#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитическая информация о киберугрозах выявляет серию инцидентов безопасности, нацеленных на цифровых маркетологов, которые, как полагают, связаны с хакерской группой DuckTail, с акцентом на тактику, методы и процедуры (TTP), используемые злоумышленниками, и усилия Центра сетевой разведки Shanshi для защиты от таких угроз.
-----

Событие атаки тесно связано с организацией DuckTail, а злоумышленники вьетнамского происхождения нацелились на специалистов по цифровому маркетингу.

Тактика, методы и процедуры, использованные в атаке, очень напоминают тактику DuckTail, включая упаковку вредоносных полезных данных, использование nuitka для атак на Python и кражу учетных данных бизнес-менеджера Facebook.

В своей деятельности злоумышленники проявляют ярко выраженные вьетнамские черты, включая использование языка и смену часовых поясов.

Известно, что DuckTail продает информацию Facebook на подпольных рынках Вьетнама и может расширить свою деятельность в Китае.

Центр сетевой разведки Shanshi активно участвует в анализе угроз и обнаружении вторжений, используя надежную систему защиты.

Считается, что недавние инциденты с безопасностью, нацеленные на специалистов по цифровому маркетингу, связаны с ориентированной на прибыль хакерской группой DuckTail, которая занимается кражей финансовой информации путем компрометации бизнес-аккаунтов Facebook.

#ParsedReport #CompletenessHigh
27-02-2024

Threat Actor Groups, Including Black Basta, are Exploiting Recent ScreenConnect Vulnerabilities

https://www.trendmicro.com/en_us/research/24/b/threat-actor-groups-including-black-basta-are-exploiting-recent-.html

Report completeness: High

Actors/Campaigns:
Bl00dy

Threats:
Blackbasta
Screenconnect_tool
Connectwise_rat
Zipslip_technique
Cobalt_strike
Beacon
Lockbit
Conti
Xworm_rat
Atera_tool
Syncro_tool
Bitsadmin
Nltest_tool

Victims:
Connectwise

Industry:
Financial

Geo:
Belgium

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut mf (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 9
Command: 6
Path: 6
Domain: 4
Hash: 8
Url: 6
IP: 1

Soft:
Active Directory, PaperCut, curl, Windows Defender

Algorithms:
sha256

Languages:
powershell, swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 23, code: 3, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в программном обеспечении ConnectWise ScreenConnect имеются критические уязвимости (CVE-2024-1708 и CVE-2024-1709), которые активно используются группами участников угроз, что приводит к несанкционированному доступу, развертыванию программ-вымогателей, утечке данных и другим вредоносным действиям. В нем подчеркивается важность оперативного обновления до последней версии программного обеспечения для снижения этих рисков и подчеркивается необходимость того, чтобы организации активно управляли обновлениями программного обеспечения для усиления защиты от кибербезопасности и предотвращения потенциальных нарушений безопасности и их последствий.
-----

В этой записи блога представлен тщательный анализ недавних уязвимостей, обнаруженных в программном обеспечении ConnectWise ScreenConnect, в частности, CVE-2024-1708 и CVE-2024-1709, затрагивающих версии 23.9.7 и более ранние. Эти уязвимости подвергли системы несанкционированному доступу и контролю со стороны субъектов угроз, что привело к таким инцидентам, как внедрение программ-вымогателей, утечка данных и кража информации. Уязвимости были связаны с такими проблемами, как обход каталога с помощью ZipSlip-атаки и обход аутентификации, позволяющий злоумышленникам добавлять неавторизованные учетные записи на сервер.

ConnectWise отреагировала на эти критические уязвимости, выпустив исправления безопасности и призвав клиентов оперативно обновляться до последней версии для эффективного снижения рисков. Trend Micro также предоставила рекомендации для своих клиентов в статье базы знаний о стратегиях защиты и обнаружения в свете этих уязвимостей.

