#ParsedReport #CompletenessMedium
25-03-2024

Over 170K Users Affected by Attack Using Fake Python Infrastructure

https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Top.gg github organization, Several individual developers, Top.gg contributor, Python developers

Geo:
Japanese, Chinese

ChatGPT TTPs:
do not use without manual check
T1199, T1550, T1195, T1587, T1595, T1204, T1566, T1547, T1027, T1059, have more...

IOCs:
Domain: 3
File: 2
Url: 6
IP: 3
Hash: 3

Soft:
Discord, Windows registry, Opera, Chrome, Vivaldi, Telegram, Instagram

Algorithms:
zip

Languages:
python

Links:
https://github.com/top-gg/python-sdk
https://github.com/editor-syntax
https://github.com/top-gg
https://github.com/top-gg/python-sdk/commit/ecb87731286d72c8b8172db9671f74bd42c6c534

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная мысль текста заключается в том, что опасная команда аналитик кибер-разведки в Checkmarx исследования обнаружили изощренную кампанию нападения цепочке поставок программного обеспечения, используя различные тактики, методов и процедур (ТПД) для использования нескольких пострадавших, в том числе верхней.организация на GitHub GG и индивидуальные застройщики. Злоумышленники использовали захват учетной записи, внедрение вредоносного кода, поддельные настройки зеркал Python и публикацию вредоносных пакетов в реестре PyPI. Злоумышленники использовали соблазнительные описания инструментов с открытым исходным кодом, чтобы заманить жертв, распространяли вредоносные зависимости, захватывали учетные записи GitHub, использовали тактику социальной инженерии и использовали методы опечатывания. Вредоносные действия включали в себя эксфильтрацию данных, сокрытие и выполнение вредоносного кода с использованием различных методов, а также возможности кражи данных, такие как кейлоггинг, для получения конфиденциальной информации от жертв. Кампания подчеркивает важность постоянного мониторинга, сотрудничества и обмена информацией в сообществе кибербезопасности для борьбы с подобными угрозами в цепочке поставок программного обеспечения.
-----

Исследовательская группа Checkmarx раскрыла сложную кампанию атак, нацеленную на цепочку поставок программного обеспечения, в результате чего было успешно использовано множество жертв, включая Top.gg Организацию GitHub и отдельных разработчиков.

Злоумышленники использовали различные тактики, методы и процедуры (TTP), такие как захват учетной записи с помощью украденных файлов cookie браузера, внесение вредоносного кода с проверенными коммитами, настройка поддельного зеркала Python и публикация вредоносных пакетов в реестре PyPI.

Для заманивания жертв использовались вредоносные инструменты с открытым исходным кодом и заманчивыми описаниями, распространявшиеся в виде вредоносных зависимостей, связанных с популярными проектами GitHub и законными пакетами Python.

Атака включала методы опечатывания, перехваченные учетные записи GitHub и многоступенчатую полезную нагрузку для эксфильтрации данных в инфраструктуру злоумышленника.

Вредоносная программа обладала широкими возможностями для кражи данных, нацеливаясь на веб-браузеры, данные Discord, криптовалютные кошельки, сеансы Telegram, компьютерные файлы и данные Instagram с помощью компонента кейлоггинга, фиксирующего нажатия клавиш.

Кампания продемонстрировала передовые методы распространения вредоносного ПО через надежные платформы, такие как PyPI и GitHub.

Ключевые даты на временной шкале атаки включают регистрацию доменов, добавление вредоносных пакетов в PyPI пользователем "felpes", компрометацию учетной записи GitHub и регистрацию доменов с опечатками для расширения инфраструктуры распространения вредоносного ПО.

Постоянный мониторинг, сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для борьбы с такими угрозами.

#ParsedReport #CompletenessHigh
22-03-2024

Bringing Access Back Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect. Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect

https://www.mandiant.com/resources/blog/initial-access-brokers-exploit-f5-screenconnect

Report completeness: High

Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)

Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goreverse
Netcat_tool
Fscan_tool
Goheavy_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Metasploit_tool
Credential_dumping_technique

Victims:
U.s. defense contractor, Uk government entities, Institutions in asia, Southeast asian and u.s. research and education institutions, Hong kong businesses, Charities, Non-governmental organizations (ngos), U.s. and uk government organizations, Prominent universities in the u.s., Oceania, have more...

