#ParsedReport #CompletenessLow
14-03-2024
Cisco Talos Blog. Not everything has to be a massive, global cyber attack
https://blog.talosintelligence.com/threat-source-newsletter-march-14-2024
Report completeness: Low
Actors/Campaigns:
Yorotrooper (motivation: cyber_espionage)
Threats:
Spectre_rat
Predator_spyware
Intellexa
Chrysaor
Supershell
Scar
Victims:
Change healthcare
Industry:
Financial, Government, Media, Healthcare
Geo:
Israel, Greece, China, America, Americans, California, France, Canada
CVEs:
CVE-2024-2193 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.1
X-Force: Patch: Official fix
ChatGPT TTPs:
T1190, T1566, T1059, T1583, T1588, T1021, T1110, T1195
IOCs:
Hash: 10
File: 4
Soft:
Instagram, TikTok, Internet Explorer
Algorithms:
md5
Platforms:
intel, arm
14-03-2024
Cisco Talos Blog. Not everything has to be a massive, global cyber attack
https://blog.talosintelligence.com/threat-source-newsletter-march-14-2024
Report completeness: Low
Actors/Campaigns:
Yorotrooper (motivation: cyber_espionage)
Threats:
Spectre_rat
Predator_spyware
Intellexa
Chrysaor
Supershell
Scar
Victims:
Change healthcare
Industry:
Financial, Government, Media, Healthcare
Geo:
Israel, Greece, China, America, Americans, California, France, Canada
CVEs:
CVE-2024-2193 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.1
X-Force: Patch: Official fix
ChatGPT TTPs:
do not use without manual checkT1190, T1566, T1059, T1583, T1588, T1021, T1110, T1195
IOCs:
Hash: 10
File: 4
Soft:
Instagram, TikTok, Internet Explorer
Algorithms:
md5
Platforms:
intel, arm
Cisco Talos Blog
Not everything has to be a massive, global cyber attack
There are a few reasons why we’re so ready to jump to the “it’s a cyber attack!”
CTT Report Hub
#ParsedReport #CompletenessLow 14-03-2024 Cisco Talos Blog. Not everything has to be a massive, global cyber attack https://blog.talosintelligence.com/threat-source-newsletter-march-14-2024 Report completeness: Low Actors/Campaigns: Yorotrooper (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - обсуждение различных инцидентов и событий в сфере кибербезопасности, включая значительные перебои в обслуживании, новую уязвимость процессора под названием "GhostRace", кибератаку на Change Healthcare, влияющую на сектор здравоохранения, санкции США в отношении консорциума Intellexa, связанного со шпионским ПО Predator, и использование Фреймворк Supershell C2 от таких участников угроз, как YoroTrooper, нацеленный на Содружество независимых стран (СНГ).
-----
В тексте обсуждаются многочисленные инциденты и события в сфере кибербезопасности.
Во-первых, произошли значительные перебои в предоставлении услуг такими компаниями, как AT&T, и крупными платформами социальных сетей, такими как Facebook, Instagram и Threads, что вызвало опасения по поводу скоординированных атак или спонсируемых государством киберкампаний. Федеральная комиссия по связи начала расследование сбоев в работе AT&T, и потребители поспешили высказать предположения и указать пальцем на потенциальных исполнителей угроз, стоящих за этими сбоями.
Кроме того, была обнаружена новая уязвимость под названием "GhostRace", затрагивающая чипы крупных производителей процессоров, таких как Intel, AMD, Arm и IBM. Эта уязвимость, идентифицированная как CVE-2024-2193, потенциально может позволить злоумышленникам красть конфиденциальную информацию из памяти, такую как пароли и ключи шифрования, используя состояние гонки и имея физический или привилегированный доступ к целевому компьютеру. Уязвимость повлияла на различные архитектуры процессоров, поставщиков гипервизоров и операционную систему Linux, требуя от затронутых сторон следовать рекомендациям по защите для снижения рисков.
Более того, сектор здравоохранения столкнулся с проблемами из-за кибератаки на Change Healthcare, дочернюю компанию United HealthGroup Inc., что привело к сбоям в обработке платежей для поставщиков медицинских услуг. Атака, предположительно, с использованием программ-вымогателей, привела, по оценкам, к ежедневным потерям в размере 100 миллионов долларов для провайдеров, которые были не в состоянии осуществлять финансовые транзакции. Некоторые провайдеры столкнулись с задержками в оплате аренды, неоплаченными счетами и ограничениями в обслуживании пациентов, такими как предварительная авторизация и пополнение рецепта. Правительство США объявило о выплатах помощи пострадавшим поставщикам, и были инициированы запросы в Конгресс для дальнейшего расследования инцидента.
Кроме того, США ввели санкции в отношении физических и юридических лиц, связанных с консорциумом Intellexa, который разработал и распространял шпионское ПО Predator. Этот шаг ознаменовал первый случай, когда Министерство финансов публично ввело санкции против организации, занимающейся разработкой шпионского ПО, с целью прекращения деловых взаимодействий с Intellexa и связанными с ней организациями. Шпионские инструменты, такие как Predator, часто используются для нацеливания на лиц с высокой степенью риска, включая политиков, журналистов, активистов и диссидентов, для отслеживания их коммуникаций и передвижений. Администрация Байдена выступила за дальнейшие действия против производителей шпионского ПО, включая хорошо известную группу NSO.
Наконец, в тексте затрагивается фреймворк Supershell C2, подробно описанный в презентации Четана Рагхупрасада, в котором освещаются субъекты угроз, использующие этот фреймворк для создания ботнетов с имплантатами Supershell. За последний год число атак YoroTrooper, ориентированной на шпионаж организации, нацеленной на Содружество независимых стран (СНГ) с 2022 года, увеличилось. Презентация Ашира Малхотры на CARO 2024 будет посвящена кампаниям YoroTrooper, описанию используемых вредоносных программ, вторжениям, нацеленным на сотрудников правительственных учреждений СНГ, и эволюции тактики, используемой злоумышленником.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - обсуждение различных инцидентов и событий в сфере кибербезопасности, включая значительные перебои в обслуживании, новую уязвимость процессора под названием "GhostRace", кибератаку на Change Healthcare, влияющую на сектор здравоохранения, санкции США в отношении консорциума Intellexa, связанного со шпионским ПО Predator, и использование Фреймворк Supershell C2 от таких участников угроз, как YoroTrooper, нацеленный на Содружество независимых стран (СНГ).
