#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе кампании кибершпионажа, проводимой Основной группой Werewolf против российских организаций, в частности, 102-й российской военной базы, с использованием вредоносного файла, замаскированного под поддельную петицию, с помощью самораспаковывающегося архива 7zSFX для развертывания программы удаленного доступа UltraVNC.
-----

Специалисты по анализу угроз из F.A.C.C.T. выявили вредоносный файл на платформе VirusTotal, который был создан в Армении, а именно в Гюмри, и связан с кибершпионской группой Core Werewolf. Этот файл представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска законной программы удаленного доступа UltraVNC. Выяснилось, что жертвой этой кибератаки стала 102-я российская военная база. Приманкой, использованной в этой атаке, была поддельная петиция, посвященная военнослужащим, представленным к государственным наградам, таким как орден Мужества, за выдающиеся заслуги в военной подготовке. Место загрузки вредоносного файла на VirusTotal совпадает с Гюмри, где дислоцируется 102-я российская военная база.

Core Werewolf, также известная как PseudoGamaredon, - это группа кибершпионажа, известная тем, что нацелена на российские организации, связанные с военно-промышленным комплексом и объектами критической информационной инфраструктуры. Первое появление группы было отмечено в августе 2021 года. В ходе последующих инцидентов Core Werewolf в марте 2024 года атаковали российский научно-исследовательский институт, занимающийся разработкой оружия, а в начале апреля - российский оборонный завод. Их тактика заключается в использовании программного обеспечения UltraVNC в своих операциях. Дмитрий Купин, руководитель отдела анализа вредоносных программ F.A.C.C.T., подробно рассказал об этих действиях в техническом блоге организации.

Обнаруженный вредоносный файл 7ZSfxMod_x86.exe представляет собой исполняемый файл в формате PE32, который функционирует как самораспаковывающийся архив 7zSFX. После выполнения этот архив извлекает свое содержимое в каталог %TEMP% и запускает запутанный пакетный файл 5951402583331559.cmd. Этот файл был загружен в VirusTotal из Гюмри, Армения, 15 апреля 2024 года через веб-интерфейс. Документ-приманка, связанный с этим нападением, называется perevod.pdf и маскируется под петицию, в которой перечисляются военнослужащие, представленные к государственным наградам, в частности к ордену Мужества, с указанием званий, полных имен и личных идентификационных номеров.

Домен, использованный в ходе этой атаки, был зарегистрирован одновременно с другим доменом, связанным с кампанией Core Werewolf в 2023 году. Примечательно, что злоумышленники продлили срок действия домена еще на год и сразу же начали использовать его в своих операциях. Использование образца UltraVNC, его файла конфигурации и адреса C2 остается в соответствии с предыдущими атаками Core Werewolf. Кроме того, F.A.C.C.T. обнаружила другие вредоносные исполняемые файлы, загруженные из России на VirusTotal в марте и апреле 2024 года. Эти файлы ранее были недокументированными дропперами, разработанными на языке Go, и имели сходство с выявленными атаками, направленными на UltraVNC. Файл конфигурации, клиент UltraVNC и домен C2, mailcommunity . ru:443, идентичны тем, которые были обнаружены в ранее описанных инцидентах.

#ParsedReport #CompletenessHigh
17-04-2024

APT analysis VPN installation package "leads the wolf into the house": the secret theft operation of the suspected Golden Eyed Dog (APT-Q-27) gang

https://www.ctfiot.com/174015.html

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Miuuti

Threats:
Gh0st_rat
Dll_sideloading_technique

Industry:
Entertainment

Geo:
Asian, Chinese, Asia

ChatGPT TTPs:
do not use without manual check
T1566, T1195, T1204, T1059, T1105, T1027, T1574, T1003, T1071, T1053, have more...

