#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что TA4903 является финансово мотивированным субъектом угроз, который проводит кампании по фишингу учетных данных и компрометации деловой электронной почты, нацеленные на организации в различных секторах, преимущественно в США, путем подмены государственных структур США и частного бизнеса. Злоумышленник использует массовые кампании по электронной почте с различными приманками, включая URL-адреса, вложения и QR-коды, для кражи корпоративных учетных данных и выполнения других действий. Proofpoint отслеживает действия TA4903, обращая особое внимание на настойчивость участника, тактику регистрации доменов и развивающиеся методы, такие как использование EvilProxy в 2023 году. Организациям рекомендуется проявлять бдительность и обновлять наборы правил обнаружения угроз для мониторинга и смягчения последствий действий субъекта угрозы.
-----

Исполнитель угроз TA4903 мотивирован финансово и проводит кампании по фишингу учетных данных и компрометации деловой электронной почты (BEC), нацеленные на различные организации, с акцентом на такие секторы, как строительство, финансы, здравоохранение, продукты питания и напитки.

TA4903 подделывает правительственные учреждения США и частные предприятия, проводя масштабные кампании по электронной почте, объем которых варьируется от сотен до десятков тысяч сообщений за кампанию.

Proofpoint с высокой степенью уверенности отслеживает действия TA4903, приписывая злоумышленнику кампании, направленные на кражу корпоративных учетных данных и проникновение в почтовые ящики.

С декабря 2021 года было замечено, что TA4903 подменяет федеральные правительственные учреждения США, активизируя свою деятельность в середине 2023-2024 годов с увеличением числа кампаний по фишингу учетных данных и мошенничеству, нацеленных на малый и средний бизнес.

Злоумышленник использует URL-адреса, вложения и темы, подобные кибератакам, чтобы побудить жертв предоставить конфиденциальную информацию, используя такие методы, как приманки для предложений ставок, QR-коды и ссылки на конфиденциальные документы и платежи ACH.

TA4903 использовал средство обхода многофакторной аутентификации EvilProxy в 2023 году, но позже в этом году его использование сократилось и не наблюдалось в 2024 году. Актер постоянно использует в своих кампаниях приманку для электронной почты и PDF-контент, а также инфраструктуру домена, принадлежащую актеру.

Фишинговый набор, используемый TA4903, остается совместимым с минимальными изменениями. Proofpoint предупреждает организации о необходимости постоянного обновления наборов правил обнаружения угроз для расширения возможностей обнаружения в отношении TA4903.

#ParsedReport #CompletenessLow
06-03-2024

Coper / Octo - A Conductor for Mobile Mayhem With Eight Limbs?. Key Findings

https://www.team-cymru.com/post/coper-octo-a-conductor-for-mobile-mayhem-with-eight-limbs

Report completeness: Low

Threats:
Exobot
Exobotcompact
Godfather
Vultur

Industry:
Financial

Geo:
Armenia, Turkmenistan, Turkey, Belarus, Moldova, China, Kyrgyzstan, Spain, Spanish, Tajikistan, Portugal, Uzbekistan, Russia, Ukraine, Netherlands, Colombian, Azerbaijan, Kazakhstan

IOCs:
IP: 2
Url: 10

Soft:
Android, Google Chrome, Gmail

Algorithms:
rc4, aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в эволюции и тактике вредоносного ПО Coper/Octo, производного от семейства Exobot, нацеленного на пользователей Android по всему миру с помощью таких тактик, как подмена законных приложений, с возможностями, включающими кейлоггинг, перехват конфиденциальной информации, удаленный доступ и сложную инфраструктуру командования и контроля. Освещаются развитие вредоносного ПО с течением времени, уникальные функции, тактика распространения, взаимодействие с серверами C2 и его влияние на различные регионы, подчеркивая необходимость постоянного мониторинга и мер по смягчению последствий для борьбы с этой киберугрозой.
-----

Coper, разновидность вредоносного ПО, производного от семейства Exobot, нацелена на пользователей Android, выдавая себя за поддельные версии законных приложений, таких как Bancolombia "Personas"..