-----
В тексте обсуждаются многочисленные инциденты и события в сфере кибербезопасности.
Во-первых, произошли значительные перебои в предоставлении услуг такими компаниями, как AT&T, и крупными платформами социальных сетей, такими как Facebook, Instagram и Threads, что вызвало опасения по поводу скоординированных атак или спонсируемых государством киберкампаний. Федеральная комиссия по связи начала расследование сбоев в работе AT&T, и потребители поспешили высказать предположения и указать пальцем на потенциальных исполнителей угроз, стоящих за этими сбоями.
Кроме того, была обнаружена новая уязвимость под названием "GhostRace", затрагивающая чипы крупных производителей процессоров, таких как Intel, AMD, Arm и IBM. Эта уязвимость, идентифицированная как CVE-2024-2193, потенциально может позволить злоумышленникам красть конфиденциальную информацию из памяти, такую как пароли и ключи шифрования, используя состояние гонки и имея физический или привилегированный доступ к целевому компьютеру. Уязвимость повлияла на различные архитектуры процессоров, поставщиков гипервизоров и операционную систему Linux, требуя от затронутых сторон следовать рекомендациям по защите для снижения рисков.
Более того, сектор здравоохранения столкнулся с проблемами из-за кибератаки на Change Healthcare, дочернюю компанию United HealthGroup Inc., что привело к сбоям в обработке платежей для поставщиков медицинских услуг. Атака, предположительно, с использованием программ-вымогателей, привела, по оценкам, к ежедневным потерям в размере 100 миллионов долларов для провайдеров, которые были не в состоянии осуществлять финансовые транзакции. Некоторые провайдеры столкнулись с задержками в оплате аренды, неоплаченными счетами и ограничениями в обслуживании пациентов, такими как предварительная авторизация и пополнение рецепта. Правительство США объявило о выплатах помощи пострадавшим поставщикам, и были инициированы запросы в Конгресс для дальнейшего расследования инцидента.
Кроме того, США ввели санкции в отношении физических и юридических лиц, связанных с консорциумом Intellexa, который разработал и распространял шпионское ПО Predator. Этот шаг ознаменовал первый случай, когда Министерство финансов публично ввело санкции против организации, занимающейся разработкой шпионского ПО, с целью прекращения деловых взаимодействий с Intellexa и связанными с ней организациями. Шпионские инструменты, такие как Predator, часто используются для нацеливания на лиц с высокой степенью риска, включая политиков, журналистов, активистов и диссидентов, для отслеживания их коммуникаций и передвижений. Администрация Байдена выступила за дальнейшие действия против производителей шпионского ПО, включая хорошо известную группу NSO.
Наконец, в тексте затрагивается фреймворк Supershell C2, подробно описанный в презентации Четана Рагхупрасада, в котором освещаются субъекты угроз, использующие этот фреймворк для создания ботнетов с имплантатами Supershell. За последний год число атак YoroTrooper, ориентированной на шпионаж организации, нацеленной на Содружество независимых стран (СНГ) с 2022 года, увеличилось. Презентация Ашира Малхотры на CARO 2024 будет посвящена кампаниям YoroTrooper, описанию используемых вредоносных программ, вторжениям, нацеленным на сотрудников правительственных учреждений СНГ, и эволюции тактики, используемой злоумышленником.
#ParsedReport #CompletenessLow
15-03-2024
They re watching us: How to detect Pegasus and other spyware on your iOS device?
https://www.group-ib.com/blog/pegasus-spyware
Report completeness: Low
Actors/Campaigns:
Triangulation
Quadream
Threats:
Chrysaor
Spear-phishing_technique
Predator_spyware
Lockdown
Kingspawn
Wyrmspy
Dragonegg
Victims:
Individuals, Apple users, Organizations
Industry:
Government, Healthcare, Financial
Geo:
Israeli
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1588.002, T1407, T1595, T1568.002, T1611, T1608.001, T1590, T1475, T1518.001, have more...
IOCs:
File: 12
Hash: 1
Soft:
WhatsApp, iMessage, iPadOS, Windows Subsystem for Linux, sudo, Android
Languages:
python
Platforms:
apple
Links:
15-03-2024
They re watching us: How to detect Pegasus and other spyware on your iOS device?
https://www.group-ib.com/blog/pegasus-spyware
Report completeness: Low
Actors/Campaigns:
Triangulation
Quadream
Threats:
Chrysaor
Spear-phishing_technique
Predator_spyware
Lockdown
Kingspawn
Wyrmspy
Dragonegg
Victims:
Individuals, Apple users, Organizations
Industry:
Government, Healthcare, Financial
Geo:
Israeli
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1588.002, T1407, T1595, T1568.002, T1611, T1608.001, T1590, T1475, T1518.001, have more...
IOCs:
File: 12
Hash: 1
Soft:
WhatsApp, iMessage, iPadOS, Windows Subsystem for Linux, sudo, Android
Languages:
python
Platforms:
apple
Links:
https://github.com/AmnestyTech/investigationshttps://github.com/mvt-project/mvt-indicatorshttps://github.com/blacktop/presentations/blob/main/0x41con\_2023/PDF/AnatomyOfLockdownMode.pdfGroup-IB
In-Depth Analysis of Pegasus Spyware and How To Detect It on Your Mobile Devices
How does Pegasus and other spyware work discreetly to access everything on your iOS device?