IOCs:
Domain: 1
Hash: 69
File: 10
Path: 1
IP: 52
Email: 1

Soft:
Telegram, LetsVPN, ome 浏览器数, Sogou, Android, WeChat

Algorithms:
zip, md5, xor

Win API:
RtlDecompressBuffer, decompress

Win Services:
ntlog

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа Golden Eye Dog, известная своей атакой на лиц, вовлеченных в азартные игры, торговлю собаками и зарубежные китайские группы в Юго-Восточной Азии, провела серию изощренных атак с использованием вредоносных установочных пакетов для распространения вредоносного ПО и внедрения троянских программ на устройства жертв. Эти атаки включают маскировку вредоносного ПО в рамках, казалось бы, законных приложений, использование поддельных веб-сайтов для загрузки программного обеспечения и использование специальной тактики, соответствующей деятельности группы в прошлом. Пользователям рекомендуется быть осторожными и принимать превентивные меры, чтобы снизить риск стать жертвами таких атак.
-----

Хакерская группа Golden Eye Dog, отслеживаемая Qi An Xin как APT-Q-27, нацелена на лиц, вовлеченных в азартные игры, торговлю собаками и зарубежные китайские группировки в Юго-Восточной Азии.

Их преступная деятельность включает в себя удаленное управление, майнинг и DDoS-атаки, использование вредоносных установочных пакетов на веб-сайтах puddle для распространения вредоносного ПО и внедрения троянских программ.

Они разрабатывают вредоносные программы, используя различные языки программирования, такие как .NET, C++, Go и Delphi, чтобы обеспечить высокий уровень защиты.

Центр анализа угроз QiAnXin обнаружил вредоносный установочный пакет, замаскированный под Kuailian VPN, который устанавливает легальное программное обеспечение и одновременно внедряет настроенную версию троянца gh0st remote control.

Злоумышленники также распространяли троянские версии установочных пакетов программного обеспечения Telegram и Potato, что было похоже на предыдущие фишинговые кампании, нацеленные на игровую индустрию Юго-Восточной Азии.

Злоумышленники оптимизировали веб-сайт puddle для отображения в результатах поиска, маскируясь под Kuailian VPN, и обманом заставили пользователей поисковой системы загрузить вредоносное ПО.

Злоумышленники используют специальные приемы, такие как боковая загрузка DLL, для обеспечения постоянства и функциональности, аналогичные известной тактике банды Golden Eye Dog.

Пользователям рекомендуется с осторожностью относиться к попыткам фишинга, избегать неизвестных источников, воздерживаться от запуска подозрительных файлов и устанавливать приложения только из надежных источников для предотвращения подобных атак.

#ParsedReport #CompletenessLow
17-04-2024

SoumniBot: the new Android banker s unique techniques

https://securelist.com/soumnibot-android-banker-obfuscates-app-manifest/112334

Report completeness: Low

Threats:
Soumnibot
Badpack
Hqwar

Industry:
Financial

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1406, T1475, T1437, T1402, T1571, T1498

IOCs:
File: 2
Hash: 4
Url: 2

Soft:
Android

Algorithms:
zip, md5

Links:
https://github.com/trustdecision/trustdevice-android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление вредоносной программы SoumniBot для Android, которая использует передовые методы обфускации, чтобы избежать обнаружения и украсть конфиденциальные данные, особенно ориентированные на корейских пользователей. Эта вредоносная программа использует уникальные методы, такие как манипулирование файлом манифеста Android, связь с основным сайтом для отправки собранных данных и подписка на команды с сервера MQTT. Несмотря на изощренную тактику, решения для обеспечения безопасности, такие как Kaspersky, по-прежнему могут идентифицировать SoumniBot и помечать его как троян-банкир.ANDROID.SoumniBot подчеркивает важность надежных мер безопасности на смартфонах для борьбы с появляющимися вредоносными программами.
-----

В тексте обсуждается использование создателями вредоносных программ различных инструментов и методов, препятствующих обнаружению и анализу кода, особенно в отношении вредоносных программ для Android. В нем упоминаются популярные программы-дропперы, такие как Badpack и Hqwar, которые используются для скрытой доставки троянских программ-банкиров или шпионских программ на смартфоны. Была обнаружена новая вредоносная программа SoumniBot, нацеленная на корейских пользователей, использующая нетрадиционный подход к уклонению от анализа и обнаружения путем обфускации манифеста Android.