Были выявлены группы исполнителей угроз, такие как банды вымогателей Black Basta и Bl00dy, которые активно используют CVE-2024-1708 и CVE-2024-1709. Эти группы использовали такие методы, как маяки Cobalt Strike, вредоносное ПО XWorm и просочившиеся сборщики программ-вымогателей, для осуществления вредоносных действий в скомпрометированных системах. Скомпрометированные системы используются для различных гнусных целей, включая развертывание программ-вымогателей, получение удаленного доступа, распространение по сетям и эксфильтрацию конфиденциальных данных.

Простота использования CVE-2024-1709, которая включает механизм обхода аутентификации, вызвала опасения по поводу потенциального воздействия этих уязвимостей на уязвимые системы. Злоупотребляя этой уязвимостью, злоумышленники могут внедрять неавторизованные учетные записи на сервер и выполнять вредоносный код, такой как загрузка веб-оболочек на скомпрометированные компьютеры. Кроме того, использование уязвимости обхода каталогов с помощью ZipSlip-атаки подчеркивает риски, связанные с этими недостатками.

В блоге подчеркивается важность обновления до последней версии ConnectWise ScreenConnect как важнейшей меры безопасности для эффективного устранения выявленных угроз. Настоятельно рекомендуется немедленное исправление для защиты систем от сложных атак, использующих эти уязвимости. Для организаций крайне важно активно управлять обновлениями программного обеспечения, чтобы поддерживать надежную защиту от кибербезопасности и защищаться от нарушений безопасности, которые могут привести к компрометации данных, сбоям в работе и финансовым потерям.

Для клиентов Trend Micro использование предоставленной статьи базы знаний может повысить эффективность усилий по обнаружению и устранению этих уязвимостей после эксплуатации. Оперативные действия и постоянное информирование об угрозах кибербезопасности жизненно важны для организаций, чтобы защитить себя от потенциальных нарушений безопасности и связанных с ними серьезных последствий. Активное использование этих уязвимостей для распространения программ-вымогателей подчеркивает настоятельную необходимость принятия организациями оперативных корректирующих мер и эффективного укрепления своей системы кибербезопасности.

#ParsedReport #CompletenessMedium
27-02-2024

Dark Web Profile: Patchwork APT

https://socradar.io/dark-web-profile-patchwork-apt

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: cyber_espionage, information_theft)

Threats:
Spear-phishing_technique
Watering_hole_technique
Badnews_rat
Vajraspy
Process_injection_technique

Victims:
Government, Defense, Diplomatic organizations, Academic institutions, Us think tanks, Individuals involved in chinese foreign relations

Industry:
Government, Aerospace, Energy, Financial, Ngo, Healthcare

Geo:
Uruguay, India, Bangladesh, Australia, America, Taiwan, Chinese, China, Asia, Pakistan, Sri-lanka

CVEs:
CVE-2017-0261 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- microsoft office (2013, 2010, 2016)


TTPs:
Tactics: 4
Technics: 43

IOCs:
IP: 3
Hash: 29

Soft:
Android

Algorithms:
sha256

Languages:
swift, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от Patchwork APT group, организации кибершпионажа, предположительно базирующейся в Индии, которая нацелена на высокопоставленные организации по всему миру, используя точечный фишинг, атаки на водопои и сложные вредоносные программы. Их операции сосредоточены на сборе разведывательных данных от международных объектов, особенно тех, которые связаны с Китаем, в различных секторах и странах, что создает значительные риски для национальной безопасности и интеллектуальной собственности. Организациям рекомендуется усилить защиту от кибербезопасности, чтобы противостоять угрозам, исходящим от Patchwork APT, с помощью таких мер, как фильтрация электронной почты, управление исправлениями, безопасность конечных точек и обучение осведомленности пользователей.
-----

Patchwork APT group - это организация по кибершпионажу, базирующаяся в Индии, действующая с 2009 года, но появившаяся в декабре 2015 года. Они расширились по всему миру и нацелены на высокопоставленные организации, такие как правительство, оборона, дипломатические организации и академические институты.

Также известный как Dropping Elephant and Quilted Tiger фокусируется на сборе разведданных от объектов, имеющих связи с Китаем, в частности, высокопоставленных дипломатов и экономистов, занимающихся международными отношениями Китая.

