#ParsedReport #CompletenessMedium
18-04-2024
Palo Alto Networks PAN-OS Command Injection Vulnerability (CVE-2024-3400)
https://nsfocusglobal.com/palo-alto-networks-pan-os-command-injection-vulnerability-cve-2024-3400
Report completeness: Medium
Threats:
Upstyle_backdoor
Victims:
Palo alto networks
Industry:
Telco, Financial
Geo:
China, Usa
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 11.0.0, 11.1.0)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1190, T1068, T1059
IOCs:
Hash: 2
IP: 3
Url: 2
Domain: 1
Languages:
python
18-04-2024
Palo Alto Networks PAN-OS Command Injection Vulnerability (CVE-2024-3400)
https://nsfocusglobal.com/palo-alto-networks-pan-os-command-injection-vulnerability-cve-2024-3400
Report completeness: Medium
Threats:
Upstyle_backdoor
Victims:
Palo alto networks
Industry:
Telco, Financial
Geo:
China, Usa
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 11.0.0, 11.1.0)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1068, T1059
IOCs:
Hash: 2
IP: 3
Url: 2
Domain: 1
Languages:
python
NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks.
Palo Alto Networks PAN-OS Command Injection Vulnerability (CVE-2024-3400) - NSFOCUS, Inc., a global network and cyber security…
Overview Recently, NSFOCUS CERT detected that Palo Alto Networks issued a security announcement and fixed the command injection vulnerability (CVE-2024-3400) in PAN-OS. Since GlobalProtect gateway or portal configured in PAN-OS does not strictly filter user…
#ParsedReport #CompletenessLow
18-04-2024
Infostealer produced and distributed with Electron
https://asec.ahnlab.com/ko/64285
Report completeness: Low
Threats:
Teamviewer_tool
ChatGPT TTPs:
T1566, T1553, T1027
IOCs:
File: 4
Hash: 3
Soft:
Discord, VSCode, node.js, NSIS installer
Languages:
javascript
18-04-2024
Infostealer produced and distributed with Electron
https://asec.ahnlab.com/ko/64285
Report completeness: Low
Threats:
Teamviewer_tool
ChatGPT TTPs:
do not use without manual checkT1566, T1553, T1027
IOCs:
File: 4
Hash: 3
Soft:
Discord, VSCode, node.js, NSIS installer
Languages:
javascript
ASEC BLOG
Electron으로 제작되어 유포되는 인포스틸러 - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 Electron으로 제작된 인포스틸러 유형을 발견했다. Electron은 JavaScript, HTML 및 CSS를 사용하여 앱을 개발할 수 있는 프레임워크이다. Discord, Microsoft VSCode가 Electron으로 만들어진 대표적인 애플리케이션이다. Electron으로 개발된 앱은 패키징되어 주로 NSIS(Nullsoft Scriptable Install System)…
CTT Report Hub
#ParsedReport #CompletenessLow 18-04-2024 Infostealer produced and distributed with Electron https://asec.ahnlab.com/ko/64285 Report completeness: Low Threats: Teamviewer_tool ChatGPT TTPs: do not use without manual check T1566, T1553, T1027 IOCs: File:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что кибератакующие используют платформу Electron для распространения вредоносного ПО внутри приложений, подчеркивая необходимость принятия надежных мер безопасности для защиты от развивающихся киберугроз.
-----
Electron - это универсальный фреймворк, который позволяет разработчикам создавать приложения с использованием JavaScript, HTML и CSS. Заслуживающие внимания приложения, такие как Discord и Microsoft VSCode, были разработаны с использованием Electron. Как правило, приложения на базе Electron упаковываются и распространяются с использованием установщиков NSIS (Nullsoft Scriptable Install System). Однако киберпреступники используют этот метод распространения для внедрения вредоносных программ в электронные приложения.
Когда запускается вредоносный код, он устанавливает и запускает приложение Electron с определенной структурой папок. Благодаря интеграции Electron с операционной системой посредством node.js, фактические вредоносные действия определяются в скрипте node.js, обычно упакованном в asar-файл, который находится в пути app\resources. В этом процессе часто используется npm asar, и полный код можно просмотреть, распаковав его. Вредоносное поведение обычно записывается в виде сценария в файле с именем a.js.
В ходе отдельного инцидента был обнаружен вариант вредоносного ПО, маскирующийся под файл, связанный с TeamViewer, который загружал пользовательские данные в файлообменный сервис gofile. Хотя вредоносный код обычно выполняется непосредственно сценарием NSI в программе установки NSIS, упомянутые случаи представляют дополнительную сложность из-за платформы Electron, что затрудняет как пользователям, так и решениям по обеспечению безопасности выявление вредоносного характера кода.
Эта хитрая тактика подчеркивает важность тщательных мер безопасности при работе с электронными приложениями. Это также подчеркивает эволюцию методов, используемых киберпреступниками для сокрытия своих вредоносных действий и уклонения от обнаружения. Таким образом, организациям и специалистам по безопасности необходимо сохранять бдительность и постоянно обновлять свои аналитические данные об угрозах для защиты от таких сложных киберугроз, нацеленных на популярные платформы, такие как Electron.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что кибератакующие используют платформу Electron для распространения вредоносного ПО внутри приложений, подчеркивая необходимость принятия надежных мер безопасности для защиты от развивающихся киберугроз.
-----
Electron - это универсальный фреймворк, который позволяет разработчикам создавать приложения с использованием JavaScript, HTML и CSS. Заслуживающие внимания приложения, такие как Discord и Microsoft VSCode, были разработаны с использованием Electron. Как правило, приложения на базе Electron упаковываются и распространяются с использованием установщиков NSIS (Nullsoft Scriptable Install System). Однако киберпреступники используют этот метод распространения для внедрения вредоносных программ в электронные приложения.
Когда запускается вредоносный код, он устанавливает и запускает приложение Electron с определенной структурой папок. Благодаря интеграции Electron с операционной системой посредством node.js, фактические вредоносные действия определяются в скрипте node.js, обычно упакованном в asar-файл, который находится в пути app\resources. В этом процессе часто используется npm asar, и полный код можно просмотреть, распаковав его. Вредоносное поведение обычно записывается в виде сценария в файле с именем a.js.
