#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Группа киберугроз, известная как TA558, активно проводит сложные фишинговые кампании, нацеленные на различные отрасли в Латинской Америке и по всему миру. Группа использует передовые вредоносные программы, такие как Venom RAT, для проникновения в сети, преуспевает в создании убедительных фишинговых электронных писем и внедряет ряд полезных вредоносных программ, таких как банковские трояны и программы-вымогатели. TA558 постоянно совершенствует свою тактику, сотрудничает с другими группами участников угроз и демонстрирует устойчивость, несмотря на попытки помешать его деятельности. Усиление мер кибербезопасности и сотрудничество имеют решающее значение для защиты от этих современных киберугроз.
-----

Известный злоумышленник TA558 возглавляет новую волну киберугроз в Латинской Америке с помощью изощренных фишинговых кампаний, нацеленных на различные отрасли промышленности.

Киберпреступная группа внедряет вредоносную программу Venom RAT для проникновения в сети, а также другие вредоносные программы, такие как Loda RAT, Vjw0rm и Revenge RAT.

TA558 отлично справляется с созданием убедительных фишинговых электронных писем, имитирующих доверенные организации, чтобы обмануть получателей, и имеет опыт проведения атак в регионе ЛАТАМ, по крайней мере, с 2018 года.

Группа нацелена на отрасли, охватывающие финансовый сектор, государственное управление, здравоохранение и важнейшие сектора инфраструктуры по всему миру, демонстрируя устойчивость к попыткам кибербезопасности нарушить их деятельность.

С течением времени они развивали тактику, включая использование наборов, использование законных сервисов в злонамеренных целях, использование методов социальной инженерии и сотрудничество с другими группами участников угроз и подпольными форумами.

Недавние результаты исследований показали, что TA558 использует фишинговые электронные письма для распространения "Ядовитой КРЫСЫ", а вредоносная реклама является излюбленным инструментом злоумышленников, таких как ScamClub.

Группы программ-вымогателей, такие как DarkGate, стремятся закрепиться в корпоративных сетях для распространения вредоносного ПО и утечки данных, в первую очередь в США, но затрагивая и другие страны, такие как Канада, Великобритания, Германия и Малайзия.

Подчеркивается важность того, чтобы организации уделяли приоритетное внимание соблюдению правил кибербезопасности, обучению сотрудников, протоколам защиты электронной почты и активному обмену информацией об угрозах для защиты от киберпреступников в Латинской Америке и во всем мире.

#ParsedReport #CompletenessLow
05-04-2024

North Korea s Post-Infection Python Payloads

https://norfolkinfosec.com/north-koreas-post-infection-python-payloads

Report completeness: Low

Threats:
Anydesk_tool

Geo:
Bangladesh, Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1204, T1059, T1505, T1555, T1132, T1105, T1071, T1083, T1021, have more...

IOCs:
File: 3
Hash: 3
Domain: 1

Soft:
Mac OS, Chrome, Opera

Algorithms:
sha256

Functions:
download_payload, download_browse

Languages:
javascript, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании серии вредоносных скриптов на Python, содержащихся в пакете node с именем Frontend.zip, с выделением различных компонентов, используемых злоумышленником для выполнения вредоносных действий в скомпрометированных системах. В ходе анализа, среди прочего, выявляются ключевые файлы, такие как Main_campaignID.py, Brow_campaignID.py, Pay_campaignID.py, Any_campaignID.py, каждый из которых выполняет определенные функции в рамках инструментария субъекта угроз. Эти скрипты предназначены для таких действий, как инициирование атак, кража данных браузера, создание бэкдора, загрузка вредоносных программ и получение доступа к клиенту AnyDesk. В тексте также обсуждается тактика, применяемая злоумышленниками, и делается предположение о сохраняющейся распространенности развертывания пакетов вредоносных узлов в качестве излюбленного метода борьбы с киберугрозами.
-----

Вредоносный пакет node с именем Frontend.zip был загружен на сайт VirusTotal пользователем из Бангладеш 28 марта. Этот пакет содержит вредоносные файлы, которые служат основой для действий злоумышленника. Одним из ключевых файлов, обнаруженных в системе Frontend.zip, является Main_campaignID.py, который отвечает за запуск последующих этапов атаки. Другой файл, Brow_campaignID.py, был идентифицирован как модуль для кражи браузера, который был загружен в VirusTotal по электронной почте в тот же день.

