#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В сообщении в блоге обсуждалась деятельность базирующейся в Северной Корее APT-группы под названием Kimsucky APT, нацеленной на организации в Южной Корее, Японии и Соединенных Штатах с помощью вредоносного скрипта PowerShell для кражи данных и удаленного доступа. Сценарий использует тактику социальной инженерии, такую как точечный фишинг и атаки на водопой, используя технику бэкдора и метод компиляции после доставки. Несмотря на трудности с поиском серверного кода, анализ дает представление о деятельности группы и проблемах с раскрытием дополнительных деталей об их инфраструктуре.
-----

В сообщении в блоге обсуждалась деятельность базирующейся в Северной Корее APT-группы, известной как Kimsucky APT, сосредоточив внимание на вредоносном документе, использующем сценарий PowerShell для вредоносных целей. Группа в первую очередь нацелена на организации в Южной Корее, Японии и Соединенных Штатах, используя такие методы, как вредоносные документы с эксплойтами или ссылки для загрузки вредоносных программ для кражи данных или удаленного доступа. Применяемая тактика включает методы социальной инженерии, такие как точечный фишинг и атаки на водопой, чтобы получить первоначальный доступ. Автор обнаружил образец Kimsucky во время обычного просмотра, подчеркнув его простоту, помогающую понять операции PowerShell. В образце не было подключений или IP-адреса сервера управления (C2) в сценарии. Сценарий PowerShell содержит функцию с именем RemoteFileManager, запускаемую командой Add-Type для динамического определения новых типов в PowerShell, часто используемую для создания .Сетевые классы и перечислимые типы. Скрипт включает в себя элементы, которые формируют код бэкдора, при этом некоторые функции остаются открытыми для интерпретации. Скрипт реализует метод компиляции после доставки, используя csc.exe для компиляции .Net-код, служащий инструментом бэкдора, используемым Kimsucky APT. Автору не удалось найти серверный код или сам сервер, но пользователь Twitter поделился информацией о сервере, призвав всех, у кого есть более подробная информация, связаться с ним.

Это краткое изложение содержит обзор записи в блоге, в которой подробно описывается деятельность группы Kimsucky APT, их тактика, методы и цели, а также информация о скрипте PowerShell, используемом группой в злонамеренных целях. Анализ освещает функции и структуру скрипта, проливает свет на деятельность группы и проблемы, с которыми приходится сталкиваться при раскрытии дополнительных сведений об инфраструктуре APT group.

#ParsedReport #CompletenessMedium
11-03-2024

Ongoing ITG05 operations leverage evolving malware arsenal in global campaigns

https://securityintelligence.com/x-force/itg05-leverages-malware-arsenal

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Forest_blizzard

Threats:
Masepie_tool
Oceanmap
Steelhook
Headlace
Beacon
Poshc2_tool
Ironjaw

Victims:
Government organizations, Non-governmental organizations (ngos), Power construction corporation of china (powerchina), Municipality of saladas, Ministry of economy of argentina, Georgian center for security and development, Us navy, Ministry of defense of the republic of kazakhstan

Industry:
Ngo, Government, Military, Healthcare, Transport, Maritime, Financial

Geo:
Azerbaijan, Kazakhstan, Georgia, Poland, French, Indian, Russian, China, Armenia, America, Pacific, Ukraine, Belarussian, Russia, Argentina, Ukrainian, Belarus, Georgian, Moscow, Asia

CVEs:
CVE-2024-21410 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2019)

CVE-2024-21413 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)

CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1071, T1059, T1547, T1105, T1056, T1021, T1047, have more...