В ходе отдельного инцидента был обнаружен вариант вредоносного ПО, маскирующийся под файл, связанный с TeamViewer, который загружал пользовательские данные в файлообменный сервис gofile. Хотя вредоносный код обычно выполняется непосредственно сценарием NSI в программе установки NSIS, упомянутые случаи представляют дополнительную сложность из-за платформы Electron, что затрудняет как пользователям, так и решениям по обеспечению безопасности выявление вредоносного характера кода.
Эта хитрая тактика подчеркивает важность тщательных мер безопасности при работе с электронными приложениями. Это также подчеркивает эволюцию методов, используемых киберпреступниками для сокрытия своих вредоносных действий и уклонения от обнаружения. Таким образом, организациям и специалистам по безопасности необходимо сохранять бдительность и постоянно обновлять свои аналитические данные об угрозах для защиты от таких сложных киберугроз, нацеленных на популярные платформы, такие как Electron.
#ParsedReport #CompletenessHigh
17-04-2024
Redline Stealer: A Novel Approach
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach
Report completeness: High
Threats:
Redline_stealer
Lolbin_technique
Procmon_tool
Geo:
Australia, America, Asia
ChatGPT TTPs:
T1566.001, T1027, T1059.001, T1574.002, T1547.001, T1546.012, T1105, T1070.004, T1112, T1041, have more...
IOCs:
Url: 2
Path: 4
File: 6
IP: 1
Hash: 4
Soft:
Windows Setup, Windows registry
Algorithms:
xor, zip, base64
Functions:
RegQueryValueEx
Win API:
CreateMutexExW, LdrLoaddll, RegOpenKeyExA, GetComputerNameA
Languages:
lua, jscript, powershell
17-04-2024
Redline Stealer: A Novel Approach
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach
Report completeness: High
Threats:
Redline_stealer
Lolbin_technique
Procmon_tool
Geo:
Australia, America, Asia
ChatGPT TTPs:
do not use without manual checkT1566.001, T1027, T1059.001, T1574.002, T1547.001, T1546.012, T1105, T1070.004, T1112, T1041, have more...
IOCs:
Url: 2
Path: 4
File: 6
IP: 1
Hash: 4
Soft:
Windows Setup, Windows registry
Algorithms:
xor, zip, base64
Functions:
RegQueryValueEx
Win API:
CreateMutexExW, LdrLoaddll, RegOpenKeyExA, GetComputerNameA
Languages:
lua, jscript, powershell
McAfee Blog
Redline Stealer: A Novel Approach | McAfee Blog
Authored by Mohansundaram M and Neil Tyagi A new packed variant of the Redline Stealer trojan was observed in the wild, leveraging Lua bytecode to perform
CTT Report Hub
#ParsedReport #CompletenessHigh 17-04-2024 Redline Stealer: A Novel Approach https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach Report completeness: High Threats: Redline_stealer Lolbin_technique Procmon_tool Geo: Australia…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе нового варианта троянца Redline Stealer, использующего байт-код Lua для вредоносных действий, распространяемого через GitHub, со сложными методами обфускации и связью с командно-контрольным сервером, представляющего значительную угрозу для нескольких регионов.
-----
Был обнаружен новый упакованный вариант троянца Redline Stealer, использующий байт-код Lua для вредоносных действий. Данные McAfee указывают на то, что этот вид вредоносного ПО широко распространен в различных регионах, включая Северную Америку, Южную Америку, Европу, Азию и Австралию. Вредоносная программа распространяется через GitHub, в частности, через официальную учетную запись Microsoft в репозитории vcpkg. Вредоносный файл с именем Cheat.Lab.2.7.2.zip с хэшем 5e37b3289054d5e774c02a6ec4915a60156d715f3a02aaceb7256cc3ebdc6610, размещенным на GitHub. Однако McAfee Web Advisor обнаруживает и блокирует доступ к этой загрузке.
После анализа было обнаружено, что Cheat.Lab.2.7.2.zip это zip-файл, содержащий установщик MSI, который, в свою очередь, включает в себя два PE-файла и предполагаемый текстовый файл. Двоичные файлы, присутствующие в установщике MSI, Compiler.exe и lua51.dll изначально взяты из проекта Lua, но были слегка изменены злоумышленниками в злонамеренных целях. Эти файлы используются вместе с текстовым файлом, содержащим байт-код Lua, для компиляции и выполнения во время выполнения с использованием Lua JIT, компилятора Just-In-Time для языка программирования Lua.
Вредоносная программа использует различные методы обфускации, такие как использование байт-кода Lua в файле readme.txt, чтобы избежать обнаружения и повысить скрытность. Во время установки программа установки MSI отображает пользовательский интерфейс, предлагающий пользователю распространить вредоносное ПО среди друзей, установив его на их компьютеры. Вредоносная программа устанавливает постоянство, создавая запланированную задачу для выполнения compiler.exe с аргументом файла байт-кода Lua. Кроме того, он использует второй метод сохранения, копируя файлы в произвольную папку в ProgramData с измененными именами файлов и удаляя файл ErrorHandler.cmd по адресу C:\Windows\Setup\Scripts.
Связь с сервером управления (C2) осуществляется по протоколу HTTP, при этом на IP-адрес сервера, относящегося к семейству Redline, отправляется запрос HTTP PUT. Вредоносная программа собирает системную информацию и отправляет ее на сервер C2 для получения дальнейших инструкций и извлечения данных.
Попытки декомпилировать файл байт-кода Lua оказались сложными, поскольку различные декомпиляторы с открытым исходным кодом предоставляют несколько разные сценарии и сталкиваются с ошибками во время компиляции. Перед выполнением байт-кода Lua JIT создается новое состояние Lua для поддержания изоляции между различными экземплярами кода Lua, обеспечивая разделение глобальных сред и стеков. Байт-код jit загружается с помощью функции экспорта luaL_loadfile из lua51 с дальнейшим доступом к функциям Windows API через интеграцию с ffi.
Подводя итог, можно сказать, что новый вариант троянца Redline Stealer отличается изощренным использованием байт-кода Lua и методов обфускации, позволяющих избежать обнаружения и сохранять устойчивость в зараженных системах. Его широкое распространение во многих регионах представляет серьезную угрозу для пользователей и организаций, что подчеркивает важность надежных мер кибербезопасности для противодействия таким передовым видам вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе нового варианта троянца Redline Stealer, использующего байт-код Lua для вредоносных действий, распространяемого через GitHub, со сложными методами обфускации и связью с командно-контрольным сервером, представляющего значительную угрозу для нескольких регионов.
