#ParsedReport #CompletenessLow
07-03-2024

JetBrains TeamCity Authentication Bypass vulnerability under Active Exploitation

https://cyble.com/blog/jetbrains-teamcity-authentication-bypass-vulnerability-under-active-exploitation

Report completeness: Low

Actors/Campaigns:
Lazarus
Andariel

Threats:
Supply_chain_technique
Mitm_technique

Geo:
Ireland, Germany

CVEs:
CVE-2024-27198 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.11.4)

CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2024-27199 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1210, T1560, T1199

IOCs:
IP: 11

Soft:
JetBrains TeamCity, TeamCity, JetBrains, TeamCity JetBrains

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение критических уязвимостей обхода аутентификации (CVE-2024-27198 и CVE-2024-27199), влияющих на TeamCity JetBrains, выпуск исправлений для этих уязвимостей, коды эксплойтов, выпущенные Rapid7, активные попытки эксплуатации, обнаруженные Cyble Global Sensor Intelligence (CGSI), потенциальные риски, связанные с уязвимостями, и необходимость принятия организациями немедленных мер по устранению и смягчению этих рисков.
-----

В тексте обсуждается выпуск исправлений для двух уязвимостей обхода аутентификации (CVE-2024-27198 и CVE-2024-27199), влияющих на TeamCity JetBrains. Rapid7 опубликовал предварительные коды эксплойтов для этих уязвимостей, что привело к активным попыткам эксплуатации, обнаруженным Cyble Global Sensor Intelligence (CGSI) 5 марта 2024 года. Уязвимости были классифицированы как критические и высокой степени серьезности, затрагивающие все локальные версии TeamCity до версии 2023.11.4.

CVE-2024-27198 описывается как уязвимость для обхода аутентификации в веб-компоненте TeamCity, позволяющая злоумышленникам, не прошедшим проверку подлинности, получать доступ к конечным точкам с ограниченным доступом путем создания определенных URL-адресов. С другой стороны, CVE-2024-27199 - это уязвимость для обхода аутентификации на веб-сервере TeamCity, позволяющая злоумышленникам достигать аутентифицированных конечных точек из-за проблем с обходом пути.

Сканер Odin Cyble выявил 1780 подключенных к Интернету экземпляров TeamCity, значительное число из которых расположено в Соединенных Штатах, Ирландии и Германии. Попытки активного использования, обнаруженные 5 марта 2024 года, подчеркивают оперативные действия участников угроз по использованию общедоступных подтверждающих концепций и эксплойтов. Это быстрое реагирование ставит перед организациями задачу эффективного внедрения исправлений в обычные сроки, подчеркивая необходимость упреждающих контрмер.

Уязвимости, обнаруженные в TeamCity, представляют серьезную опасность, поскольку CVE-2024-27199 потенциально позволяет проводить атаки типа "отказ в обслуживании" и "человек посередине" на клиентские соединения. CVE-2024-27198, с другой стороны, подвергает уязвимые серверы TeamCity полной компрометации. Учитывая критический характер этих уязвимостей, требуется немедленное исправление для снижения рисков, связанных с эксплуатацией.

#ParsedReport #CompletenessLow
07-03-2024

Delving into Dalvik: A Look Into DEX Files. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/dalvik-look-into-dex-files

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1587.001

IOCs:
Hash: 1
File: 1

Soft:
Android

Algorithms:
zip, sha1, xor, md5

Functions:
onCreate, melodynight, justclinic, bleakperfect

Languages:
java, python

Links:
https://github.com/google/dexmod/
https://github.com/rchiossi/dexterity
https://github.com/skylot/jadx
https://github.com/google/dexmod

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ образца банковского трояна, нацеленного на смартфоны Android от Mandiant, который включает в себя расшифровку запутанных строк в коде приложения, чтобы понять его функциональность. В тексте также обсуждается банковский троян Nexus, структура DEX-файлов в APKS, проблемы при анализе образцов вредоносного по и разработка инструмента dexmod для упрощения задач анализа. Кроме того, в нем подчеркивается эволюционирующий характер угроз и важность использования таких инструментов, как dexmod, для анализа и понимания вредоносного программного обеспечения, нацеленного на устройства Android.
-----

Анализ образца банковского трояна, нацеленного на Android-смартфоны компанией Mandiant, выявил неоднократное использование механизма обфускации строк в коде приложения. Чтобы досконально понять функциональность приложения, необходимо ручное декодирование запутанных строк в каждом встречающемся методе, хотя это и трудоемкий процесс. Чтобы упростить этот анализ, было проведено тематическое исследование, посвященное банковскому троянцу Nexus, образцу вредоносного по, способному красть средства из различных банковских приложений на телефонах Android.