Файл AndroidManifest.xml в APK-файле содержится важная информация о компонентах, разрешениях и других данных приложения, которые помогают определить точки входа для анализа кода. Разработчики SoumniBot изучили процедуру анализа и извлечения манифеста, чтобы эффективно маскировать APK-файлы. Этот метод включает в себя манипулирование размером манифеста для создания наложения с дополнительным содержимым архива, используя способ распаковки манифестов анализатором Android без возникновения ошибок.

SoumniBot использует длинные строки в манифесте в качестве параметров адреса сервера, необходимых для его функционирования. Он взаимодействует с mainsite для отправки злоумышленнику собранных данных, включая конфиденциальную информацию, такую как IP-адрес, страна, списки контактов и банковские реквизиты. Вредоносная программа также подписывается на команды с сервера MQTT, демонстрируя сложные возможности фильтрации данных и выполнения команд. SoumniBot скрывает свой значок при установке, чтобы избежать обнаружения, постоянно пытаясь запустить вредоносные службы и загружать данные в фоновом режиме, одновременно используя цифровые сертификаты корейских банков для утечки - тактика, необычная для вредоносных программ для Android-банкинга.

Вредоносная программа нацелена на скрытное заражение устройств с целью максимального воздействия, что подчеркивает важность понимания исследователями и специалистами в области безопасности ее методов обнаружения и предотвращения. Несмотря на передовые методы обфускации, используемые SoumniBot, Kaspersky security solutions может обнаружить его и обозначить как троян-банкир.ANDROID.SoumniBot. В тексте подчеркивается необходимость в надежных решениях безопасности для смартфонов для защиты от сложных вредоносных программ, таких как SoumniBot, которые используют уязвимости при анализе манифестов Android.

Таким образом, обсуждение SoumniBot проливает свет на эволюцию тактики, используемой создателями вредоносных программ для уклонения от обнаружения и эффективной кражи конфиденциальных данных. Внимание вредоносного ПО к корейским ключам онлайн-банкинга и цифровым сертификатам подчеркивает важность сохранения бдительности в отношении подобных угроз. Исследователям рекомендуется изучить методы SoumniBot для повышения осведомленности во всем мире и разработки эффективных мер противодействия подобным вредоносным действиям в будущем.

#ParsedReport #CompletenessMedium
17-04-2024

Malvertising campaign targeting IT teams with MadMxShell

https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshell

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Dns_tunneling_technique
Process_hollowing_technique
Residential_proxy_technique
Process_injection_technique

TTPs:

IOCs:
Domain: 44
File: 2
Path: 3
Registry: 1
Command: 1
Email: 1
Hash: 9

Soft:
Windows Defender

Algorithms:
zip, sha256, md5, ror13, xor

Win API:
ShellExecuteExW, CryptGenRandom, DeleteFileW

Languages:
php, javascript, python

Links:
https://github.com/threatlabz/tools/blob/main/madmxshell/network\_decoder.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен злоумышленник, использующий поддельные домены для распространения недавно обнаруженного бэкдора под названием "MadMxShell", нацеленного на ИТ-специалистов с помощью таких тактик, как опечатывание, вредоносная реклама с помощью рекламы Google и использование DNS для связи C2. Бэкдор использует различные методы обхода, чтобы избежать обнаружения, и осуществляет вредоносные действия в зараженных системах, что указывает на сложную и стратегическую кампанию по борьбе с киберугрозами.
-----

Zscaler ThreatLabZ обнаружил злоумышленника, использующего поддельные домены для распространения бэкдора под названием "MadMxShell", замаскированного под законные сайты программного обеспечения для сканирования IP-адресов.

Злоумышленник использовал тайпсквоттинг, рекламу Google и зарегистрированные поддельные домены для атаки на ИТ-специалистов, особенно на тех, кто занимается сетевым администрированием и безопасностью.

Бэкдор использует такие методы, как дополнительная загрузка библиотеки DLL, неправильное использование протокола DNS для передачи данных C2 и тактика обхода, позволяющая избежать использования решений для обеспечения безопасности, связанных с анализом памяти.

Вредоносная программа взаимодействует с удаленным сервером C2 посредством запросов DNS MX и закодированных ответов, выполняя такие действия, как сбор системной информации, выполнение команд и операции с файлами.

Бэкдор шифрует и зашифровывает свои функции, использует XOR-шифрование для конфиденциальных данных, создает уникальные идентификаторы и реализует короткие интервалы между сообщениями C2, чтобы избежать обнаружения.