IOCs:
Domain: 30
File: 3
Hash: 5
IP: 4

Soft:
mockbin, Windows File Explorer, Windows Explorer, Microsoft Office, Outlook, Microsoft Exchange, Google Chrome, Microsoft Edge, Microsoft Exchange server

Algorithms:
aes-128-cbc, base64, sha256

Functions:
create

Languages:
javascript, powershell, python

Links:
https://github.com/projectdiscovery/interactsh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа киберугроз ITG05, идентифицированная как спонсируемая российским государством группа, активно проводит сложные фишинговые кампании с февраля 2024 года. Эти кампании предполагают использование поддельных документов, выдающих себя за различные организации в разных регионах, с акцентом на эволюционирующие методы и возможности вредоносного ПО. Операции ITG05 направлены на поддержку государственных целей в глобальном масштабе и предполагают использование бэкдоров, таких как MASEPIE и OCEANMAP, а также передовых тактик, таких как злоупотребление протоколом search-ms и серверами WebDAV.
-----

Группа по борьбе с киберугрозами ITG05 с февраля 2024 года проводит многочисленные постоянные фишинговые кампании, нацеленные на организации в разных регионах, включая Европу, Южный Кавказ, Центральную Азию, Северную и Южную Америку.

ITG05 использует документы-приманки, имитирующие подлинные документы правительственных и неправительственных организаций по таким темам, как финансы, критически важная инфраструктура, кибербезопасность и оборона.

ITG05 внедрила новые методы, такие как использование обработчика URI search-ms, чтобы заставить жертв загружать вредоносное ПО с серверов WebDAV, контролируемых actor.

ITG05 разработала новые бэкдоры, включая MASEPIE и OCEANMAP, и заменила предыдущие инструменты, такие как CREDOMAP и Headlace, новыми версиями, такими как STEELHOOK.

ITG05 идентифицируется как спонсируемая российским государством группа, имеющая связи с другими известными участниками угроз, такими как APT28, Fancy Bear и Forest Blizzard.

Группа использует сочетание внутренних и общедоступных документов, чтобы заманить жертв к загрузке вредоносного ПО, используя такие сервисы, как firstcloudit.com для размещения полезной нагрузки.

ITG05 активно занимается извлечением хэшей NTLMv2 и использованием уязвимостей для поддержки своих атак, демонстрируя высокий уровень сложности и адаптивности.

#ParsedReport #CompletenessLow
11-03-2024

Breaking down Atomic MacOS Stealer (AMOS). Background

https://medium.com/@dineshdevadoss04/breaking-down-atomic-macos-stealer-amos-8cd5eea56024

Report completeness: Low

Threats:
Amos_stealer
Applescript

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1547, T1140, T1027, T1555, T1539, T1558, T1119, T1564, T1071, have more...

IOCs:
File: 11
Url: 1
Hash: 11
IP: 1

Soft:
MacOS, Slack, Telegram, GateKeeper, VirtualBox, Chrome, Vivaldi, Opera, OperaGX Brave-Browser, TradingView, have more...

Wallets:
coinbase, electrum, coinomi, wassabi

Algorithms:
xor, zip, base64

Platforms:
apple, intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте подробно описывается обнаружение и анализ Atomic macOS Stealer (AMOS), сложной вредоносной программы, нацеленной на пользователей macOS с помощью вредоносного файла Slack.dmg. Программа stealer, доступная для покупки на подпольных форумах, извлекает конфиденциальные данные и использует методы обхода подписей XProtect, демонстрируя необходимость постоянной бдительности и упреждающих мер безопасности со стороны пользователей и организаций для защиты от развивающихся киберугроз.
-----

В тексте описывается инцидент, когда аналитик по анализу киберугроз столкнулся с вредоносным программным обеспечением macOS stealer, известным как Atomic macOS Stealer (AMOS), через образец файла Slack.dmg. Первоначально предполагалось, что это полезная нагрузка red teaming, дальнейший анализ выявил сложную природу похитителя и его методы обхода существующих сигнатур XProtect. AMOS - это вредоносное ПО, предназначенное для пользователей macOS и доступное для продажи на подпольных форумах и каналах Telegram.