CTT Report Hub
#ParsedReport #CompletenessLow 15-03-2024 They re watching us: How to detect Pegasus and other spyware on your iOS device? https://www.group-ib.com/blog/pegasus-spyware Report completeness: Low Actors/Campaigns: Triangulation Quadream Threats: Chrysaor…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в угрозе, которую представляют шпионские программы, в частности Pegasus, для безопасности и конфиденциальности пользователей устройств iOS и Android. В нем обсуждается, как работает Pegasus, его возможности, методы проникновения и шаги, которые пользователи могут предпринять, чтобы защитить себя от таких угроз. В нем подчеркивается важность обеспечения бдительности в отношении атак программ-шпионов и подчеркивается необходимость эффективной защиты организациями своих мобильных устройств и приложений.
-----
Pegasus, разработанный NSO Group, представляет собой сложную шпионскую программу, способную удаленно собирать конфиденциальную информацию с устройств iOS и Android.
Он имеет возможность удаленно активировать камеры и микрофоны на целевых устройствах для незаконного наблюдения.
Pegasus использует уязвимости нулевого дня, использует обфускацию кода и шифрование для эффективного проникновения на устройства.
NSO Group предоставляет два метода установки Pegasus: метод с нулевым щелчком мыши и метод с одним щелчком мыши.
Что касается устройств iOS, то уязвимости, подобные недостаткам в приложении iMessage, сделали их восприимчивыми к целенаправленным атакам.
Рекомендации по защите от атак программ-шпионов включают в себя отказ от подозрительных ссылок, регулярную проверку разрешений приложений, включение функций безопасности, таких как режим блокировки, и постоянное обновление операционных систем.
Организации могут использовать инструменты анализа угроз, такие как Group-IB Threat Intelligence, для выявления и устранения киберугроз и уязвимостей.
В случае обнаружения скомпрометированного устройства рекомендуется немедленно обратиться за экспертной поддержкой для анализа устройства и принятия дополнительных мер безопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в угрозе, которую представляют шпионские программы, в частности Pegasus, для безопасности и конфиденциальности пользователей устройств iOS и Android. В нем обсуждается, как работает Pegasus, его возможности, методы проникновения и шаги, которые пользователи могут предпринять, чтобы защитить себя от таких угроз. В нем подчеркивается важность обеспечения бдительности в отношении атак программ-шпионов и подчеркивается необходимость эффективной защиты организациями своих мобильных устройств и приложений.
-----
Pegasus, разработанный NSO Group, представляет собой сложную шпионскую программу, способную удаленно собирать конфиденциальную информацию с устройств iOS и Android.
Он имеет возможность удаленно активировать камеры и микрофоны на целевых устройствах для незаконного наблюдения.
Pegasus использует уязвимости нулевого дня, использует обфускацию кода и шифрование для эффективного проникновения на устройства.
NSO Group предоставляет два метода установки Pegasus: метод с нулевым щелчком мыши и метод с одним щелчком мыши.
Что касается устройств iOS, то уязвимости, подобные недостаткам в приложении iMessage, сделали их восприимчивыми к целенаправленным атакам.
Рекомендации по защите от атак программ-шпионов включают в себя отказ от подозрительных ссылок, регулярную проверку разрешений приложений, включение функций безопасности, таких как режим блокировки, и постоянное обновление операционных систем.
Организации могут использовать инструменты анализа угроз, такие как Group-IB Threat Intelligence, для выявления и устранения киберугроз и уязвимостей.
В случае обнаружения скомпрометированного устройства рекомендуется немедленно обратиться за экспертной поддержкой для анализа устройства и принятия дополнительных мер безопасности.
19 марта в 11:00 (МСК) вместе с коллегами из Кода Безопасности расскажем про IoC-и в NGFW.
В этой теме много интересных и не совсем очевидных нюансов.
Думаю, что этот вебминар может быть полезен всем, кто хотел бы начать использовать фиды не только в SIEM|SOAR|TIP, но и сетевых устройствах.
https://my.mts-link.ru/1664385/1346183402
В этой теме много интересных и не совсем очевидных нюансов.
Думаю, что этот вебминар может быть полезен всем, кто хотел бы начать использовать фиды не только в SIEM|SOAR|TIP, но и сетевых устройствах.
https://my.mts-link.ru/1664385/1346183402
Mts-link.ru
Интеграция Континент 4 с фидом Технологий Киберугроз (RST-cloud)
- Индикаторы компрометации (IoC) для NGFW
- Преимущества использования Threat Intelligence для NGFW
- Преимущества использования Threat Intelligence для NGFW
CTT Report Hub pinned «19 марта в 11:00 (МСК) вместе с коллегами из Кода Безопасности расскажем про IoC-и в NGFW. В этой теме много интересных и не совсем очевидных нюансов. Думаю, что этот вебминар может быть полезен всем, кто хотел бы начать использовать фиды не только в SIEM|SOAR|TIP…»
#ParsedReport #CompletenessLow
17-03-2024
Cybercriminals Evolve Tooling for Remote Access Compromise
https://www.resecurity.com/blog/article/cybercriminals-evolve-tooling-for-remote-access-compromise
Report completeness: Low
Actors/Campaigns:
0ktapus
Threats:
Tmchecker_tool
Paranoidchecker_tool
Lockbit
Blackcat
Connectwise_rat
Screenconnect_tool
Victims:
Government organization
Industry:
E-commerce, Financial, Government, Healthcare
Geo:
Ecuador, Americans
ChatGPT TTPs:
T1110, T1595, T1078, T1583, T1584, T1568, T1496
Soft:
Telegram, confluence
Crypto:
bitcoin
17-03-2024
Cybercriminals Evolve Tooling for Remote Access Compromise
https://www.resecurity.com/blog/article/cybercriminals-evolve-tooling-for-remote-access-compromise
Report completeness: Low
Actors/Campaigns:
0ktapus
Threats:
Tmchecker_tool
Paranoidchecker_tool
Lockbit
Blackcat
Connectwise_rat
Screenconnect_tool
Victims:
Government organization
Industry:
E-commerce, Financial, Government, Healthcare
Geo:
Ecuador, Americans
ChatGPT TTPs:
do not use without manual checkT1110, T1595, T1078, T1583, T1584, T1568, T1496
Soft:
Telegram, confluence
Crypto:
bitcoin
CTT Report Hub
#ParsedReport #CompletenessLow 17-03-2024 Cybercriminals Evolve Tooling for Remote Access Compromise https://www.resecurity.com/blog/article/cybercriminals-evolve-tooling-for-remote-access-compromise Report completeness: Low Actors/Campaigns: 0ktapus …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в Даркнете продается новый инструмент под названием TMChecker, предназначенный для служб удаленного доступа и приложений электронной коммерции. Он более сложен, чем аналогичные инструменты, и используется злоумышленниками для проникновения в корпоративные сети, создавая значительную угрозу, облегчая доступ к RDP, VPN и персональным устройствам. Рост числа атак программ-вымогателей, управляемых человеком, сотрудничество между участниками программ-вымогателей и появление таких групп, как Scattered Spider, подчеркивают серьезность таких инструментов, как TMChecker, в нынешнем ландшафте угроз. Организациям настоятельно рекомендуется усовершенствовать процессы комплексной проверки в киберпространстве и усилить свою защиту от таких инструментов.
