#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Появилась новая угроза, связанная с вредоносным ПО MSIX, замаскированным под установочный файл Notion, нацеленным на ничего не подозревающих пользователей через обманчивый сайт распространения, имитирующий законную домашнюю страницу Notion. Вредоносная программа устанавливается вместе с подлинным программным обеспечением Notion, устанавливая соединения с сервером управления для выполнения команд PowerShell и кражи конфиденциальных данных. Вредоносное программное обеспечение, идентифицированное как LummaC2, работает скрытно в системе Windows installer service host, подчеркивая важность осторожности пользователей при загрузке файлов и проверке подлинности. В тексте также подчеркивается необходимость повышенной бдительности в области кибербезопасности в отношении меняющихся тактик, используемых киберпреступниками.
-----

Появилась новая угроза, связанная с вредоносной программой MSIX, замаскированной под установочный файл Notion, которая обманом заставляет пользователей загружать вредоносное программное обеспечение.

В процессе установки вредоносного ПО создаются два критически важных файла: StartingScriptWrapper.ps1 и refresh.ps1, причем последний содержит вредоносную полезную нагрузку.

Файл refresh.ps1 подключается к серверу управления для загрузки и выполнения дополнительных команд PowerShell.

В ходе анализа была идентифицирована вредоносная программа LummaC2, способная красть конфиденциальные данные и скрытно работать на узле службы установки Windows.

Пользователям рекомендуется проверять подлинность домена при загрузке файлов и тщательно проверять подписи издателей, чтобы оставаться защищенными.

Индикаторы угроз, связанные с этой кампанией, включают хэши MD5 для задействованных вредоносных файлов.

Осторожность и бдительность необходимы при обращении с исполняемыми файлами, поскольку киберпреступники постоянно совершенствуют свою тактику обмана и компрометации систем.

#ParsedReport #CompletenessMedium
01-03-2024

Beware the Bait: Java RATs Lurking in Tax Scam Emails

https://www.esentire.com/blog/beware-the-bait-java-rats-lurking-in-tax-scam-emails

Report completeness: Medium

Threats:
Rattyrat
Sorillus
Smuggling_technique

Geo:
Apac, Emea, America

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1027, T1112, T1547, T1562, T1489, T1056, have more...

IOCs:
File: 4
Hash: 6
IP: 2
Url: 2

Algorithms:
zip, base64, md5

Languages:
java

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SorillusRAT\_RattyRAT/SorilusRAT\_RattyRAT\_iocs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена подразделению реагирования на угрозы eSentire (TRU) и их усилиям по повышению устойчивости организации с помощью упреждающих мер кибербезопасности, в частности, фишинговой кампании, нацеленной на организации во время налогового сезона с помощью вредоносного ПО удаленного доступа на базе JAVA (RAT). В тексте освещается тактика, используемая участниками угроз, проблемы обнаружения, важность стратегий защиты и необходимость принятия надежных мер безопасности для снижения рисков, связанных с такими угрозами.
-----

Налоговый сезон выделяется как критический период для организаций, поскольку он порождает угрозы кибербезопасности финансовой тематики из-за шквала действий, связанных с налогообложением. Субъекты угроз извлекают выгоду из этой возможности для проведения фишинговых атак, используя возросшую срочность и объем сообщений, связанных с налогами. В начале февраля 2024 года eSentire TRU раскрыла фишинговую кампанию в секторе бизнес-услуг, в которой использовались налоговые темы. Эта кампания включала распространение вредоносных программ-троянцев удаленного доступа на базе JAVA (RAT), в частности Ratty RAT и Sorillus RAT.