Industry:
Education, Government, Military, Ngo

Geo:
Taiwan, Asia, Chinese, Asian, Oceania, China, Canada

CVEs:
CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.3.3, 8.0.3, 8.1.0, 8.2.0, have more...)
- atlassian confluence server (<8.3.3, 8.2.3, 8.0.3, 8.0.1, 8.0.0, have more...)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<7.19.16, 5.7.6, 6.12.1, have more...)

CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2022-3052 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.52)
- google linux and chrome os (-)
- fedoraproject fedora (37)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.1.5, 13.1.1, 13.1.3, 13.1.5, have more...)


TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 1
IP: 5
Url: 4
Hash: 7

Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, MacOS, Unix

Algorithms:
xor, md5, sha256, base64

Languages:
visual_basic, golang

Links:
https://github.com/Chocapikk/CVE-2023-22515

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание исполнителя киберугроз UNC5174, действующего из Китая и использующего личность "Утеус", который перешел из хактивистских коллективов в качестве подрядчика Министерства государственной безопасности Китая (MSS). UNC5174 участвует в использовании различных уязвимостей, проведении агрессивных атак и вторжений, а также продаже доступа организациям, особенно в академическом, неправительственном и правительственном секторах. Действия злоумышленника демонстрируют систематическое сосредоточение внимания на стратегических целях, представляющих интерес для Китая, использование как пользовательских, так и общедоступных эксплойтов и сотрудничество с другими участниками угроз в рамках платформы MSS initial access broker для нацеливания на значимые глобальные организации.
-----

Инцидент с участием злоумышленника, известного как UNC5174, предположительно действующего из Китая и использующего личность "Утеус", был впервые обнаружен в ходе расследования вторжения в конце октября 2023 года компанией Mandiant. Было замечено, что этот субъект использует новую уязвимость N-day, затрагивающую пользовательский интерфейс управления трафиком F5 BIG-IP (CVE-2023-46747). Впоследствии, в феврале 2024 года, UNC5174 воспользовался уязвимостью Connectwise ScreenConnect (CVE-2024-1709). Mandiant со средней степенью уверенности оценил, что инструменты и фреймворки, использованные в этих инцидентах, были уникальными для UNC5174 и указывали на субъекта угрозы из Китайской Народной Республики (КНР).

UNC5174, ранее ассоциировавшийся с такими хактивистскими коллективами, как "Dawn Calvary" и "Genesis Day", перешел на работу в качестве подрядчика Министерства государственной безопасности Китая (MSS), в первую очередь сосредоточившись на выполнении операций доступа. Было замечено, что актер пытался продать доступ к различным организациям, включая технику оборонных подрядчиков США, правительственные структуры Великобритании и учреждения в Азии. UNC5174 был связан с агрессивным преследованием и вторжениями в исследовательские и образовательные учреждения, предприятия в Гонконге, НПО, а также правительственные организации в США и Великобритании.

Во время своей работы UNC5174 использовал несколько уязвимостей, включая F5 BIG-IP, Connectwise ScreenConnect, Atlassian Confluence, ядро Linux и брандмауэр Zyxel, среди прочих. Актер продемонстрировал обширную разведку, агрессивное сканирование уязвимостей и нацеливание на известные университеты и аналитические центры в различных регионах. Также было замечено использование таких инструментов, как SNOWLIGHT и GOREVERSE, а также коммуникационных платформ, таких как SUPERSHELL, GOHEAVY и других инструментов red teaming.

Деятельность UNC5174 носит систематический характер и направлена на достижение доступа к стратегическим целям, представляющим интерес для КНР, таким как академический сектор, НПО и государственный сектор. Злоумышленник использует как пользовательские, так и общедоступные эксплойты для нацеливания на широко распространенные периферийные устройства, такие как F5 BIG-IP и ScreenConnect. Взаимосвязанность операций UNC5174 с другими субъектами угроз, такими как UNC302, в рамках системы MSS initial access broker указывает на скоординированные усилия по нацеливанию на значимые глобальные организации.

В сообщении на форуме от 21 февраля 2024 года актер "Uteus" заявил об успешном использовании уязвимости Connectwise ScreenConnect в экземплярах, принадлежащих многочисленным организациям по всему миру, в первую очередь в США и Канаде. Mandiant подтвердил компрометацию в нескольких экземплярах ScreenConnect и наличие неавторизованных пользователей, добавленных UNC5174. Принадлежность актера к коллективам хактивистов до перехода к подрядчику MSS, а также их сосредоточенность на операциях доступа и посредничестве в скомпрометированных средах свидетельствуют о меняющемся ландшафте угроз в кибершпионаже.