-----
Служба безопасности обнаружила в Темной сети новый инструмент под названием TMChecker, предназначенный для атаки на сервисы удаленного доступа и приложения электронной коммерции, продаваемый threat actor "M762" за 200 долларов в месяц.
TMChecker более продвинутый, чем аналогичные инструменты, такие как ParanoidChecker, и нацелен на корпоративные шлюзы удаленного доступа, используемые в качестве основных векторов проникновения программ-вымогателей и атак высокого уровня.
Инструмент поддерживает различные решения для таргетинга на VPN-шлюзы, корпоративные почтовые серверы, базы данных, механизмы электронной коммерции, панели хостинга и использовался для таргетинга на правительственные организации.
Количество атак программ-вымогателей, управляемых людьми, утроилось с сентября 2022 года, и прогнозируется дальнейший рост в 2024 году, поскольку отдельные субъекты сотрудничают с несколькими бандами ради получения прибыли.
TMChecker представляет значительную угрозу, позволяя злоумышленникам нацеливаться на RDP, VPN и персональные устройства, снижая барьеры для доступа к корпоративным сетям и повышая риск разрушительных атак программ-вымогателей.
Появление таких групп, как Scattered Spider, эволюционирующих в филиалы ALPHV, подчеркивает важность таких инструментов, как TMChecker, в ландшафте угроз.
Удобная в использовании модель TMChecker позволяет как начинающим, так и опытным участникам угроз получать доступ к удаленным шлюзам, что влияет на цели приобретения на среднем рынке, поскольку ожидается, что количество сделок слияний и поглощений и прямых инвестиций увеличится более чем на 10%.
Платформа Resecurity RISKTM предлагает расширенные возможности анализа киберугроз, которые помогают организациям визуализировать подверженность угрозам удаленного доступа, таким как TMChecker, подчеркивая необходимость усиления защиты от кибербезопасности в свете растущих киберугроз и слияний и поглощений.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в Даркнете продается новый инструмент под названием TMChecker, предназначенный для служб удаленного доступа и приложений электронной коммерции. Он более сложен, чем аналогичные инструменты, и используется злоумышленниками для проникновения в корпоративные сети, создавая значительную угрозу, облегчая доступ к RDP, VPN и персональным устройствам. Рост числа атак программ-вымогателей, управляемых человеком, сотрудничество между участниками программ-вымогателей и появление таких групп, как Scattered Spider, подчеркивают серьезность таких инструментов, как TMChecker, в нынешнем ландшафте угроз. Организациям настоятельно рекомендуется усовершенствовать процессы комплексной проверки в киберпространстве и усилить свою защиту от таких инструментов.
-----
Служба безопасности обнаружила в Темной сети новый инструмент под названием TMChecker, предназначенный для атаки на сервисы удаленного доступа и приложения электронной коммерции, продаваемый threat actor "M762" за 200 долларов в месяц.
TMChecker более продвинутый, чем аналогичные инструменты, такие как ParanoidChecker, и нацелен на корпоративные шлюзы удаленного доступа, используемые в качестве основных векторов проникновения программ-вымогателей и атак высокого уровня.
Инструмент поддерживает различные решения для таргетинга на VPN-шлюзы, корпоративные почтовые серверы, базы данных, механизмы электронной коммерции, панели хостинга и использовался для таргетинга на правительственные организации.
Количество атак программ-вымогателей, управляемых людьми, утроилось с сентября 2022 года, и прогнозируется дальнейший рост в 2024 году, поскольку отдельные субъекты сотрудничают с несколькими бандами ради получения прибыли.
TMChecker представляет значительную угрозу, позволяя злоумышленникам нацеливаться на RDP, VPN и персональные устройства, снижая барьеры для доступа к корпоративным сетям и повышая риск разрушительных атак программ-вымогателей.
Появление таких групп, как Scattered Spider, эволюционирующих в филиалы ALPHV, подчеркивает важность таких инструментов, как TMChecker, в ландшафте угроз.
Удобная в использовании модель TMChecker позволяет как начинающим, так и опытным участникам угроз получать доступ к удаленным шлюзам, что влияет на цели приобретения на среднем рынке, поскольку ожидается, что количество сделок слияний и поглощений и прямых инвестиций увеличится более чем на 10%.
Платформа Resecurity RISKTM предлагает расширенные возможности анализа киберугроз, которые помогают организациям визуализировать подверженность угрозам удаленного доступа, таким как TMChecker, подчеркивая необходимость усиления защиты от кибербезопасности в свете растущих киберугроз и слияний и поглощений.
