CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#cyberthreattech #inseca #ctimeetup

20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз.

CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI

Презентации и записи выступлений будут опубликованы позднее.

Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥

Чтобы попасть на следующую встречу добавляйтесь в лист ожидания. Хотите стать спикером на мероприятии? Напишите @insecatech о вас и теме вашего выступления, мы с вами обязательно свяжемся!
🔥3
#cyberthreattech
Краткий срез по тому, что у нас появилось нового:

1. Для OpenCTI 6.х коннекторы в официальной репе:
Threat Feed (IoC)
Report Hub (TI-отчеты)
Noise Control (очистка любых фидов)

2. В фиде добавили еще источников с проксями (теперь 26 источника, что дает порядка 25К проксей в день)

3. Добавили пачку из 300 наиболее популярных torrent tracker-ов. Мы отслеживаем IP их доменов и поддоменов. Они доступны со score = 40 и тегом torrent.
👍2
#ParsedReport #CompletenessMedium
24-04-2024

Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers

https://asec.ahnlab.com/ko/64558

Report completeness: Medium

Threats:
Meterpreter_tool
Procdump_tool
Htran
Mimikatz_tool
Trojan/win.generic.c5408521
Trojan/win.backdoor.c578523

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1190, T1106, T1547, T1003, T1021, T1193, T1133, T1562, T1071

IOCs:
IP: 2
Url: 4
File: 2
Path: 2
Hash: 2

Soft:
ASP.NET, curl, sogou, coccoc

Algorithms:
md5

Languages:
powershell

Platforms:
x64, x86
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers https://asec.ahnlab.com/ko/64558 Report completeness: Medium Threats: Meterpreter_tool Procdump_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) выявил вредоносное ПО, распространяемое на плохо управляемых веб-серверах Windows Internet Information Services (IIS), что в конечном итоге направляет пользователей на сайты с незаконной рекламой азартных игр. Атака включает в себя множество вредоносных инструментов и тактик, включая разведку сети, бэкдоры, переадресацию портов и манипулирование информацией в заголовке HTTP для отображения незаконного контента. Это подчеркивает важность принятия надлежащих мер безопасности, постоянного мониторинга и своевременного внесения исправлений для защиты от киберугроз.
-----

Аналитический центр безопасности AhnLab (ASEC) подтвердил распространение вредоносного ПО, которое подключается к сайтам, рекламирующим незаконные азартные игры, и нацелено на внутренние веб-серверы. Атака начинается с проникновения на плохо управляемые веб-серверы Windows Internet Information Services (IIS), где злоумышленник устанавливает различные вредоносные инструменты, включая бэкдор meterpreter, утилиту переадресации портов и вредоносное ПО модуля IIS, а также крадет учетные данные сервера с помощью ProcDump.

Вредоносная программа IIS module предназначена для отслеживания строк HTTP-заголовка зараженного веб-сервера и изменения значений ответов при определенных условиях, что приводит к отображению рекламы нелегальных игорных сайтов как на отечественных, так и на китайских поисковых порталах. Заманивая пользователей кликать по этим объявлениям, вредоносная программа приводит их к подключению к нелегальным сайтам азартных игр.

Перед развертыванием вредоносного ПО IIS module злоумышленник проводит разведку сети с помощью таких утилит, как ipconfig и systeminfo, для сбора информации о целевом сервере. Бэкдор meterpreter устанавливается путем указания IP-адреса злоумышленника и номера порта, что позволяет осуществлять удаленную связь и выполнять шелл-код на скомпрометированном сервере.

После установки бэкдора meterpreter злоумышленник использует инструмент переадресации портов HTran с помощью процесса w3wp.exe. HTran обеспечивает переадресацию данных с одного порта на другой и обычно используется для удаленной связи через порт RDP. Кроме того, злоумышленник создает учетную запись бэкдора с помощью команды net, чтобы обеспечить постоянный доступ к скомпрометированной системе, позволяя удаленный доступ, даже если исходные учетные данные сервера неизвестны.

Разработка вредоносного ПО IIS module предполагает внедрение вредоносного кода в определенные обработчики на веб-сервере IIS. Манипулируя значениями ответов на основе информации заголовка HTTP, вредоносное ПО может идентифицировать запросы поисковой системы и отображать незаконный контент, связанный с азартными играми, вместо законных веб-страниц. Эта тактика расширяет охват нелегальных игорных сайтов, заставляя поисковые системы их индексировать.

