#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в серии кибератак, осуществленных APT29, связанной с СВР России, нацеленных на посольства в нескольких странах путем использования уязвимости в WinRAR. Атаки включали фишинговые кампании, тактику социальной инженерии и использование скрипта PowerShell для сбора разведданных, особенно о действиях, связанных с наступлением Азербайджана в Нагорном Карабахе. В тексте также освещается более широкий спектр кибервойн, стратегические последствия использования уязвимостей, таких как CVE-2023-38831, и важность мер кибербезопасности для снижения рисков, связанных с кибершпионажем и целенаправленными атаками.
-----

В начале сентября 2023 года APT29, группа, связанная со Службой внешней разведки России (СВР), осуществила кибератаки на посольства в Азербайджане, Румынии, Италии и Греции. Первоначальный доступ к этим сетям был получен путем использования уязвимости удаленного выполнения кода в WinRAR, известной как CVE-2023-38831. В статье приводится подробный технический анализ этого вектора атаки, а также анализ социально-политического контекста, связанного с инцидентами.

APT29 использовала фишинговые кампании по распространению файлов RAR, замаскированных под внутренние документы о продаже автомобилей BMW, для проникновения в целевые системы. Фишинговые электронные письма были созданы так, чтобы казаться законными, и содержали PDF-файл, предположительно, с подробным описанием технических характеристик автомобилей. Как только был получен доступ к PDF-файлу, сценарий PowerShell был автоматически загружен и выполнен в фоновом режиме с помощью команды "IEX", служащей первым этапом цепочки атак.

Мотивация этих киберопераций, вероятно, была сосредоточена вокруг кибершпионажа, в частности сбора разведданных о стратегической деятельности, связанной с наступлением Азербайджана в Нагорном Карабахе. Страны-мишени, включая Румынию, Грецию и Италию, имеют значительные дипломатические связи с Азербайджаном, что делает их главными целями для сбора конфиденциальной информации.

Хотя RARLabs выпустила обновленную версию WinRAR в августе 2023 года для исправления CVE-2023-38831, есть признаки того, что участники угроз, включая APT29 и APT28, подозреваемые в связях с российским правительством, использовали уязвимость до ее публичного раскрытия. APT28, выдавая себя за украинскую школу подготовки беспилотников, доставил похитителя информации Rhadamanthys, используя ту же уязвимость. Использование уязвимостей нулевого дня представляет высокую стратегическую ценность для продвинутых стойких угроз (APT), поскольку позволяет им проводить необнаруженные кибероперации в целях шпионажа.

В настоящее время в сфере кибербезопасности доминируют субъекты угроз, извлекающие выгоду из глобальных кризисов и вооруженных конфликтов, при этом кибервойна становится все более распространенной. Относительно низкая стоимость и высокая отдача от кибератак делают их привлекательными инструментами для спонсируемых государством субъектов, стремящихся продвигать свои стратегические интересы в киберпространстве. Более того, проблемы атрибуции, распространенные в сфере кибербезопасности, способствуют использованию операций под ложным флагом, усложняя усилия по выявлению истинных виновников киберинцидентов.

CVE-2023-38831 влияет на WinRAR версий ниже 6.23 и позволяет злоумышленнику манипулировать поведением WinRAR для выполнения вредоносных команд при выполнении определенных условий. Используя взаимодействие между тактикой социальной инженерии и техническими уязвимостями, субъекты угроз могут проникать в важные объекты, такие как посольства, университеты и объекты критически важной инфраструктуры. Поэтому комплексные меры кибербезопасности, включая регулярные обновления программного обеспечения, оценку уязвимостей и обучение сотрудников передовым методам обеспечения кибербезопасности, необходимы для снижения рисков, связанных с кибершпионажем и целенаправленными атаками.