Они используют точечный фишинг и атаки на водопои для проникновения в организации, проявляющие особый интерес к таким секторам, как авиация, оборона, энергетика, финансы и правительство.

Patchwork использует сложные вредоносные программы, такие как BADNEWS RAT и VajraSpy, троян удаленного доступа для Android (RAT), демонстрирующий расширенные возможности по поддержанию доступа и эксфильтрации данных.

Их операции охватывают такие страны, как Пакистан, Шри-Ланка, Уругвай, Бангладеш, Тайвань, Австралия и США, что приводит к значительной краже информации и несанкционированному удаленному доступу.

Для усиления защиты кибербезопасности от Patchwork APT организациям рекомендуется внедрять такие меры, как фильтрация электронной почты, управление исправлениями, безопасность конечных точек, сегментация сети, контроль доступа, многофакторная аутентификация, поведенческий анализ, планирование реагирования на инциденты и обучение осведомленности пользователей.

#ParsedReport #CompletenessMedium
27-02-2024

Mysterious Werewolf attacks the military-industrial complex using a new RingSpy backdoor

https://bi.zone/expertise/blog/mysterious-werewolf-atakuet-vpk-s-pomoshchyu-novogo-bekdora-ringspy

Report completeness: Medium

Actors/Campaigns:
Mysterious_werewolf

Threats:
Ringspy
Athena_botnet
Mythic_c2
Spear-phishing_technique

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 9
Path: 2
Hash: 1

Soft:
Telegram, curl, Windows Task Scheduler

Algorithms:
zip

Languages:
powershell, visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Кластер Mysterious Werewolf запустил новую кампанию, нацеленную на предприятия военно-промышленного комплекса, используя фишинговые электронные письма для доставки бэкдора на базе Python под названием RingSpy. Злоумышленники используют уязвимость WinRAR, используют Telegram для общения и добиваются постоянства с помощью различных тактик. Организациям рекомендуется усилить защиту конечных точек и использовать платформы анализа угроз для раннего обнаружения угроз и эффективной киберзащиты от возникающих угроз.
-----

Специалисты из BI.ZONE Threat Intelligence недавно раскрыли новую кампанию Mysterious Werewolf активных, по крайней мере, с 2023 года. Эта группа переключила свое внимание на предприятия военно-промышленного комплекса, используя фишинговые электронные письма в качестве исходного вектора доступа. Фишинговые электронные письма содержат вложение - архив, содержащий PDF-документ вместе с вредоносным CMD-файлом. При открытии архива и взаимодействии с документом запускается CMD-файл для внедрения оригинального бэкдора RingSpy в целевую систему.

В ходе этой кампании злоумышленники используют уязвимость CVE-2023-38831 в WinRAR, чтобы запустить доставку вредоносного кода в систему жертвы. Полезная нагрузка вместо ранее использовавшегося агента Athena из Mythic framework теперь состоит из бэкдора RingSpy, закодированного на Python. Mysterious Werewolf продолжает использовать тактику фишинга и использует преимущества легальных сервисов, таких как бот в мессенджере Telegram, для связи со скомпрометированными системами.

Чтобы более подробно описать цепочку атак, жертву, скорее всего, соблазняют взаимодействовать с вредоносным контентом, получая электронное письмо с архивом, содержащим заманчивое имя файла, такое как O_predostavlenii_kopii_licenzii.pdf.cmd. Когда пользователь открывает вложение, запускаются действия, включая проверку наличия определенных файлов, загрузку отвлекающих документов, получение и запуск интерпретатора Python, настройку скрытых папок, установку дополнительных пакетов с помощью pip, настройку RingSpy для подключения к Telegram-боту и установление постоянства путем копирования файлов в автозагрузку папка.

Бэкдор RingSpy позволяет злоумышленникам удаленно выполнять команды, извлекать результаты команд и извлекать файлы из сетевых местоположений. В этой кампании злоумышленники создают запланированную задачу в планировщике задач Windows для выполнения сценария каждую минуту, отслеживая определенные события. Связь с управляющим сервером происходит через бота в мессенджере Telegram, где выходные данные команд записываются в локальный файл и передаются обратно на сервер управления злоумышленника для дальнейшего анализа.