Coper/Octo, идентифицированный в 2022 году, представляет собой вредоносное ПО как услугу, разработанное компанией Exobot для обслуживания глобальных кампаний, с возможностями, включающими кейлоггинг, перехват сообщений, управление экраном, удаленный доступ VNC и сложную инфраструктуру командования и контроля.

Вредоносная программа распространяется с помощью тактики подмены, в частности, нацелена на банковские приложения и нацелена на конкретные страны, такие как Португалия, Испания, Турция и Соединенные Штаты, избегая определенных регионов в соответствии с интересами операторов.

Coper/Octo взаимодействует со своим сервером C2 посредством зашифрованных сообщений, позволяя вносить изменения в конфигурации и взаимодействовать с функциями вредоносного ПО, такими как кейлоггинг, инъекции, возможности VNC и SMS.

Основные функции вредоносного ПО включают кейлоггинг, кражу данных с помощью инъекций, VNC для удаленного мониторинга и перехват SMS.

Отслеживание констант в коде вредоносного ПО, таких как сертификаты X.509, помогает отслеживать соответствующую инфраструктуру и понимать текущие кампании и их влияние на такие страны, как Турция, Португалия, Испания и Соединенные Штаты.

#ParsedReport #CompletenessLow
06-03-2024

From Web3 Drainer to Distributed WordPress Brute Force Attack

https://blog.sucuri.net/2024/03/from-web3-drainer-to-distributed-wordpress-brute-force-attack.html

Report completeness: Low

Threats:
Angel_drainer

Victims:
Wordpress sites

ChatGPT TTPs:
do not use without manual check
T1190, T1110, T1071, T1059, T1557, T1566

IOCs:
Domain: 3
File: 4
IP: 7
Coin: 2
Url: 2

Soft:
WordPress

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в новом типе взлома веб-сайтов с участием похитителей крипто-кошельков Web3, который превратился в запуск распределенных атак методом перебора на веб-сайты WordPress через скомпрометированные сайты и браузеры ничего не подозревающих посетителей. Злоумышленники используют модифицированный сценарий для выполнения нескольких этапов атак структурированным и автоматизированным образом, чтобы использовать уязвимости и получить несанкционированный доступ к целевым сайтам.
-----

В тексте обсуждается новый тип взлома веб-сайта с участием похитителей крипто-кошельков Web3, которые внедряют злоумышленников с помощью внешнего скрипта cachingjs/turboturbo.js. Этот вариант был обнаружен на более чем 1200 сайтах с февраля 2024 года. Кампания вредоносного ПО эволюционировала с двумя новыми итерациями, ведущими к распределенным атакам методом перебора на веб-сайты WordPress, используя браузеры невинных посетителей сайта. Тот settings.js файл был изменен, изменив рабочий адрес с 0xc5cE06FC4E2A26514afe69e25a6B36ab51F9FE42 на 0xFe8a95604CB87A9C6C5b1Ec681Bcfb4aE77F0c31.

Удивительно, но новый скрипт не загружает crypto drainer и не имеет никакого отношения к Web3 или криптовалютам. Короткий и не запутанный фрагмент кода позволяет легко понять назначение скрипта. Злоумышленники используют скрипт для запуска атак в режиме управления задачами. Атака включает в себя пять ключевых этапов: получение URL-адресов сайтов WordPress, извлечение имен пользователей авторов, внедрение вредоносных скриптов, атаки с использованием учетных данных методом перебора и проверка скомпрометированных учетных данных.

Злоумышленники сначала получают URL-адреса сайтов WordPress либо путем обхода Интернета, либо с помощью поисковых систем. Затем они извлекают настоящие имена пользователей авторов с целевых сайтов, внедряют свой dynamic-linx.com/chx.js скрипт на скомпрометированные веб-сайты и инициируют атаки методом перебора, когда посетители сайта загружают зараженные страницы. Атака распространяется на тысячи целевых сайтов без непосредственного участия злоумышленников, позволяя им проверять скомпрометированные учетные данные и получать несанкционированный доступ к целевым сайтам.