В качестве ориентира был использован фреймворк Nexus, доступный для покупки на подпольных форумах. Цель публикации в блоге - пролить свет на формат исполняемого файла Dalvik, его конструкцию и то, как им можно манипулировать для облегчения анализа. Было проведено углубленное изучение файлов DEX (исполняемых файлов Dalvik), содержащихся в APKs (Android Package Kit). В этих файлах DEX содержится байт-код приложений Android от Dalvik, который после компиляции является производным от байт-кода Java.

Файлы DEX структурированы по отдельным разделам, таким как заголовки, таблицы строк, определения классов, коды методов и другие сегменты данных. Одним из важных аспектов, описанных в исследовании, является раздел определения класса, в частности элемент class_data_off, который указывает на class_data_item, детализирующий атрибуты класса. Сюда входит информация о статических и виртуальных методах, а также о статических полях и полях экземпляра внутри класса.

Существенной проблемой, выявленной в ходе анализа, было отсутствие декодированных строк, необходимых для исправления байт-кода вредоносного образца, в таблице строк файла DEX. Чтобы решить эту проблему, декодированные строки необходимо было добавить в файл после декодирования, чтобы установить требуемый string_data_item и индекс string_id_item, на который может ссылаться код.

В ответ на эту проблему был разработан инструмент под названием dexmod. Dexmod - это вспомогательный инструмент на базе Python, предназначенный для исправления DEX-файлов на основе заданной пользователем логики деобфускации. Наряду с возможностями исправления, инструмент облегчает такие задачи, как поиск метода с использованием шаблонов байт-кода и добавление строк в файлы DEX. Сообщение в блоге также дает представление о внутренней работе dexmod, подчеркивая его полезность для упрощения анализа вредоносных приложений Android.

В то время как тематическое исследование демонстрирует эффективность исправления байт-кода Dalvik в оказании помощи исследователям, оно также признает эволюционирующую природу упаковщиков и методов запутывания. Поддержание универсального решения для исправления для широкого спектра приложений в течение длительного времени остается постоянной проблемой из-за динамической природы угроз. Несмотря на эффективность анализа байт-кода при выявлении шаблонов кодирования, модификация DEX-файлов без риска повреждения является сложной задачей.

Выпуск кода dexmod, связанного с проверкой образцов, призван вдохновить и поддержать других в их исследовании вредоносных приложений для Android. Используя бесплатные инструменты с открытым исходным кодом, такие как dexmod, исследователи могут расширить свои возможности в анализе и понимании потенциально вредоносного программного обеспечения, нацеленного на устройства Android.

#cyberthreattech
Добавили еще 3 новых источника с майнинговыми пулами.
А Я то думал, что мы уже выгребли все что было в Deep Web :)
Итого теперь 263 источника IoC (не считая аккаунты в соцсетях и источники TI-отчетов)

#ParsedReport #CompletenessHigh
07-03-2024

Penetration Tester's Shadow: F.A.C.C.T. Experts investigated unknown Shadow ransomware attacks

https://www.facct.ru/blog/shadow-ransomware

Report completeness: High

Actors/Campaigns:
C0met (motivation: cyber_criminal)

Threats:
Metasploit_tool
Sqlmap_tool
Proxyshellscanner_tool
Dockerregistrygrabber_tool
Mythic_c2
Athena_botnet
Babuk
Lockbit
Crackmapexec_tool
Cobalt_strike
Sliver_c2_tool
Proxylogon_exploit
Proxynotshell_vuln
Proxyshell_vuln
Meterpreter_tool
Facefish
Beacon
Xenarmor_tool
Dynamic_linker_hijacking_technique

Victims:
Russian companies

Industry:
Financial

Geo:
Russian, Russia

CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34423 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- zoom meetings (<5.8.3, <5.8.4)
- zoom meetings for blackberry (<5.8.1)
- zoom meetings for intune (<5.8.4)
- zoom meetings for chrome os (<5.0.1)
- zoom rooms for conference rooms (<5.8.3)
have more...
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-27925 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)


TTPs:
Tactics: 11
Technics: 28

IOCs:
IP: 4
File: 2
Hash: 7
Domain: 3
Url: 2

Soft:
Confluence, OpenSSL, Zimbra, Microsoft Exchange, sudo, Microsoft Exchange server, Outlook, Docker, Active Directory, Redis, have more...