Slack.Файл DMG является распространенным способом распространения приложений для Mac, и при проверке было обнаружено, что он содержит двоичный файл Mach-O, подписанный adhoc, что означает отсутствие криптографической защиты. Двоичный файл является универсальным, содержит архитектуры как для x86_64, так и для arm64, что указывает на его совместимость как с чипами Intel, так и с Apple. Функциональность вредоносного ПО включает в себя извлечение конфиденциальных данных, таких как пароли для входа пользователей, автозаполнения, пароли, файлы cookie и кошельки из различных браузеров, таких как Chrome, Brave, Edge, и приложений для крипто-кошельков, таких как Coinbase, Exodus и Coinomi.

Одной из уникальных особенностей Atomic Stealer является его способность маскироваться под помощника по привилегиям, используя Apple Script, чтобы обманом заставить жертв предоставить свои пароли для входа. Он создает поддельное диалоговое окно, напоминающее системные настройки, чтобы обмануть пользователей. Затем украденные данные отправляются на сервер управления (C2) в формате, закодированном в base64. Адрес C2 зашифрован XOR, что обеспечивает скрытую связь между вредоносной программой и сервером.

Кроме того, вредоносная программа включает в себя новую функциональность, известную как File Grabber, которая представляет собой AppleScript, предназначенный для сбора определенных файлов из системы жертвы. Это включает файлы cookie Safari, Cookies.binarycookies, базу данных macOS Notes и файлы с определенными расширениями, такими как txt, docx или файлы, связанные с кошельком. Atomic Stealer постоянно отслеживает строки, связанные с программным обеспечением для виртуализации, таким как VirtualBox, Parallels и виртуальная машина Apple, и при обнаружении завершает работу самостоятельно.

Поскольку угрозы, нацеленные на пользователей macOS, продолжают развиваться, в тексте подчеркивается, что пользователям и организациям необходимо сохранять бдительность и принимать упреждающие меры безопасности для защиты от потенциальных нарушений. Текущие исследования и анализ имеют решающее значение для того, чтобы опережать киберпреступников и защищать конфиденциальную информацию от компрометации. Аналитик также отмечает, что мониторинг выполнения AppleScript может оказаться полезным для действий по обнаружению и охоте, предполагая проактивный подход к обнаружению угроз и реагированию на них.

#ParsedReport #CompletenessLow
11-03-2024

Profiling : KZ Team Reborn. Heads - The interview

https://g0njxa.medium.com/profiling-%D1%82%D1%80%D0%B0%D1%84%D1%84%D0%B5%D1%80%D1%8B-kz-team-reborn-f5da607bca2d

Report completeness: Low

Threats:
Traffer
Lumma_stealer
Redline_stealer
Cuba_ransomware
Findzip
Anydesk_tool

Industry:
Financial

Geo:
Monaco, Ethiopia, Mozambique, Iceland, Qatar, Tajikistan, Vietnam, France, Guatemala, Mayotte, Bermuda, Lebanon, China, Mauritania, Djibouti, Libya, Italy, Luxembourg, Poland, Bahamas, Croatia, Afghanistan, Macedonia, Jamaica, Kyrgyzstan, Georgia, Germany, Angola, Pakistan, French, Kosovo, Slovenia, Paraguay, Comoros, Mongolia, Africa, Botswana, Zambia, Venezuela, Rwanda, Namibia, Kiribati, Belize, Morocco, Ireland, Zimbabwe, Ghana, Haiti, Hungary, Uruguay, Fiji, Uzbekistan, Panama, Seychelles, Czechia, Indonesia, Israel, Kazakhstan, Sweden, Bulgaria, Russian, Netherlands, Gambia, Peru, Spain, Russia, Suriname, Cambodia, Malta, Senegal, Mali, Korea, Serbia, India, Montenegro, Guinea-bissau, Guyana, Uganda, Denmark, Argentina, Belgium, Burundi, Oman, Iraq, Bolivia, Mauritius, Guinea, Andorra, Jordan, Egypt, Lesotho, Slovakia, Micronesia, Niger, Barbados, Nigeria, Sudan, Samoa, Bahrain, Reunion, Tanzania, Liechtenstein, Austria, Malawi, Kuwait, Emirates, Greenland, Somalia, Benin, Moldova, Vanuatu, Cyprus, Palestinian, Switzerland, Singapore, Malaysia, Honduras, Estonia, Aruba, Ukraine, Albania, Belarus, Brazil, Philippines, Norway, Greece, Gibraltar, Cameroon, Chile, Kenya, Syria, Armenia, Japan, Canada, Grenada, Liberia, Romania, Bhutan, Iran, Guadeloupe, Taiwan, Nicaragua, Algeria, Australia, Maldives, Azerbaijan, Bangladesh, Tunisia, Lithuania, Portugal, Mexico, Guam, Colombia, Thailand, Turkey, Ecuador, Madagascar, Chad, Myanmar, Togo, Latvia, Yemen, Laos, Gabon, Dominica, Nepal, Congo, Martinique, Finland