В тексте также отмечается, что IP-адрес 87.121.87.178, связанный с доменом billionair.app, на котором размещен Angel Drainer, используется для автоматизации проверки результатов атак методом перебора с помощью скриптов Python. Эта информация свидетельствует о скоординированном и автоматизированном подходе злоумышленников к использованию уязвимых веб-сайтов и получению несанкционированного доступа.

Подводя итог, можно сказать, что развивающаяся вредоносная кампания с участием похитителей кошельков Web3 перешла к запуску распределенных атак методом перебора на веб-сайты WordPress через скомпрометированные сайты и браузеры ничего не подозревающих посетителей. С помощью модификаций вредоносного скрипта и структурированного подхода, включающего несколько этапов, злоумышленники стремятся использовать уязвимости и получить несанкционированный доступ к широкому спектру целевых сайтов.

#ParsedReport #CompletenessMedium
06-03-2024

Data Exfiltration: Increasing Number of Tools Leveraged by Ransomware Attackers

https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomware-data-exfiltration

Report completeness: Medium

Threats:
Anydesk_tool
Screenconnect_tool
Atera_tool
Lolbin_technique
Cobalt_strike
Blackcat
Tightvnc_tool
Pandora
Ehorus_tool
Credential_dumping_technique
Chisel_tool
Ragnar_locker
Mimikatz_tool
Lazagne_tool

ChatGPT TTPs:
do not use without manual check
T1020, T1486, T1071, T1567, T1059, T1560, T1219, T1190, T1552, T1021, have more...

IOCs:
Registry: 1
Command: 2
File: 2
Url: 6
Hash: 100

Soft:
WinSCP, Local Security Authority, SoftPerfect Network Scanner

Algorithms:
zip

Languages:
powershell

Links:
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники-вымогатели все чаще используют в своих атаках инструменты для извлечения данных, такие как Rclone, для кражи и угрозы разглашения данных, если выкуп не будет выплачен. Эти злоумышленники также используют легальное программное обеспечение, такое как Cobalt Strike, Restic и PowerShell, для вредоносных целей, таких как эксфильтрация данных и удаленный доступ. Этот переход к использованию легального программного обеспечения рассматривается как тактика, позволяющая избежать обнаружения в сетях жертв.
-----

Злоумышленники-вымогатели все чаще используют инструменты для извлечения данных в атаках, что приводит к тактике двойного вымогательства, когда они шифруют файлы и крадут данные, чтобы потребовать выкуп.

Rclone является широко используемым инструментом для эксфильтрации данных, в то время как другие легальные программы, такие как AnyDesk, ScreenConnect и Atera, также используются.

Атаки используют такие инструменты, как Cobalt Strike, Restic, Chisel и PowerShell, для различных вредоносных целей, включая скрытую связь, эксфильтрацию данных и удаленный доступ.

Злоумышленники перепрофилируют такие инструменты, как Rclone, для извлечения данных из скомпрометированных сетей, часто маскируя их под законные процессы, чтобы избежать обнаружения.

Эксфильтрация данных является решающим шагом в атаках программ-вымогателей, когда украденные данные используются для вымогательства у организаций, что приводит к созданию сайтов утечки данных в даркнете для жертв, не соблюдающих требования.

Многие злоумышленники в настоящее время используют для своей деятельности легальное программное обеспечение, полагая, что оно вызывает меньше предупреждений в сетях жертв по сравнению с традиционными вредоносными программами.