Кроме того, анализ показал Pay_campaignID.py , вредоносный скрипт на Python, содержащий основные функциональные возможности для бэкдора. Pay_campaignID.py был загружен в VirusTotal на два дня раньше других файлов, 26 марта. Скрипт предназначен для выполнения различных вредоносных действий в скомпрометированной системе.

Скрипт Any_campaignID.py служит инструментом для загрузки и установки клиента AnyDesk, который можно получить с помощью Pay_campaignID.py. Это указывает на цепочку зависимостей в инструментарии threat actor's toolkit.

Кроме того, был идентифицирован скрипт Main.py, содержащий функции для загрузки вредоносных программ и компонент для кражи данных из браузера. После выполнения этот скрипт создает файлы в каталоге с именем .n2, который, вероятно, служит местом хранения загруженных вредоносных данных.

Скрипт Brow.py, специально разработанный для кражи данных браузера, включает в себя функции, предназначенные для извлечения информации из локальных баз данных различных веб-браузеров. Этот компонент играет решающую роль в сборе конфиденциальной информации из системы жертвы.

Другим ключевым компонентом в арсенале злоумышленника является Pay.py скрипт. Этот скрипт включает в себя компонент сортировки, который собирает системную информацию, и компонент бэкдора, который устанавливает соединение с сервером управления (C2). Функциональность бэкдора позволяет злоумышленнику удаленно управлять взломанной системой и выполнять ряд вредоносных команд. Эти команды включают в себя завершение процессов в браузере, выполнение инструкций командной строки, загрузку файлов на сервер C2, получение данных кейлоггера и загрузку клиента AnyDesk.

Скрипт Any.py отвечает за получение клиента AnyDesk с сервера C2 и сохранение его в корневом каталоге пользователя. Важно отметить, что этот клиент может содержать жестко запрограммированные учетные данные, которые предоставляют злоумышленнику потенциальный доступ к системе жертвы.

Анализ показывает, что злоумышленник, стоящий за этими вредоносными модулями на Python, использует в своем коде относительно простые методы. Остается неясным, предназначено ли это упрощение для ускорения процесса разработки или для повышения легитимности удаленных файлов на целевых устройствах. Тем не менее, развертывание пакетов вредоносных узлов, как это наблюдалось в данном случае, вероятно, сохранится в качестве излюбленного метода среди участников угроз в ближайшем будущем.

#ParsedReport #CompletenessMedium
05-04-2024

DarkBeatC2: The Latest MuddyWater Attack Framework

https://www.deepinstinct.com/blog/darkbeatc2-the-latest-muddywater-attack-framework

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: hacktivism)
Dev-0842
Banished_kitten
Scarred_manticore
Dev-0861
Shroudedsnooper
Darkbit
Nemesis_kitten
Charming_kitten
Irgc

Threats:
Darkbeatc2
Supply_chain_technique
Bibi-wiper
Karma
Foxshell
Phonyc2
Muddyc2go
Atera_tool
Rengine_tool
Spear-phishing_technique
Powgoop
Scriptblock

Victims:
Israeli companies, Technion, Incd, Kinneret, Rashim, Albanian parliament, Albania's institute of statistics

Industry:
Government, Education, Healthcare

Geo:
Albanian, Jordan, Israeli, Israel, Iranian, Saudi, Albania

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1566, T1036, T1547, T1059, T1072, T1070, T1082, T1583, have more...

IOCs:
Domain: 21
File: 3
IP: 14
Hash: 5

Languages:
powershell

Links:
https://github.com/yogeshojha/rengine

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей киберугрозе, исходящей от иранских субъектов, в частности, нацеленных на израильские организации с помощью таких методов, как операции "взлома и утечки" и атаки на цепочки поставок. В нем также подчеркивается отсутствие подробной технической информации в израильских отчетах об этих атаках и важность прозрачности и обмена информацией для эффективной борьбы с этими киберугрозами.
-----

"Война железными мечами" против террористов ХАМАС привела к тому, что иранские злоумышленники активизировали свои операции по "взлому и утечке информации", направленные против израильских компаний частного сектора. Иранские злоумышленники используют новый фреймворк C2 под названием "DarkBeatC2", который был идентифицирован исследовательской группой Deep Instinct. Эти злоумышленники сотрудничают для проведения атак по цепочке поставок, передавая скомпрометированные цели другим группам. В то время как иранские кибератаки на израильские организации значительно участились, в сообщениях Израиля об этих атаках отсутствуют конкретные технические детали, поскольку большая часть информации предоставляется международными компаниями, а не местными израильскими структурами, ответственными за реагирование на инциденты.