#ParsedReport #CompletenessLow
25-03-2024

APT-C-09. 1. Analysis of attack activities

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247495954&idx=1&sn=d1b69cdc1465a9c0c033fe88e5c9ce51&chksm=f9c1c21bceb64b0df4cf0b45696c0b39cf5ef6f452265c755d6b6edd4deae4afe0b529fd9660&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Victims:
Palestinian federal tax office

Geo:
Asian, Pakistan, Palestinian

ChatGPT TTPs:
do not use without manual check
T1566, T1021.002, T1053.005, T1041, T1573.001, T1568.002, T1112, T1027

IOCs:
Hash: 2
Url: 3
File: 3

Algorithms:
md5, rc4, aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании кибератаки, осуществленной организацией Mahagrass, также известной как APT-C-09, нацеленной на Пакистан и соседние страны. Анализ охватывает методы атак, методы шифрования, профиль организации, анализ полезной нагрузки и информацию о фишинговых файлах, связанных с Mahagrass, подчеркивая необходимость того, чтобы аналитики безопасности отслеживали текущие и эволюционирующие угрозы, исходящие от этой группы APT, и эффективно реагировали на них.
-----

В проанализированном тексте освещается кибератака, приписываемая организации Mahagrass, также известной как APT-C-09 (Mahaca) или White Elephant, Patchwork и Dropping Elephant. Эта группа APT, имеющая опыт работы в странах Южной Азии, активна с 2013 года и последовательно нацелена на Пакистан и соседние страны. Методы атак, наблюдаемые в проанализированной выборке, напоминают предыдущие действия группы Mahagrass.

Основные выводы, сделанные в результате анализа, включают:.

**Методы атаки:** Атака предполагает использование вредоносных параметров lnk, аналогичных предыдущим атакам Mahagrass на Mokocao. Злоумышленники загружают документы-приманки и вредоносную полезную нагрузку с удаленного сервера и устанавливают запланированные задачи для сохранения. Примечательно, что URL-адреса, используемые для загрузки контента, содержат определенную строку "b-cdn.net". Подпись "RUNSWITHSCISSORS LTD", содержащаяся в вредоносной полезной нагрузке, была ранее идентифицирована в действиях Mahagrass.

**Методы шифрования:** Значение IV в алгоритме AES, используемом в вредоносной полезной нагрузке, соответствует значению из предыдущего анализа, связанного с Махараштрой. Формат URL для загрузки данных также соответствует прошлым действиям. Использование алгоритма RC4 с определенной схемой перекрытия ключей было распространено в предыдущих операциях Mokocao. Пример адреса загрузки в Пакистане соответствует историческому таргетингу Mahagrass на такие организации, как Федеральное налоговое управление Палестины.

** Профиль организации:** APT-C-09 (Mahagrass) имеет многолетнюю историю атак на Пакистан и соседние страны, сосредоточив внимание на краже конфиденциальной информации. Организация продемонстрировала непрерывную эволюцию, включив полезные бэкдоры, написанные на C#, в последний образец атаки. Это свидетельствует о стремлении расширить технические возможности для обхода мер сетевой безопасности.

**Анализ полезной нагрузки: ** Полезные нагрузки бэкдора C#, обнаруженные в ходе недавней атаки, считаются относительно простыми по функциональности. Однако ожидается, что злоумышленник расширит функциональность кода в будущих атаках. Постоянный мониторинг усилий Mahagrass по созданию оружия имеет решающее значение для точного понимания потенциальных угроз.

** Информация о фишинговых файлах:** Фишинговые файлы, используемые в атаке, загружают файлы-приманки и вредоносную полезную нагрузку с определенных URL-адресов, в конечном итоге обеспечивая постоянство с помощью запланированных задач. Вредоносная полезная нагрузка собирает и шифрует различную системную информацию, включая MAC-адрес, имя хоста, выполненные команды и результаты, перед отправкой их обратно на сервер управления (C2) с использованием метода POST.

Изучая технические индикаторы, схемы атак и историческое поведение Mahagrass, аналитики безопасности могут выявлять текущие и будущие угрозы, исходящие от этой постоянной группы APT, и эффективно реагировать на них. Использование сложных алгоритмов шифрования, эволюционирующие методы атак и стратегическое нацеливание на чувствительные объекты подчеркивают необходимость принятия надежных мер кибербезопасности для снижения рисков, связанных со вредоносной деятельностью Mahagrass. Следите за любыми обновлениями или модификациями инструментов и тактики атак организации.