#ParsedReport #CompletenessMedium
25-02-2024

Data From Chinese Security Services Company i-Soon Linked to Previous Chinese APT Campaigns

https://unit42.paloaltonetworks.com/i-soon-data-leaks

Report completeness: Medium

Actors/Campaigns:
Winnti
Earth_empusa

Threats:
Supply_chain_technique
Shadowpad

Victims:
Comm100, Tibetan groups, Governments of india, Thailand, Vietnam, South korea, Nato

Industry:
Government

Geo:
Thailand, America, Chinese, Japan, Emea, Korea, Canadian, Vietnam, Apac, China, Tibetan, India

ChatGPT TTPs:
do not use without manual check
T1190, T1583, T1584, T1105, T1071, T1573, T1095

IOCs:
IP: 5
Hash: 1
Url: 3
Domain: 4

Soft:
unix, Android, gmail

Algorithms:
sha256

Win API:
decompress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Утечка данных из китайской компании i-Soon, предоставляющей услуги ИТ-безопасности, загруженная на GitHub, раскрывает их причастность к разработке инструментов кибершпионажа для связанных с Китаем исполнителей угроз. Расследование Unit 42 связывает утечку данных с предыдущими китайскими кампаниями APT, подтверждая подлинность утечки. Просочившиеся документы свидетельствуют о маркетинге i-Soon программного обеспечения Treadstone malware controller и их целенаправленных кибератаках на различные правительства и организации. Утечка также указывает на причастность i-Soon к атаке на канадскую компанию по разработке программного обеспечения и к атаке на тибетские группы, что проливает свет на действия китайских исполнителей угроз. Утечка данных подчеркивает тенденцию китайских исполнителей угроз делиться или перепродавать аналогичные наборы инструментов, что затрудняет установление авторства. Клиентам даются рекомендации по повышению уровня безопасности с помощью продуктов Palo Alto Networks, и в настоящее время предпринимаются совместные усилия по укреплению защиты от развивающихся киберугроз, исходящих от изощренных злоумышленников.
-----

Утечка данных на GitHub в 2024 году раскрыла внутренние коммуникации, материалы по продажам и руководства по продуктам i-Soon, китайской компании, предоставляющей услуги ИТ-безопасности, связанной с инструментами кибершпионажа для связанных с Китаем участников угроз.

Расследование подразделения 42 связало утечку данных с китайскими кампаниями APT, подтвердив подлинность утечки.

i-Soon продавала программное обеспечение для управления вредоносными программами Treadstone, ранее связанное с APT41 group.

согласно просочившимся документам, i-Soon нацелился на правительства и организации в Индии, Таиланде, Вьетнаме, Южной Корее и НАТО.

i-Soon был вовлечен в атаку по цепочке поставок на канадскую софтверную компанию Comm100, как указано в просочившихся данных.

В утечке упоминалась атака на тибетские группы с помощью эксплойтов iOS и Android, о которой Citizen Lab сообщила в 2019 году.

Утечка позволила получить представление об операциях китайских исполнителей угроз, включая потенциальную причастность к разработке известных наборов инструментов Winnti.

Утечка высветила совместное использование или перепродажу наборов инструментов среди китайских групп, занимающихся распространением угроз, что усложнило атрибуцию для правозащитников и аналитиков.

Были даны рекомендации по повышению уровня безопасности с использованием продуктов Palo Alto Networks для защиты от инструментов и методов китайских злоумышленников.

Palo Alto Networks делилась разведданными с членами Альянса по борьбе с киберугрозами, чтобы улучшить защиту и систематически пресекать действия злоумышленников в киберпространстве.

#ParsedReport #CompletenessHigh
26-02-2024

Kimsuky (APT-Q-2) secret theft operation disguised as software installation package

https://www.ctfiot.com/159603.html

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool
Trustpki
Trollagent

Industry:
Education, Government, Energy, Healthcare

Geo:
Asia, Asian, Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1189, T1204, T1574, T1027, T1055, T1071, T1105, T1573, have more...