В первом наблюдаемом случае злоумышленники использовали контрабанду HTML для доставки вредоносной полезной нагрузки. HTML-вложение содержало двоичный объект в кодировке Base64, который декодировался в случайный текст, а также встроенный URL-адрес, содержащий вредоносный ZIP-архив с именем Tax_documents_PDF.zip, в котором размещалась крыса Sorillus. Во втором случае речь шла о ZIP-файле с именем 2023-FILES-MY1040-w2-IRS-letter-1099r_PDF.zip, который содержал вредоносную программу Ratty RAT. Ratty RAT, RAT на базе Java, разработанный человеком, известным как Sogomn, позволяет субъектам угроз выполнять различные вредоносные действия, включая захват экрана, настройку чата и кейлоггера, установление персистентности и функции манипулирования хостом.

Эта фишинговая кампания стратегически нацелена на организации из разных секторов во время налогового сезона, чтобы воспользоваться возросшей активностью и срочностью переписки, связанной с налогами. Использование HTML-контрабанды помогает злоумышленникам обходить традиционные механизмы обнаружения, кодируя вредоносную полезную нагрузку во вложениях HTML. Использование нескольких полезных программ, таких как Sorillus RAT и Ratty RAT, подчеркивает гибкость атакующих и проблемы в усилиях по обнаружению. Наличие вредоносных программ с открытым исходным кодом, таких как Ratty RAT, подчеркивает постоянную угрозу, исходящую от таких инструментов, что требует надежных стратегий защиты. Использование ZIP-файлов для доставки вредоносных программ и последующего запуска Ratty RAT подчеркивает важность оперативных мер безопасности, включая обучение пользователей и решения для сканирования электронной почты для снижения рисков, связанных с вредоносными вложениями.

#ParsedReport #CompletenessMedium
01-03-2024

Securonix Threat Research Knowledge Sharing Series: Batch (DOS) Obfuscation or DOSfuscation: Why It s on the Rise, and How Attackers are Hiding in Obscurity

https://www.securonix.com/blog/securonix-threat-research-knowledge-sharing-series-batch-obfuscation

Report completeness: Medium

Actors/Campaigns:
Steep_maverick

Threats:
Dosfuscation_technique
Villain_tool
Hoaxshell_tool
Batcloak_tool
More_eggs
Underground_team_ransomware
Trickbot
Ocxharvesters
Seroxen_rat
Asyncrat
Yourcyanide
Batloader
Charmingcypress
Redline_stealer
Revshell_tool

TTPs:
Tactics: 2
Technics: 5

IOCs:
File: 6
Path: 1
Url: 3

Soft:
curl, Windows Defender, Sysinternals

Algorithms:
zip

Languages:
php, powershell, python

Links:
https://github.com/danielbohannon/Invoke-Obfuscation
https://github.com/bobby-tablez/Py-BATCH-Fuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Субъекты киберугроз все чаще используют запутанные пакетные сценарии, известные как пакетная обработка (DOS) или DOSfuscation, для обхода методов обнаружения антивирусного программного обеспечения и аналитиков центра управления безопасностью (SOC), при этом некоторые вредоносные кампании используют сложные методы запутывания, чтобы избежать обнаружения и повысить эффективность. Эксперты по безопасности должны использовать методы деобфускации для эффективного анализа этих развивающихся киберугроз и борьбы с ними.
-----

Субъекты киберугроз все чаще используют запутанные пакетные сценарии, тенденцию, известную как пакетная обработка (DOS) или DOSfuscation, чтобы обойти механизмы обнаружения, такие как антивирусное программное обеспечение и аналитики центра управления безопасностью (SOC). Несмотря на доступность более надежных платформ для выполнения кода, таких как PowerShell, субъекты угроз выбирают cmd.exe из-за отсутствия встроенной поддержки пакетных сценариев в Windows Antimalware Scan Interface (AMSI). Запутывание команд в пакетных сценариях направлено на то, чтобы избежать обнаружения, представляя собой простой, но эффективный метод для злоумышленников снизить вероятность попадания антивируса во время первоначального выполнения кода.