Эволюция методов, наблюдаемая в ходе этой кампании, показывает адаптивность и живучесть Mysterious Werewolf, особенно при атаках на критически важную инфраструктуру военно-промышленного комплекса. Использование законных сервисов и сложных цепочек атак подчеркивает необходимость надежной защиты конечных точек и непрерывного мониторинга.

#ParsedReport #CompletenessMedium
26-02-2024

Unveiling UAC-0184: The Steganography Saga of the IDAT Loader Delivering Remcos RAT to a Ukraine Entity in Finland. Introduction

https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga

Report completeness: Medium

Actors/Campaigns:
Uac0184

Threats:
Idat_loader
Remcos_rat
Steganography_technique
Cloudeye
Babadeda
Stego_loader
Danabot
Systembc
Redline_stealer
Hijackloader
Raccoon_stealer

Victims:
Ukraine entity in finland

Geo:
Finland, Ukraine, Ukrainian, Israel

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1041, T1059, T1564, T1547, T1106

IOCs:
Url: 1
File: 1
IP: 1
Hash: 1

Wallets:
yoroi

Win API:
InitOnceExecuteOnce, VirtualProtect

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней кампании кибератак, в ходе которой загрузчик IDAT использовался для распространения троянца удаленного доступа Remcos (RAT), нацеленного на украинскую организацию в Финляндии. Анализ охватывает технические аспекты атаки, участие субъекта угроз UAC-0184, использование стеганографии для сокрытия вредоносного кода, механизмы проактивной защиты Morphisec и сложные возможности загрузчика IDAT для доставки вредоносного ПО. Ключевые моменты включают важность своевременного обнаружения инцидентов кибербезопасности и реагирования на них, тактику обмана, используемую злоумышленниками, и уникальные TTP, связанные с текущей кампанией.
-----

В блоге рассказывается о недавней кампании кибератак, связанной с использованием загрузчика IDAT и нацеленной на украинскую организацию в Финляндии. Атака была связана с распространением троянца Remcos Remote Access Trojan (RAT), коммерческого инструмента RAT, который позволяет злоумышленникам получать контроль над зараженными компьютерами, красть конфиденциальные данные и отслеживать действия жертв. Morphisec, поставщик решений для кибербезопасности, ранее подробно описывал технические аспекты RAT-атак Remcos и подчеркивал способность их технологии обнаруживать и предотвращать такие угрозы, не полагаясь на традиционное распознавание сигнатур или поведенческих паттернов.

Лаборатории угроз Morphisec обнаружили признаки атак, связанных с субъектом угрозы, идентифицированным как UAC-0184, что проливает свет на роль загрузчика IDAT в доставке Remcos RAT конкретному украинскому предприятию, базирующемуся в Финляндии. Хотя основными целями, по-видимому, были организации, имеющие связи с Украиной, злоумышленники также стремились распространить свою деятельность на другие организации, связанные с Украиной. В атаке использовалась стеганография как метод сокрытия вредоносного кода в файлах изображений, что затрудняло его обнаружение традиционными средствами.

Механизмы проактивной защиты Morphisec успешно предотвратили множество атак, включая значительный инцидент в январе 2024 года, когда их возможности раннего обнаружения сыграли решающую роль в предотвращении реализации вредоносной кампании. Предупреждение о безопасности, выпущенное UA Cert позже, подтвердило наличие угрозы, подчеркнув важность своевременного обнаружения и реагирования на инциденты кибербезопасности. Атака включала в себя тактику обмана, такую как выдача сообщений о вербовке для военных организаций, таких как 3-я отдельная штурмовая бригада и Армия обороны Израиля (ЦАХАЛ), для доставки Remcos RAT по фишинговым электронным письмам.