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1585, T1589, T1595, T1027, T1071

IOCs:
IP: 3
Hash: 3

Soft:
Telegram, Discord, Tiktok

Wallets:
bitcoincore, coinbase, metamask, electrum, yoroi, terra_station, keplr, venom_wallet, ronin_wallet, binancechain, have more...

Crypto:
binance

Links:
https://github.com/g0njxa/ProfilingTraffers/raw/main/KZ%20TEAM%20REBORN.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - углубленное исследование операций, тактики и стимулов конкретной команды инфокрадов, известной как KZ Team Reborn, с акцентом на их организационную структуру, используемые инструменты, механизмы стимулирования, географическое происхождение и общую изощренность вредоносных действий.
-----

Серия блогов посвящена запутанному миру экосистемы infostealer, проливая свет на деятельность различных операторов вредоносных программ, объединенных в команды. Одной из таких команд, находящихся в центре внимания, является KZ Team Reborn, группа, специализирующаяся на infostealers. Эта команда начала свою деятельность 28 сентября 2022 года и продолжает действовать по сей день, возглавляемая человеком, известным как TOKAEFFF.

Команда KZ Team Reborn предлагает частным лицам заманчивую возможность сотрудничать в создании и распространении вредоносных сборок. Члены команды имеют возможность работать со взломщиками и бесплатно получать зашифрованные сборки. Кроме того, команда предоставляет бесплатные услуги SEO и вознаграждает тех, кто публикует логи. Операторы вредоносных программ, входящие в команду, могут получить 70% украденных криптовалют, что стимулирует их к активному участию в операции.

Функционал бота, используемый KZ Team Reborn, преимущественно написан на русском языке, что отражает возможное географическое происхождение или преобладающие языковые навыки членов команды. Примечательно, что команда является инклюзивной и приветствует людей с опытом работы с вредоносными программами или без него. В функции бота регулярно вносятся обновления и исправления, гарантирующие, что инструменты остаются эффективными и актуальными. Команда использует различные шифровальщики и сборщики для создания сборок infostealer, расширяя их возможности и избегая обнаружения.

Кроме того, KZ Team Reborn предлагает планы подписки и стимулы для поощрения вовлеченности и постоянной вовлеченности своих членов. Значительный объем журналов распределен по различным категориям, что указывает на широкий спектр мероприятий, проводимых командой. Есть упоминания о частных лицах, сотрудничающих с инфокрадами и использующих частные панели, что свидетельствует о сложном и организованном подходе к их деятельности.

В центре внимания команды находятся не только общие кибератаки, но и упоминания о конкретных криптовалютах, инструментах и платформах, предназначенных для кражи учетных данных. Например, сообщалось, что пользователь "wanwap" заработал 4007 долларов в качестве оператора вредоносного ПО, что иллюстрирует потенциально прибыльный характер такой незаконной деятельности. IP-адрес управления и команды (C2) для KZ Team Reborn раскрывается как 147.45.47.39:80, предоставляя ключевой идентификатор для отслеживания и мониторинга их деятельности.

Что касается технических аспектов, команда использует Lumma и PackLab Crypt для целей разработки, указывая инструменты и технологии, используемые в их работе. Есть намеки на прошлые C2s, используемые командой, что указывает на степень эволюции и адаптации в ответ на меры безопасности. Даны рекомендации по анализу раскрытых C2s с использованием таких платформ, как Anyrun, чтобы получить более глубокое представление об их тактике и инфраструктуре.