Кампании вредоносных программ часто используют запутанные DOS/пакетные сценарии, выполняемые на начальном этапе цепочки атак. Пример включает отправку фишингового электронного письма с вложенным вредоносным zip-файлом, содержащим файл быстрого доступа, который ведет к cmd.exe с добавленным запутанным кодом при открытии. Этот метод широко распространен в семействах вредоносных программ, таких как CharmingCypress, где используется запутанный пакетный код. Методы запутывания варьируются от простого разделения строк до более продвинутых методов, требующих переменных окружения и извлечения индекса переменной.

RedLine Stealer, распространенный штамм вредоносного ПО, использует сложный метод пакетной обфускации, который включает в себя создание переменных окружения и манипулирование кодировкой. В некоторых случаях вредоносная полезная нагрузка кодируется с использованием таких методов, как изменение кодировки файла на UTF-16 LE, которая может быть деобфускирована с помощью онлайн-инструментов или помощи скрипта. Фреймворки Villain и Hoaxshell были расширены для поддержки строк подключения на основе CMD, что повысило их эффективность при обходе антивирусных обнаружений, особенно в сочетании с дополнительными уровнями запутывания.

Таким образом, использование запутанных пакетных сценариев в кампаниях вредоносного ПО служит тактикой уклонения от механизмов обнаружения, подчеркивая постоянную адаптацию и изощренность субъектов киберугроз в обходе средств контроля безопасности. Обнаружение и анализ запутанных скриптов требуют специальных знаний в области методов деобфускации, чтобы разгадать намерения скриптов и эффективно смягчить потенциальные киберугрозы.

#ParsedReport #CompletenessLow
01-03-2024

XRed Backdoor: The Hidden Threat in Trojanized Programs

https://www.esentire.com/blog/xred-backdoor-the-hidden-threat-in-trojanized-programs

Report completeness: Low

Actors/Campaigns:
Sea_turtle

Threats:
Xred
Njrat

Industry:
Education

Geo:
Turkish, America, Apac, Emea

ChatGPT TTPs:
do not use without manual check
T1193, T1053, T1060, T1091, T1027, T1059, T1112, T1204

IOCs:
File: 6
Hash: 92
Domain: 2
Path: 2
Registry: 1
Url: 10
Email: 3

Algorithms:
md5

Functions:
GetCMDAccess, GetScreenImage

Win API:
DeleteFile

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/XRed%20Backdoor/xred\_backdoor\_iocs.txt
https://github.com/RussianPanda95/Yara-Rules/blob/main/XRed\_Backdoor/mal\_xred\_backdoor.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) выявило и нейтрализовало вредоносный бэкдор под названием XRed, который был активен как минимум с 2019 года и был замаскирован под легальное программное обеспечение. Анализ выявил возможности бэкдора, методы доставки и характеристики разработчика.
-----

В начале февраля TRU обнаружила вредоносный бэкдор под названием XRed, замаскированный под Synaptics.exe, программное обеспечение, связанное с функциональностью сенсорной панели. Этот бэкдор был активен как минимум с 2019 года и был обнаружен и помещен на карантин службой MDR eSentire.

Дальнейшее расследование показало, что бэкдор XRed был установлен с использованием троянского программного обеспечения и обладал заметными возможностями сохранения и распространения. Функциональность бэкдора включала сбор системной информации, такой как MAC-адрес, имя пользователя и название компьютера, передачу данных злоумышленникам по протоколу SMTP и возможность ведения кейлоггинга с помощью подключения клавиатуры. Кроме того, бэкдор XRed мог распространяться через USB-накопители, создавая файлы autorun.inf. Он также включал встроенный защищенный паролем скрипт VBA, который манипулировал существующими файлами XLSM, вводил вредоносный код и отключал предупреждения безопасности для макросов VBA. Анализ показал, что разработчик этого бэкдора, скорее всего, был носителем турецкого языка, учитывая присутствие турецкого языка в коде.