Загрузчик IDAT выделяется как сложный инструмент, способный загружать различные семейства вредоносных программ, отличающийся модульной архитектурой с уникальными возможностями, такими как внедрение кода и модули выполнения. Выполнение загрузчика включает в себя загрузку нескольких этапов и внедрение шелл-кода в законные процессы для доставки конечной полезной нагрузки, адаптируя свои методы на основе типа файла и флагов конфигурации. Использование загрузчика IDAT для распространения Remcos RAT ранее рассматривалось исследователями угроз, подчеркивающими сложность загрузчика и стратегическую важность в кибероперациях.

Анализ намеренно фокусируется на текущей кампании с использованием загрузчика IDAT, избегая прямых сравнений с прошлыми кампаниями, чтобы подчеркнуть ее специфическую тактику, методы и процедуры (TTP). Примечательно, что загрузчик IDAT использует особый пользовательский агент под названием "racon" и использует стеганографические файлы PNG для скрытия и извлечения полезной нагрузки, используя уникальные методы шифрования для дешифрования во время выполнения. Наблюдения других исследователей безопасности также подтвердили ключевые аспекты функциональности и работы загрузчика IDAT.

#ParsedReport #CompletenessMedium
26-02-2024

Earth Lusca Uses Geopolitical Lure to Target Taiwan Before Elections. Introduction

https://www.trendmicro.com/en_us/research/24/b/earth-lusca-uses-geopolitical-lure-to-target-taiwan.html

Report completeness: Medium

Actors/Campaigns:
Earth_lusca (motivation: cyber_espionage)
Winnti

Threats:
Dll_hijacking_technique
Shadowpad
Spear-phishing_technique
Lolbin_technique
Cobalt_strike
Smuggling_technique

Victims:
Taiwan-based private academic think tank

Industry:
Financial, Government

Geo:
Taiwanese, Chinese, Taiwan, China

TTPs:
Tactics: 6
Technics: 17

IOCs:
Domain: 4
File: 8
Hash: 17

Soft:
macOS, Microsoft Word, Microsoft PowerPoint

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 22, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ недавней кампании по борьбе с киберугрозами, проведенной группой, известной как Earth Lusca, которая использовала китайско-тайваньские отношения в качестве приманки для социальной инженерии, нацеленной на конкретные организации. Группа активна как минимум с 2020 года и использует эволюционирующую тактику для проведения нескольких кампаний одновременно. В отчете обсуждается конкретная кампания, вероятно, проводившаяся во время национальных выборов в Тайване, где Earth Lusca использовала документ-приманку, в котором обсуждалась геополитика, чтобы заразить цели и использовать политическую ситуацию для злонамеренных действий. В отчете подчеркивается необходимость того, чтобы организации сохраняли бдительность в отношении продвинутых групп постоянных угроз, таких как Earth Lusca, для предотвращения потенциальных рисков национальной безопасности.
-----

Анализ сосредоточен на недавней кампании по борьбе с киберугрозами с участием субъекта угроз, известного как Earth Lusca, который, как было замечено, использовал китайско-тайваньские отношения в качестве приманки для социальной инженерии, нацеленной на конкретные объекты. Группа активна по меньшей мере с 2020 года и, как известно, проводит несколько кампаний одновременно с меняющейся тактикой. Кампания, обсуждаемая в этом отчете, вероятно, была активной в период с декабря 2023 по январь 2024 года, что совпадает с национальными выборами на Тайване. Злоумышленники использовали документ-приманку, в котором обсуждалась геополитика, для заражения целей, стремясь использовать политическую ситуацию для своей вредоносной деятельности.

Каналы связи, используемые Earth Lusca, включая домены Command and Control (C&C), были зарегистрированы анонимно, при этом основным доменом C&C был updateservice.store. Целью злоумышленника был тайваньский аналитический центр, специализирующийся на международных политических и экономических вопросах. Кроме того, утечка на GitHub раскрыла информацию о китайской компании под названием I-Soon, которая описывает себя как оборонную и исследовательскую лабораторию APT, предоставляющую различные решения для обеспечения безопасности. Между Earth Lusca и I-Soon наблюдались совпадения, включая общих жертв, общие вредоносные программы и инструменты, а также географическую близость, что указывает на потенциальную связь между двумя объектами.