Злоумышленник стратегически использует Google Ads для проведения вредоносной кампании и использует DNS для связи C2, демонстрируя изощренность в обходе мер безопасности.

Постоянные усилия по мониторингу и смягчению последствий необходимы для защиты от развивающихся киберугроз, а упреждающие меры кибербезопасности и анализ угроз имеют решающее значение для защиты.

Подробный технический анализ, IOCs и скрипт на Python для расшифровки трафика C2, связанного с этой кампанией, доступны в репозитории Zscaler на GitHub.

#ParsedReport #CompletenessLow
17-04-2024

GOLD IONIC Deploys INC Ransomware

https://www.secureworks.com/blog/gold-ionic-deploys-inc-ransomware

Report completeness: Low

Actors/Campaigns:
Inc_ransomware (motivation: financially_motivated, information_theft)
Gold_mystic (motivation: information_theft)
Lockbit (motivation: information_theft)
Gold_blazer (motivation: information_theft)
Donut

Threats:
Inc_ransomware
Citrix_bleed_vuln
Meterpreter_tool
Adfind_tool
Megasync_tool
Lockbit
Blackcat

Industry:
Healthcare, Education

Geo:
Russia

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, 12.1-55.297, 12.1, <13.0-92.19, 13.0, 13.0-91.13, <13.1-37.164, 13.1-37.159, 13.1, <13.1-49.15, 13.1-49.13, <14.1-8.50, 14.1)
- citrix netscaler gateway (<13.0-92.19, 13.0-91.13, 13.0, <13.1-49.15, 13.1-49.13, 13.1, <14.1-8.50, 14.1)


ChatGPT TTPs:
do not use without manual check
T1486, T1567, T1021, T1485, T1490, T1489, T1041, T1020

IOCs:
File: 3

Soft:
Active Directory, PsExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение Secureworks по борьбе с угрозами (CTU) отслеживает деятельность группы по выкупу INC, известной как GOLD IONIC, с момента ее появления в августе 2023 года. GOLD IONIC использует метод двойного вымогательства, ориентируясь на различные сектора по всему миру, но с акцентом на организации, базирующиеся в США. Группа последовательно внедряет программы-вымогатели с помощью различных инструментов и тактик, подчеркивая необходимость соблюдения организациями руководящих принципов кибербезопасности и повышения их устойчивости к атакам программ-вымогателей.
-----

Исследователи подразделения Secureworks Counter Threat Unit (CTU) активно отслеживают деятельность группы по выкупу INC, известной как GOLD IONIC, с момента ее появления в августе 2023 года. Эта группа злоумышленников использует распространенный метод двойного вымогательства, когда они извлекают данные перед шифрованием систем, а затем угрожают жертвам публичным разоблачением в качестве рычага давления при переговорах о выкупе. В период с августа 2023 по март 2024 года GOLD IONIC опубликовала список из 72 жертв на своем сайте по утечке данных Tor, а еще семь жертв были опубликованы в апреле. В то время как большинство жертв находятся в США, группа расширилась по всему миру, охватывая различные секторы, такие как промышленность, здравоохранение и образовательные организации.

В отличие от некоторых групп вымогателей, которые действуют через филиалы по модели "программа-вымогатель как услуга", GOLD IONIC, по-видимому, функционирует как закрытая группа. Виктимологический анализ группы указывает на то, что основное внимание уделяется организациям, базирующимся в США, при этом Великобритания является второй наиболее пострадавшей страной, что позволяет предположить, что их операции базируются в России или странах Содружества Независимых Государств (СНГ). Целевые сектора соответствуют типичным целям программ-вымогателей, среди которых выделяются промышленность, здравоохранение и образование.

Мероприятия по реагированию на инциденты, связанные с GOLD IONIC, выявили последовательное внедрение программ-вымогателей INC, которые часто получают первоначальный доступ через уязвимости, такие как эксплойт Citrix Bleed (CVE-2023-4966). Проникнув в сеть, злоумышленники используют различные инструменты, такие как Meterpreter, AdFind, WinRAR и Megasync, для фильтрации данных. Процесс шифрования с помощью программ-вымогателей включает в себя присвоение уникального двоичного имени файла каждой жертве, изменение расширения файла и вставку записки с требованием выкупа, в которой жертвам предлагается связаться с лицом, ответственным за угрозу.

