и защититься от потенциальной эксплуатации:.

#ParsedReport #CompletenessLow
23-02-2024

LockBit Attempts to Stay Afloat With a New Version. Recent LockBit issues and difficulties

https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html

Report completeness: Low

Threats:
Lockbit
Rhadamanthys
Spacecolon
Blackcat
Noescape
Revil
Wazawaka_actor
Conti

Industry:
Financial, Semiconductor_industry

Geo:
Ukraine, Taiwan

ChatGPT TTPs:
do not use without manual check
T1588.002, T1027, T1071, T1486, T1027, T1583.001, T1027, T1485, T1587.002

IOCs:
Hash: 1

Soft:
ESXi

Links:
https://github.com/3xp0rt/LockBit-Tattoo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ влияния утечек и инцидентов внутренней безопасности на группу программ-вымогателей LockBit, снижение их влияния с течением времени, проблемы, с которыми сталкиваются при поддержании филиалов, ключевых лиц, связанных с группой, и разработка нового, не зависящего от платформы варианта вредоносного ПО с маркировкой LockBit-NG-Разработчик сигнализирует о переходе к версии LockBit 4.0.
-----

Исследование, описанное в тексте, является результатом сотрудничества между автором и Национальным агентством по борьбе с преступностью Соединенного Королевства, направленного против группы программ-вымогателей LockBit, в рамках операции Cronos - международных усилий, направленных на подрыв деятельности преступных организаций. Группа LockBit столкнулась с внутренними инцидентами безопасности, вызванными утечками информации с участием недовольных разработчиков или членов группы, что привело к разоблачению их разработчика программ-вымогателей в сентябре 2022 года. Утечка этой сборки оказала значительное влияние, поскольку способствовала появлению групп подражателей, таких как Flamingo и Spacecolon, которые использовали утечку полезной нагрузки LockBit, усложняя атрибуцию и ослабляя технические преимущества LockBit.

Утечка сборки также снизила барьер для входа преступников в свои предприятия RaaS путем клонирования операции LockBit, что создает проблемы с атрибуцией. Репутация бренда LockBit пострадала после утечки, что вызвало опасения по поводу их внутренних мер безопасности и снижения доверия со стороны аффилированных лиц. Усилия LockBit по удержанию и привлечению партнеров столкнулись с такими препятствиями, как технические проблемы, отсутствие инноваций, операционные задержки и неблагоприятные правила для партнеров. Кроме того, LockBitSupp подверглась пристальному вниманию общественности в январе 2024 года после обвинений в отказе платить за доступ, что привело к выплате средств вымогателями, в ответ на что они проявили предполагаемое высокомерие, которое потенциально нанесло ущерб их репутации и отношениям.

Подтвержденные данные о взломах указывают на устойчивое снижение воздействия программ-вымогателей LockBit за последние два года, несмотря на сохранение заметного положения среди наборов вторжений со значительным количеством атак. Переход от LockBit 2.0 к LockBit 3.0 был отмечен снижением доли, при этом небольшой рост наблюдался в четвертом квартале 2023 года, что объясняется усилением деятельности правоохранительных органов в отношении конкурирующих групп. В этот период LockBit предоставляла возможности филиалам перейти к своей деятельности.

В тексте рассматриваются ключевые лица, связанные с группой LockBit, включая псевдонимы и персонажей, таких как LockBit, LockBitSupp, Bassterlord и wazawaka. Примечательно, что Bassterlord, видная фигура в сообществе киберпреступников, по-видимому, связана с LockBit и причастна к громким атакам. В тексте также упоминается принадлежность вазаваки к LockBit и их обвинительное заключение Министерством юстиции США в мае 2023 года. Неизвестный субъект, Ali_qushji, утверждал, что скомпрометировал серверную инфраструктуру LockBit, хотя LockBitSupp оспорил это утверждение, приписав утечку недовольному разработчику, известному как protonleaks.