-----
Был обнаружен новый упакованный вариант троянца Redline Stealer, использующий байт-код Lua для вредоносных действий. Данные McAfee указывают на то, что этот вид вредоносного ПО широко распространен в различных регионах, включая Северную Америку, Южную Америку, Европу, Азию и Австралию. Вредоносная программа распространяется через GitHub, в частности, через официальную учетную запись Microsoft в репозитории vcpkg. Вредоносный файл с именем Cheat.Lab.2.7.2.zip с хэшем 5e37b3289054d5e774c02a6ec4915a60156d715f3a02aaceb7256cc3ebdc6610, размещенным на GitHub. Однако McAfee Web Advisor обнаруживает и блокирует доступ к этой загрузке.
После анализа было обнаружено, что Cheat.Lab.2.7.2.zip это zip-файл, содержащий установщик MSI, который, в свою очередь, включает в себя два PE-файла и предполагаемый текстовый файл. Двоичные файлы, присутствующие в установщике MSI, Compiler.exe и lua51.dll изначально взяты из проекта Lua, но были слегка изменены злоумышленниками в злонамеренных целях. Эти файлы используются вместе с текстовым файлом, содержащим байт-код Lua, для компиляции и выполнения во время выполнения с использованием Lua JIT, компилятора Just-In-Time для языка программирования Lua.
Вредоносная программа использует различные методы обфускации, такие как использование байт-кода Lua в файле readme.txt, чтобы избежать обнаружения и повысить скрытность. Во время установки программа установки MSI отображает пользовательский интерфейс, предлагающий пользователю распространить вредоносное ПО среди друзей, установив его на их компьютеры. Вредоносная программа устанавливает постоянство, создавая запланированную задачу для выполнения compiler.exe с аргументом файла байт-кода Lua. Кроме того, он использует второй метод сохранения, копируя файлы в произвольную папку в ProgramData с измененными именами файлов и удаляя файл ErrorHandler.cmd по адресу C:\Windows\Setup\Scripts.
Связь с сервером управления (C2) осуществляется по протоколу HTTP, при этом на IP-адрес сервера, относящегося к семейству Redline, отправляется запрос HTTP PUT. Вредоносная программа собирает системную информацию и отправляет ее на сервер C2 для получения дальнейших инструкций и извлечения данных.
Попытки декомпилировать файл байт-кода Lua оказались сложными, поскольку различные декомпиляторы с открытым исходным кодом предоставляют несколько разные сценарии и сталкиваются с ошибками во время компиляции. Перед выполнением байт-кода Lua JIT создается новое состояние Lua для поддержания изоляции между различными экземплярами кода Lua, обеспечивая разделение глобальных сред и стеков. Байт-код jit загружается с помощью функции экспорта luaL_loadfile из lua51 с дальнейшим доступом к функциям Windows API через интеграцию с ffi.
Подводя итог, можно сказать, что новый вариант троянца Redline Stealer отличается изощренным использованием байт-кода Lua и методов обфускации, позволяющих избежать обнаружения и сохранять устойчивость в зараженных системах. Его широкое распространение во многих регионах представляет серьезную угрозу для пользователей и организаций, что подчеркивает важность надежных мер кибербезопасности для противодействия таким передовым видам вредоносного ПО.
#ParsedReport #CompletenessLow
18-04-2024
A Look at CVE-2024-3400 Activity and Upstyle Backdoor Technical Analysis
https://www.zscaler.com/blogs/security-research/look-cve-2024-3400-activity-and-upstyle-backdoor-technical-analysis
Report completeness: Low
Threats:
Upstyle_backdoor
Redline_stealer
Evilproxy_tool
Victims:
Palo alto networks pan-os
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 11.0.0, 11.1.0)
ChatGPT TTPs:
T1059, T1068, T1190, T1070, T1574, T1105, T1132, T1543
IOCs:
IP: 4
File: 2
Hash: 4
Soft:
PAN-OS
Algorithms:
base64, sha256
Languages:
python
18-04-2024
A Look at CVE-2024-3400 Activity and Upstyle Backdoor Technical Analysis
https://www.zscaler.com/blogs/security-research/look-cve-2024-3400-activity-and-upstyle-backdoor-technical-analysis
Report completeness: Low
Threats:
Upstyle_backdoor
Redline_stealer
Evilproxy_tool
Victims:
Palo alto networks pan-os
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 11.0.0, 11.1.0)
ChatGPT TTPs:
do not use without manual checkT1059, T1068, T1190, T1070, T1574, T1105, T1132, T1543
IOCs:
IP: 4
File: 2
Hash: 4
Soft:
PAN-OS
Algorithms:
base64, sha256
Languages:
python
Zscaler
CVE-2024-3400 Activity | ThreatLabz
Delve into CVE-2024-3400, a zero-day command-injection flaw in PAN-OS. Uncover exploitation trends in Zscaler's intelligence network and a Python-based backdoor
CTT Report Hub
#ParsedReport #CompletenessLow 18-04-2024 A Look at CVE-2024-3400 Activity and Upstyle Backdoor Technical Analysis https://www.zscaler.com/blogs/security-research/look-cve-2024-3400-activity-and-upstyle-backdoor-technical-analysis Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Критическая уязвимость при внедрении команд нулевого дня (CVE-2024-3400) в PAN-OS Palo Alto Networks позволила злоумышленникам выполнять произвольные команды с правами root в целевых системах. После его обнаружения были обнаружены действия по вредоносному использованию, что подчеркивает важность внедрения надежных мер защиты, таких как платформа обмена с нулевым доверием, архитектура с нулевым доверием и принципы глубокой защиты для снижения рисков и предотвращения несанкционированного доступа.
-----
В операционной системе Palo Alto Networks PAN-OS была обнаружена уязвимость, связанная с внедрением команд нулевого дня, идентифицированная как CVE-2024-3400. Степень серьезности этой критической уязвимости составила 10,0. Она позволяет пользователю, не прошедшему проверку подлинности, выполнять произвольные команды в целевой системе с правами суперпользователя. Volexity был первым, кто сообщил об этой уязвимости, в результате чего Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило ее в свой каталог известных эксплуатируемых уязвимостей.
