#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют тактику обмана, такую как манипулирование функцией отслеживания рекламы Google, для распространения вредоносного ПО среди ничего не подозревающих пользователей. В нем освещается конкретный случай, когда вредоносное ПО было замаскировано под популярные программы, что привело к установке вредоносных файлов в системах пользователей. В тексте подчеркивается важность бдительности пользователей при взаимодействии с онлайн-рекламой, чтобы снизить риск стать жертвой таких вредоносных схем.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно использовал функцию отслеживания рекламы Google, чтобы выявить тактику, используемую киберпреступниками для распространения вредоносных программ. Они обнаружили случай, когда вредоносное ПО было замаскировано под популярные программы для установки группового ПО, такие как Notion и Slack. После загрузки вредоносное программное обеспечение извлекло дополнительные вредоносные файлы и полезную нагрузку с сервера злоумышленника. Злоумышленники манипулировали функцией отслеживания рекламы Google, обычно используемой для статистики доступа пользователей, заменив сайт распространения вредоносного ПО сайтом внешней статистики. С тех пор реклама злоумышленника была удалена, но во время распространения нажатие на нее приводило пользователей на определенный адрес, где они неосознанно загружали вредоносный файл.

Цепочка распространения включает в себя серию перенаправлений, ведущих пользователей на страницу, имитирующую внешний вид законного инструмента совместной работы, побуждающего их загружать и запускать вредоносный код. Этот код при выполнении запрашивает веб-сайт хранилища текста, такой как textbin или tinyurl, для получения адреса вредоносной полезной нагрузки. Злоумышленник обращается к этому URL-адресу, чтобы получить адрес полезной нагрузки, который затем отправляется обратно в качестве ответа при обращении к исходному адресу. Следовательно, вредоносная программа Rhadamanthys, классифицируемая как infostealer, загружается из определенного места. Когда эта вредоносная программа запускается, она внедряется и запускается в стандартном файле Windows, расположенном по пути %system32%. Поскольку вредоносная программа работает в обычном системном файле, пользователи могут оставаться в неведении о ее вредоносных действиях, подвергая свою конфиденциальную информацию риску кражи.

Соответствие рекламы Google тактике распространения вредоносных программ, вводящих в заблуждение, подчеркивает коварство киберпреступников. Помимо Google, другие поисковые системы, предлагающие функции отслеживания в статистических целях, также могут быть использованы злоумышленниками для распространения вредоносного кода. Ключевой вывод для пользователей - быть бдительными при взаимодействии с онлайн-рекламой и всегда проверять фактический URL, на который они перенаправлены, вместо того, чтобы полагаться исключительно на отображаемую рекламу. Проявляя осторожность и тщательно изучая URL-адреса, пользователи могут снизить риск стать жертвами таких вредоносных схем.

#ParsedReport #CompletenessMedium
25-03-2024

Over 170K Users Affected by Attack Using Fake Python Infrastructure

https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Top.gg github organization, Several individual developers, Top.gg contributor, Python developers

Geo:
Japanese, Chinese

ChatGPT TTPs:
do not use without manual check
T1199, T1550, T1195, T1587, T1595, T1204, T1566, T1547, T1027, T1059, have more...

IOCs:
Domain: 3
File: 2
Url: 6
IP: 3
Hash: 3

Soft:
Discord, Windows registry, Opera, Chrome, Vivaldi, Telegram, Instagram

Algorithms:
zip

Languages:
python

Links:
https://github.com/top-gg/python-sdk
https://github.com/editor-syntax
https://github.com/top-gg
https://github.com/top-gg/python-sdk/commit/ecb87731286d72c8b8172db9671f74bd42c6c534