#ParsedReport #CompletenessLow
17-03-2024
Case Study. Taurus Stealer Backstory
https://russianpanda95.github.io/2024/03/16/The-GlorySprout-Stealer-or-a-Failed-Clone-of-Taurus-Stealer
Report completeness: Low
Threats:
Taurus
Glorysprout
Antivm
Predator_stealer
ChatGPT TTPs:
T1583, T1588, T1027, T1140, T1071, T1056, T1566, T1112, T1041, T1486, have more...
IOCs:
File: 9
Command: 1
Path: 1
Hash: 2
IP: 2
Soft:
Telegram, Discord, Jabber, Foxmail, Outlook, WinSCP, Authy, mysql
Wallets:
electrum, jaxx, dashcore, wassabi, mainnet
Crypto:
ethereum, bitcoin
Algorithms:
rc4, zip, base64, xor
Languages:
golang, python
Links:
17-03-2024
Case Study. Taurus Stealer Backstory
https://russianpanda95.github.io/2024/03/16/The-GlorySprout-Stealer-or-a-Failed-Clone-of-Taurus-Stealer
Report completeness: Low
Threats:
Taurus
Glorysprout
Antivm
Predator_stealer
ChatGPT TTPs:
do not use without manual checkT1583, T1588, T1027, T1140, T1071, T1056, T1566, T1112, T1041, T1486, have more...
IOCs:
File: 9
Command: 1
Path: 1
Hash: 2
IP: 2
Soft:
Telegram, Discord, Jabber, Foxmail, Outlook, WinSCP, Authy, mysql
Wallets:
electrum, jaxx, dashcore, wassabi, mainnet
Crypto:
ethereum, bitcoin
Algorithms:
rc4, zip, base64, xor
Languages:
golang, python
Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/GlorySprout/win\_mal\_GlorySprout\_Stealer.yarRussianpanda
RussianPanda Research Blog
undefined
CTT Report Hub
#ParsedReport #CompletenessLow 17-03-2024 Case Study. Taurus Stealer Backstory https://russianpanda95.github.io/2024/03/16/The-GlorySprout-Stealer-or-a-Failed-Clone-of-Taurus-Stealer Report completeness: Low Threats: Taurus Glorysprout Antivm Predator_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - анализ новой вредоносной программы под названием GlorySprout, которая появилась как клон Taurus Stealer с модификациями для удовлетворения конкретных потребностей. В тексте освещаются особенности, возможности и технические аспекты GlorySprout, сравнивая его с Taurus Stealer с точки зрения структуры кода, функциональных возможностей и потенциальных ограничений. Несмотря на свое сходство с Taurus Stealer, считается, что GlorySprout вряд ли получит значительную популярность на рынке из-за различий в функциональности и особенностях.
-----
Реклама GlorySprout появилась на форуме XSS в начале марта 2024 года по цене 300 долларов за пожизненный доступ, а также 20-дневный сервис шифрования для шифрования полезной нагрузки похитителя для уклонения. Разработанный на C++, stealer оснащен встроенным загрузчиком, функцией защиты от CIS и нефункциональным модулем захвата. Несмотря на заявленные возможности AntiVM и кейлоггинга, нет никаких свидетельств использования этих функций в действии. Stealer поддерживает резервное копирование журналов и их запрет, позволяя исключать журналы из определенных стран или IP-адресов. Анонимный источник сообщил, что GlorySprout является клоном Taurus Stealer, имеющим сходство с Taurus с точки зрения структуры и возможностей.
Taurus Stealer, который впервые появился в продаже в апреле 2020 года, был написан на C++ с использованием панели Golang. По цене 150 долларов за пожизненный доступ, Taurus Stealer имел сходство с Predator The Thief stealer, что привело к предположениям об общем коде или элементах дизайна. Taurus Stealer прекратил свою деятельность примерно в 2021 году, и взломанная версия теперь доступна в Telegram. Взломанная версия намекает на потенциальную продажу исходного кода Taurus Stealer, объясняя параллели с другими stealers на рынке.
GlorySprout использует динамическое разрешение API посредством хеширования API, ориентируясь на различные библиотеки для таких операций, как шифрование, XOR и сдвиг. Похититель запутывает строки, используя XOR и арифметические операции. Обмен данными C2 включает в себя извлечение адреса C2 из раздела ресурсов полезной нагрузки и обмен данными через порт 80 с конкретными запросами POST. Функции рандомизации генерируют ключи RC4 для шифрования, при этом ключ RC4 для начальной регистрации остается постоянным, несмотря на попытки рандомизации.
GlorySprout собирает широкий спектр информации с зараженных компьютеров, включая историю браузера, скриншоты, криптокошельки, данные игровой платформы, сеансы приложений для обмена сообщениями и многое другое. Он также использует меры защиты от виртуальных машин и возможности самоудаления после отправки журналов на сервер C2. Панель для GlorySprout написана на Golang и использует базы данных SQL, что имеет сходство с проектом Taurus Stealer с точки зрения структуры кода и упоминаний в базе данных.
Анализ подтверждает, что GlorySprout основан на клонированном коде от Taurus Stealer с изменениями в соответствии с конкретными потребностями. Однако GlorySprout отличается от Taurus Stealer такими аспектами, как отсутствие загрузки зависимостей DLL с серверов C2 и отсутствие функции защиты от виртуальных машин, присутствующей в Taurus Stealer. Несмотря на свое происхождение, GlorySprout вряд ли получит значительную популярность на рынке по сравнению с другими известными stealers из-за этих различий и потенциальных ограничений в функциональности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - анализ новой вредоносной программы под названием GlorySprout, которая появилась как клон Taurus Stealer с модификациями для удовлетворения конкретных потребностей. В тексте освещаются особенности, возможности и технические аспекты GlorySprout, сравнивая его с Taurus Stealer с точки зрения структуры кода, функциональных возможностей и потенциальных ограничений. Несмотря на свое сходство с Taurus Stealer, считается, что GlorySprout вряд ли получит значительную популярность на рынке из-за различий в функциональности и особенностях.