Цепочка заражения, инициированная Earth Lusca, включала распространение вредоносного архивного файла под названием "Война Китая в серой зоне против Тайваня.7z", вероятно, через вложения электронной почты или ссылки. Этот архив содержал скрытый JavaScript-код в файлах быстрого доступа Windows (.LNK), который выполнял запутанный сценарий второго этапа для доставки полезной нагрузки Cobalt Strike. Злоумышленники использовали такие тактики, как обфускация и методы "жизни за пределами земли" с использованием LOLBins, чтобы избежать обнаружения и анализа. Последняя полезная нагрузка, Cobalt Strike, была настроена для взаимодействия с определенными серверами C&C для дальнейшей вредоносной деятельности.

В отчете подчеркивается необходимость того, чтобы организации, особенно правительственные структуры, сохраняли бдительность в отношении групп продвинутых постоянных угроз (APT), таких как Earth Lusca, которые занимаются кибершпионажем. Вредоносная деятельность в случае успеха может поставить под угрозу национальную безопасность, экономическую стабильность и международные отношения. Рекомендации для частных лиц и организаций включают соблюдение передовых методов обеспечения безопасности, таких как избегание подозрительных ссылок и постоянное обновление программного обеспечения для снижения рисков, создаваемых сложными субъектами угроз, такими как Earth Lusca.

#ParsedReport #CompletenessMedium
27-02-2024

Ongoing Phishing Campaign Targets Healthcare and Cryptocurrency Users via ScreenConnect

https://cyble.com/blog/ongoing-phishing-campaign-targets-healthcare-and-cryptocurrency-users-via-screenconnect

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Screenconnect_tool
Connectwise_rat
Blackcat

Victims:
Cryptocurrency community, Healthcare organizations, Two separate healthcare organizations

Industry:
Entertainment, Healthcare, Financial

TTPs:
Tactics: 3
Technics: 2

IOCs:
Url: 5
Domain: 8
File: 2
Hash: 3

Crypto:
bitcoin

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается фишинговая кампания, нацеленная на криптовалютное сообщество и организации здравоохранения в Соединенных Штатах, использующая законный инструмент удаленной поддержки ScreenConnect в злонамеренных целях. Злоумышленники используют сложные тактики, такие как захват поддоменов для размещения фишинговых сайтов, подчеркивая важность усиленных мер кибербезопасности и осведомленности в таких критически важных секторах, как здравоохранение. В нем подчеркивается серьезность этих атак, риски, которые они представляют, и необходимость применения надежных методов кибербезопасности для обеспечения безопасности пациентов и целостности организации от развивающихся киберугроз.
-----

Cyble Research and Intelligence Labs (CRIL) выявила фишинговую схему, нацеленную на криптовалютное сообщество и организации здравоохранения в Соединенных Штатах.

Злоумышленники используют ScreenConnect, законный инструмент удаленной поддержки, в злонамеренных целях.

Кампания включает в себя такие тактики, как захват поддоменов для размещения фишинговых сайтов, что позволяет получить несанкционированный доступ к системам жертв.

Количество образцов ScreenConnect, отправленных в VirusTotal, заметно увеличилось, что указывает на злонамеренное использование злоумышленниками (TAS).

Фишинговые сайты имитируют законные криптовалютные платформы и организации здравоохранения, чтобы обманом заставить жертв загружать вредоносные файлы ScreenConnect.

После запуска клиент ScreenConnect, управляемый TA, облегчает дальнейшие вредоносные действия, такие как извлечение данных и развертывание вредоносного ПО.

Подчеркивается настоятельная необходимость усиления мер кибербезопасности в связи с меняющимся ландшафтом угроз и рисками, создаваемыми для таких критически важных секторов, как здравоохранение.

Организациям здравоохранения рекомендуется уделять приоритетное внимание надежным методам обеспечения кибербезопасности для защиты безопасности пациентов, конфиденциальности и целостности организации от развивающихся киберугроз.