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная мысль текста заключается в том, что опасная команда аналитик кибер-разведки в Checkmarx исследования обнаружили изощренную кампанию нападения цепочке поставок программного обеспечения, используя различные тактики, методов и процедур (ТПД) для использования нескольких пострадавших, в том числе верхней.организация на GitHub GG и индивидуальные застройщики. Злоумышленники использовали захват учетной записи, внедрение вредоносного кода, поддельные настройки зеркал Python и публикацию вредоносных пакетов в реестре PyPI. Злоумышленники использовали соблазнительные описания инструментов с открытым исходным кодом, чтобы заманить жертв, распространяли вредоносные зависимости, захватывали учетные записи GitHub, использовали тактику социальной инженерии и использовали методы опечатывания. Вредоносные действия включали в себя эксфильтрацию данных, сокрытие и выполнение вредоносного кода с использованием различных методов, а также возможности кражи данных, такие как кейлоггинг, для получения конфиденциальной информации от жертв. Кампания подчеркивает важность постоянного мониторинга, сотрудничества и обмена информацией в сообществе кибербезопасности для борьбы с подобными угрозами в цепочке поставок программного обеспечения.
-----

Исследовательская группа Checkmarx раскрыла сложную кампанию атак, нацеленную на цепочку поставок программного обеспечения, в результате чего было успешно использовано множество жертв, включая Top.gg Организацию GitHub и отдельных разработчиков.

Злоумышленники использовали различные тактики, методы и процедуры (TTP), такие как захват учетной записи с помощью украденных файлов cookie браузера, внесение вредоносного кода с проверенными коммитами, настройка поддельного зеркала Python и публикация вредоносных пакетов в реестре PyPI.

Для заманивания жертв использовались вредоносные инструменты с открытым исходным кодом и заманчивыми описаниями, распространявшиеся в виде вредоносных зависимостей, связанных с популярными проектами GitHub и законными пакетами Python.

Атака включала методы опечатывания, перехваченные учетные записи GitHub и многоступенчатую полезную нагрузку для эксфильтрации данных в инфраструктуру злоумышленника.

Вредоносная программа обладала широкими возможностями для кражи данных, нацеливаясь на веб-браузеры, данные Discord, криптовалютные кошельки, сеансы Telegram, компьютерные файлы и данные Instagram с помощью компонента кейлоггинга, фиксирующего нажатия клавиш.

Кампания продемонстрировала передовые методы распространения вредоносного ПО через надежные платформы, такие как PyPI и GitHub.

Ключевые даты на временной шкале атаки включают регистрацию доменов, добавление вредоносных пакетов в PyPI пользователем "felpes", компрометацию учетной записи GitHub и регистрацию доменов с опечатками для расширения инфраструктуры распространения вредоносного ПО.

Постоянный мониторинг, сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для борьбы с такими угрозами.

#ParsedReport #CompletenessHigh
22-03-2024

Bringing Access Back Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect. Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect

https://www.mandiant.com/resources/blog/initial-access-brokers-exploit-f5-screenconnect

Report completeness: High

Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)

Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goreverse
Netcat_tool
Fscan_tool
Goheavy_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Metasploit_tool
Credential_dumping_technique

Victims:
U.s. defense contractor, Uk government entities, Institutions in asia, Southeast asian and u.s. research and education institutions, Hong kong businesses, Charities, Non-governmental organizations (ngos), U.s. and uk government organizations, Prominent universities in the u.s., Oceania, have more...

Industry:
Education, Government, Military, Ngo

Geo:
Taiwan, Asia, Chinese, Asian, Oceania, China, Canada

CVEs:
CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.3.3, 8.0.3, 8.1.0, 8.2.0, have more...)
- atlassian confluence server (<8.3.3, 8.2.3, 8.0.3, 8.0.1, 8.0.0, have more...)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<7.19.16, 5.7.6, 6.12.1, have more...)

CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2022-3052 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.52)
- google linux and chrome os (-)
- fedoraproject fedora (37)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.1.5, 13.1.1, 13.1.3, 13.1.5, have more...)


TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 1
IP: 5
Url: 4
Hash: 7

Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, MacOS, Unix

Algorithms:
xor, md5, sha256, base64

Languages:
visual_basic, golang

Links:
https://github.com/Chocapikk/CVE-2023-22515

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание исполнителя киберугроз UNC5174, действующего из Китая и использующего личность "Утеус", который перешел из хактивистских коллективов в качестве подрядчика Министерства государственной безопасности Китая (MSS). UNC5174 участвует в использовании различных уязвимостей, проведении агрессивных атак и вторжений, а также продаже доступа организациям, особенно в академическом, неправительственном и правительственном секторах. Действия злоумышленника демонстрируют систематическое сосредоточение внимания на стратегических целях, представляющих интерес для Китая, использование как пользовательских, так и общедоступных эксплойтов и сотрудничество с другими участниками угроз в рамках платформы MSS initial access broker для нацеливания на значимые глобальные организации.
-----

Инцидент с участием злоумышленника, известного как UNC5174, предположительно действующего из Китая и использующего личность "Утеус", был впервые обнаружен в ходе расследования вторжения в конце октября 2023 года компанией Mandiant. Было замечено, что этот субъект использует новую уязвимость N-day, затрагивающую пользовательский интерфейс управления трафиком F5 BIG-IP (CVE-2023-46747). Впоследствии, в феврале 2024 года, UNC5174 воспользовался уязвимостью Connectwise ScreenConnect (CVE-2024-1709). Mandiant со средней степенью уверенности оценил, что инструменты и фреймворки, использованные в этих инцидентах, были уникальными для UNC5174 и указывали на субъекта угрозы из Китайской Народной Республики (КНР).

UNC5174, ранее ассоциировавшийся с такими хактивистскими коллективами, как "Dawn Calvary" и "Genesis Day", перешел на работу в качестве подрядчика Министерства государственной безопасности Китая (MSS), в первую очередь сосредоточившись на выполнении операций доступа. Было замечено, что актер пытался продать доступ к различным организациям, включая технику оборонных подрядчиков США, правительственные структуры Великобритании и учреждения в Азии. UNC5174 был связан с агрессивным преследованием и вторжениями в исследовательские и образовательные учреждения, предприятия в Гонконге, НПО, а также правительственные организации в США и Великобритании.

Во время своей работы UNC5174 использовал несколько уязвимостей, включая F5 BIG-IP, Connectwise ScreenConnect, Atlassian Confluence, ядро Linux и брандмауэр Zyxel, среди прочих. Актер продемонстрировал обширную разведку, агрессивное сканирование уязвимостей и нацеливание на известные университеты и аналитические центры в различных регионах. Также было замечено использование таких инструментов, как SNOWLIGHT и GOREVERSE, а также коммуникационных платформ, таких как SUPERSHELL, GOHEAVY и других инструментов red teaming.

Деятельность UNC5174 носит систематический характер и направлена на достижение доступа к стратегическим целям, представляющим интерес для КНР, таким как академический сектор, НПО и государственный сектор. Злоумышленник использует как пользовательские, так и общедоступные эксплойты для нацеливания на широко распространенные периферийные устройства, такие как F5 BIG-IP и ScreenConnect. Взаимосвязанность операций UNC5174 с другими субъектами угроз, такими как UNC302, в рамках системы MSS initial access broker указывает на скоординированные усилия по нацеливанию на значимые глобальные организации.

В сообщении на форуме от 21 февраля 2024 года актер "Uteus" заявил об успешном использовании уязвимости Connectwise ScreenConnect в экземплярах, принадлежащих многочисленным организациям по всему миру, в первую очередь в США и Канаде. Mandiant подтвердил компрометацию в нескольких экземплярах ScreenConnect и наличие неавторизованных пользователей, добавленных UNC5174. Принадлежность актера к коллективам хактивистов до перехода к подрядчику MSS, а также их сосредоточенность на операциях доступа и посредничестве в скомпрометированных средах свидетельствуют о меняющемся ландшафте угроз в кибершпионаже.