IOCs:
Hash: 11
File: 7
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 8

Soft:
Android, WeChat

Algorithms:
md5, xor-cbc, zip, sha512, base64

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании участника киберугроз Kimsuky, включая его тактику, целевые сектора, недавние методы атак и связи с известными вредоносными действиями. В тексте также освещаются недавние выводы Центра разведки угроз Qi An Xin относительно образцов атак с целью кражи секретов, связанных с Kimsuky, демонстрирующие изощренность и настойчивость группы в проведении операций кибершпионажа, в первую очередь против Южной Кореи.
-----

Кимсуки, также известный под различными псевдонимами, такими как Mystery Baby, Baby Coin, Smoke Screen и Black Banshe, работает под внутренним номером отслеживания APT-Q-2 в Центре анализа угроз Qi An Xin. Эта группа продвинутых постоянных угроз (APT) была впервые публично раскрыта в 2013 году, а история ее атак восходит к 2012 году. Происходящий из стран Северо-Восточной Азии, Kimsuky в первую очередь нацелен на Южную Корею в таких секторах, как национальная оборона, образование, энергетика, правительство, здравоохранение и аналитические центры, чтобы украсть конфиденциальную информацию. Для осуществления своих операций группа использует такие тактики, как социальная инженерия, фишинговые электронные письма, атаки на водопои и рассылка вредоносных программ.

Недавние выводы Центра анализа угроз Qi An Xin раскрывают серию образцов атак с целью кражи секретов, маскирующихся под установочные программы корейской компании-разработчика программного обеспечения SGA. После выполнения эти образцы развертывают обычные установочные пакеты, чтобы обмануть жертв, тайно запуская вредоносные библиотеки DLL, зашифрованные с помощью VMProtect. Эти библиотеки DLL, разработанные на языке программирования Go, собирают информацию об устройстве, передают ее злоумышленникам, а затем стирают все следы атаки. Образцы также ссылаются на вредоносную программу-бэкдор, также написанную на Go и защищенную с помощью VMProtect, имеющую значительное сходство с историческими моделями атак Kimsuky, что подразумевает связь с организацией.

Образцы атак можно разделить на три группы: исходный образец в формате EXE, действующий как дроппер, программное обеспечение для кражи секретов в формате DLL и две соответствующие законные программы установки. Вредоносная библиотека DLL развертывается в каталоге "%AppData%Media" под разными именами файлов, в то время как файл флага "C:programdatahai.a" выполняется для запуска вредоносной библиотеки DLL через rundll32.exe. Программное обеспечение для кражи секретов, кодируемое в Go как TrollAgent, собирает информацию о зараженных устройствах, генерирует уникальный идентификатор на основе MAC-адреса устройства, устанавливает связь с сервером командования и контроля (C&C), шифрует данные для передачи и очищает локальные следы после передачи.

Программа бэкдора, получившая название "mirror" в коде Go, проверяет среду выполнения, обеспечивает единственную работу и взаимодействует с сервером C&C, используя параметры "UpdateAll" и "UpdateNormal". Он создает запланированную задачу с именем "WindowsUpdate", копирует себя в "svchost.exe" и облегчает взаимодействие с сервером C&C. Примечательные сходства между программным обеспечением для кражи секретов и бэкдором включают методы генерации идентификатора жертвы, возможности самоудаления и выравнивание кода, что позволяет предположить единый способ работы во всей недавней деятельности Кимсуки.

#ParsedReport #CompletenessMedium
26-02-2024

To Russia With Love: Assessing a KONNI-Backdoored Suspected Russian Consular Software Installer. The Backdoored Installer

https://medium.com/@DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3?source=rss-7c32125308fc------2

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: politically_motivated, cyber_espionage)
Kimsuky
Andariel

Threats:
Nokki
Credential_harvesting_technique

Victims:
Russian ministry of foreign affairs, Russian aerospace research institute, Russian university, Npo mashinostroyeniya

Industry:
Government, Education, Aerospace

Geo:
Korean, Dprk, Ukraine, Asia, Russia, Korea, Russian

ChatGPT TTPs:
do not use without manual check
T1195, T1059, T1566, T1105, T1027, T1071, T1082, T1056

IOCs:
Hash: 3
File: 3
Domain: 22

Soft:
Windows service, Windows image Acquisition Service

Algorithms:
aes-ctr

Languages:
php, ruby

Links:
https://github.com/DCSO/Blog\_CyTec/blob/main/2024\_02\_\_gosniias\_konni/konni\_decrypt.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обнаружение образца вредоносного по KONNI, предположительно связанного с Северной Кореей и нацеленного на Министерство иностранных дел России. В тексте подчеркиваются продолжающиеся усилия Северной Кореи по кибершпионажу против российского правительства и оборонных структур, несмотря на развивающиеся отношения между двумя странами. Злоумышленники интегрировали вредоносное ПО в программу установки программного обеспечения на русском языке, замаскировав его под процесс безопасной установки, а возможности вредоносного ПО включают в себя сбор информации и связь по протоколу HTTP с зашифрованными серверами C2.
-----