В сообщении в блоге содержатся ссылки на нераскрытые имена пользователей-трафикеров, намекающие на потенциальные возможности для будущего расследования и сбора разведданных. В целом, предоставленная информация дает представление о внутренней работе KZ Team Reborn и более широком спектре операций infostealer, подчеркивая сложность, адаптивность и прибыльность этих вредоносных начинаний.

#ParsedReport #CompletenessLow
11-03-2024

Cloud Threats deploying Crypto CDN

https://sysdig.com/blog/cloud-threats-deploying-crypto-cdn

Report completeness: Low

Industry:
Financial, E-commerce

CVEs:
CVE-2021-3129 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- facade ignition (<2.5.2)


ChatGPT TTPs:
do not use without manual check
T1190, T1583, T1078, T1119, T1046, T1082, T1049

IOCs:
IP: 1

Soft:
WordPress, Ubuntu

Languages:
javascript, perl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Sysdig по исследованию угроз раскрыла вредоносную кампанию, которая использовала сервис Meson в среде, основанной на блокчейне, для нацеливания на предстоящее событие разблокировки крипто-токена. Злоумышленник установил значительное количество узлов сети Meson, используя скомпрометированные облачные учетные записи, подчеркнув уязвимость облачных сред и важность надежных мер безопасности. Кроме того, в тексте обсуждается цель сети Meson революционизировать рынок пропускной способности в среде Web3 и необходимость эффективных мер безопасности для обнаружения и предотвращения вредоносных действий.
-----

Исследовательская группа Sysdig Threat Research Team (TRT) недавно обнаружила вредоносную кампанию, использующую основанный на блокчейне сервис Meson для использования предстоящей разблокировки крипто-токена, назначенной примерно на 15 марта. Злоумышленник быстро попытался установить 6000 узлов сети Meson, используя скомпрометированную облачную учетную запись. Сеть Meson работает как децентрализованная сеть доставки контента в среде Web3, используя протокол блокчейна для упрощения рынка пропускной способности.

26 февраля системный администратор TRT отреагировал на тревожные предупреждения, адресованные нескольким пользователям AWS, подключенным к открытым сервисам в их инфраструктуре honeynet. Злоумышленник воспользовался CVE-2021-3129 в приложении Laveral и неправильной конфигурацией в WordPress, чтобы получить первоначальный доступ к облачной учетной записи. Впоследствии злоумышленник использовал автоматизированные методы разведки, чтобы быстро составить карту скомпрометированной среды. Используя привилегии скомпрометированных пользователей, злоумышленник создал значительное количество экземпляров EC2. Изучение журналов Cloudtrail показало, что злоумышленник исходил с определенного IP-адреса (13.208.251.175), а скомпрометированная учетная запись была свидетелем вредоносной активности, охватывающей многочисленные регионы AWS.

Злоумышленник развернул общедоступный AMI (Ubuntu 22.04) и создал несколько наборов по 500 экземпляров микроразмеров на регион. Примечательно, что из-за ограничений, ограничивающих новые экземпляры EC2 микроразмерами, злоумышленник парадоксальным образом придерживался этих спецификаций. Этот инцидент проливает свет на уязвимость облачных сред к эксплуатации и подчеркивает важность надежных мер безопасности для защиты от подобных угроз.

Блокчейн-инициатива Meson Network направлена на революционизацию рынка пропускной способности в Web3 путем внедрения протокола на основе блокчейна, который заменит традиционные облачные решения для хранения данных, такие как Google Drive и Amazon S3. Этот шаг направлен на то, чтобы предложить пользователям более экономичную альтернативу, заботящуюся о конфиденциальности. Web3 представляет собой усовершенствование по сравнению с предыдущими итерациями web, в котором особое внимание уделяется децентрализации, интеграции криптовалют и NFT для создания более справедливой цифровой экосистемы. Майнеры, поддерживающие сеть Meson, будут вознаграждены токенами Meson в зависимости от их вклада в пропускную способность и хранение в сети.