#ParsedReport #CompletenessMedium
06-03-2024

WikiLoader Delivery Spikes in February 2024

https://blog.eclecticiq.com/wikiloader-delivery-spikes-in-february-2024

Report completeness: Medium

Actors/Campaigns:
Ta544 (motivation: financially_motivated)
Shathak (motivation: financially_motivated)

Threats:
Wikiloader
Gozi
Lolbin_technique
Spear-phishing_technique

Industry:
Financial

Geo:
Japan, Russia, Ukraine

TTPs:

IOCs:
File: 1

Soft:
OneNote, Microsoft Office, ChatGPT

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем распространении WikiLeader в феврале 2024 года как серьезной киберугрозы, от которой организациям и частным лицам необходимо защищаться путем усиления своих мер кибербезопасности. WikiLoader - это загрузчик, связанный с банковским трояном Ursnif и используемый финансово мотивированными группами исполнителей киберугроз для вредоносных действий. В тексте также освещается модель вредоносного ПО "Вредоносное ПО как услуга", цепочка заражения через фишинговые электронные письма, методы уклонения, распространенные механизмы доставки, а также предлагаются рекомендации по эффективному смягчению последствий и обнаружению атак WikiLeader.
-----

Увеличение распространения WikiLeader наблюдалось в феврале 2024 года.

WikiLoader служит загрузчиком, размещающим вредоносные полезные файлы, связанные с банковским трояном Ursnif.

Связан с группами исполнителей киберугроз TA544 и TA551, нацеленными на корпорации в Европе и Японии.

Описывается как вредоносное ПО как услуга (MaaS), доступное в аренду киберпреступникам.

Цепочка заражения начинается с фишинговых писем, содержащих PDF-вложение, запускающее загрузку сжатого файла JavaScript.

WikiLoader использует запутывание и косвенные системные вызовы для уклонения.

Конечная полезная нагрузка может отличаться, часто это банковское вредоносное ПО, такое как Ursnif.

Механизмы доставки включают документы с поддержкой макросов, PDF-файлы с полезной нагрузкой на JavaScript и вложения OneNote с вредоносными исполняемыми файлами.

Стратегии смягчения последствий включают использование подозрительного правила дочернего процесса Microsoft Office, мониторинг wscript.exe, внедрение общесистемного 2FA и запрет хранения учетных данных браузера.

Дополнительные меры, такие как отключение макросов, предотвращение выполнения внешних файлов в документах OneNote и настройка файлов JavaScript для открытия в текстовом редакторе, усиливают защиту.

#ParsedReport #CompletenessHigh
06-03-2024

Unveiling Earth Kapre aka RedCurls Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence. Unveiling Earth Kapre aka RedCurl s Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence

https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html

Report completeness: High

Actors/Campaigns:
Red_wolf (motivation: cyber_espionage, information_theft)

Threats:
Crudler
Impacket_tool
Smbexec_tool
Netstat_tool

Geo:
Germany, Canada, Slovenia, Russia, Ukraine, Australia

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1059, T1053, T1071, T1105, T1027, T1041, T1036, T1583, have more...

IOCs:
File: 12
Path: 27
Url: 13
IP: 2
Command: 16
Registry: 4
Domain: 1
Hash: 13

Soft:
curl, Windows service

Algorithms:
aes, exhibit, sha256, 7zip

Win API:
InternetOpenA, InternetConnectA, BcryptDecrypt

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 7, table: 1, code: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное расследование, проведенное командой Trend Micro Managed Extended Detection and Response (MDR) тактики, инструментов и техник кибершпионажной группы Earth Kapre, в котором освещается использование ими фишинговых кампаний, вредоносных вложений, законных инструментов для уклонения и методов утечки данных. Подчеркивается важность передовых решений для обнаружения угроз и реагирования на них, таких как предложения Trend Micro, для противодействия сложным субъектам угроз, таким как Earth Kapre, наряду с рекомендацией многоуровневого подхода к обеспечению безопасности для снижения потенциальных рисков.
-----

В записи блога обсуждается расследование, проведенное командой Trend Micro Managed Extended Detection and Response (MDR), которая обнаружила наборы вторжений, использованные группой кибершпионажа Earth Kapre в недавнем инциденте. Earth Kapre, также известная как RedCurl и Red Wolf, активно проводит фишинговые кампании, нацеленные на организации в разных странах. Группа использует фишинговые электронные письма, содержащие вредоносные вложения, такие как .файлы iso и .img, которые при открытии приводят к успешному заражению. Это приводит к созданию запланированных задач для сохранения и несанкционированному сбору и передаче конфиденциальных данных на серверы командования и контроля (C&C).