В тексте представлена новая эволюция LockBit, представленная не зависящим от платформы вариантом вредоносного ПО, находящимся в разработке, с надписью LockBit-NG-Dev, что означает работу группы над версией LockBit 4.0. Этот новый вариант использует .NET и CoreRT для улучшения совместимости с платформой, хотя его возможности в настоящее время меньше, чем в предыдущих версиях. LockBit-NG-Dev удалил самораспространяющиеся функции и сложные механизмы управления, чтобы усилить оперативный контроль и избежать обнаружения системами безопасности.

#ParsedReport #CompletenessLow
23-02-2024

Rhysida Ransomware Group, Which Crippled the British Library Racking Up 6 to 7 Million in Recovery Costs, Turns Its Wrath on Hospitals, Power Plants, and Schools in the UK, Europe, and the Middle East, Warns eSentire

https://www.esentire.com/blog/rhysida-ransomware-group-turns-its-wrath-warns-esentire

Report completeness: Low

Actors/Campaigns:
Vice_society (motivation: financially_motivated)

Threats:
Rhysida
Lockbit
Clop
X-ray_tool
Process_injection_technique
Nltest_tool
Putty_tool
Anydesk_tool
Zerologon_vuln

Victims:
British library, Hse, King edward vii’s hospital, Prospect medical holdings, World council of churches, A high school in london, A vocational training school in the u.k., Kaunas university of technology, Tshwane university of technology, Abdali hospital, have more...

Industry:
Healthcare, Military, Education, Government, Financial, Energy

Geo:
England, America, Italy, Slovenia, Apac, Africa, Switzerland, Lithuania, Hungary, Emea, Jordan, Serbia, Qatar, London

ChatGPT TTPs:
do not use without manual check
T1486, T1485, T1496, T1567, T1071, T1027, T1087, T1059, T1046, T1021, have more...

IOCs:
File: 2

Soft:
Microsoft Teams

Crypto:
bitcoin

Algorithms:
chacha20

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена деятельности группы вымогателей Rhysida, которая проводила громкие кибератаки, нацеленные на различные организации, такие как Британская библиотека, медицинские учреждения, образовательные учреждения и глобальную религиозную организацию. Группа использует такие тактики, как двойное вымогательство, требуя от жертв выплаты выкупа, чтобы предотвратить раскрытие данных, что приводит к значительным сбоям, финансовым потерям и репутационному ущербу для жертв. Даны рекомендации по снижению риска атак программ-вымогателей, подчеркивающие важность надежных мер безопасности.
-----

Группа вымогателей Rhysida была вовлечена в серию громких кибератак, направленных против таких организаций, как Британская библиотека, медицинские учреждения, образовательные учреждения и даже глобальная религиозная организация. Группа использует такую тактику, как двойное вымогательство, требуя от жертв значительных выкупов, чтобы избежать раскрытия данных. Атаки Rhysida вызвали значительные сбои в работе и кражу данных, что привело к финансовым потерям и репутационному ущербу для жертв.

Атака группы на Британскую библиотеку в октябре 2023 года привела к выходу из строя библиотечных систем и краже значительного объема данных, включая личную информацию сотрудников. Злоумышленники продали украденные данные с аукциона в даркнете. Аналогичным образом, атака на крупнейшую энергетическую компанию Словении, HSE, была нацелена на ИТ-системы и привела к краже данных, причем участники угроз разместили подлинные документы на своем сайте утечки.

Ориентация Rhysida group на престижные медицинские учреждения, такие как больница короля Эдуарда VII в Лондоне и больница Абдали в Иордании, подчеркивает их внимание к конфиденциальным данным, включая истории болезни пациентов и информацию, относящуюся к членам королевской семьи. Злоумышленники угрожали опубликовать украденные данные, если выкуп не будет выплачен, что вызвало значительное беспокойство у пострадавших организаций.