Algorithms:
zip, sha1

Languages:
python

Links:
https://github.com/sqlmapproject/sqlmap
https://github.com/Syzik/DockerRegistryGrabber
https://github.com/cyberheartmi9/Proxyshell-Scanner
https://github.com/its-a-feature/Mythic

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 4, chart: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступная группировка, известная как Shadow, провела серию кибератак, нацеленных на организации в России, используя различные широко доступные инструменты для разведки и эксплуатации. Группа продемонстрировала стратегический подход к таргетингу, сосредоточив внимание на уязвимых организациях в различных отраслях промышленности России, что указывает на эволюционирующую тактику киберпреступности, позволяющую маскироваться под угрозы более низкого уровня, продолжая проводить сложные атаки.
-----

С сентября 2022 по август 2023 года серия кибератак была направлена против более чем ста организаций в России. Злоумышленники были первоначально идентифицированы платформой киберразведки F.A.C.C.T. Threat Intelligence, получившей доступ к серверу, где были обнаружены различные инструменты тестирования на проникновение, такие как SQLMap, Metasploit и ProxyShell-Scanner. Анализ связал эти нападения со значительной организованной преступной группировкой, известной как Shadow, в рамках синдиката ShadowTwelve. Первоначально предполагалось, что они начали свою деятельность в начале 2023 года, но более поздние результаты показали, что их деятельность началась гораздо раньше.

Shadow, также известная как Comet, а позже как DARKSTAR, была идентифицирована как группа двойного назначения, способная к финансово мотивированным атакам с использованием программ-вымогателей и политически мотивированным операциям по краже данных. Группа использовала индивидуальные версии программ-вымогателей LockBit 3.0 и Babuk, нацеленные на системы Windows и Linux соответственно, требуя выкупов, которые достигли максимума в 3,5 миллиона долларов в 2023 году. Выбор жертв был в основном основан на их местоположении в России, а не на конкретных секторах.

Дальнейшие расследования выявили методы работы Теневой группы, включавшие в себя различные общедоступные инструменты для разведки и эксплуатации. Metasploit использовался для выявления уязвимостей в таких сервисах, как Confluence, Cisco ASA, GitLab, Exchange, IIS, OpenSSL и Zimbra. Группа также использовала SQLMap для использования баз данных и выявления уязвимостей SQL-инъекций. ProxyShell-Scanner использовался для таргетинга на серверы Microsoft Exchange, в то время как DockerRegistryGrabber использовался для извлечения данных из образов Docker. Кроме того, на сервере злоумышленников были обнаружены такие инструменты, как Cobalt Strike, Mythic Athena и Sliver, позволяющие осуществлять расширенный удаленный доступ и манипулирование данными.

Сосредоточенность злоумышленников на использовании широко доступных инструментов продемонстрировала их способность справляться с киберугрозами более низкого уровня, помогая уклоняться и сокращая ресурсы, необходимые для планирования сложных атак. Несмотря на использование базовых инструментов, Теневая группа продемонстрировала стратегический целевой подход, сосредоточив внимание на уязвимых организациях в различных отраслях промышленности России. Такая географическая концентрация выявила продуманную стратегию использования слабых мест в конкретном регионе.

Результаты расследования проливают свет на эволюционирующую тактику киберпреступных группировок, таких как Shadow, подчеркивая важность понимания как базовых, так и продвинутых методологий атак. Эффективно используя вездесущие инструменты, продвинутые участники угроз могут скрывать свою деятельность на фоне менее изощренных атак, оптимизируя свои ресурсы для проведения сложных и результативных киберопераций.