В тексте обсуждается обнаружение образца вредоносного ПО, предположительно связанного с Северной Кореей и нацеленного на Министерство иностранных дел России. Вредоносное ПО, идентифицированное как KONNI, было обнаружено в программе установки программного обеспечения на русском языке с бэкдором под названием Statistika KZU. Предполагается, что этот установщик предназначен для внутреннего использования в Министерстве иностранных дел России, в частности, для передачи файлов годовых отчетов из зарубежных консульских учреждений в Консульский департамент МИД. Компания KONNI известна своими возможностями по утечке информации и была связана с нексусными участниками из КНДР, в частности с Konni Group и APT37.

В тексте подчеркиваются продолжающиеся усилия КНДР по кибершпионажу, направленные против чувствительных российских секторов, особенно правительственных и оборонных структур. Несмотря на развивающиеся стратегические отношения между Россией и Северной Кореей, кибершпионажная деятельность КНДР против российских объектов продолжается. Эти действия включают нарушения в российских аэрокосмических исследовательских институтах и дипломатических учреждениях, что указывает на сохраняющийся интерес к планированию внешней политики России.

Злоумышленники интегрировали вредоносное ПО в процесс безопасной установки установщика программного обеспечения, который распространялся в виде файла MSI. Файл конфигурации вредоносного ПО содержит зашифрованные серверы C2, и один из идентифицированных доменов, используемых для связи, был victory-2024.mywebcommunity.org, следуя последовательной схеме именования, наблюдавшейся в предыдущих кампаниях, нацеленных на российский МИД.

Коммуникационный протокол для KONNI использует HTTP, и последние версии позволяют операторам выполнять команды, передавать файлы и устанавливать интервалы ожидания. Набор команд вредоносного ПО практически не изменился, сосредоточившись на выполнении команд, передаче файлов и указании интервалов для проверки подключения.

В тексте также упоминаются прошлые случаи развертывания KONNI, направленные против внешнеполитических интересов России, включая политически мотивированные жертвы в Евразии, российско-корейские торговые вопросы и заседание российско-монгольской межправительственной комиссии. В этих кампаниях использовались русскоязычные приманки, и они показали сходство с обнаруженным образцом вредоносного ПО, нацеленного на Министерство иностранных дел России.

#ParsedReport #CompletenessLow
25-02-2024

Update now! ConnectWise ScreenConnect vulnerability needs your attention

https://www.malwarebytes.com/blog/news/2024/02/update-now-connectwise-screenconnect-vulnerability-needs-your-attention

Report completeness: Low

Threats:
Connectwise_rat
Screenconnect_tool

CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1210, T1547, T1105, T1059, T1199

IOCs:
IP: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Компания ConnectWise выпустила предупреждение о критической уязвимости в своем программном обеспечении для удаленного рабочего стола ScreenConnect, создающем значительный риск несанкционированного доступа и потенциального удаленного выполнения кода. Они настоятельно призвали клиентов, размещенных самостоятельно и локально, немедленно обновиться до версии 23.9.8, чтобы смягчить эту угрозу и защитить свои системы.
-----

Компания ConnectWise выпустила предупреждение для своих клиентов, размещенных самостоятельно и локально, относительно критической уязвимости в их программном обеспечении для удаленного рабочего стола ScreenConnect, обычно используемом в центрах обработки данных и для удаленной помощи. Партнеры ConnectWise управляют миллионами конечных точек для клиентов, и недавнее сканирование Shadowserver выявило около 3800 уязвимых экземпляров в США. Агентство по кибербезопасности и защите инфраструктуры (CISA) включило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей.