Использование бэкдором файлов autorun.inf для использования функции автозапуска в старых версиях Windows подчеркнуло необходимость защиты устаревших систем и отключения устаревших функций, которые могут быть использованы вредоносными программами. Манипуляции встроенного скрипта VBA с XLSM-файлами и тактика социальной инженерии подчеркнули важность программ обучения пользователей для снижения риска заражения вредоносными программами с помощью методов обмана.

#ParsedReport #CompletenessLow
26-02-2024

Android/SpyNote Moves to Crypto Currencies

https://www.fortinet.com/blog/threat-research/android-spynote-moves-to-crypto-currencies

Report completeness: Low

Threats:
Spynote_rat

Victims:
Android users with mobile crypto wallet or banking applications

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1547.011, T1566, T1059.005, T1574.001, T1112, T1056.003, T1140, T1027, T1583.001, T1496, have more...

IOCs:
File: 3
Hash: 1

Soft:
Android

Wallets:
imtoken

Algorithms:
sha1, base64, zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается троян удаленного доступа SpyNote (RAT), нацеленный на устройства Android, в частности на пользователей с мобильными крипто-кошельками или банковскими приложениями. SpyNote стал распространенным вредоносным ПО на Android с 2020 года, более 10 000 образцов указывают на его широкое присутствие. Ключевым событием стало обнаружение вредоносного образца, замаскированного под законный криптокошелек, использующего API специальных возможностей для вредоносных действий, таких как запись жестов и мошеннических транзакций. Вредоносное ПО накладывает поддельные страницы для криптопереводов, подчеркивая переход к финансовой выгоде за счет кражи криптовалюты. Пользователи предупреждены о предоставлении разрешений Accessibility API подозрительным приложениям, поскольку вредоносное ПО представляет значительную угрозу конфиденциальности пользователей и финансовой безопасности.
-----

В тексте обсуждается появление и эволюция троянца удаленного доступа SpyNote (RAT) на устройствах Android, специально предназначенного для пользователей мобильных крипто-кошельков или банковских приложений. SpyNote стал одним из самых распространенных семейств вредоносных программ на Android с 2020 года, с различными образцами и интеграциями других RATs, таких как CypherRat. Существует более 10 000 образцов SpyNote, что указывает на его широкое присутствие в среде угроз.

Важным событием, отмеченным в тексте, является обнаружение 1 февраля вредоносного образца, замаскированного под законный криптокошелек, но на самом деле содержащего SpyNote RAT вместе с функциями, связанными с антианализом и манипуляциями с криптовалютой. Вредоносная программа использует API специальных возможностей для выполнения вредоносных действий, таких как запись жестов разблокировки устройства и нацеливание на популярные крипто-кошельки для мошеннических транзакций.

Одна из примечательных тактик, используемых вредоносным ПО, заключается в наложении поддельной HTML-страницы для перевода криптовалюты поверх интерфейса приложения с законным кошельком жертвы. На странице отображаются адреса мошеннических кошельков, что затрудняет жертвам распознать мошенничество. Используя API специальных возможностей, вредоносная программа автоматизирует процесс заполнения формы перевода и отправки криптовалюты на адрес кошелька злоумышленников. Это свидетельствует о смещении акцента злоумышленников в сторону получения финансовой выгоды за счет кражи криптовалюты.

В тексте подчеркивается аспект социальной инженерии того, как вредоносное ПО получает доступ к API специальных возможностей, обманывая пользователей и заставляя их предоставлять разрешения под видом законных приложений, таких как криптокошельки. Пользователям рекомендуется быть осторожными при предоставлении таких разрешений и тщательно проверять запросы из подозрительных источников. Способность вредоносного ПО манипулировать пользовательскими интерфейсами и взаимодействовать с различными приложениями представляет значительную угрозу конфиденциальности пользователей и финансовой безопасности.