#ParsedReport #CompletenessMedium
25-03-2024

China-linked Threats to Operational Technology

https://www.reliaquest.com/blog/china-linked-threats-to-operational-technology

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon
Blacktech
Apt31
Emissary_panda (motivation: cyber_espionage)

Threats:
Chargeweapon
Cobalt_strike
Hyperbro
Cobra
Spear-phishing_technique
Fourteenhi
Meatball
Winrm_tool
Shadow_copies_delete_technique
Ntdsutil_tool
Byovd_technique

Victims:
Us critical infrastructure organizations, Semiconductor companies, International subsidiaries, Industrial organizations

Industry:
Energy, Military, Government, Ics, Semiconductor_industry, Financial

Geo:
China, Chinese, Japanese, Singapore, Japan, Taiwan

TTPs:

IOCs:
File: 4

Soft:
Windows Defender, Ivanti, PSExec

Algorithms:
ecc, base64, xor, rc4

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе угрозы, исходящей от китайских группировок advanced persistent threat (APT), нацеленных на операционные технологии (OT) и критическую инфраструктуру с помощью изощренной тактики для извлечения ценной информации и потенциального нарушения работы систем. В отчете освещаются конкретные кибератаки, проведенные APT27, APT31, BlackTech и Volt Typhoon, подчеркиваются стратегические интересы Китая и необходимость усиления организациями мер кибербезопасности для защиты от этих угроз.
-----

В этом отчете анализируется угроза, исходящая от китайских групп продвинутых постоянных угроз (APT) в области операционных технологий (OT), с акцентом на четыре ключевые кибератаки, проведенные APT27, APT31, BlackTech и Volt Typhoon за последние 12 месяцев. Ожидается, что китайские APT-группы продолжат использовать сложные тактики, такие как эксплойты нулевого дня и социальная инженерия, для нацеливания на OT и сетевые устройства с целью извлечения ценной информации и разрушения критически важной инфраструктуры.

Группа Volt Typhoon нацелилась на критически важную инфраструктуру США, используя ботнет и бэкдор ChargeWeapon в среде OT. Группа поддерживала постоянство с помощью бэкдоров маршрутизаторов и стремилась нарушить функции OT в различных секторах, используя многоступенчатые прокси-серверы для инфраструктуры командования и контроля. APT31 нацелился на системы с воздушным зазором в Восточной Европе, используя множество бэкдоров для установления постоянного удаленного доступа и эксфильтрации конфиденциальной информации с помощью Yandex Cloud for C2.

Сообщалось, что BlackTech незаметно модифицировала прошивку маршрутизатора филиала для переключения между международными филиалами организаций и штаб-квартирами в Японии и США. Группа нацелилась на сектора, сильно зависящие от OT, посредством фишинговых электронных писем, содержащих вложения с бэкдорами, с целью сбора конфиденциальных данных. APT27 нацелился на полупроводниковые компании в Гонконге, Сингапуре и Тайване в рамках кампании кибершпионажа, используя бэкдор ChargeWeapon для удаленного доступа и утечки данных.

Кроме того, в докладе подчеркиваются стратегические интересы Китая, такие как инициативы "Пояс и путь" и "Сделано в Китае 2025", которые увеличили потребность страны в информации. Китайские группы APT играют важную роль в проведении операций по кибершпионажу и сбору разведданных для поддержки стратегических целей Китая и потенциального подрыва критически важной инфраструктуры в случае конфликта с США или их союзниками.

В анализе подчеркивается важность внедрения правил обнаружения и ключевых рекомендаций по снижению TTP, задействованных в этих атаках. Рекомендации включают предотвращение удаленного выполнения процессов с помощью таких методов, как WMI/PsExec в защитнике Windows, и внедрение более жесткого контроля доступа к критически важным ресурсам, требующим протокола удаленного рабочего стола (RDP). Организациям, использующим или планирующим внедрить OT в свою инфраструктуру, рекомендуется предпринимать активные шаги по укреплению своей системы кибербезопасности против потенциальных угроз со стороны китайских APT-групп.

В отчете также обсуждаются проблемы, связанные с приписыванием китайской деятельности APT из-за сотрудничества между различными группами угроз, что приводит к дублированию TTP и наборов инструментов. Предполагается, что китайские участники угроз продолжат использовать передовые тактики и сохранять настойчивость для достижения своих целей, согласующихся с более широкими стратегическими интересами Коммунистической партии Китая. По мере роста геополитической напряженности китайские участники угроз, вероятно, усилят свое внимание к атакам на устройства и сети OT, подчеркивая необходимость усиления мер кибербезопасности для защиты от потенциальных киберугроз.