В последнее время наблюдается активность, направленная против различных секторов, в том числе спонсируемых государством групп, использующих такие инструменты, как wipers и webshells. В число известных атак входят атаки на государственные учреждения Албании, совершенные несколькими иранскими субъектами, при этом Microsoft приписывает атаки различным иранским группам, действующим при Министерстве разведки и безопасности (MOIS). Компания Mandiant также отметила возможность межкомандного взаимодействия при проведении этих атак. Национальное управление по кибербезопасности Израиля (INCD) выпустило предупреждения о вредоносной кибератаке против израильских компаний, включая конкретные IOC, хотя в этих предупреждениях отсутствует подробная техническая информация.

Одна из заметных атак была связана с использованием учетной записи администратора в системах клиентов группой угроз "Nemesis Kitten", идентифицированной как DEV-0270 (Cobalt Mirage, TunnelVision), подгруппой Mint Sandstorm. Иранские злоумышленники, такие как MuddyWater, продолжают участвовать в кибероперациях, используя различные инструменты и платформы, и недавно были замечены их новый фреймворк DarkBeatC2 и установщик Atera Agent. Исследователи заметили, что MuddyWater злоупотребляет инструментами удаленного администрирования, такими как "Tactical RMM", для развертывания программ-вымогателей.

В отчетах говорится о возможном сотрудничестве между Корпусом стражей Исламской революции (КСИР) и MOIS в борьбе с израильскими организациями. Новые данные указывают на связи между MuddyWater и DarkBeatC2, а также на идентифицированные IP-адреса и домены, связанные с деятельностью этих участников угроз. Платформа C2 framework googleonlinee . Для управления зараженными компьютерами используется com, а PowerShell является ключевым инструментом для этих злоумышленников. Фрагменты кода, извлеченные из фреймворка, раскрывают такие действия, как выборка и выполнение дополнительных сценариев, отправка содержимого файла на сервер C2 и манипулирование содержимым ответа для выполнения определенных действий.

Большая прозрачность и обмен информацией имеют решающее значение в борьбе с иранскими киберугрозами, направленными против израильских сетей. Упреждающее устранение уязвимостей и направлений атак может помочь снизить риски, создаваемые этими изощренными злоумышленниками.

#ParsedReport #CompletenessLow
05-04-2024

Unveiling the Fallout: Operation Cronos' Impact on LockBit Following Landmark Disruption

https://www.trendmicro.com/en_us/research/24/d/operation-cronos-aftermath.html

Report completeness: Low

Threats:
Lockbit
Conti
Trickbot
Stealc
Fivehands
Yanluowang
Blackcat
Blackbasta
Snatch_ransomware
Emotet
Qakbot

Industry:
Financial

Geo:
Donetsk

CVEs:
CVE-2023-3284 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1568.002, T1583.001, T1486, T1027, T1071.001, T1132.001, T1105, T1555.003, T1584.002, T1596, have more...

Soft:
ESXi, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в уничтожении группы программ-вымогателей LockBit в феврале 2024 года, с подробным описанием тщательного планирования и проведения операции правоохранительными органами. Это нарушение привело к значительным изменениям в работе LockBit, включая предоставление ключей дешифрования жертвам, раскрытие информации о панели администратора и изменение ландшафта программ-вымогателей. На мероприятии обсуждалась эффективность борьбы с программами-вымогателями, нацеленной на бизнес-модель, и были освещены проблемы, с которыми сталкиваются киберпреступные группы при восстановлении после вмешательства.
-----

LockBit, известная группа компаний, занимающаяся разработкой программ-вымогателей как услуг (RaaS), появившаяся в начале 2020 года, быстро расширилась и к 2023 году стала крупным игроком в экосистеме программ-вымогателей. Компания LockBit, ответственная за значительную часть атак программ-вымогателей в том году, действовала по партнерской модели, при которой она удерживала 20% выплат выкупа, в то время как аффилированные лица осуществляли атаки. Сбой в работе LockBit в феврале 2024 года был тщательно спланирован и осуществлен, что стало важной вехой в усилиях правоохранительных органов по борьбе с киберпреступностью.