Глобальная разведывательная сеть Zscaler обнаружила активность, связанную с CVE-2024-3400, сразу после выпуска сценария использования. Эксплойт использовал pth-файл для автоматического запуска и обладал уникальным методом непрямого взаимодействия с бэкдором с использованием журналов ошибок и общедоступной таблицы стилей для обмена командами.
Вскоре после того, как уязвимость была обнаружена, на GitHub был выложен в открытый доступ скрипт на основе Python, который облегчил использование киберпреступниками. Вскоре после публикации скрипта Zscaler обнаружил вредоносную активность из нескольких известных источников, нацеленную на уязвимые устройства различных пользователей. Примечательно, что эта активность, по-видимому, не была характерна для какого-либо региона или отрасли. Большая часть наблюдаемой активности исходила от IP-адресов, связанных со сканированием уязвимостей, Redline Stealer и EvilProxy. Однако выделялся один IP-адрес, 67.55.94.84, связанный с провайдером VPN, при этом никакой другой подозрительной активности в то время не наблюдалось.
В настоящее время недостаточно доказательств, чтобы отнести этот IP-адрес к конкретному источнику угрозы, хотя считается, что злоумышленники могут использовать Upstyle, сложный бэкдор, идентифицированный Volexity, в своей стратегии атаки. Upstyle использует передовые методы для настойчивости, приема команд и взаимодействия с атакующим.
Бэкдор состоит из трех уровней. Первый уровень выполняет функции установщика, записывая следующий уровень в файл /usr/lib/python3.6/site-packages/system.pth, устанавливая механизм автоматического выполнения вредоносного кода при каждом запуске Python в системе. Функциональный уровень бэкдора содержит код, закодированный в base64, с функциями защиты и проверки. Функция защиты обеспечивает постоянство, добавляя обработчик к файлу system.pth, в то время как функция проверки управляет выполнением потока бэкдора в зависимости от конкретных условий.
После запуска бэкдор извлекает информацию из указанного файла, обрабатывает логи для удаления вредоносных команд и восстанавливает временные метки файлов. Через 15 секунд восстанавливается дополнительное содержимое файла и временные метки, что повышает скрытность и запутывает действия злоумышленника.
Всплеск вредоносной активности после публикации общедоступного сценария эксплойта подчеркивает критический характер CVE-2024-3400. Для противодействия таким угрозам рекомендуется использовать платформу обмена с нулевым доверием, архитектуру с нулевым доверием и принципы глубокой защиты. Внедрение правил обнаружения, мониторинг подозрительного поведения и внедрение технологии обмана могут усилить защитные механизмы, затрудняя противникам передвижение в среде незамеченными.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Критическая уязвимость при внедрении команд нулевого дня (CVE-2024-3400) в PAN-OS Palo Alto Networks позволила злоумышленникам выполнять произвольные команды с правами root в целевых системах. После его обнаружения были обнаружены действия по вредоносному использованию, что подчеркивает важность внедрения надежных мер защиты, таких как платформа обмена с нулевым доверием, архитектура с нулевым доверием и принципы глубокой защиты для снижения рисков и предотвращения несанкционированного доступа.
-----
В операционной системе Palo Alto Networks PAN-OS была обнаружена уязвимость, связанная с внедрением команд нулевого дня, идентифицированная как CVE-2024-3400. Степень серьезности этой критической уязвимости составила 10,0. Она позволяет пользователю, не прошедшему проверку подлинности, выполнять произвольные команды в целевой системе с правами суперпользователя. Volexity был первым, кто сообщил об этой уязвимости, в результате чего Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило ее в свой каталог известных эксплуатируемых уязвимостей.
Глобальная разведывательная сеть Zscaler обнаружила активность, связанную с CVE-2024-3400, сразу после выпуска сценария использования. Эксплойт использовал pth-файл для автоматического запуска и обладал уникальным методом непрямого взаимодействия с бэкдором с использованием журналов ошибок и общедоступной таблицы стилей для обмена командами.
Вскоре после того, как уязвимость была обнаружена, на GitHub был выложен в открытый доступ скрипт на основе Python, который облегчил использование киберпреступниками. Вскоре после публикации скрипта Zscaler обнаружил вредоносную активность из нескольких известных источников, нацеленную на уязвимые устройства различных пользователей. Примечательно, что эта активность, по-видимому, не была характерна для какого-либо региона или отрасли. Большая часть наблюдаемой активности исходила от IP-адресов, связанных со сканированием уязвимостей, Redline Stealer и EvilProxy. Однако выделялся один IP-адрес, 67.55.94.84, связанный с провайдером VPN, при этом никакой другой подозрительной активности в то время не наблюдалось.
В настоящее время недостаточно доказательств, чтобы отнести этот IP-адрес к конкретному источнику угрозы, хотя считается, что злоумышленники могут использовать Upstyle, сложный бэкдор, идентифицированный Volexity, в своей стратегии атаки. Upstyle использует передовые методы для настойчивости, приема команд и взаимодействия с атакующим.
Бэкдор состоит из трех уровней. Первый уровень выполняет функции установщика, записывая следующий уровень в файл /usr/lib/python3.6/site-packages/system.pth, устанавливая механизм автоматического выполнения вредоносного кода при каждом запуске Python в системе. Функциональный уровень бэкдора содержит код, закодированный в base64, с функциями защиты и проверки. Функция защиты обеспечивает постоянство, добавляя обработчик к файлу system.pth, в то время как функция проверки управляет выполнением потока бэкдора в зависимости от конкретных условий.
После запуска бэкдор извлекает информацию из указанного файла, обрабатывает логи для удаления вредоносных команд и восстанавливает временные метки файлов. Через 15 секунд восстанавливается дополнительное содержимое файла и временные метки, что повышает скрытность и запутывает действия злоумышленника.
Всплеск вредоносной активности после публикации общедоступного сценария эксплойта подчеркивает критический характер CVE-2024-3400. Для противодействия таким угрозам рекомендуется использовать платформу обмена с нулевым доверием, архитектуру с нулевым доверием и принципы глубокой защиты. Внедрение правил обнаружения, мониторинг подозрительного поведения и внедрение технологии обмана могут усилить защитные механизмы, затрудняя противникам передвижение в среде незамеченными.