Что касается мер по борьбе с анализом, вредоносное ПО реализует методы, позволяющие избежать автоматического обнаружения, хотя эти методы относительно просты для противодействия аналитикам-людям. Однако эти методы могут задержать обнаружение вредоносного ПО, предоставляя субъектам угрозы окно возможностей для осуществления их вредоносных действий.

#ParsedReport #CompletenessMedium
01-03-2024

Into the Depths of Abyss Locker

https://cyberint.com/blog/research/into-the-depths-of-abyss-locker

Report completeness: Medium

Threats:
Abyss_locker
Hellokitty
Spear-phishing_technique
Supply_chain_technique

Industry:
Ics

Geo:
Usa

TTPs:
Tactics: 9
Technics: 20

Soft:
ESXi

Algorithms:
chacha20, aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена Abyss Locker, программе-вымогателю, которая эволюционировала, нацелившись на виртуализированные среды ESXi от VMware, подчеркивая ее ориентацию на Соединенные Штаты, тактику двойного вымогательства, методы шифрования, историческую справку и использование платформ на базе Tor для связи.
-----

Abyss Locker - это относительно новая программа-вымогатель, появившаяся в марте 2023 года и нацеленная на широкий круг организаций, таких как промышленные системы управления, предприятия и организации государственного сектора. Группа сосредоточилась на атаках на виртуализированные среды ESXi от VMware, воспользовавшись широким распространением платформы и отсутствием возможностей стороннего обнаружения вредоносных программ в гипервизоре. Хотя Abyss Locker изначально полагался на инфраструктуру программ-вымогателей HelloKitty, позже он переключил свой алгоритм шифрования с AES на ChaCha.

Программа-вымогатель в первую очередь нацелена на жертв в Соединенных Штатах, что указывает на значительное внимание к организациям внутри страны. Злоумышленники действуют по распространенному сценарию программ-вымогателей, проникая в сети, извлекая данные в целях двойного вымогательства и шифруя устройства. Шифратор, используемый Abyss Locker, отключает виртуальные машины для шифрования связанных виртуальных дисков, метаданных и моментальных снимков, затрагивая файлы с расширениями, такими как .vmdk, .vmsd и .vmsn. Кроме того, все остальные файлы на устройстве зашифрованы с расширением .crypt. Жертвы получают уведомление о выкупе с подробной информацией о ситуации, включая ссылку на переговорную платформу злоумышленника на базе Tor для связи.

В январе 2023 года злоумышленник, известный как infoleak222, поделился данными о жертвах на взломанных форумах, которые соответствовали информации, найденной на веб-сайте Abyss Locker, намекая на связь между ними. Предыдущие версии Abyss Locker, включая версию для Windows, были замечены еще в 2019 году, что свидетельствует о более длительной истории активности. Abyss Locker функционирует как многопрофильная группа по вымогательству, управляющая сайтом на базе Tor, где информация о жертвах и отфильтрованные данные отображаются в случаях, когда жертвы не выполняют требования.

Переход Abyss Locker на виртуализированные среды ESXi подчеркивает способность групп вымогателей использовать популярные технологии в неблаговидных целях. Повышенное внимание к тактике двойного вымогательства подчеркивает изощренность и решительность участников угроз. Связь программы-вымогателя с предыдущими вариантами и наличие связанной с ней активности до ее официального запуска демонстрируют тенденцию непрерывного развития и настойчивости в операциях киберпреступников. Использование группой платформы на базе TOR для ведения переговоров отражает переход к более безопасным и анонимным каналам связи в практике вымогательства с помощью программ-вымогателей.

#ParsedReport #CompletenessMedium
29-02-2024

DarkGate Malware: Exploring Threats and Countermeasures

https://socradar.io/darkgate-malware-exploring-threats-and-countermeasures

Report completeness: Medium

Threats:
Darkgate
Qakbot
Rastafareye_actor
Hvnc_tool
Dll_sideloading_technique

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1218, T1027, T1071, T1036, T1056, T1110, T1105, have more...