#ParsedReport #CompletenessLow
25-03-2024

APT-C-09. 1. Analysis of attack activities

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247495954&idx=1&sn=d1b69cdc1465a9c0c033fe88e5c9ce51&chksm=f9c1c21bceb64b0df4cf0b45696c0b39cf5ef6f452265c755d6b6edd4deae4afe0b529fd9660&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Victims:
Palestinian federal tax office

Geo:
Asian, Pakistan, Palestinian

ChatGPT TTPs:
do not use without manual check
T1566, T1021.002, T1053.005, T1041, T1573.001, T1568.002, T1112, T1027

IOCs:
Hash: 2
Url: 3
File: 3

Algorithms:
md5, rc4, aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании кибератаки, осуществленной организацией Mahagrass, также известной как APT-C-09, нацеленной на Пакистан и соседние страны. Анализ охватывает методы атак, методы шифрования, профиль организации, анализ полезной нагрузки и информацию о фишинговых файлах, связанных с Mahagrass, подчеркивая необходимость того, чтобы аналитики безопасности отслеживали текущие и эволюционирующие угрозы, исходящие от этой группы APT, и эффективно реагировали на них.
-----

В проанализированном тексте освещается кибератака, приписываемая организации Mahagrass, также известной как APT-C-09 (Mahaca) или White Elephant, Patchwork и Dropping Elephant. Эта группа APT, имеющая опыт работы в странах Южной Азии, активна с 2013 года и последовательно нацелена на Пакистан и соседние страны. Методы атак, наблюдаемые в проанализированной выборке, напоминают предыдущие действия группы Mahagrass.

Основные выводы, сделанные в результате анализа, включают:.

**Методы атаки:** Атака предполагает использование вредоносных параметров lnk, аналогичных предыдущим атакам Mahagrass на Mokocao. Злоумышленники загружают документы-приманки и вредоносную полезную нагрузку с удаленного сервера и устанавливают запланированные задачи для сохранения. Примечательно, что URL-адреса, используемые для загрузки контента, содержат определенную строку "b-cdn.net". Подпись "RUNSWITHSCISSORS LTD", содержащаяся в вредоносной полезной нагрузке, была ранее идентифицирована в действиях Mahagrass.

**Методы шифрования:** Значение IV в алгоритме AES, используемом в вредоносной полезной нагрузке, соответствует значению из предыдущего анализа, связанного с Махараштрой. Формат URL для загрузки данных также соответствует прошлым действиям. Использование алгоритма RC4 с определенной схемой перекрытия ключей было распространено в предыдущих операциях Mokocao. Пример адреса загрузки в Пакистане соответствует историческому таргетингу Mahagrass на такие организации, как Федеральное налоговое управление Палестины.

** Профиль организации:** APT-C-09 (Mahagrass) имеет многолетнюю историю атак на Пакистан и соседние страны, сосредоточив внимание на краже конфиденциальной информации. Организация продемонстрировала непрерывную эволюцию, включив полезные бэкдоры, написанные на C#, в последний образец атаки. Это свидетельствует о стремлении расширить технические возможности для обхода мер сетевой безопасности.

**Анализ полезной нагрузки: ** Полезные нагрузки бэкдора C#, обнаруженные в ходе недавней атаки, считаются относительно простыми по функциональности. Однако ожидается, что злоумышленник расширит функциональность кода в будущих атаках. Постоянный мониторинг усилий Mahagrass по созданию оружия имеет решающее значение для точного понимания потенциальных угроз.

** Информация о фишинговых файлах:** Фишинговые файлы, используемые в атаке, загружают файлы-приманки и вредоносную полезную нагрузку с определенных URL-адресов, в конечном итоге обеспечивая постоянство с помощью запланированных задач. Вредоносная полезная нагрузка собирает и шифрует различную системную информацию, включая MAC-адрес, имя хоста, выполненные команды и результаты, перед отправкой их обратно на сервер управления (C2) с использованием метода POST.

Изучая технические индикаторы, схемы атак и историческое поведение Mahagrass, аналитики безопасности могут выявлять текущие и будущие угрозы, исходящие от этой постоянной группы APT, и эффективно реагировать на них. Использование сложных алгоритмов шифрования, эволюционирующие методы атак и стратегическое нацеливание на чувствительные объекты подчеркивают необходимость принятия надежных мер кибербезопасности для снижения рисков, связанных со вредоносной деятельностью Mahagrass. Следите за любыми обновлениями или модификациями инструментов и тактики атак организации.