Кроме того, атаки Rhysida распространяются на сектор образования: средние школы, профессионально-технические училища и университеты становятся жертвами утечек данных и требований выкупа. Скомпрометировав такие институты, как Всемирный совет церквей и Всемирная лютеранская федерация, группа продемонстрировала свою способность воздействовать на организации в глобальном масштабе.

В ответ на растущую угрозу, исходящую от группы Rhysida, исследователи кибербезопасности провели параллели между их тактикой, методами и процедурами (TTP) и группой вымогателей Vice Society. Обе группы нацелились на организации в секторах образования и здравоохранения, используя схожие методы для извлечения конфиденциальных данных и вымогательства у жертв финансовой выгоды.

Чтобы снизить риск атак программ-вымогателей, подобных тем, которые проводит Rhysida, предприятиям и государственным организациям рекомендуется принимать надежные меры безопасности. Рекомендации включают в себя создание автономных резервных копий критически важных файлов, применение многофакторной аутентификации, проведение регулярных тренингов по безопасности для сотрудников и обеспечение круглосуточного мониторинга сетевой активности. Кроме того, устранение внутренних уязвимостей, таких как использование известных слабостей, таких как Zerologon, имеет решающее значение для предотвращения несанкционированного доступа и утечки данных.

#ParsedReport #CompletenessMedium
23-02-2024

Nation-State Threat Actors Using Google Drive & XenoRAT

https://www.genians.co.kr/blog/nation-state

Report completeness: Medium

Threats:
Xenorat
Spear-phishing_technique
Exbyte_stealer
Hvnc_tool

Geo:
German, Korea, Usa, Korean, Germany, Gyeonggi-do, Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1059, T1547, T1562, T1105, T1071, T1583, T1082, have more...

IOCs:
File: 21
Coin: 1
Email: 1
IP: 8
Domain: 18
Hash: 11

Soft:
Slack, WordPad

Algorithms:
gzip, base64, zip, md5

Win API:
decompress

Languages:
powershell

Links:
https://github.com/moom825/xeno-rat

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 4, windows: 9, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложной киберугрозы, нацеленной на Корею, включающей точечные фишинговые атаки, вредоносные команды PowerShell и использование настроенной версии инструмента удаленного управления XenoRAT. Злоумышленники использовали методы социальной инженерии, замаскировали вредоносные файлы и установили соединения с сервером управления в Германии. Анализ, проведенный Центром безопасности Genius, выявляет инфраструктуру угроз, прошлые действия, связанные с APT-атаками, и переход к безфайловым операциям с использованием команд PowerShell. Развертывание Genian EDR рекомендуется для раннего обнаружения угроз и реагирования на них с целью снижения потенциальных рисков.
-----

Центр безопасности Genius (GSC) обнаружил новую угрозу 3 января 2024 года, связанную с локализованными точечными фишинговыми атаками, нацеленными на Корею. Атака началась с рассылки электронных писем, содержащих актуальное содержание колонки мнений из различных СМИ в первый день нового года, замаскированных под сжатый ZIP-файл с новогодними поздравлениями. Злоумышленники пытались обмануть получателей, выдавая себя за знакомых и используя методы социальной инженерии для достижения максимальной эффективности. Сжатый файл с 10-значным уникальным паролем был передан по ссылке, чтобы обойти службы безопасности. После распаковки вредоносный файл LNK, замаскированный под документ DOCX, привел к файлу сценария PowerShell с именем "swolf-first.ps1.".

Посредством развертывания запланированной задачи, выдаваемой за обновление браузера MS Edge, злоумышленники запустили скрытые команды PowerShell. Впоследствии злоумышленник под именем учетной записи "fox tian" загрузил на Google Диск файл под названием "calc.txt", содержащий вредоносные инструкции PowerShell. Эти команды, направленные на сохранение файла RTF и распаковку данных в формате Gz, указывают на сложную стратегию атаки. Злоумышленники использовали настроенную версию средства удаленного управления XenoRAT, известную как "Пользовательский XenoRAT", для установления соединений с сервером C2 в Германии. XenoRAT обладает различными функциями удаленного управления, такими как доступ к веб-камере, регистрация ключей и появление BSOD, а также использует функцию скрытых виртуальных сетевых вычислений (HVNC).