#ParsedReport #CompletenessMedium
18-04-2024
DuneQuixote campaign targets Middle Eastern entities with "CR4T" malware
https://securelist.com/dunequixote/112425
Report completeness: Medium
Threats:
Dunequixote
Victims:
Government entities
Industry:
Government
Geo:
Luxembourg, Korea, Spanish, Japan, Canada, Netherlands
ChatGPT TTPs:
T1566.001, T1204.002, T1059.003, T1140, T1027, T1105, T1574.002, T1112, T1027.002, T1553.002, have more...
IOCs:
File: 9
Domain: 9
IP: 1
Hash: 40
Soft:
Total Commander, Component Object Model, Task Scheduler, Telegram
Algorithms:
md5, base64, xor
Win API:
GetProcAddress
Languages:
golang, powershell
Platforms:
x64
Links:
18-04-2024
DuneQuixote campaign targets Middle Eastern entities with "CR4T" malware
https://securelist.com/dunequixote/112425
Report completeness: Medium
Threats:
Dunequixote
Victims:
Government entities
Industry:
Government
Geo:
Luxembourg, Korea, Spanish, Japan, Canada, Netherlands
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1059.003, T1140, T1027, T1105, T1574.002, T1112, T1027.002, T1553.002, have more...
IOCs:
File: 9
Domain: 9
IP: 1
Hash: 40
Soft:
Total Commander, Component Object Model, Task Scheduler, Telegram
Algorithms:
md5, base64, xor
Win API:
GetProcAddress
Languages:
golang, powershell
Platforms:
x64
Links:
https://github.com/go-telegram-bot-api/telegram-bot-apihttps://github.com/go-ole/go-oleSecurelist
Analysis of DuneQuixote APT campaign in the Middle East
New unattributed DuneQuixote campaign targeting entities in the Middle East employs droppers disguised as Total Commander installer and CR4T backdoor in C and Go.
CTT Report Hub
#ParsedReport #CompletenessMedium 18-04-2024 DuneQuixote campaign targets Middle Eastern entities with "CR4T" malware https://securelist.com/dunequixote/112425 Report completeness: Medium Threats: Dunequixote Victims: Government entities Industry: Government…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изощренной вредоносной кампании под названием "DuneQuixote", нацеленной на правительственные учреждения на Ближнем Востоке. Кампания включает в себя дропперы, связанные с бэкдором под названием "CR4T", использующие эффективные методы обхода как в сетевых коммуникациях, так и в коде вредоносного ПО, чтобы избежать обнаружения и анализа. Вредоносная программа разработана на C/C++ и включает в себя сегменты ассемблера с ложными вызовами API и динамическим разрешением функций Windows API. Имплантат CR4T предоставляет злоумышленникам доступ к компьютерам жертв из командной строки, использует уникальные методы дешифрования и демонстрирует адаптивность как к версиям C/C++, так и к Golang. Кампания демонстрирует использование замаскированных капельниц, имплантатов, работающих только с памятью, и методов уклонения, нацеленных на организации на Ближнем Востоке.
-----
Кампания вредоносного ПО под названием "DuneQuixote" нацелена на правительственные учреждения на Ближнем Востоке.
Обнаружено более 30 образцов капельниц, включая обычные капельницы и подделанные установочные файлы для "Total Commander".
Капельницы содержат код для загрузки бэкдора под названием "CR4T"; предполагается наличие других имплантатов CR4T.
Эффективные методы обхода сетевых коммуникаций и вредоносного кода для предотвращения обнаружения и анализа.
Вредоносная программа, разработанная на C/C++ с сегментами на ассемблере; использует фрагменты испанских стихотворений для ложных вызовов API.
Dropper расшифровывает адрес C2, используя уникальный метод, включающий имя файла, конкатенацию строк и хеширование MD5.
Имплантат CR4T предоставляет доступ из командной строки к компьютерам жертвы, устанавливает связь с C2.
Версия CR4T на Golang использует библиотеку Go-ole для сохранения данных через планировщик задач и Telegram API.
Жертвы были обнаружены на Ближнем Востоке с февраля 2023 года, а распространение вредоносных программ началось в декабре 2023 года.
Кампания "Дюнек-Кихот" демонстрирует изощренные методы уклонения и использование замаскированных капельниц.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изощренной вредоносной кампании под названием "DuneQuixote", нацеленной на правительственные учреждения на Ближнем Востоке. Кампания включает в себя дропперы, связанные с бэкдором под названием "CR4T", использующие эффективные методы обхода как в сетевых коммуникациях, так и в коде вредоносного ПО, чтобы избежать обнаружения и анализа. Вредоносная программа разработана на C/C++ и включает в себя сегменты ассемблера с ложными вызовами API и динамическим разрешением функций Windows API. Имплантат CR4T предоставляет злоумышленникам доступ к компьютерам жертв из командной строки, использует уникальные методы дешифрования и демонстрирует адаптивность как к версиям C/C++, так и к Golang. Кампания демонстрирует использование замаскированных капельниц, имплантатов, работающих только с памятью, и методов уклонения, нацеленных на организации на Ближнем Востоке.
-----
Кампания вредоносного ПО под названием "DuneQuixote" нацелена на правительственные учреждения на Ближнем Востоке.
Обнаружено более 30 образцов капельниц, включая обычные капельницы и подделанные установочные файлы для "Total Commander".
Капельницы содержат код для загрузки бэкдора под названием "CR4T"; предполагается наличие других имплантатов CR4T.
Эффективные методы обхода сетевых коммуникаций и вредоносного кода для предотвращения обнаружения и анализа.
Вредоносная программа, разработанная на C/C++ с сегментами на ассемблере; использует фрагменты испанских стихотворений для ложных вызовов API.
Dropper расшифровывает адрес C2, используя уникальный метод, включающий имя файла, конкатенацию строк и хеширование MD5.
Имплантат CR4T предоставляет доступ из командной строки к компьютерам жертвы, устанавливает связь с C2.
Версия CR4T на Golang использует библиотеку Go-ole для сохранения данных через планировщик задач и Telegram API.
Жертвы были обнаружены на Ближнем Востоке с февраля 2023 года, а распространение вредоносных программ началось в декабре 2023 года.
Кампания "Дюнек-Кихот" демонстрирует изощренные методы уклонения и использование замаскированных капельниц.