Структура сайта утечки информации о выкупе INC напоминает структуру группы программ-вымогателей LockBit, но существует ограниченное количество доказательств, связывающих их. На сайте утечки также представлены жертвы других атак программ-вымогателей, что демонстрирует некоторую взаимосвязь в среде программ-вымогателей. Некоторые жертвы, указанные на сайте утечки в отношении GOLD IONIC, возможно, пострадали от программ-вымогателей, которыми управляли другие группы, в период бездействия GOLD IONIC, что указывает на сложное взаимодействие между операторами программ-вымогателей и аффилированными лицами.

Появление GOLD IONIC подчеркивает постоянную угрозу, исходящую от групп программ-вымогателей, использующих схожие тактики, методы и процедуры (TTP). Исследователи КТО рекомендуют организациям придерживаться рекомендаций по кибербезопасности, разработанных такими организациями, как CISA и NCSC, для повышения устойчивости к атакам программ-вымогателей. Внедрение и тестирование надежных планов реагирования на инциденты может помочь организациям эффективно реагировать на подобные угрозы, позволяя на ранней стадии обнаруживать вредоносные действия и предотвращать их, чтобы свести к минимуму последствия атак программ-вымогателей.

#ParsedReport #CompletenessLow
17-04-2024

Ransomware Deployment Attempts Via TeamViewer

https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer

Report completeness: Low

Threats:
Teamviewer_tool
Lockbit
Havoc

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 3
Path: 4
Hash: 1

Soft:
curl

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте рассказывается о том, как аналитики Huntress SOC расследовали два инцидента с программами-вымогателями, в ходе которых конечные точки были затронуты минимально, а участники угроз получили первоначальный доступ через TeamViewer. Эти инциденты подчеркнули важность соблюдения базовых правил безопасности для предотвращения несанкционированного доступа и потенциального вреда со стороны участников угроз.
-----

Аналитики Huntress SOC недавно уведомили клиентов о двух конечных точках, которые были минимально затронуты программой-вымогателем, зашифровав лишь несколько файлов canary. Не было обнаружено свидетельств того, что злоумышленник проводил разведку за пределами затронутых конечных точек или пытался переместиться в другие части инфраструктуры. Один из инцидентов был предотвращен из-за уже установленного программного обеспечения безопасности. Обнаруженные инциденты имели сходство с теми, которые обсуждались в блоге VMware под названием "Разблокирована программа-вымогатель LockBit 3.0" от 15 октября 2022 года.

В ходе расследования было установлено, что первоначальный доступ к обеим конечным точкам был получен через TeamViewer. Журналы TeamViewer connections_incoming.txt показали, что субъект угрозы имел доступ к каждой конечной точке. Для конечной точки A несколько пользователей, идентифицированных Huntress как законные администраторы, неоднократно обращались к системе с разных конечных точек, некоторые из которых имели "-HOME" в своих именах. Для конечной точки B записи в журнале были датированы 2018 годом и показали, что последний сеанс входа в систему через TeamViewer произошел более чем за три месяца до получения доступа злоумышленником. В предыдущих случаях, которые наблюдала Huntress, злоумышленники использовали TeamViewer для развертывания майнеров криптовалюты и для фильтрации данных с помощью curl.exe.

Развертывание программы-вымогателя на обеих конечных точках началось с пакетного файла DOS, запущенного с рабочего стола пользователя. Программа-вымогатель, содержащаяся в одной конечной точке, затронула исключительно конечную точку A.

Подчеркивается, что основные методы обеспечения безопасности основаны на ведении учета активов, включая физические и виртуальные конечные точки, а также установленные приложения. Инциденты, проанализированные аналитиками Huntress SOC, показывают, как участники угроз используют любые доступные средства доступа к отдельным конечным точкам для нанесения ущерба и потенциального расширения своего влияния в инфраструктуре.