-----
Реклама GlorySprout появилась на форуме XSS в начале марта 2024 года по цене 300 долларов за пожизненный доступ, а также 20-дневный сервис шифрования для шифрования полезной нагрузки похитителя для уклонения. Разработанный на C++, stealer оснащен встроенным загрузчиком, функцией защиты от CIS и нефункциональным модулем захвата. Несмотря на заявленные возможности AntiVM и кейлоггинга, нет никаких свидетельств использования этих функций в действии. Stealer поддерживает резервное копирование журналов и их запрет, позволяя исключать журналы из определенных стран или IP-адресов. Анонимный источник сообщил, что GlorySprout является клоном Taurus Stealer, имеющим сходство с Taurus с точки зрения структуры и возможностей.
Taurus Stealer, который впервые появился в продаже в апреле 2020 года, был написан на C++ с использованием панели Golang. По цене 150 долларов за пожизненный доступ, Taurus Stealer имел сходство с Predator The Thief stealer, что привело к предположениям об общем коде или элементах дизайна. Taurus Stealer прекратил свою деятельность примерно в 2021 году, и взломанная версия теперь доступна в Telegram. Взломанная версия намекает на потенциальную продажу исходного кода Taurus Stealer, объясняя параллели с другими stealers на рынке.
GlorySprout использует динамическое разрешение API посредством хеширования API, ориентируясь на различные библиотеки для таких операций, как шифрование, XOR и сдвиг. Похититель запутывает строки, используя XOR и арифметические операции. Обмен данными C2 включает в себя извлечение адреса C2 из раздела ресурсов полезной нагрузки и обмен данными через порт 80 с конкретными запросами POST. Функции рандомизации генерируют ключи RC4 для шифрования, при этом ключ RC4 для начальной регистрации остается постоянным, несмотря на попытки рандомизации.
GlorySprout собирает широкий спектр информации с зараженных компьютеров, включая историю браузера, скриншоты, криптокошельки, данные игровой платформы, сеансы приложений для обмена сообщениями и многое другое. Он также использует меры защиты от виртуальных машин и возможности самоудаления после отправки журналов на сервер C2. Панель для GlorySprout написана на Golang и использует базы данных SQL, что имеет сходство с проектом Taurus Stealer с точки зрения структуры кода и упоминаний в базе данных.
Анализ подтверждает, что GlorySprout основан на клонированном коде от Taurus Stealer с изменениями в соответствии с конкретными потребностями. Однако GlorySprout отличается от Taurus Stealer такими аспектами, как отсутствие загрузки зависимостей DLL с серверов C2 и отсутствие функции защиты от виртуальных машин, присутствующей в Taurus Stealer. Несмотря на свое происхождение, GlorySprout вряд ли получит значительную популярность на рынке по сравнению с другими известными stealers из-за этих различий и потенциальных ограничений в функциональности.
#ParsedReport #CompletenessLow
17-03-2024
What is .htaccess Malware? (Detection, Symptoms & Prevention)
https://blog.sucuri.net/2024/03/what-is-htaccess-malware-detection-symptoms-prevention.html
Report completeness: Low
Threats:
Htaccess_malware_technique
Victims:
Website owners
Industry:
Education
ChatGPT TTPs:
T1190, T1566, T1505, T1562, T1199, T1565, T1595
IOCs:
Url: 5
Soft:
WordPress
Languages:
php
17-03-2024
What is .htaccess Malware? (Detection, Symptoms & Prevention)
https://blog.sucuri.net/2024/03/what-is-htaccess-malware-detection-symptoms-prevention.html
Report completeness: Low
Threats:
Htaccess_malware_technique
Victims:
Website owners
Industry:
Education
ChatGPT TTPs:
do not use without manual checkT1190, T1566, T1505, T1562, T1199, T1565, T1595
IOCs:
Url: 5
Soft:
WordPress
Languages:
php
Sucuri Blog
What is .htaccess Malware? (Detection, Symptoms & Prevention)
Not sure what an .htaccess file is? We dive into what htaccess is, how it works, why attackers target these powerful Apache files, and how to detect malicious code on your site and respond to an infection.
CTT Report Hub
#ParsedReport #CompletenessLow 17-03-2024 What is .htaccess Malware? (Detection, Symptoms & Prevention) https://blog.sucuri.net/2024/03/what-is-htaccess-malware-detection-symptoms-prevention.html Report completeness: Low Threats: Htaccess_malware_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Файл .htaccess является распространенной мишенью для кибератак из-за его способности скрывать вредоносное ПО, перенаправлять поисковые системы на вредоносные сайты и внедрять вредоносный контент, поэтому владельцам веб-сайтов крайне важно понимать его потенциальное неправильное использование, чтобы снизить риски и принять необходимые меры безопасности для защиты своих веб-сайтов.
-----
Файл .htaccess является распространенной мишенью для кибератак из-за его способности скрывать вредоносное ПО, перенаправлять поисковые системы на вредоносные сайты и внедрять вредоносный контент. Этот файл позволяет злоумышленникам вносить многочисленные изменения в веб-сервер, что затрудняет обнаружение и удаление вредоносного кода. Многие владельцы веб-сайтов не знают о файле .htaccess, поскольку он скрыт из-за того, что его название начинается с точки. Понимание потенциального неправильного использования файла .htaccess имеет решающее значение для снижения рисков для веб-сайтов.
Одной из распространенных атак с использованием файла .htaccess является перенаправление, при котором пользователи перенаправляются с поисковых систем на страницы, зараженные вредоносным ПО. Этот тип атаки может быть трудно заметить, особенно если владельцы веб-сайтов обычно получают доступ к своему сайту напрямую, а не через поисковые системы. Другая атака включает перенаправление страниц с ошибками на вредоносные программы, что затрудняет их обнаружение, поскольку большинство функций веб-сайта работают нормально. Генерация спам-ссылок также является методом, используемым злоумышленниками, когда файл .htaccess обрабатывается для создания многочисленных спам-ссылок на веб-сайте, что негативно сказывается на его поисковой оптимизации.