После ICO Meson Network, состоявшегося 8 февраля 2024 года, интерес к проекту в блокчейн-сообществе возрос. Однако TRT отметил сетевую активность во время выполнения во время выполнения, включая подключения к вредоносным IP-адресам с помощью "gaganode". Примечательно, что традиционных методов обнаружения вредоносных майнеров, основанных на скачках производительности процессора, может быть недостаточно в этом контексте. Вместо этого мониторинг ресурсов, таких как использование трафика и места для хранения, может служить эффективными индикаторами потенциальных нарушений безопасности. Инструменты обнаружения во время выполнения, такие как Falco, могут помочь в отслеживании исходящих подключений и выявлении любого подозрительного поведения.

#ParsedReport #CompletenessMedium
11-03-2024

BianLian GOs for PowerShell After TeamCity Exploitation

https://www.guidepointsecurity.com/blog/bianlian-gos-for-powershell-after-teamcity-exploitation

Report completeness: Medium

Actors/Campaigns:
Bianlian

Threats:
Nltest_tool
Bitsadmin
Credential_dumping_technique
Scriptblock

Industry:
Healthcare, Education

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2024-27198 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.11.4)


ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1071, T1043, T1573, T1027, T1547, T1003, T1132

IOCs:
File: 3
IP: 13
Url: 2
Hash: 1

Soft:
TeamCity

Algorithms:
sha256, md5, sha1

Functions:
GetCertHashString

Languages:
powershell

Links:
https://github.com/rprichard/winpty
https://github.com/drb-ra/C2IntelFeeds
https://github.com/FuzzySecurity/PowerShell-Suite

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в эволюционирующей тактике группы вымогателей BianLian, в частности, в их переходе к операциям, основанным на вымогательстве, и использовании бэкдора PowerShell для проведения действий после эксплуатации в сетях жертв. В тексте подчеркивается адаптивность группы при использовании уязвимостей, важность готовности и упреждающих мер защиты, а также необходимость для организаций оставаться в курсе событий, проводить пентесты и адаптироваться к меняющимся угрозам, чтобы усилить защиту от распространенных субъектов угроз, таких как BianLian, в ландшафте киберугроз.
-----

В январе 2023 года Avast выпустила дешифратор для группы вымогателей BianLian, что привело к переходу группы к операциям, основанным на вымогательстве.

Команда DFIR обнаружила вредоносную активность в сети клиента, исходящую от скомпрометированного сервера TeamCity, используя CVE-2024-27198 / CVE-2023-42793.

Threat actor использовал различные тактики, включая использование команд Windows, развертывание законных файлов и использование пакета PowerShell от FuzzySecurity для сброса учетных данных.

Threat actor использовал бэкдор PowerShell для связи с сервером C2 через потоки SSL, TCP-сокеты и пулы Runspace для удаленных операций.

Бэкдор PowerShell ссылался на IP-адрес, связанный с бэкдором BianLian GO, подтверждая, что это реализация PowerShell.

Компания BianLian продемонстрировала адаптивность в использовании уязвимостей и разработке тактики на период с 2023 по 2024 год, подчеркивая важность готовности, исправления уязвимостей и использования информации об угрозах для защиты.

Рекомендации включают в себя постоянное информирование, проведение пентестов на основе анализа угроз и адаптацию к меняющимся угрозам для усиления защиты от таких субъектов угрозы, как BianLian.

Интересная статья по разбору прошивки FortiGate. В конце рассказывают как сделать свою кастомку с "доп нагрузкой"

https://www.optistream.io/blogs/tech/fortigate-firmware-analysis

#ParsedReport #CompletenessMedium
12-03-2024

BIPClip: Malicious PyPI packages target crypto wallet recovery passwords

https://www.reversinglabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords

Report completeness: Medium

Actors/Campaigns:
Bipclip (motivation: cyber_criminal)

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers working on projects related to generating and securing cryptocurrency wallets

Industry:
Financial, Healthcare

Geo:
Dprk, Korea, Korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1566.001, T1552, T1583, T1547.001, T1071, T1027, T1105, T1036, T1589, have more...