Команда MDR расследовала инцидент, в ходе которого загрузчиком Earth Kapre было заражено множество компьютеров, что указывает на потенциальную кражу данных. Earth Kapre использовала законные инструменты, такие как Powershell.exe и curl.exe для приобретения загрузчика последующей стадии, демонстрируя попытку влиться в сеть и избежать обнаружения. Группа также использовала помощник по совместимости программ (pcalua.exe) для выполнения вредоносных командных строк.

Дальнейшее расследование выявило использование curl.exe для загрузки файлов с определенных URL-адресов, что указывает на методы загрузки и выполнения вредоносной полезной нагрузки группой. Также было замечено использование методов запутывания, таких как повторное включение команд в пакетные файлы и их последующее удаление, чтобы избежать обнаружения. Impacket, набор классов Python с открытым исходным кодом для манипулирования сетевыми протоколами, был обнаружен в сети организации, что указывает на использование взаимодействий с сетевым протоколом Windows субъектами угроз.

Было обнаружено, что загрузчик Earth Kapre, распространяемый под случайно сгенерированными или запутанными именами файлов, подтверждает сетевые подключения и устанавливает связь с серверами C&C. Для сохранения были установлены запланированные задачи с разными именами задач и расположением файлов на зараженных компьютерах. Расследование выявило распространенность участия Earth Kapre в атаке, при этом серверы C&C подключались к определенным IP-адресам, широко используемым группой. Кроме того, было выявлено использование скриптов Impacket для несанкционированного выполнения команд, что подчеркивает изощренную тактику группы.

В записи блога подчеркивается критическая роль MDR в выявлении наборов вторжений и присвоении доказательств группам угроз кибершпионажа, таким как Earth Kapre. В нем подчеркивается важность передовых решений для обнаружения угроз и реагирования на них в противодействии сложным субъектам угроз и рекомендуется многоуровневый подход к обеспечению безопасности для снижения потенциальных рисков. Решения Trend Micro, такие как Trend Vision One, предлагающие многоуровневую защиту и обнаружение поведения, и Trend Micro Apex One, обеспечивающие автоматическое обнаружение продвинутых угроз, рекомендуются для повышения безопасности предприятия.

#ParsedReport #CompletenessLow
07-03-2024

Tales Of Valhalla March 2024. Nextron s Solutions for Enhanced Cybersecurity

https://www.nextron-systems.com/2024/03/05/tales-of-valhalla-march-2024

Report completeness: Low

Actors/Campaigns:
Ransomhouse
Earth_estries

Threats:
Supply_chain_technique
Hemigate
Cloudeye
Ironwind
Agent_tesla
Lokibot_stealer
Dll_sideloading_technique
Babuk
Avoslocker

TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1195, T1562, T1573, T1574, T1027, T1105

IOCs:
File: 2
Hash: 7

Soft:
Discord

Algorithms:
rc4

Platforms:
x86

Links:
https://github.com/strivexjun/AheadLib-x86-x64
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/image\_load/image\_load\_side\_load\_libvlc.yml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждаются различные образцы вредоносных программ, таких как MrAgent, Guloader, HemiGate и IronWind, с подробным описанием их функциональных возможностей, используемых методов и связей с участниками угроз. Это также подчеркивает важность поставщиков услуг кибербезопасности в выявлении и анализе этих угроз для усиления мер безопасности.
-----

Сбор подписей, предлагаемый поставщиком услуг кибербезопасности, специально разработан для выявления различных угроз безопасности, таких как хакерские инструменты, следы, оставленные хакерами, необычное поведение пользователей, скрытые параметры конфигурации и законное программное обеспечение, которое потенциально может быть использовано в злонамеренных целях. Этот подход особенно эффективен при выявлении тактики, обычно используемой при атаках на цепочки поставок, и выявлении инструментов, которые могут обойти традиционные антивирусные системы и системы обнаружения конечных точек и реагирования (EDR).