После сбоя на нескольких сайтах LockBit Onion появились сообщения об ошибках, сигнализирующие об изменениях в работе группы. Сайт утечки, обычно используемый для вымогательства и коммуникации, был изменен, чтобы на нем отображался таймер обратного отсчета, что привело к публикации пресс-релизов, обвинительных заключений, арестов и статей в блогах. Эта сложная стратегия дезорганизации была направлена на то, чтобы вывести из строя инфраструктуру и каналы связи LockBit, ограничив способность группы эффективно функционировать и реагировать на текущие события.

Одним из примечательных аспектов операции было предоставление ключей дешифрования жертвам, что подчеркивает, что выплата выкупа не является оптимальным решением. Вопреки заявлениям LockBit, данные жертв не удалялись после выплаты выкупа, что подчеркивает риски, связанные с переговорами с группами программ-вымогателей. Технический анализ новой версии LockBit, LockBit-NG-Dev, выявил ее переход на платформу .NET, что создает новые проблемы безопасности для обнаружения и смягчения последствий.

Кроме того, обнародование сведений об административной панели LockBit, включая разговоры между аффилированными лицами и жертвами, позволило получить ценную информацию о деятельности группы и количестве жертв. Сбой вызвал широкое обсуждение на подпольных форумах, причем некоторые выражали удовлетворение падением LockBit, в то время как другие полагали, что группа в конечном итоге восстановится или проведет ребрендинг. Конкурирующие RaaS-группы внимательно следили за ситуацией, перенимая опыт LockBit, чтобы укрепить свои позиции в области безопасности и снизить риски проникновения.

После сбоя в работе LockBit правоохранительные органы продемонстрировали новый подход к борьбе с программами-вымогателями, нацелившись на бизнес-модель группы, а не на техническое устранение. Хотя долгосрочное влияние на деятельность LockBit остается неопределенным, филиалы, скорее всего, пересмотрят свое участие в группе и, возможно, будут искать альтернативные партнерские отношения. Последствия этого сбоя для рынка программ-вымогателей подчеркивают важность репутации и доверия при привлечении аффилированных лиц к незаконным операциям, подчеркивая проблемы, с которыми сталкиваются группы, пытающиеся восстановиться после таких вмешательств.

В конечном счете, операция Cronos стала важной вехой в борьбе с программами-вымогателями, побудив к более широкому обсуждению эффективности пресечения операций киберпреступников и долгосрочного воздействия таких мер на ситуацию с угрозами.

#ParsedReport #CompletenessLow
04-04-2024

Bing ad for NordVPN leads to SecTopRAT

https://www.malwarebytes.com/blog/threat-intelligence/2024/04/bing-ad-for-nordvpn-leads-to-sectoprat

Report completeness: Low

Threats:
Sectop_rat

Victims:
Users

ChatGPT TTPs:
do not use without manual check
T1566.001, T1195.002, T1020, T1574.002, T1553.002, T1071.001, T1583.001

IOCs:
Domain: 2
File: 2
IP: 1
Hash: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в вредоносной поисковой рекламной кампании, выдающей себя за хорошо известное программное обеспечение для VPN NordVPN, при этом злоумышленники используют обманчивую рекламу в Microsoft Bing для распространения вредоносного ПО, в частности трояна удаленного доступа (RAT). Этот инцидент подчеркивает сохраняющуюся угрозу недобросовестной рекламы и важность проверки источников программного обеспечения, чтобы не стать жертвой схем киберпреступников.
-----

В сообщении в блоге рассказывается о недавней вредоносной поисковой рекламной кампании, выдающей себя за надежное программное обеспечение NordVPN. Злоумышленники, стоящие за этой кампанией, используют Microsoft Bing в качестве платформы для показа вредоносной рекламы. Реклама ведет пользователей на поддельный веб-сайт NordVPN, который очень похож на настоящий, и предлагает пользователям загрузить то, что выглядит как программное обеспечение NordVPN. Однако, наряду с легальным программным обеспечением, на компьютер жертвы без ее ведома также устанавливается троян удаленного доступа (RAT), известный как SecTopRAT.