Злоумышленники могут приказать серверу переходить по символическим ссылкам для распространения вредоносного ПО по всей среде, что еще больше расширяет охват их вредоносных действий. Простые файлы .htaccess также могут использоваться для предотвращения выполнения PHP, добавляя еще один уровень сложности обнаружению и смягчению последствий таких атак. Для обнаружения этих атак можно использовать такие инструменты, как удаленный сканер веб-сайтов SiteCheck, для выявления вредоносного кода на веб-сайтах. Однако для более тщательного сканирования рекомендуется также проверить сервер веб-сайта и базу данных на наличие подозрительного кода и индикаторов компрометации.
В случае заражения вредоносным ПО предоставляется пошаговое руководство, которое поможет владельцам веб-сайтов проанализировать и очистить зараженные файлы, удалить бэкдоры, проверить доступ к учетной записи пользователя и обновить программное обеспечение веб-сайта. Кроме того, рекомендации включают повторную отправку сайта в поисковые системы, обновление программного обеспечения CMS и плагинов, установку брандмауэров веб-приложений и внедрение упреждающих мер безопасности для предотвращения будущих заражений. Sucuri, служба безопасности веб-сайтов, предлагает инструменты и опыт для мониторинга веб-сайтов и эффективного реагирования на угрозы.
Бен Мартин, аналитик и исследователь в области безопасности, играет ключевую роль в Sucuri, уделяя особое внимание обнаружению скрытых вредоносных программ, мониторингу тенденций в области безопасности веб-сайтов и очистке зараженных веб-сайтов. Имея более чем восьмилетний опыт работы в области безопасности веб-сайтов, Бен специализируется на написании блогов и устранении растущих инцидентов безопасности. Вне работы Бен увлекается редактированием аудио, созданием музыки, играми и проводит время со своим котом. С ним можно связаться в Twitter для дальнейшего взаимодействия.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Файл .htaccess является распространенной мишенью для кибератак из-за его способности скрывать вредоносное ПО, перенаправлять поисковые системы на вредоносные сайты и внедрять вредоносный контент, поэтому владельцам веб-сайтов крайне важно понимать его потенциальное неправильное использование, чтобы снизить риски и принять необходимые меры безопасности для защиты своих веб-сайтов.
-----
Файл .htaccess является распространенной мишенью для кибератак из-за его способности скрывать вредоносное ПО, перенаправлять поисковые системы на вредоносные сайты и внедрять вредоносный контент. Этот файл позволяет злоумышленникам вносить многочисленные изменения в веб-сервер, что затрудняет обнаружение и удаление вредоносного кода. Многие владельцы веб-сайтов не знают о файле .htaccess, поскольку он скрыт из-за того, что его название начинается с точки. Понимание потенциального неправильного использования файла .htaccess имеет решающее значение для снижения рисков для веб-сайтов.
Одной из распространенных атак с использованием файла .htaccess является перенаправление, при котором пользователи перенаправляются с поисковых систем на страницы, зараженные вредоносным ПО. Этот тип атаки может быть трудно заметить, особенно если владельцы веб-сайтов обычно получают доступ к своему сайту напрямую, а не через поисковые системы. Другая атака включает перенаправление страниц с ошибками на вредоносные программы, что затрудняет их обнаружение, поскольку большинство функций веб-сайта работают нормально. Генерация спам-ссылок также является методом, используемым злоумышленниками, когда файл .htaccess обрабатывается для создания многочисленных спам-ссылок на веб-сайте, что негативно сказывается на его поисковой оптимизации.
Злоумышленники могут приказать серверу переходить по символическим ссылкам для распространения вредоносного ПО по всей среде, что еще больше расширяет охват их вредоносных действий. Простые файлы .htaccess также могут использоваться для предотвращения выполнения PHP, добавляя еще один уровень сложности обнаружению и смягчению последствий таких атак. Для обнаружения этих атак можно использовать такие инструменты, как удаленный сканер веб-сайтов SiteCheck, для выявления вредоносного кода на веб-сайтах. Однако для более тщательного сканирования рекомендуется также проверить сервер веб-сайта и базу данных на наличие подозрительного кода и индикаторов компрометации.
В случае заражения вредоносным ПО предоставляется пошаговое руководство, которое поможет владельцам веб-сайтов проанализировать и очистить зараженные файлы, удалить бэкдоры, проверить доступ к учетной записи пользователя и обновить программное обеспечение веб-сайта. Кроме того, рекомендации включают повторную отправку сайта в поисковые системы, обновление программного обеспечения CMS и плагинов, установку брандмауэров веб-приложений и внедрение упреждающих мер безопасности для предотвращения будущих заражений. Sucuri, служба безопасности веб-сайтов, предлагает инструменты и опыт для мониторинга веб-сайтов и эффективного реагирования на угрозы.
Бен Мартин, аналитик и исследователь в области безопасности, играет ключевую роль в Sucuri, уделяя особое внимание обнаружению скрытых вредоносных программ, мониторингу тенденций в области безопасности веб-сайтов и очистке зараженных веб-сайтов. Имея более чем восьмилетний опыт работы в области безопасности веб-сайтов, Бен специализируется на написании блогов и устранении растущих инцидентов безопасности. Вне работы Бен увлекается редактированием аудио, созданием музыки, играми и проводит время со своим котом. С ним можно связаться в Twitter для дальнейшего взаимодействия.
#cyberthreattech
This is хорошо.
Из сканов в песочницах можно повыцеживать ID TG-ботов стиллеров.
P.S. Да, я кэп, не отрицаю.
This is хорошо.
Из сканов в песочницах можно повыцеживать ID TG-ботов стиллеров.
P.S. Да, я кэп, не отрицаю.