Одним из изучаемых образцов является MrAgent, на который первоначально обратила внимание команда MalwareHunterTeam в связи с аналогичным образцом, используемым RansomHouse. Этот образец во время его загрузки в сентябре вызвал общее правило вредоносного по VMware ESX. MrAgent - это двоичный файл, созданный для работы с гипервизорами, основной целью которого является автоматизация и мониторинг развертывания программ-вымогателей в больших средах с многочисленными системами гипервизоров. Двоичный файл устанавливает обратные соединения с определенным набором серверов управления, при этом сведения о сервере должны быть предоставлены в качестве параметра командной строки.

Guloader выделяется как вредоносное ПО на основе шеллкода первой стадии, обычно используемое для загрузки других вариантов вредоносных программ, таких как Agent Tesla и Lokibot, среди прочих. Обнаруженный в 2019 году, Guloader остается активным по сей день. Исследования показывают, что многие из этих образцов представляют собой дампы памяти, извлеченные с помощью API VirusTotal (VT), обнаруживающие присутствие шеллкода GuLoader. Примечательно, что были случаи прямой загрузки шеллкода GuLoader в VT, причем некоторые поставщики систем безопасности быстро обнаруживали это. С другой стороны, HemiGate предстает как бэкдор, связанный с субъектом угрозы, идентифицированным как Earth Estries, о чем в прошлом году появился первый публичный отчет TrendMicro. После этого первоначального разоблачения было отслежено, как четыре отдельных образца HemiGate были загружены в VT в течение последующих месяцев. Самый последний образец, загруженный в начале января 2024 года, по поведению очень напоминает своих предшественников. Демонстрируя характеристики, сходные с имитацией libvlc.dll Библиотеки динамических ссылок (DLL), HemiGate использует методы боковой загрузки DLL, о чем свидетельствуют экспортируемые функции. Все экспортируемые данные, за исключением libvlc_new, остаются пустыми, при этом последний выполняет функции для расшифровки зашифрованной полезной нагрузки (бэкдор HemiGate) с помощью алгоритма шифрования RC4.

IronWind идентифицирован как загрузчик с начальным доступом, впервые опубликованный Proofpoint в ноябре прошлого года. Для получения подробной технической информации заинтересованные стороны могут обратиться к всестороннему анализу, предоставленному Proofpoint. После этого раскрытия был введен постоянный мониторинг для отслеживания случаев загрузки образцов IronWind в VirusTotal.

Кроме того, есть ссылка на правило обнаружения под названием "Потенциальная Libvlc.DLL Боковая загрузка", предназначенное для выявления потенциальных случаев боковой загрузки библиотеки DLL с использованием libvlc.dll, законной библиотеки DLL, обычно связанной с медиаплеером VLC. Специфика правила, автор, ссылки и связанная с ними информация приведены для контекста и дальнейшего изучения.

#ParsedReport #CompletenessMedium
07-03-2024

TODDLERSHARK: ScreenConnect Vulnerability Exploited to Deploy BABYSHARK Variant

https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Babyshark
Screenconnect_tool
Polymorphism_technique
Connectwise_rat
Junk_code_technique
Spear-phishing_technique
Reconshark

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:

IOCs:
File: 3
Command: 14
Registry: 1
Path: 3
Url: 4
Domain: 1

Soft:
windows registry

Algorithms:
exhibit, base64

Languages:
powershell, visual_basic

Platforms:
x86, intel