Анализ, проведенный GSC, показал, что IP-адрес инфраструктуры угроз (159.100.29.38) базировался в Германии, с подключениями к корейскому электронному хостингу IC hosting и доменам, связанным с корейскими портальными компаниями и биржами виртуальных активов. Поисковая система criminal IP intelligence AI SPERA предоставила дополнительную информацию о прошлой деятельности IP. GSC также идентифицировала IP как адрес сервера C2 в ходе APT-атаки и обнаружила соединения с доменами, похожими на домены северокорейских организаций.

Атаки APT в Корее перешли к безфайловым операциям с использованием команд PowerShell, чтобы избежать обнаружения традиционными продуктами безопасности. Genian EDR, решение для обнаружения аномалий терминала и реагирования на них, позволяет на ранней стадии идентифицировать угрозы с помощью правил XBA, когда вредоносные команды PowerShell взаимодействуют с сетью. Отслеживая такие действия, как нештатные сетевые подключения к Google Диску и создание файлов документов, службы безопасности могут быстро и эффективно обнаруживать потенциальные угрозы и реагировать на них. Возможности Genian EDR расширяются до обнаружения подозрительных сетевых соединений с помощью команд PowerShell и модулей XenoRAT, обеспечивая улучшенную видимость для реагирования на инциденты и расследования угроз.

#ParsedReport #CompletenessMedium
22-02-2024

HijackLoader Expands Techniques to Improve Defense Evasion

https://cs-staging-2-www.crowdstrike.com/blog/hijackloader-expands-techniques

Report completeness: Medium

Actors/Campaigns:
Doppelgnger

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique

TTPs:

IOCs:
Url: 4
Path: 3
File: 4
Hash: 2

Algorithms:
xor

Functions:
Gate, WriteFileW

Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...

Platforms:
x64

Links:
https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61

#ParsedReport #ExtractedSchema

Classified images:
schema: 12, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение сложного варианта вредоносного ПО HijackLoader, известного как IDAT Loader, и его эволюционирующих методов обхода, позволяющих избежать обнаружения решениями безопасности. Исследователи CrowdStrike идентифицировали этот новый вариант, используя расширенные возможности обнаружения и машинное обучение. Вредоносная программа демонстрирует сложное многоступенчатое поведение, используя тактику уклонения, такую как удаление процесса, двойное проникновение и методы обхода перехвата, такие как Heaven's Gate. В тексте также подчеркивается, как вредоносная программа внедряет шелл-код в процессы, такие как cmd.exe, для скрытного выполнения вредоносных действий. CrowdStrike использует многоуровневый подход для обнаружения и предотвращения угроз, таких как HijackLoader, на ранних этапах цепочки атак, сопоставляя свою тактику с платформой MITRE ATT&CK для получения дополнительной информации.
-----

Усложняющийся вариант HijackLoader (IDAT Loader) все чаще используется злоумышленниками для развертывания дополнительных полезных нагрузок и инструментов.

HijackLoader использует передовые методы уклонения, чтобы избежать обнаружения решениями безопасности.

Исследователи CrowdStrike определили новый вариант, используя возможности машинного обучения и обнаружения на основе поведения.

Сложное многоэтапное поведение анализируемого образца HijackLoader, включая деобфускацию, проверку подключения, загрузку двоичного объекта конфигурации второго этапа, расшифровку, загрузку библиотеки DLL Windows и выполнение шеллкода второго этапа.

Методы уклонения, используемые вредоносной программой, такие как выдалбливание процесса, дублирование процесса, отцепление и обход перехвата в пользовательском режиме с использованием Heaven's Gate.

Внедрение последующего шелл-кода в cmd.exe процесс с помощью интерактивных методов опустошения процесса.