Конкретная уязвимость, идентифицированная как CVE-2024-1709, представляет собой ошибку обхода аутентификации с оценкой CVSS 10, потенциально предоставляющую злоумышленнику административный доступ к скомпрометированной системе. Обладая правами администратора, злоумышленники могут использовать эту уязвимость для создания и загрузки вредоносного расширения ScreenConnect, что приводит к удаленному выполнению кода (RCE). Уязвимыми версиями являются ScreenConnect 23.9.7 и более ранние.

ConnectWise уже обновила свои серверы ScreenConnect, размещенные на screenconnect.com и hostedrmm.com , чтобы устранить проблему для облачных партнеров. Однако клиентам, размещенным самостоятельно и локально, настоятельно рекомендуется немедленно обновить свои серверы до версии 23.9.8, чтобы применить необходимое исправление. ConnectWise также предлагает обновленные версии для выпусков с 22.4 по 23.9.7, но настоятельно рекомендует партнерам перейти на ScreenConnect версии 23.9.8, чтобы устранить критическую уязвимость.

Партнерам, использующим уязвимые версии, настоятельно рекомендуется принять немедленные меры для защиты своих систем от потенциального использования злоумышленниками. Неприменение необходимого исправления может привести к серьезным последствиям, включая несанкционированный доступ и потенциальное удаленное выполнение кода на скомпрометированных экземплярах. ConnectWise подчеркивает важность оперативного обновления до рекомендуемой версии для защиты от киберугроз и поддержания безопасности своих систем.

#ParsedReport #CompletenessLow
25-02-2024

ConnectWise ScreenConnect attacks deliver malware

https://news.sophos.com/en-us/2024/02/23/connectwise-screenconnect-attacks-deliver-malware

Report completeness: Low

Threats:
Connectwise_rat
Screenconnect_tool
Asyncrat
Cobalt_strike
Lockbit
Vidar_stealer
Redline_stealer
Redcap
Beacon
Xworm_rat

Geo:
America

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:

ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1210, T1486, T1105, T1027, T1555, T1547, T1059, T1070, have more...

IOCs:
Hash: 3
File: 8
Path: 1

Soft:
Windows Defender

Algorithms:
sha256

Languages:
rust, powershell

Platforms:
x86

Links:
https://github.com/SophosRapidResponse/OSQuery/tree/main/Vulnerabilities/ScreenConnect
https://github.com/SophosRapidResponse/OSQuery/blob/main/Vulnerabilities/ScreenConnect/ScreenConnect.05.0%20-%20Evidence%20of%20temporary%20User%20File%20creation.sql
https://github.com/SophosRapidResponse/OSQuery/blob/main/Vulnerabilities/ScreenConnect/ScreenConnect.06.0%20-%20Check%20for%20.ASPX%20.ASHX%20files%20in%20App\_Extensions%20folder.sql
https://github.com/SophosRapidResponse/OSQuery/blob/main/Vulnerabilities/ScreenConnect/ScreenConnect.04.0%20-%20Checks%20user.xml%20file%20for%20new%20users%20created.sql
https://github.com/SophosRapidResponse/OSQuery/blob/main/Vulnerabilities/ScreenConnect/ScreenConnect.03.0%20-%20SetupWizard.aspx%20in%20IIS%20logs.sql
https://github.com/SophosRapidResponse/OSQuery/blob/main/Vulnerabilities/ScreenConnect/ScreenConnect.01.1%20-%20Check%20version%20of%20ScreenConnect%20Server.sql
https://github.com/SophosRapidResponse/OSQuery/blob/main/Vulnerabilities/ScreenConnect/ScreenConnect.02.0%20-%20ScreenConnect%20Relay%20IP.sql
https://github.com/SophosRapidResponse/OSQuery/blob/main/Vulnerabilities/ScreenConnect/ScreenConnect.07.0%20-%20Identify%20shells%20being%20spawned%20from%20ScreenConnect.sql
https://github.com/SophosRapidResponse/OSQuery/blob/main/Vulnerabilities/ScreenConnect/ScreenConnect.01.0%20-%20Check%20version%20of%20ScreenConnect%20Server.sql