#ParsedReport #CompletenessLow
18-03-2024
Ethereum s CREATE2: A Double-Edged Sword in Blockchain Security
https://research.checkpoint.com/2024/ethereums-create2-a-double-edged-sword-in-blockchain-security
Report completeness: Low
Industry:
Financial, Education
ChatGPT TTPs:
T1199, T1064, T1566, T1110
IOCs:
Coin: 2
Hash: 1
Crypto:
ethereum
Platforms:
intel
18-03-2024
Ethereum s CREATE2: A Double-Edged Sword in Blockchain Security
https://research.checkpoint.com/2024/ethereums-create2-a-double-edged-sword-in-blockchain-security
Report completeness: Low
Industry:
Financial, Education
ChatGPT TTPs:
do not use without manual checkT1199, T1064, T1566, T1110
IOCs:
Coin: 2
Hash: 1
Crypto:
ethereum
Platforms:
intel
Check Point Research
Ethereum's CREATE2: A Double-Edged Sword in Blockchain Security - Check Point Research
By Oded Vanunu, Dikla Barda, Roman Zaikin Ethereum’s CREATE2 function is being exploited by attackers to compromise the security of digital wallets, bypassing traditional security measures and facilitating unauthorized access to funds. The attack method involves…
CTT Report Hub
#ParsedReport #CompletenessLow 18-03-2024 Ethereum s CREATE2: A Double-Edged Sword in Blockchain Security https://research.checkpoint.com/2024/ethereums-create2-a-double-edged-sword-in-blockchain-security Report completeness: Low Industry: Financial, Education…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте обсуждается новый метод атаки на смарт-контракты Ethereum, использующий функцию CREATE2, подчеркивается уязвимость, которую он создает, различия между CREATE и CREATE2, необходимость усиленных мер безопасности при разработке блокчейна и важность оставаться информированным и бдительным для защиты от развивающихся киберугроз в криптовалюте экосистема.
-----
В тексте обсуждается новый метод атаки, нацеленный на смарт-контракты Ethereum, который использует функцию CREATE2, чтобы обманом заставить пользователей одобрять транзакции по контрактам, которые еще не были развернуты. Эта уязвимость позволяет киберпреступникам внедрять вредоносные контракты в будущем, воруя криптовалюты у ничего не подозревающих жертв. Функция CREATE2 в Ethereum, хотя и инновационная, ввела лазейку в систему безопасности, которая позволяет злоумышленникам обманывать пользователей, получая одобрение на транзакции с несуществующими контрактами.
CREATE2 и CREATE - это коды операций в разработке блокчейна Ethereum, которые облегчают развертывание смарт-контрактов, но они отличаются тем, как определяется адрес нового контракта. CREATE основывает адрес контракта на адресе создателя и одноразовом значении, в то время как CREATE2 допускает более гибкий подход, включая указанную пользователем соль, адрес создателя и код инициализации контракта при вычислении адреса.
Использование функции CREATE2 подчеркивает сохраняющуюся проблему баланса инноваций и безопасности в блокчейн-пространстве. По мере развития Ethereum механизмы безопасности также должны совершенствоваться, чтобы защитить пользователей от изощренных атак. Разработчикам и пользователям блокчейна важно быть в курсе событий, обновлять свои знания и совершенствовать методы обеспечения безопасности, чтобы успешно ориентироваться в меняющемся ландшафте угроз. Блокчейн-система Threat Intel, разработанная Check Point, собирает информацию о возникающих угрозах, чтобы помочь инвесторам обезопасить свои цифровые активы в криптопространстве.
Таким образом, в тексте описывается новый вектор атаки, использующий функцию CREATE2 в Ethereum, подчеркивается важность осведомленности о безопасности, образования и постоянной бдительности для защиты от развивающихся киберугроз в экосистеме блокчейна и криптовалют.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте обсуждается новый метод атаки на смарт-контракты Ethereum, использующий функцию CREATE2, подчеркивается уязвимость, которую он создает, различия между CREATE и CREATE2, необходимость усиленных мер безопасности при разработке блокчейна и важность оставаться информированным и бдительным для защиты от развивающихся киберугроз в криптовалюте экосистема.
-----
В тексте обсуждается новый метод атаки, нацеленный на смарт-контракты Ethereum, который использует функцию CREATE2, чтобы обманом заставить пользователей одобрять транзакции по контрактам, которые еще не были развернуты. Эта уязвимость позволяет киберпреступникам внедрять вредоносные контракты в будущем, воруя криптовалюты у ничего не подозревающих жертв. Функция CREATE2 в Ethereum, хотя и инновационная, ввела лазейку в систему безопасности, которая позволяет злоумышленникам обманывать пользователей, получая одобрение на транзакции с несуществующими контрактами.
CREATE2 и CREATE - это коды операций в разработке блокчейна Ethereum, которые облегчают развертывание смарт-контрактов, но они отличаются тем, как определяется адрес нового контракта. CREATE основывает адрес контракта на адресе создателя и одноразовом значении, в то время как CREATE2 допускает более гибкий подход, включая указанную пользователем соль, адрес создателя и код инициализации контракта при вычислении адреса.
Использование функции CREATE2 подчеркивает сохраняющуюся проблему баланса инноваций и безопасности в блокчейн-пространстве. По мере развития Ethereum механизмы безопасности также должны совершенствоваться, чтобы защитить пользователей от изощренных атак. Разработчикам и пользователям блокчейна важно быть в курсе событий, обновлять свои знания и совершенствовать методы обеспечения безопасности, чтобы успешно ориентироваться в меняющемся ландшафте угроз. Блокчейн-система Threat Intel, разработанная Check Point, собирает информацию о возникающих угрозах, чтобы помочь инвесторам обезопасить свои цифровые активы в криптопространстве.
Таким образом, в тексте описывается новый вектор атаки, использующий функцию CREATE2 в Ethereum, подчеркивается важность осведомленности о безопасности, образования и постоянной бдительности для защиты от развивающихся киберугроз в экосистеме блокчейна и криптовалют.