Запись окончательной полезной нагрузки в дочерний процесс logagent.exe с помощью шеллкода четвертого этапа с использованием метода обхода перехвата.

Многоуровневый подход CrowdStrike к обнаружению вредоносных программ, таких как HijackLoader, использующий возможности машинного обучения и обнаружения на основе поведения с помощью датчика CrowdStrike Falcon.

Сопоставление тактики, методов и процедур HijackLoader с платформой MITRE ATT&CK для получения информации о моделях поведения и методах, используемых вредоносным ПО.

#ParsedReport #CompletenessLow
23-02-2024

Doppelgnger NG \| Russian Cyberwarfare campaign

https://www.clearskysec.com/dg

Report completeness: Low

Actors/Campaigns:
Doppelgnger (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)

Geo:
Ukraine, France, Russian, Germany, Israel

ChatGPT TTPs:
do not use without manual check
T1566, T1565, T1593, T1583, T1584

IOCs:
Domain: 183

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе российской инициативы по ведению информационной войны под названием Doppelgnger NG, которая предполагает распространение ложной информации через поддельные веб-сайты и платформы социальных сетей в глобальном масштабе. Кампания была связана с российской группой кибершпионажа APT28, что свидетельствует о сотрудничестве между двумя организациями в манипулировании общественным мнением, влиянии на геополитическую динамику и достижении стратегических целей посредством тайных онлайн-операций. Эволюция и расширение Doppelgnger NG подчеркивают постоянную угрозу, исходящую от спонсируемых государством кампаний информационной войны, и проблемы в выявлении такой деятельности и противодействии ей.
-----

ClearSky Cyber Security и SentinelLabs обнаружили российскую операцию по ведению информационной войны "Doppelgänger NG", включающую распространение ложной информации по всему миру через поддельные веб-сайты и платформы социальных сетей.

Операции Doppelgänger NG возобновились в 2024 году с использованием новой инфраструктуры и были связаны с российской группой кибершпионажа APT28, что подразумевает сотрудничество между двумя организациями.

Кампания была нацелена на такие страны, как Соединенные Штаты, Германия, Израиль, Франция и Украина, используя более 150 доменов, на которых размещались сфабрикованные новости, для манипулирования общественным мнением.

Расширяя список своих жертв и используя новую инфраструктуру, Doppelgänger NG стремилась повлиять на ключевые заинтересованные стороны в стратегических странах, исказить реальность и усилить существующую напряженность.

Взаимосвязанный характер доменов и каналов социальных сетей в сети Doppelgänger NG предполагает систематические усилия по манипулированию общественным восприятием и посеянию раздора.

Многоаспектный подход кампании, включающий различные направления распространения ложной информации, создает серьезную проблему для эффективного противодействия онлайн-дезинформации.

Развивающаяся тактика Doppelgänger NG подчеркивает постоянную угрозу спонсируемых государством кампаний информационной войны, подчеркивая важность постоянной бдительности, сотрудничества и технологических достижений для смягчения последствий.

#ParsedReport #CompletenessLow
22-02-2024

Cisco Talos Blog. TikTok s latest actions to combat misinformation shows it s not just a U.S. problem

https://blog.talosintelligence.com/threat-source-newsletter-feb-22-2024

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: information_theft, cyber_espionage)

Threats:
Chrysaor
Astaroth
Mekotio
Ousaban

Victims:
U.s. political system, Political opponents in poland, Blackberry, iphone, android device users, Indonesian iphone users, Communications, manufacturing, utility, it, education sectors, u.s. emergency services, Latin american and european targets

Industry:
Financial, Ics, Military, Government, Education, Energy

Geo:
Russian, China, Ghana, Indonesia, Greek, Africa, Ukraine, California, Greece, America, Emirates, Chinese, American, Poland, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1588.002, T1027, T1562.001, T1608.002, T1499

IOCs:
Hash: 10
File: 6

Soft:
TikTok, Android

Algorithms:
md5

Platforms:
apple