#ParsedReport #CompletenessMedium
07-03-2024

The Spreading Wave of Pig-Butchering Scams in India

https://cyble.com/blog/the-spreading-wave-of-pig-butchering-scams-in-india

Report completeness: Medium

Threats:
Pig_butchering
Blackrock

Victims:
Indian investors, Blackrock

Industry:
Financial, Education

Geo:
Indian, Korean, China, India, Taiwan, Chinese, Asian, Korea

ChatGPT TTPs:
do not use without manual check
T1199, T1204, T1566, T1584, T1608, T1583, T1589, T1595

IOCs:
Email: 2
Url: 6
Domain: 4
IP: 1
Hash: 3

Soft:
Telegram, Android, Instagram, WhatsApp

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Cyble раскрыла мошенническую схему под названием "Афера с разделкой свиней", нацеленную на индийских инвесторов с помощью поддельных торговых приложений, распространяемых через Google Play Store и App Store. Мошенники используют скомпрометированные учетные записи разработчиков и фишинговые сайты для обмана жертв, ложно заявляя о партнерстве с уважаемыми компаниями и выдавая себя за индийские брокерские фирмы. Мошенничество распространяется за пределы Индии на такие страны, как Тайвань и Корея, причем доказательства указывают на киберпреступников, базирующихся в Китае, в качестве вдохновителей. Жертв заманивают с помощью заманчивой рекламы в социальных сетях, обещающей высокую доходность на фондовом рынке, что в конечном итоге приводит их к инвестированию в мошеннические криптовалюты и торговые схемы, что приводит к финансовым потерям и эмоциональному расстройству. Мошенничество требует повышенной осведомленности, бдительности и образования, чтобы защитить людей от того, чтобы они не стали жертвами таких финансовых хищников в эпоху цифровых технологий.
-----

Компания по кибербезопасности Cyble выявила рост мошенничества с разделкой свиней, нацеленного на индийских инвесторов с помощью поддельных торговых приложений в Google Play Store и App Store.

Мошенники используют скомпрометированные учетные записи разработчиков для распространения поддельных приложений и фишинговых сайтов, ложно заявляя о партнерстве с авторитетными компаниями, такими как BlackRock и индийские брокерские фирмы.

Афера распространяется на такие страны, как Тайвань и Корея, и доказательства указывают на киберпреступников, базирующихся в Китае, в качестве вдохновителей.

Мошенники рекламируют высокую доходность на фондовом рынке на платформах социальных сетей, таких как Facebook и Instagram, чтобы привлечь жертв.

Жертв заманивают инвестировать в мошеннические криптовалюты и торговые схемы с помощью поддельных рекомендаций по акциям, что приводит к потерям при попытке вывести средства.

Cyble Research and Intelligence Labs (CRIL) сообщили о распространении поддельных торговых приложений, выдающих себя за индийских брокеров, в Google Play Store и App Store.

Афера имеет глобальный охват за пределами Индии, нацелена на частных лиц на Тайване и в Корее и происходит из Китая.

Жертвы этих мошеннических схем испытывают финансовые потери, эмоциональный стресс и подорванное доверие, что подчеркивает необходимость повышения осведомленности и образования для борьбы с подобными мошенничествами.

#ParsedReport #CompletenessLow
07-03-2024

Cisco Talos Blog. You re going to start seeing more tax-related spam, but remember, that doesn t actually mean there s more spam

https://blog.talosintelligence.com/threat-source-newsletter-march-7-2024

Report completeness: Low

Actors/Campaigns:
Mogilevich
Yorotrooper (motivation: cyber_espionage)
Stormous (motivation: financially_motivated)
Ghostsec (motivation: financially_motivated)
Stmx_ghostlocker
Stormousx (motivation: financially_motivated)

Threats:
Supershell
Ghostlocker
Cuba_ransomware
Xmrig_miner
Symmi

Victims:
Epic, Health care systems, Wordpress users

Industry:
Financial, Retail, Government, Healthcare

Geo:
Argentina, Lebanon, Japan, California, Vietnam, Brazil, France, Egypt, Thailand, China, Israel, Poland, Chile, Usa, Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1583, T1190, T1486, T1496, T1133

IOCs:
Hash: 10
File: 5

Soft:
Fortnite, Android, Telegram, WordPress, Internet Explorer

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние киберугрозы и мошенничества, подчеркивается необходимость повышения бдительности в отношении меняющейся тактики участников угроз. В нем рассматриваются различные инциденты, включая мошеннические требования о предоставлении налоговых льгот, поддельные схемы вымогательства, уязвимости в камерах видеонаблюдения с белой маркировкой, утечку данных, влияющую на платежные системы в секторе здравоохранения, и появление новых участников угроз, использующих сложные методы, такие как атаки с двойным вымогательством. Для снижения рисков рекомендуются такие меры, как мониторинг подозрительной активности и внедрение надежных учетных данных для входа в систему.
-----

Мошенничество, связанное с мошенническими заявлениями о предоставлении налоговых льгот, использующими темы, связанные с налогами, с помощью спам-рассылок и кампаний социальной инженерии.