IOCs:
File: 1
Domain: 1

Soft:
Microsoft Teams, Discord, Office 365

Algorithms:
base64

Languages:
powershell, swift, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: DarkGate - это сложный и постоянно развивающийся инструментарий вредоносного ПО, который представляет значительную угрозу в сфере киберпреступности, с различными возможностями, такими как удаленное выполнение кода, кража данных и методы уклонения. Разработанный подпольным пользователем по имени RastaFarEye, DarkGate распространяется по модели, основанной на подписке, а в новых версиях представлены расширенные функции, такие как hVNC, кейлоггер и руткит-модули. Вредоносная программа взаимодействует со своим командно-контрольным сервером посредством пользовательского кодирования, что позволяет осуществлять вредоносные действия, такие как кейлоггинг, кража учетных данных и майнинг криптовалют. DarkGate распространялся посредством фишинговых кампаний с использованием таких платформ, как Microsoft Teams, и был связан с использованием уязвимостей в Microsoft Teams, Office 365 и Skype. Финансовые последствия заражения DarkGate могут быть серьезными, что требует принятия надежных мер кибербезопасности, включая защиту конечных точек, сетевую безопасность, безопасность электронной почты, обучение пользователей, управление исправлениями, анализ информации об угрозах и планирование реагирования на инциденты для эффективного обнаружения, предотвращения и реагирования на эту постоянную угрозу вредоносного ПО.
-----

DarkGate - это сложный и развивающийся инструментарий для разработки вредоносных программ, который стал заметной угрозой в сфере киберпреступности.

DarkGate, разработанный RastaFarEye, продается по модели подписки, цены на которую достигают 15 000 долларов в месяц.

DarkGate обладает различными возможностями, включая удаленное выполнение кода, кражу данных и обход механизмов обнаружения.

DarkGate взаимодействует со своим командно-контрольным сервером, используя пользовательскую кодировку Base64, что позволяет вести кейлоггинг, кражу учетных данных, удаленное выполнение кода и майнинг криптовалют.

Фишинговые кампании с использованием инструментов совместной работы, таких как Microsoft Teams, использовались для распространения вредоносного ПО DarkGate.

DarkGate участвовала в кампаниях, использующих уязвимости в Microsoft Teams и использующих скомпрометированные учетные записи Office 365 и Skype.

В DarkGate v4 появились новые функции, такие как hVNC, кейлоггер и руткит-модуль.

Заражение DarkGate может привести к нарушениям конфиденциальности, финансовым потерям, сбоям в работе и ущербу репутации.

Снижение рисков DarkGate требует надежных мер кибербезопасности, включая защиту конечных точек, средства контроля сетевой безопасности, шлюзы безопасности электронной почты и обучение пользователей.

Проактивные стратегии, такие как управление исправлениями, анализ информации об угрозах, планирование реагирования на инциденты и непрерывный мониторинг, необходимы для борьбы с DarkGate и аналогичными продвинутыми вредоносными угрозами.

#ParsedReport #CompletenessHigh
29-02-2024

Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b

Report completeness: High

Actors/Campaigns:
Unc5221

Threats:
Phobos
Glasstoken
Giftedvisitor
Bushwalk
Lightwire
Chainline_shell
Nmap_tool
Timestomp_technique
Netcat_tool
Sliver_c2_tool
Mimikatz_tool
Wirefire
Warpwire

Victims:
Ivanti

Industry:
Government, Ics

Geo:
Australian, Canadian, Australia

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


TTPs:
Tactics: 5
Technics: 5

IOCs:
File: 14
IP: 22
Domain: 13
Hash: 9
Email: 1

Soft:
Ivanti, Active Directory, remote desktop services, Windows Registry, PsExec, cpanel

Algorithms:
base64

Languages:
perl, powershell, javascript, python

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10%20Ivanti%20Connect%20Secure/indicators/iocs.csv
https://github.com/cisagov/Decider/