#ParsedReport #CompletenessHigh
18-04-2024
#StopRansomware: Akira Ransomware
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a
Report completeness: High
Threats:
Akira_ransomware
Phobos
Megazord
Spear-phishing_technique
Kerberoasting_technique
Mimikatz_tool
Lazagne_tool
Powertool_tool
Zemana
Anydesk_tool
Mobaxterm_tool
Rustdesk_tool
Shadow_copies_delete_technique
Adfind_tool
Radmin_tool
Pchunter64_tool
Nltest_tool
Minidump_tool
Credential_dumping_technique
Byovd_technique
Victims:
Businesses, Critical infrastructure entities
Industry:
Financial
Geo:
Australia, Netherlands, America
CVEs:
CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.5.0.5, <6.4.0.9, <6.3.0.6, <6.2.3.16)
- cisco adaptive security appliance software (<9.9.2.67, <9.8.4.20, <9.13.1.10, <9.10.1.40, <9.12.3.9)
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.10.1, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)
TTPs:
Tactics: 8
Technics: 25
IOCs:
File: 15
Hash: 26
Path: 1
Command: 2
Soft:
ESXi, Local Security Authority, WinSCP, Active Directory, macOS, OpenSSH
Crypto:
bitcoin
Algorithms:
chacha20, md5, sha256
Languages:
powershell, rust
Platforms:
cross-platform
Links:
18-04-2024
#StopRansomware: Akira Ransomware
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a
Report completeness: High
Threats:
Akira_ransomware
Phobos
Megazord
Spear-phishing_technique
Kerberoasting_technique
Mimikatz_tool
Lazagne_tool
Powertool_tool
Zemana
Anydesk_tool
Mobaxterm_tool
Rustdesk_tool
Shadow_copies_delete_technique
Adfind_tool
Radmin_tool
Pchunter64_tool
Nltest_tool
Minidump_tool
Credential_dumping_technique
Byovd_technique
Victims:
Businesses, Critical infrastructure entities
Industry:
Financial
Geo:
Australia, Netherlands, America
CVEs:
CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.5.0.5, <6.4.0.9, <6.3.0.6, <6.2.3.16)
- cisco adaptive security appliance software (<9.9.2.67, <9.8.4.20, <9.13.1.10, <9.10.1.40, <9.12.3.9)
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.10.1, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)
TTPs:
Tactics: 8
Technics: 25
IOCs:
File: 15
Hash: 26
Path: 1
Command: 2
Soft:
ESXi, Local Security Authority, WinSCP, Active Directory, macOS, OpenSSH
Crypto:
bitcoin
Algorithms:
chacha20, md5, sha256
Languages:
powershell, rust
Platforms:
cross-platform
Links:
https://github.com/cisagov/Decider/https://github.com/cisagov/cset/releases/tag/v10.3.0.0Vulners Database
CVE-2020-3259 - vulnerability database | Vulners.com
A vulnerability in the web services interface of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to retrieve memory contents on an affected device, wh...
👍1
CTT Report Hub
#ParsedReport #CompletenessHigh 18-04-2024 #StopRansomware: Akira Ransomware https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a Report completeness: High Threats: Akira_ransomware Phobos Megazord Spear-phishing_technique Kerberoasting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в совместном рекомендательном документе по кибербезопасности (CSA), в котором основное внимание уделяется участникам угроз, связанных с программой-вымогателем Akira, с подробным описанием их тактики, методов и процедур (TTP), а также показателей компрометации (IOCs). В нем рассказывается о влиянии программы-вымогателя Akira на организации в Северной Америке, Европе и Австралии, об используемых вариантах программы-вымогателя, используемых схемах шифрования и методах, используемых злоумышленниками для оказания давления на жертв с целью получения выкупа. В CSA также содержатся рекомендации для организаций по снижению риска инцидентов с программами-вымогателями, в которых подчеркивается важность устранения известных уязвимостей, внедрения многофакторной аутентификации и регулярного проведения оценки уязвимостей. Кроме того, в нем пропагандируются усилия и ресурсы #StopRansomware, которые помогут организациям бороться с угрозами программ-вымогателей.
-----
Объединенный консультативный совет по кибербезопасности (CSA) сосредоточен на действиях злоумышленников Akira, которые повлияли на организации в Северной Америке, Европе и Австралии, и, по сообщениям, по состоянию на январь 2024 года выручка от программ-вымогателей составила 42 миллиона долларов.
Злоумышленники Akira используют уязвимости, в частности, нацеливаясь на VPN-сервисы без многофакторной аутентификации, получая первоначальный доступ с помощью таких методов, как использование уязвимостей Cisco, протокола удаленного рабочего стола, скрытого фишинга и злоупотребления действительными учетными данными.
Злоумышленники используют два варианта программ-вымогателей - "Megazord" и шифровальщик ESXi под названием "Akira_v2". Они угрожают опубликовать отфильтрованные данные в сети Tor, если требования о выкупе не будут выполнены, и требуют выплаты в биткоинах.
Рекомендации CSA включают приоритетное устранение известных уязвимостей, внедрение многофакторной аутентификации, регулярное внесение исправлений и оценку уязвимостей.
Злоумышленники Akira используют сложные схемы шифрования, нацеливаются на контроллеры домена, создают новые учетные записи домена и используют методы последующей эксплуатации, такие как Kerberoasting и инструменты очистки учетных данных.
Организациям настоятельно рекомендуется незамедлительно сообщать об инцидентах с программами-вымогателями в ФБР или CISA, поскольку выплата выкупа не гарантирует восстановления файлов и может способствовать финансированию незаконной деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в совместном рекомендательном документе по кибербезопасности (CSA), в котором основное внимание уделяется участникам угроз, связанных с программой-вымогателем Akira, с подробным описанием их тактики, методов и процедур (TTP), а также показателей компрометации (IOCs). В нем рассказывается о влиянии программы-вымогателя Akira на организации в Северной Америке, Европе и Австралии, об используемых вариантах программы-вымогателя, используемых схемах шифрования и методах, используемых злоумышленниками для оказания давления на жертв с целью получения выкупа. В CSA также содержатся рекомендации для организаций по снижению риска инцидентов с программами-вымогателями, в которых подчеркивается важность устранения известных уязвимостей, внедрения многофакторной аутентификации и регулярного проведения оценки уязвимостей. Кроме того, в нем пропагандируются усилия и ресурсы #StopRansomware, которые помогут организациям бороться с угрозами программ-вымогателей.