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует значительная и растущая угроза, исходящая от использования уязвимостей в установках ConnectWise ScreenConnect, которые приводят к различным атакам, включающим развертывание вредоносных программ, программ-вымогателей, кражу данных и другие вредоносные действия. В нем подчеркивается важность оперативного исправления уязвимых систем, проведения тщательных расследований и внедрения усиленных мер безопасности для снижения рисков, связанных с этими уязвимостями, с целью защиты от развивающихся киберугроз.
-----

Sophos X-Ops отслеживает растущую тенденцию использования уязвимостей, нацеленных на незарегистрированные установки ConnectWise ScreenConnect. 19 февраля 2024 года ConnectWise выпустила рекомендации по безопасности, в которых выделяются две критические уязвимости, затрагивающие более старые версии ScreenConnect. Эти уязвимости, CVE-2024-1709 и CVE-2024-1708, могут позволить удаленное выполнение кода или повлиять на конфиденциальные данные. Злоумышленники использовали эти уязвимости для развертывания вредоносного ПО на серверах или рабочих станциях с установленным клиентским программным обеспечением. Исправление сервера не приводит к удалению развернутого вредоносного ПО, поэтому необходимо тщательно исследовать скомпрометированные среды. Реализации, размещенные в облаке, быстро получили меры по устранению неполадок, в то время как экземпляры, размещенные самостоятельно, остаются в зоне риска до тех пор, пока вручную не будет обновлено до версии 23.9.8.

21 февраля 2024 года на GitHub был опубликован тестовый код, использующий эти уязвимости, что привело к наблюдаемой активной эксплуатации в дикой природе. Sophos выявила атаки, связанные с программой-вымогателем LockBit, созданной с использованием просочившегося инструмента создания вредоносных программ. Кроме того, в связи с атаками ScreenConnect были обнаружены варианты вредоносных программ, такие как buhtiRansom и Xworm. Злоумышленники использовали эти эксплойты для запуска различных атак и доставки вредоносных программ, таких как AsyncRAT и Vidar/Redline data stealer, через ScreenConnect.

Анализируя данные телеметрии, Sophos обнаружила рост угроз, связанных с ScreenConnect, после раскрытия уязвимостей. Злоумышленники использовали ScreenConnect для развертывания программ-вымогателей, кражи данных и распространения вредоносных программ, таких как Redcap. Были обнаружены инциденты, связанные с доставкой маяка Cobalt Strike и RATs, таких как Xworm, нацеленные на компьютеры с клиентским программным обеспечением ScreenConnect. Эти атаки подчеркивают необходимость тщательного расследования и немедленного исправления уязвимых установок ScreenConnect.

Sophos рекомендует предпринять шаги для идентификации и обеспечения безопасности установок ScreenConnect, включая определение местоположения всех экземпляров в сети, временную изоляцию или деинсталляцию клиентского программного обеспечения, проведение подробного анализа подозрительных действий и инициирование реагирования на инциденты, если это необходимо. Организациям рекомендуется отслеживать появление новых пользователей, необычную активность программного обеспечения, системную разведку и отключение средств контроля безопасности. Кроме того, следует внимательно отслеживать показатели возможного использования, такие как IP-адреса, подключающиеся к серверам ScreenConnect, SetupWizard.aspx в журналах IIS и user.xml изменения файлов, для обнаружения потенциальных угроз.

В ответ на растущую волну атак, нацеленных на ScreenConnect, организациям крайне важно оперативно исправлять свои серверы, выявлять признаки компрометации и усиливать меры безопасности для снижения рисков, связанных с этими уязвимостями. Постоянная бдительность и упреждающие меры безопасности необходимы для защиты от развивающихся киберугроз в современном цифровом ландшафте.

#ParsedReport #CompletenessMedium
23-02-2024

Widespread exploitation of recently disclosed Ivanti vulnerabilities

https://securityintelligence.com/x-force/exploitation-of-exposed-ivanti-vulnerabilities

Report completeness: Medium

Actors/Campaigns:
Uta0178
Unc5221

Threats:
Dslog
Framesting_shell
Wirefire
Chainline_shell
Credential_harvesting_technique
Warpwire
Giftedvisitor

Industry:
Ics

Geo:
Chinese

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)


ChatGPT TTPs:
do not use without manual check
T1190, T1550, T1505, T1574, T1505.003, T1099, T1027, T1070.004, T1041, T1059.001, have more...