#cyberthreattech #passleak

Мы официально объявили о тех партнерстве с командой PassLeak.

PassLeak - крутой стартап, собирают утечки из Dark-а а еще, что очень круто, парсят тонны логов стиллеров.
Т.е. если вы нашли себя в их базе, то, скорее всего, надо искать заразу в своей инфре.

С точки зрения TI, партнерство позволяет нам получить доступ к огромному массиву данных, собранных со стиллеров и использовать это в фидах и механизмах обогащения и скоринга.

https://cisoclub.ru/tehnologii-kiberugroz-brend-rst-cloud-russia-i-passleak-objavili-o-tehnologicheskom-partnerstve/

Заявку на пилот можно оставить у ребят на сайте [тык], либо написать мне в личку.

#ParsedReport #CompletenessLow
26-03-2024

The Darkside of TheMoon

https://blog.lumen.com/the-darkside-of-themoon

Report completeness: Low

Threats:
Moon_botnet
Faceless_tool
Solarmarker
Icedid
Residential_proxy_technique
Acunetix_tool
Password_spray_technique

Victims:
Asus routers, Iot devices, Soho routers, Network attached storage devices, D-link cameras

Industry:
Telco, Iot

ChatGPT TTPs:
do not use without manual check
T1583.001, T1584.002, T1588.002, T1190, T1046, T1071.001, T1571, T1027, T1090, T1583, have more...

IOCs:
IP: 3

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Moon\_Faceless\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, table: 1, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Команда Black Lotus Labs в Lumen Technologies раскрыла сложную кампанию по борьбе с киберпреступностью, в которой использовалась вредоносная программа "TheMoon", нацеленная на маршрутизаторы с истекшим сроком службы и устройства Интернета вещей, чтобы стимулировать рост безликого прокси-сервиса, используемого киберпреступниками. Анализ выявил процесс развертывания, сильную корреляцию между TheMoon и Faceless, влияние на безопасность глобальной сети и упреждающие меры, принятые Lumen для нарушения работы и обмена показателями компрометации с сообществом безопасности.
-----

Лаборатории Black Lotus обнаружили многолетнюю кампанию киберпреступности, направленную против устаревших маршрутизаторов и устройств Интернета вещей с использованием обновленной версии вредоносного ПО "TheMoon".

У TheMoon более 40 000 ботов в 88 странах, причем большинство из них служат основой для сервиса Faceless proxy.

Faceless способствует преступной деятельности и использовался операторами ботнетов, такими как SolarMarker и IcedID.

Развертывание вредоносного ПО включает в себя ряд этапов, при этом полезные нагрузки облегчают распространение, прокси-трафик и связь с инфраструктурой Faceless C2.

Существует сильная корреляция между ботами TheMoon и Faceless, со значительным совпадением кластеров активности.

Faceless позволяет пользователям маскировать подключения и представляться законными конечными пользователями интернет-провайдера, работая без проверки KYC и принимая платежи только через криптовалюты.

Скомпрометированные устройства Интернета вещей, питающие Faceless, часто являются неподдерживаемыми устройствами с истекшим сроком службы, что со временем повышает их уязвимость.

Безликие боты, расположенные в основном в США, представляют значительную угрозу для американских учетных записей и организаций, вероятно, сосредоточившись на распределении паролей и утечке данных в финансовом секторе.

Преступники подключают зараженные устройства к прокси-сервисам для анонимизации действий, сигнализируя об отходе от традиционных инструментов, таких как VPN.

Компания Lumen Technologies предприняла действия по блокированию трафика, связанного с TheMoon и Faceless, поделившись IOCs с сообществом безопасности для усиления усилий по кибербезопасности и продолжения мониторинга крупномасштабных ботнетов для защиты от возникающих угроз.

#ParsedReport #CompletenessMedium
26-03-2024

APT-C-43Machete. APT-C-43 (Machete) organization suspected of evolving into more diversified

https://www.ctfiot.com/169674.html

Report completeness: Medium

Actors/Campaigns:
Machete (motivation: information_theft)

Threats:
Spear-phishing_technique

Industry:
Military

Geo:
Turkish, Korean, America

CVEs:
CVE-2017-8570 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1027, T1547, T1112, T1574, T1059, T1020, T1210, have more...

IOCs:
IP: 1
Hash: 139
File: 4

Soft:
WeChat, Roblox, discord, Telegram

Algorithms:
md5, base64

Languages:
visual_basic, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1