-----
Объединенный консультативный совет по кибербезопасности (CSA) сосредоточен на действиях злоумышленников Akira, которые повлияли на организации в Северной Америке, Европе и Австралии, и, по сообщениям, по состоянию на январь 2024 года выручка от программ-вымогателей составила 42 миллиона долларов.
Злоумышленники Akira используют уязвимости, в частности, нацеливаясь на VPN-сервисы без многофакторной аутентификации, получая первоначальный доступ с помощью таких методов, как использование уязвимостей Cisco, протокола удаленного рабочего стола, скрытого фишинга и злоупотребления действительными учетными данными.
Злоумышленники используют два варианта программ-вымогателей - "Megazord" и шифровальщик ESXi под названием "Akira_v2". Они угрожают опубликовать отфильтрованные данные в сети Tor, если требования о выкупе не будут выполнены, и требуют выплаты в биткоинах.
Рекомендации CSA включают приоритетное устранение известных уязвимостей, внедрение многофакторной аутентификации, регулярное внесение исправлений и оценку уязвимостей.
Злоумышленники Akira используют сложные схемы шифрования, нацеливаются на контроллеры домена, создают новые учетные записи домена и используют методы последующей эксплуатации, такие как Kerberoasting и инструменты очистки учетных данных.
Организациям настоятельно рекомендуется незамедлительно сообщать об инцидентах с программами-вымогателями в ФБР или CISA, поскольку выплата выкупа не гарантирует восстановления файлов и может способствовать финансированию незаконной деятельности.
#ParsedReport #CompletenessLow
18-04-2024
Ghost Locker 2.0: The Evolving Threat of Ransomware-as-a-Service Unveiled by GhostSec
https://www.seqrite.com/blog/ghost-locker-2-0-the-evolving-threat-of-ransomware-as-a-service-unveiled-by-ghostsec
Report completeness: Low
Actors/Campaigns:
Ghostsec
Stormous
Threats:
Ghostlocker
Ransom.ghostlockr
Geo:
Africa, Egypt, China, Turkey, Brazil, India
TTPs:
Tactics: 5
Technics: 9
IOCs:
Url: 6
File: 2
Hash: 2
Algorithms:
aes
Win Services:
bits
Languages:
python, golang
18-04-2024
Ghost Locker 2.0: The Evolving Threat of Ransomware-as-a-Service Unveiled by GhostSec
https://www.seqrite.com/blog/ghost-locker-2-0-the-evolving-threat-of-ransomware-as-a-service-unveiled-by-ghostsec
Report completeness: Low
Actors/Campaigns:
Ghostsec
Stormous
Threats:
Ghostlocker
Ransom.ghostlockr
Geo:
Africa, Egypt, China, Turkey, Brazil, India
TTPs:
Tactics: 5
Technics: 9
IOCs:
Url: 6
File: 2
Hash: 2
Algorithms:
aes
Win Services:
bits
Languages:
python, golang
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Ghost Locker 2.0: The Evolving Threat of Ransomware-as-a-Service Unveiled by GhostSec
<p>Ghost Locker is a Ransomware-as-a-Service (Raas) created by GhostSec [hacktivist groups]. In October 2023, GhostSec launched the GhostLocker framework. After their successful collaborative operations with the Stormous ransomware group in July 2023, GhostLocker…
CTT Report Hub
#ParsedReport #CompletenessLow 18-04-2024 Ghost Locker 2.0: The Evolving Threat of Ransomware-as-a-Service Unveiled by GhostSec https://www.seqrite.com/blog/ghost-locker-2-0-the-evolving-threat-of-ransomware-as-a-service-unveiled-by-ghostsec Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Ghost Locker - это программа-вымогатель как услуга (RaaS), разработанная группой хактивистов GhostSec, с двумя наблюдаемыми вариантами (1.0 на Python, 2.0 на Golang), которая осуществляет эксфильтрацию и шифрование файлов жертв, требует выкуп за ключи дешифрования и использует передовые методы для эксфильтрации данных, файлообменников и шифровальщиков-шифровальщиц. шифрование и сохранение на зараженных компьютерах. Варианты отличаются по использованию сервера C2 и другим эксплуатационным аспектам.
-----
Ghost Locker - это программа-вымогатель как услуга (Raas), разработанная группой хактивистов GhostSec. Платформа GhostLocker была запущена в октябре 2023 года после успешной работы с группой Stormous ransomware в июле того же года. Операторы программ-вымогателей предоставляют своим филиалам различные возможности, затрагивая такие страны, как Бразилия, Индия, Китай, Южная Африка, Египет и Турция. В дикой природе были обнаружены два варианта программы-вымогателя Ghost Locker: версия 1.0 написана на Python, а версия 2.0 - на Golang.
Ghost Locker 2.0 осуществляет эксфильтрацию и шифрование файлов жертв, требуя выкуп за ключ дешифрования, необходимый для разблокировки файлов. Идентификатор генерируется с использованием случайной 32-байтовой строки в файле JSON программы-вымогателя, который используется злоумышленниками для идентификации зараженных компьютеров. Программа-вымогатель устанавливает соединение с сервером управления (C2) злоумышленника через определенный URL-адрес, чтобы обновить список компьютеров-жертв в панели управления Ghost Locker.
Программа-вымогатель генерирует секретный ключ, используя алгоритм симметричного шифрования Fernet, отправляет его злоумышленнику через файл JSON и использует для шифрования файлов. Такая информация, как IP-адрес жертвы, код шифрования, дата заражения, статус шифрования, сумма выкупа и строка идентификатора жертвы, собирается и сохраняется в файле JSON на компьютере жертвы. Затем этот файл отправляется на сервер C2 для регистрации компьютера жертвы в панели управления.
Используя алгоритм шифрования AES с длиной ключа 256 бит, Ghost Locker шифрует файлы в памяти, создает зашифрованную копию на диске с расширением ".ghost" и удаляет исходный файл. После шифрования на рабочий стол жертвы помещается вложенная записка с требованием выкупа в формате HTML с именем "Ransomnote.html", которая запускается с помощью команды Windows "Пуск".