Вредоносная реклама была обнаружена с помощью поиска в Bing по запросу "nord vpn", который показал вводящий в заблуждение URL-адрес "nordivpn.xyz", который был зарегистрирован всего за день до обнаружения. Этот вводящий в заблуждение домен предназначен для того, чтобы заставить пользователей думать, что он связан с реальным сайтом NordVPN. Поток трафика от рекламы приводит пользователей к ссылке для скачивания, содержащей как поддельный установщик NordVPN, так и вредоносную программу. В то время как пользователи полагают, что они устанавливают NordVPN, на самом деле они невольно заражают свои системы вирусом RAT.

Вредоносная программа, замаскированная под поддельное программное обеспечение NordVPN, внедряется в MSBuild.exe и устанавливает соединение с сервером управления, которым управляют злоумышленники. Сетевой трафик, генерируемый этой вредоносной программой, помечается как черный ход Arechclient2 компанией Emerging Threats, также известной как SecTopRAT.

Этот инцидент подчеркивает сохраняющуюся угрозу вредоносной рекламы и то, как злоумышленники используют популярные загрузки программного обеспечения для распространения вредоносных программ. В сообщении в блоге подчеркивается необходимость принятия упреждающих мер по борьбе с вредоносной рекламой, таких как включение фильтрации DNS для блокировки онлайн-рекламы и предотвращения подобных атак на целые организации или отдельные области. О вредоносной рекламе и связанных с ней признаках было сообщено отраслевым партнерам для принятия мер по исправлению положения.

В конечном счете, эта кампания служит напоминанием о важности проверки источников программного обеспечения и осторожности при загрузке программ, даже из, казалось бы, авторитетных источников. В данном случае компания NordVPN была выдана за другого пользователя, что побудило пользователей проявлять бдительность, чтобы не стать жертвами подобных вредоносных схем, организованных киберпреступниками.

#ParsedReport #CompletenessLow
05-04-2024

HTTP/2 CONTINUATION Flood: Technical Details. Preface

https://nowotarski.info/http2-continuation-flood-technical-details

Report completeness: Low

Victims:
Cloudflare, Poland

Industry:
Military, Government

Geo:
Poland, Russia, Ukraine

CVEs:
CVE-2019-9518 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple swiftnio (le1.4.0)
- apache traffic server (le8.0.3, le7.1.6, le6.2.3)
- canonical ubuntu linux (16.04, 18.04, 19.04)
- debian debian linux (9.0, 10.0)
- synology skynas (-)
have more...
CVE-2019-9516 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple swiftnio (le1.4.0)
- apache traffic server (le8.0.3, le7.1.6, le6.2.3)
- canonical ubuntu linux (16.04, 18.04, 19.04)
- debian debian linux (9.0, 10.0)
- fedoraproject fedora (30, 29, 32)
have more...

ChatGPT TTPs:
do not use without manual check
T1486, T1190, T1499, T1565, T1211, T1205, T1498

IOCs:
File: 2

Soft:
HTTP/2 server, node.js

Functions:
SetEmitEnabled, SetEmitFunc, HeadersEnded, ReadFrame, assert, reset

Languages:
golang

Links:
https://github.com/nghttp2/nghttp2/blob/48168eacdb7815375747cd01b886d65a5c4e0931/lib/nghttp2\_session.c#L6892

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается обнаружение и анализ атаки с быстрым сбросом HTTP/2, подчеркивается отсутствие флага END_HEADERS, предыдущие уязвимости в HTTP/2, серьезность атаки с быстрым сбросом, влияние на инфраструктуру Интернета, совместное реагирование и раскрытие информации, а также примеры воздействия на языки программирования, такие как Golang. В нем подчеркивается необходимость того, чтобы специалисты по безопасности и организации устраняли уязвимости в протоколе HTTP/2 для защиты от таких угроз, как эксплойт Rapid Reset, посредством совместных усилий, ответственной практики раскрытия информации и упреждающих стратегий устранения последствий.
-----

В тексте описывается обнаружение и анализ новой кибератаки, известной как атака быстрого сброса HTTP/2, которая представляет серьезную угрозу для серверов и веб-приложений, использующих протокол HTTP/2. Изначально автору не хватало глубоких знаний о протоколе HTTP/2, но он решил углубиться в него с точки зрения безопасности, узнав об атаке Rapid Reset в октябре 2023 года.

Ключевые моменты, выделенные в тексте, включают:.