Банда фальшивых вымогателей Могилевича ложно утверждает, что взломала разработчика видеоигр Epic, продавая поддельную инфраструктуру вымогателей другим лицам.

Уязвимости в камерах безопасности с белой маркировкой, продаваемых как Eken и Tuck, позволяют получить несанкционированный доступ к изображениям с камер.

Утечка данных в Change Healthcare влияет на платежные системы здравоохранения США, приводя к сбоям в работе и бумажным платежным решениям.

Участники угроз используют платформу Supershell C2 для создания ботнетов, при этом YoroTrooper участвует в шпионских атаках, а APT group GhostSec сотрудничает со Stormous для атак с двойным вымогательством.

Talos выявляет сотрудничество между GhostSec и группами программ-вымогателей Stormous в атаках с двойным вымогательством, подчеркивая рост RaaS и выпуск новых IOCS для защиты от этих угроз.

#ParsedReport #CompletenessMedium
07-03-2024

Around We Go: Planet Stealer Emerges

https://inquest.net/blog/around-we-go-planet-stealer-emerges

Report completeness: Medium

Threats:
Planetstealer
Upx_tool
Smokeloader

Industry:
Financial, Healthcare, Education

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1583, T1588, T1496, T1027, T1041, T1560, T1573

IOCs:
Url: 4
IP: 1
Hash: 4

Soft:
Chromium, Telegram

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и анализе троянского проекта по краже информации под названием Planet Stealer, подчеркивающего важность отслеживания возможностей противников в сборе конфиденциальной информации и необходимость защитных механизмов для борьбы с такими угрозами. Кроме того, в нем обсуждаются функциональные возможности Planet Stealer, методы распространения, связь с другими угрозами и рекомендуемые стратегии защиты для смягчения их воздействия.
-----

Planet Stealer - это троян, крадущий информацию, разработанный в Go, предлагаемый как вредоносное ПО как услуга (MaaS) на подпольных форумах.

Троянец используется злоумышленниками для сбора конфиденциальной информации со скомпрометированных хостов, распространяется в виде исполняемых файлов и доставляется с помощью многоэтапной тактики заражения.

Planet Stealer взаимодействует с активным сервером управления (C2) посредством HTTP POST-запросов с использованием API, потенциально привязанных к одному субъекту угрозы или базовой инфраструктуре продавца вредоносного ПО.

Троянец может уклониться от полного анализа, используя методы уклонения, что потенциально повысит его долговечность и скрытность в будущих итерациях.

Примечательная функция эксфильтрации включает в себя использование Telegram для эксфильтрации данных с подключением к серверам C2, работающим на сервисе ASGI на основе Python, с определенными конечными точками, такими как /submit/info и /submit/file.

Были отмечены связи с другими угрозами, такими как SmokeLoader, и присутствие на подпольных форумах, таких как BreachForums и Hack Forums.

Для борьбы с такими угрозами, как Planet Stealer, предприятиям рекомендуется развертывать сетевые системы обнаружения и усиливать защиту путем перехвата и анализа трафика HTTP/HTTPS для эффективной борьбы с коммуникациями C2.

#ParsedReport #CompletenessMedium
07-03-2024

Ransomware Precursor Activity Traced to Compromised Vendor Account

https://www.esentire.com/blog/ransomware-precursor-activity-traced-to-compromised-vendor-account

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal)

Threats:
Cobalt_strike
Credential_dumping_technique

Geo:
Emea, America, Apac

TTPs:

IOCs:
Path: 1
Hash: 6
File: 6
Url: 2
Registry: 1
Domain: 2

Soft:
Active Directory, PsExec

Algorithms:
md5, zip

Languages:
powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/Threat%20Actor%20Leveraging%20Compromised%20RDP%20Sessions%20for%20Level.io%20RMM%20Deployment/iocs.txt