Хотя версия 2 Ghost Locker в основном основана на Golang, как и версия 1, есть заметные отличия. Серверы C2 изменились: в варианте 1 используется один URL-адрес, а в варианте 2 - другой. С точки зрения выполнения, вариант 1 работает без подключения к серверу C2, в отличие от варианта 2. Сгенерированный файл JSON содержит разные имена пользователей для двух вариантов.
Программа-вымогатель использует методы самосохранения, копируя себя в папку автозагрузки Windows и создавая 32-байтовый идентификатор для файла JSON. Как только компьютер регистрируется в панели управления C2, программа-вымогатель пытается завершить указанные процессы или службы, перечисленные злоумышленником. Он определяет местоположение целевых файлов на основе предопределенных расширений и загружает их на сервер C2 перед шифрованием, удаляя файлы и шифруя их с определенными расширениями, такими как .doc и .xls.
Ghost Locker представляет собой переход от скриптов Python к языку Go, в котором основное внимание уделяется фильтрации данных и шифрованию файлов. Чтобы избежать обнаружения, он завершает определенные процессы или службы и реализует механизм самоудаления после завершения процесса шифрования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Ghost Locker - это программа-вымогатель как услуга (RaaS), разработанная группой хактивистов GhostSec, с двумя наблюдаемыми вариантами (1.0 на Python, 2.0 на Golang), которая осуществляет эксфильтрацию и шифрование файлов жертв, требует выкуп за ключи дешифрования и использует передовые методы для эксфильтрации данных, файлообменников и шифровальщиков-шифровальщиц. шифрование и сохранение на зараженных компьютерах. Варианты отличаются по использованию сервера C2 и другим эксплуатационным аспектам.
-----
Ghost Locker - это программа-вымогатель как услуга (Raas), разработанная группой хактивистов GhostSec. Платформа GhostLocker была запущена в октябре 2023 года после успешной работы с группой Stormous ransomware в июле того же года. Операторы программ-вымогателей предоставляют своим филиалам различные возможности, затрагивая такие страны, как Бразилия, Индия, Китай, Южная Африка, Египет и Турция. В дикой природе были обнаружены два варианта программы-вымогателя Ghost Locker: версия 1.0 написана на Python, а версия 2.0 - на Golang.
Ghost Locker 2.0 осуществляет эксфильтрацию и шифрование файлов жертв, требуя выкуп за ключ дешифрования, необходимый для разблокировки файлов. Идентификатор генерируется с использованием случайной 32-байтовой строки в файле JSON программы-вымогателя, который используется злоумышленниками для идентификации зараженных компьютеров. Программа-вымогатель устанавливает соединение с сервером управления (C2) злоумышленника через определенный URL-адрес, чтобы обновить список компьютеров-жертв в панели управления Ghost Locker.
Программа-вымогатель генерирует секретный ключ, используя алгоритм симметричного шифрования Fernet, отправляет его злоумышленнику через файл JSON и использует для шифрования файлов. Такая информация, как IP-адрес жертвы, код шифрования, дата заражения, статус шифрования, сумма выкупа и строка идентификатора жертвы, собирается и сохраняется в файле JSON на компьютере жертвы. Затем этот файл отправляется на сервер C2 для регистрации компьютера жертвы в панели управления.
Используя алгоритм шифрования AES с длиной ключа 256 бит, Ghost Locker шифрует файлы в памяти, создает зашифрованную копию на диске с расширением ".ghost" и удаляет исходный файл. После шифрования на рабочий стол жертвы помещается вложенная записка с требованием выкупа в формате HTML с именем "Ransomnote.html", которая запускается с помощью команды Windows "Пуск".
Хотя версия 2 Ghost Locker в основном основана на Golang, как и версия 1, есть заметные отличия. Серверы C2 изменились: в варианте 1 используется один URL-адрес, а в варианте 2 - другой. С точки зрения выполнения, вариант 1 работает без подключения к серверу C2, в отличие от варианта 2. Сгенерированный файл JSON содержит разные имена пользователей для двух вариантов.
Программа-вымогатель использует методы самосохранения, копируя себя в папку автозагрузки Windows и создавая 32-байтовый идентификатор для файла JSON. Как только компьютер регистрируется в панели управления C2, программа-вымогатель пытается завершить указанные процессы или службы, перечисленные злоумышленником. Он определяет местоположение целевых файлов на основе предопределенных расширений и загружает их на сервер C2 перед шифрованием, удаляя файлы и шифруя их с определенными расширениями, такими как .doc и .xls.
Ghost Locker представляет собой переход от скриптов Python к языку Go, в котором основное внимание уделяется фильтрации данных и шифрованию файлов. Чтобы избежать обнаружения, он завершает определенные процессы или службы и реализует механизм самоудаления после завершения процесса шифрования.
#ParsedReport #CompletenessMedium
18-04-2024
OpenMetadata Vulnerabilities Allow Attackers to Cryptomine in Kubernetes Environments
https://socradar.io/openmetadata-attackers-cryptomine-in-kubernetes
Report completeness: Medium
Threats:
Interactsh_tool
Netcat_tool
Victims:
Openmetadata, Kubernetes
Geo:
China
CVEs:
CVE-2024-28255 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28847 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28848 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28254 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28253 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1190, T1574, T1046, T1105, T1059, T1071, T1036, T1113, T1053, T0204, have more...
IOCs:
File: 1
Domain: 2
IP: 3
Hash: 3
Soft:
OpenMetadata
Algorithms:
sha256
18-04-2024
OpenMetadata Vulnerabilities Allow Attackers to Cryptomine in Kubernetes Environments
https://socradar.io/openmetadata-attackers-cryptomine-in-kubernetes
Report completeness: Medium
Threats:
Interactsh_tool
Netcat_tool
Victims:
Openmetadata, Kubernetes
Geo:
China
CVEs:
CVE-2024-28255 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28847 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28848 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28254 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28253 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1574, T1046, T1105, T1059, T1071, T1036, T1113, T1053, T0204, have more...
IOCs:
File: 1
Domain: 2
IP: 3
Hash: 3
Soft:
OpenMetadata
Algorithms:
sha256
SOCRadar® Cyber Intelligence Inc.
OpenMetadata Vulnerabilities Allow Attackers to Cryptomine in Kubernetes Environments
Recent findings from a Microsoft security blog reveal that attackers exploit newly discovered critical vulnerabilities in the OpenMetadata platform...