Отсутствие флага END_HEADERS: Отсутствие флага END_HEADERS при атаке Rapid Reset препятствует надлежащему завершению запросов, что затрудняет обнаружение и отладку вредоносных клиентских запросов. Это может привести к проблемам при анализе необработанных данных о трафике для определения природы этой уязвимости.

Предыдущие уязвимости в HTTP/2: В тексте упоминаются прошлые уязвимости в HTTP/2, о которых сообщали такие компании, как Netflix и Google, в 2019 году, включая CVE-2019-9516 (продолжение утечки заголовков длиной 0) и CVE-2019-9518 (заполнение пустых фреймов). Эти уязвимости использовали слабые места в обработке заголовков и фреймов, что приводило к потреблению памяти и истощению ресурсов процессора.

Опасность атаки Rapid Reset: Атака Rapid Reset сочетает в себе заголовки и фреймы RST_STREAM, что делает стандартные меры защиты, такие как ограничение скорости, менее эффективными. В отличие от предыдущих атак, Rapid Reset может привести к сбоям сервера всего через одно TCP-соединение, особенно в сценариях DDoS с использованием ботнетов.

Влияние на инфраструктуру Интернета: Учитывая широкое использование HTTP/2, уязвимость, связанная с быстрым сбросом, представляет значительный риск для инфраструктуры Интернета, потенциально затрагивая значительную часть веб-трафика и API. В тексте подчеркивается потенциальный финансовый ущерб и сбои, которые могут возникнуть в результате успешных эксплойтов, нацеленных на критически важные бизнес-службы и государственные службы.

Совместное реагирование и раскрытие информации: Автор сообщил об уязвимости быстрого сброса в CERT/CC в январе 2024 года, что привело к открытию дела по координации уязвимостей для решения проблемы несколькими поставщиками. Эти скоординированные усилия с технологическими компаниями и проектами с открытым исходным кодом способствовали ответственному раскрытию информации и устранению уязвимости, подчеркивая важность коллективных действий в борьбе с широко распространенными угрозами.

Пример влияния на Golang: В тексте упоминается, как на реализацию Golang повлиял НЕПРЕРЫВНЫЙ поток, приведший к истощению ресурсов процессора. Разработчики Golang внедрили такие меры, как класс абстракции http2MetaHeadersFrame, для эффективного управления обработкой заголовков, подчеркнув проблемы, с которыми сталкиваются различные языки программирования при устранении уязвимостей HTTP/2.

Таким образом, в тексте подчеркивается острая необходимость для специалистов по безопасности и организаций понимать и устранять уязвимости в протоколе HTTP/2 для защиты инфраструктуры и сервисов Интернета от потенциально разрушительных кибератак, таких как эксплойт Rapid Reset. Совместные усилия, ответственная практика раскрытия информации и активные стратегии смягчения последствий имеют важное значение для эффективного устранения таких угроз.

#ParsedReport #CompletenessHigh
05-04-2024

In-depth analysis of the Peruvian military extortion incident and related extortion organizations

https://mp.weixin.qq.com/s/_KuFPPs6XFOICNpRjzn5AA

Report completeness: High

Actors/Campaigns:
Black_bird

Threats:
Inc_ransomware
Rhysida
Megasync_tool
Lockbit
Spear-phishing_technique
Anydesk_tool
Shadow_copies_delete_technique
Stuxnet
Tsunami_botnet
Powerhammer
Supply_chain_technique

Victims:
Peruvian military, 68 victim companies, Battery company in shenzhen

Industry:
Transport, Petroleum, Government, Energy, Military, Healthcare, Aerospace, Financial, Chemical

Geo:
China, Pakistan, Australian, Iran, Peruvian, America, American, Italian, Asia, Oceania, Chilean, Israeli, French, Chinese, Germany, Philippines

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, 12.1, <13.0-91.13, 13.0, <13.1-37.159, 13.1, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, 13.0, <13.1-49.13, 13.1)


ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1071, T1059, T1105, T1552, T1486, T1485, T1491, T1027, have more...

IOCs:
File: 3
Domain: 2
Hash: 4

Soft:
WeChat, PSEXEC, Wordpad, ESXI

Algorithms:
zip, sha256, base64

Win API:
DeviceIoControl, CryptStringToBinaryA

#ParsedReport #ExtractedSchema

Classified images:
code: 18, windows: 1, chart: 1, schema: 2