IOCs:
Url: 2
Registry: 1
Hash: 38
IP: 3

Crypto:
bitcoin, ethereum

Algorithms:
base64

Languages:
python

Links:
https://github.com/ethereum/eth-account
hxxps://github.com/HashSnake/hCrypto
https://github.com/ethereum
https://github.com/HashSnake
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki#user-content-Abstract

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: ReversingLabs выявила новую вредоносную кампанию под названием BIPClip, которая нацелена на криптовалютные кошельки путем кражи мнемонических фраз для восстановления. Кампания включает в себя несколько замаскированных пакетов в индексе пакетов Python, используя такие тактики, как использование зависимостей вредоносных файлов и присвоение имен, чтобы избежать обнаружения. Злоумышленники стратегически распределили вредоносную функциональность по взаимосвязанным пакетам, сосредоточившись на краже криптовалютных активов без более широкого контроля над системой. Этот инцидент подчеркивает сохраняющуюся угрозу атак на цепочки поставок программного обеспечения, подчеркивая необходимость усиленных мер безопасности, бдительности и тщательной проверки зависимостей в экосистеме криптовалют.
-----

ReversingLabs обнаружила вредоносную кампанию под названием BIPClip, нацеленную на криптовалютные кошельки путем кражи мнемонических фраз, используемых для восстановления.

В кампании участвуют семь пакетов с открытым исходным кодом и 19 версиями в индексе пакетов Python, начиная с декабря 2022 года.

Вредоносная активность включает в себя маскировку внутри кажущихся законными пакетов с использованием таких методов, как вредоносные файловые зависимости и присвоение имен.

Кампания нацелена на разработчиков, работающих над проектами, связанными с криптовалютными кошельками, особенно на тех, кто использует стандарт BIP39 для создания детерминированных биткоин-кошельков.

Первоначальный пакет, mnemonic_to_address, взаимодействует с проектом eth-account для генерации исходных данных кошелька и включает в себя функцию с явно вредоносной функциональностью из второго пакета, bip39_mnemonic_decrypt.

Еще три вредоносных пакета были идентифицированы в марте 2023 года по той же схеме поведения, что и первоначальная пара.

Злоумышленники стратегически распределили вредоносный функционал по взаимосвязанным пакетам, чтобы избежать проверки.

Несмотря на то, что некоторые пакеты были обнаружены и удалены из PyPI, им все же удалось набрать количество загрузок с умеренным эффектом.

Злоумышленники сосредоточились на краже криптовалюты, не пытаясь осуществлять более широкий контроль или боковое перемещение внутри скомпрометированных систем.

Инцидент подчеркивает сохраняющуюся угрозу атак на цепочки поставок программного обеспечения, особенно в отношении криптовалютных активов.

Разработчикам и организациям рекомендуется повысить безопасность цепочки поставок программного обеспечения путем проведения регулярных оценок и проверки сторонних инструментов.

Индивидуальная бдительность имеет решающее значение для защиты крипто-кошельков и конфиденциальной информации от использования киберпреступниками.

#ParsedReport #CompletenessLow
12-03-2024

Ransomware: Attacks Continue to Rise as Operators Adapt to Disruption

https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomware-attacks-exploits

Report completeness: Low

Actors/Campaigns:
Syrphid

Threats:
Qakbot
Lockbit
Blackcat
Clop
Citrix_bleed_vuln
Byovd_technique
Hoptodesk_tool
Conti
Atera_tool
Anydesk_tool
Splashtop_tool
Truesightkiller_tool
Ghostdriver_tool
Stealbit

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)

CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 5
X-Force: Patch: Official fix
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)

CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

ChatGPT TTPs:
do not use without manual check
T1588.006, T1203, T1210, T1129, T1027, T1557, T1112, T1490, T1567

IOCs:
Hash: 10

Soft:
Microsoft Exchange Server

Links:
https://github.com/MaorSabag/TrueSightKiller