#ParsedReport #CompletenessLow
17-04-2024

Kapeka: A novel backdoor spotted in Eastern Europe

https://labs.withsecure.com/publications/kapeka.html

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Kapeka
Prestige_ransomware
Greyenergy

Industry:
Government

Geo:
Russian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1547, T1082, T1105, T1588

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ключевые моменты:.
Компания WithSecure обнаружила новый бэкдор под названием "Kapeka", используемый для кибератак в Восточной Европе.
Kapeka - это универсальный бэкдор с возможностями для атак на ранней стадии и долгосрочного доступа к системе.
Обнаружено сходство между вредоносными программами Kapeka, GreyEnergy и Prestige ransomware, связанными с группировкой Sandworm, которая, как полагают, является российской организацией, управляемой ГРУ.
Kapeka развертывает дроппер, собирает данные и позволяет выполнять команды в скомпрометированных системах.
Связь с продолжающимся конфликтом между Россией и Украиной, с целенаправленными атаками, которые наблюдались после украинского вторжения.
Отчет WithSecure направлен на то, чтобы предупредить предприятия и правительства о Kapeka и ее связи с Sandworm, распространяя расширенные копии среди избранных организаций и публикуя результаты исследований.
-----

Компания WithSecure недавно обнаружила новый бэкдор под названием "Kapeka", который с середины 2022 года используется в кибератаках на жертв в Восточной Европе. Вредоносная программа описывается как универсальный бэкдор, оснащенный возможностями для использования злоумышленниками на ранней стадии в качестве инструментария и обеспечения долгосрочного доступа к скомпрометированным системам. Сложность и уровень скрытности, продемонстрированные Kapeka, свидетельствуют о том, что в ней задействован продвинутый агент по борьбе с постоянными угрозами (APT).

Особый интерес представляет обнаружение общих черт между Kapeka, вредоносной программой GreyEnergy и программой-вымогателем Prestige, которые были отнесены к группе угроз, известной как Sandworm. "Песчаный червь" - это известная российская национальная государственная организация, которая, как полагают, управляется Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ). Группа получила известность за проведение деструктивных киберопераций в Украине для продвижения российских интересов в регионе.

Kapeka предназначена для развертывания дроппера, который устанавливает и запускает бэкдор в системе жертвы перед самоуничтожением. Функциональность бэкдора включает в себя сбор системных и пользовательских данных, отправку этой информации субъектам угрозы для анализа и обеспечение выполнения команд на скомпрометированном компьютере. Хотя конкретные методы распространения бэкдора Kapeka компанией Sandworm остаются неясными, его разработка и внедрение, по-видимому, согласуются с продолжающимся конфликтом между Россией и Украиной, когда целенаправленные атаки наблюдались по всей Центральной и Восточной Европе после вторжения на Украину в 2022 году.

В отчете WithSecure представлен подробный технический анализ Kapeka, проливающий свет на его функции и возможности, а также прослеживается связь между бэкдором и группой угроз Sandworm. Основная цель отчета - предупредить предприятия, правительственные учреждения и более широкое сообщество специалистов по безопасности о появлении Kapeka и ее связи с таким изощренным агентом угроз, как Sandworm. WithSecure поделилась расширенными копиями отчета с некоторыми правительствами и заказчиками, а также выпускает различные исследовательские артефакты, включая такие инструменты, как средство извлечения конфигурации на основе реестра и жесткого кода, скрипт для расшифровки и моделирования сетевого взаимодействия бэкдора, а также индикаторы компрометации, правила YARA и MITRE ATT.&Отображения CK, полученные в результате их исследования.

#ParsedReport #CompletenessLow
17-04-2024

Attackers exploiting new critical OpenMetadata vulnerabilities on Kubernetes clusters

https://www.microsoft.com/en-us/security/blog/2024/04/17/attackers-exploiting-new-critical-openmetadata-vulnerabilities-on-kubernetes-clusters

Report completeness: Low

Threats:
Interactsh_tool
Netcat_tool

Victims:
Users of openmetadata

Geo:
China

CVEs:
CVE-2024-28254 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28848 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28253 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28255 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28847 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1105, T1059, T1064, T1053, T1133, T1102

IOCs:
Domain: 2
Hash: 3
IP: 3

Soft:
OpenMetadata, Microsoft Defender

Algorithms:
sha256