#ParsedReport #CompletenessMedium
25-03-2024

China-linked Threats to Operational Technology

https://www.reliaquest.com/blog/china-linked-threats-to-operational-technology

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon
Blacktech
Apt31
Emissary_panda (motivation: cyber_espionage)

Threats:
Chargeweapon
Cobalt_strike
Hyperbro
Cobra
Spear-phishing_technique
Fourteenhi
Meatball
Winrm_tool
Shadow_copies_delete_technique
Ntdsutil_tool
Byovd_technique

Victims:
Us critical infrastructure organizations, Semiconductor companies, International subsidiaries, Industrial organizations

Industry:
Energy, Military, Government, Ics, Semiconductor_industry, Financial

Geo:
China, Chinese, Japanese, Singapore, Japan, Taiwan

TTPs:

IOCs:
File: 4

Soft:
Windows Defender, Ivanti, PSExec

Algorithms:
ecc, base64, xor, rc4

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе угрозы, исходящей от китайских группировок advanced persistent threat (APT), нацеленных на операционные технологии (OT) и критическую инфраструктуру с помощью изощренной тактики для извлечения ценной информации и потенциального нарушения работы систем. В отчете освещаются конкретные кибератаки, проведенные APT27, APT31, BlackTech и Volt Typhoon, подчеркиваются стратегические интересы Китая и необходимость усиления организациями мер кибербезопасности для защиты от этих угроз.
-----

В этом отчете анализируется угроза, исходящая от китайских групп продвинутых постоянных угроз (APT) в области операционных технологий (OT), с акцентом на четыре ключевые кибератаки, проведенные APT27, APT31, BlackTech и Volt Typhoon за последние 12 месяцев. Ожидается, что китайские APT-группы продолжат использовать сложные тактики, такие как эксплойты нулевого дня и социальная инженерия, для нацеливания на OT и сетевые устройства с целью извлечения ценной информации и разрушения критически важной инфраструктуры.

Группа Volt Typhoon нацелилась на критически важную инфраструктуру США, используя ботнет и бэкдор ChargeWeapon в среде OT. Группа поддерживала постоянство с помощью бэкдоров маршрутизаторов и стремилась нарушить функции OT в различных секторах, используя многоступенчатые прокси-серверы для инфраструктуры командования и контроля. APT31 нацелился на системы с воздушным зазором в Восточной Европе, используя множество бэкдоров для установления постоянного удаленного доступа и эксфильтрации конфиденциальной информации с помощью Yandex Cloud for C2.

Сообщалось, что BlackTech незаметно модифицировала прошивку маршрутизатора филиала для переключения между международными филиалами организаций и штаб-квартирами в Японии и США. Группа нацелилась на сектора, сильно зависящие от OT, посредством фишинговых электронных писем, содержащих вложения с бэкдорами, с целью сбора конфиденциальных данных. APT27 нацелился на полупроводниковые компании в Гонконге, Сингапуре и Тайване в рамках кампании кибершпионажа, используя бэкдор ChargeWeapon для удаленного доступа и утечки данных.

Кроме того, в докладе подчеркиваются стратегические интересы Китая, такие как инициативы "Пояс и путь" и "Сделано в Китае 2025", которые увеличили потребность страны в информации. Китайские группы APT играют важную роль в проведении операций по кибершпионажу и сбору разведданных для поддержки стратегических целей Китая и потенциального подрыва критически важной инфраструктуры в случае конфликта с США или их союзниками.

В анализе подчеркивается важность внедрения правил обнаружения и ключевых рекомендаций по снижению TTP, задействованных в этих атаках. Рекомендации включают предотвращение удаленного выполнения процессов с помощью таких методов, как WMI/PsExec в защитнике Windows, и внедрение более жесткого контроля доступа к критически важным ресурсам, требующим протокола удаленного рабочего стола (RDP). Организациям, использующим или планирующим внедрить OT в свою инфраструктуру, рекомендуется предпринимать активные шаги по укреплению своей системы кибербезопасности против потенциальных угроз со стороны китайских APT-групп.