IOCs:
File: 2
Hash: 6
Url: 1
IP: 6

Soft:
Ivanti

Algorithms:
sha256, rot47

Languages:
perl, python

Links:
https://gist.github.com/rxwx/03a036d8982c9a3cead0c053cf334605

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что IBM X-Force активно реагирует на успешные компрометации, связанные с уязвимостями устройств Ivanti, выявляя конкретные методы атаки, такие как кража данных токена аутентификации, и предоставляя подробную информацию, помогающую организациям защитить себя от этих угроз. Исследование, проведенное IBM X-Force, выявило ключевые выводы, касающиеся уязвимостей, эксплуатации злоумышленниками и использования вредоносных методов, таких как модификации файлов и веб-оболочек, для действий после компрометации. Организациям рекомендуется внедрять меры сдерживания, использовать инструменты для выявления признаков компрометации и сотрудничать со службой поддержки Ivanti для расшифровки и анализа скомпрометированных систем, чтобы смягчить текущую угрозу.
-----

IBM X-Force участвовала в реагировании на компрометации, связанные с уязвимостями в устройствах Ivanti, раскрытыми в январе 2024 года.

Конкретные методы атаки, выявленные исследователями IBM, включают кражу данных токена аутентификации.

Уязвимости нулевого дня CVE-2023-46805 и CVE-2024-21887 были использованы для обхода аутентификации и удаленного выполнения кода.

Злоумышленник UTA0178 (UNC5221) подозревался в использовании этих уязвимостей в декабре 2023 года, за чем последовало широкомасштабное сканирование и эксплуатация.

Код эксплойта, подтверждающий концепцию, привел к раскрытию Иванти дополнительных уязвимостей.

Злоумышленники модифицировали определенные файлы в устройствах Ivanti, чтобы отфильтровать данные токена аутентификации.

Вредоносный код был вставлен в законные файлы Ivanti для создания бэкдоров и манипулирования системными функциями.

Использование веб-оболочек, таких как FRAMESTING, WIREFIRE и CHAINLINE, позволило субъектам угроз поддерживать постоянство и извлекать данные.

X-Force рекомендует организациям внедрять меры сдерживания и использовать такие инструменты, как Ivanti Integrity Check Tool (ICT) для обнаружения компрометации.

Организациям рекомендуется следовать рекомендациям поставщиков по устранению неполадок, уделять приоритетное внимание сохранению доказательств и сотрудничать со службой поддержки Ivanti для расшифровки и анализа скомпрометированных систем.

#ParsedReport #CompletenessLow
26-02-2024

US-related APT organization analysis report - APT-C-40(NSA)

https://www.ctfiot.com/162892.html

Report completeness: Low

Actors/Campaigns:
Apt_c_40 (motivation: information_theft, cyber_espionage)

Threats:
Shadow_brokers_tool
Eternalblue_vuln
Wannacry
Submarine
Foxacid_tool
Mitm_technique
Quantum_locker
Quantumcookie_tool
Quantumsquirrel_tool
Stuxnet
Cobalt_strike

Victims:
Northwestern polytechnical university, China's leading enterprises, Governments, Universities, Medical institutions, Scientific research institutions, Information infrastructure operation and maintenance units, Organization of the petroleum exporting countries, Mexican secretariat of public security, European politicians and people, have more...

Industry:
Government, Aerospace, Military, Petroleum, Healthcare, Financial, Education, Telco, Transport

Geo:
Pakistan, Emirates, Colombia, Israel, Iraq, Venezuela, Germany, Norway, Mexican, Korea, Russia, Congo, Nigeria, India, Libya, Chinese, Ukrainian, Angola, Guinea, China, Kuwait, Usa, Iran, Gabon, American, Georgia, France, Danish, Sweden, Russian, Algeria

ChatGPT TTPs:
do not use without manual check
T1588, T1190, T1027, T1547, T1562, T1110, T1555, T1140, T1573, T1105, have more...

IOCs:
File: 4

Soft:
Android, JunOS, ChatGPT, WeChat

#ParsedReport #GeneratedSchema
Generated with GPT-4