В отчете также обсуждаются проблемы, связанные с приписыванием китайской деятельности APT из-за сотрудничества между различными группами угроз, что приводит к дублированию TTP и наборов инструментов. Предполагается, что китайские участники угроз продолжат использовать передовые тактики и сохранять настойчивость для достижения своих целей, согласующихся с более широкими стратегическими интересами Коммунистической партии Китая. По мере роста геополитической напряженности китайские участники угроз, вероятно, усилят свое внимание к атакам на устройства и сети OT, подчеркивая необходимость усиления мер кибербезопасности для защиты от потенциальных киберугроз.

#cyberthreattech #passleak

Мы официально объявили о тех партнерстве с командой PassLeak.

PassLeak - крутой стартап, собирают утечки из Dark-а а еще, что очень круто, парсят тонны логов стиллеров.
Т.е. если вы нашли себя в их базе, то, скорее всего, надо искать заразу в своей инфре.

С точки зрения TI, партнерство позволяет нам получить доступ к огромному массиву данных, собранных со стиллеров и использовать это в фидах и механизмах обогащения и скоринга.

https://cisoclub.ru/tehnologii-kiberugroz-brend-rst-cloud-russia-i-passleak-objavili-o-tehnologicheskom-partnerstve/

Заявку на пилот можно оставить у ребят на сайте [тык], либо написать мне в личку.

#ParsedReport #CompletenessLow
26-03-2024

The Darkside of TheMoon

https://blog.lumen.com/the-darkside-of-themoon

Report completeness: Low

Threats:
Moon_botnet
Faceless_tool
Solarmarker
Icedid
Residential_proxy_technique
Acunetix_tool
Password_spray_technique

Victims:
Asus routers, Iot devices, Soho routers, Network attached storage devices, D-link cameras

Industry:
Telco, Iot

ChatGPT TTPs:
do not use without manual check
T1583.001, T1584.002, T1588.002, T1190, T1046, T1071.001, T1571, T1027, T1090, T1583, have more...

IOCs:
IP: 3

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Moon\_Faceless\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, table: 1, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Команда Black Lotus Labs в Lumen Technologies раскрыла сложную кампанию по борьбе с киберпреступностью, в которой использовалась вредоносная программа "TheMoon", нацеленная на маршрутизаторы с истекшим сроком службы и устройства Интернета вещей, чтобы стимулировать рост безликого прокси-сервиса, используемого киберпреступниками. Анализ выявил процесс развертывания, сильную корреляцию между TheMoon и Faceless, влияние на безопасность глобальной сети и упреждающие меры, принятые Lumen для нарушения работы и обмена показателями компрометации с сообществом безопасности.
-----

Лаборатории Black Lotus обнаружили многолетнюю кампанию киберпреступности, направленную против устаревших маршрутизаторов и устройств Интернета вещей с использованием обновленной версии вредоносного ПО "TheMoon".

У TheMoon более 40 000 ботов в 88 странах, причем большинство из них служат основой для сервиса Faceless proxy.

Faceless способствует преступной деятельности и использовался операторами ботнетов, такими как SolarMarker и IcedID.

Развертывание вредоносного ПО включает в себя ряд этапов, при этом полезные нагрузки облегчают распространение, прокси-трафик и связь с инфраструктурой Faceless C2.

Существует сильная корреляция между ботами TheMoon и Faceless, со значительным совпадением кластеров активности.

Faceless позволяет пользователям маскировать подключения и представляться законными конечными пользователями интернет-провайдера, работая без проверки KYC и принимая платежи только через криптовалюты.

Скомпрометированные устройства Интернета вещей, питающие Faceless, часто являются неподдерживаемыми устройствами с истекшим сроком службы, что со временем повышает их уязвимость.

Безликие боты, расположенные в основном в США, представляют значительную угрозу для американских учетных записей и организаций, вероятно, сосредоточившись на распределении паролей и утечке данных в финансовом секторе.

Преступники подключают зараженные устройства к прокси-сервисам для анонимизации действий, сигнализируя об отходе от традиционных инструментов, таких как VPN.

Компания Lumen Technologies предприняла действия по блокированию трафика, связанного с TheMoon и Faceless, поделившись IOCs с сообществом безопасности для усиления усилий по кибербезопасности и продолжения мониторинга крупномасштабных ботнетов для защиты от возникающих угроз.