Кроме того, злоумышленник использует Procdump для извлечения учетных данных, сбрасывая данные из памяти процесса lsass.exe, что потенциально облегчает перемещение на другие подключенные серверы. График атаки показывает быстрый захват веб-сервера - от первоначального доступа до обеспечения сохраняемости и выполнения вредоносных задач менее чем за два часа.

Атака подчеркивает важность надлежащих мер безопасности для веб-серверов, а также необходимость постоянного мониторинга активов, подверженных потенциальным угрозам. Злоумышленники используют плохо управляемые системы для проведения сложных атак, подчеркивая важность своевременного внесения исправлений и обнаружения вредоносных действий для защиты от киберугроз.
#ParsedReport #CompletenessMedium
24-04-2024

Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover

https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign

Report completeness: Medium

Actors/Campaigns:
Frozen_shadow (motivation: information_theft)

Threats:
Ssload
Cobalt_strike
Screenconnect_tool
Sloader
Ssloader
Bazarbackdoor
Trickbot
Nltest_tool
Connectwise_rat
Powerview

Geo:
Asia, Americas

TTPs:
Tactics: 6
Technics: 18

IOCs:
Domain: 17
File: 6
Path: 3
Url: 5
Command: 2
IP: 4
Hash: 53

Soft:
slack, Windows Powershell

Win Services:
BITS

Languages:
javascript, powershell

Platforms:
intel

Links:
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/template.profile
https://github.com/executemalware/Malware-IOCs/blob/main/2024-04-17%20SSLoad%20IOCs
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-04-15-IOC-for-Contact-Forms-campaign-SSLoad-activity.txt
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover https://www.securonix.com/blog/securonix-threat-research…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз Securonix обнаружила сложную кампанию атак под названием FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad и импланты Cobalt Strike для проникновения в сетевые домены и контроля над ними в нескольких регионах. Злоумышленники использовали фишинговые электронные письма с вредоносными файлами JavaScript и MSI-файлами для развертывания вредоносного ПО, в конечном итоге получив доступ к критически важным серверам и поставив под угрозу кибербезопасность организации.
-----

Команда исследователей угроз Securonix обнаружила сложную кампанию атак, известную как кампания FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad вместе с имплантатами Cobalt Strike для проникновения в целые сетевые домены и контроля над ними. SSLoad - это скрытая вредоносная программа, предназначенная для проникновения в системы, сбора конфиденциальных данных и предоставления отчетов своим операторам. В отличие от более старой версии SLoader, SSLoad - относительно новая вредоносная программа, которая обычно распространяется с помощью фишинговых кампаний по электронной почте. Жертвы этой кампании были обнаружены в Азии, Европе и Северной и Южной Америке с помощью фишинговых электронных писем, содержащих ссылку, перенаправляющую на файл JavaScript, что привело к дальнейшим стадиям заражения.

Файл JavaScript, о котором идет речь, out_czlrh.js использовал методы обфускации, чтобы избежать обнаружения антивирусом. Он содержал обширные блоки комментариев, разделяющие строки кода, что затрудняло анализ. После удаления этих комментариев размер файла значительно уменьшился, что продемонстрировало продуманную стратегию обхода. Кроме того, в кампании использовался файл MSI (slack.msi), похожий на BazarBackdoor, часто связанный с бандой TrickBot, которая печально известна тем, что внедряет программы-вымогатели и крадет данные.

После запуска вредоносная программа связывалась с определенными доменами для загрузки основной полезной нагрузки SSLoad и инициировала отправку маячков на предопределенные серверы управления (C2). Она собирала системные и пользовательские данные, выполняла системные команды и передавала их злоумышленникам. Позже были выпущены ручные команды для управления серверной средой и подготовки к дальнейшим вредоносным действиям, таким как развертывание маяка Cobalt Strike для связи C2.

Злоумышленники закрепились, разместив маяки Cobalt Strike по всей сети, используя зашифрованный трафик через порт 443. Они установили программное обеспечение ScreenConnect RMM на хостах-жертвах для поддержания контроля и выполнения команд для перечисления систем и загрузки программного обеспечения. Несмотря на законное использование, ScreenConnect может быть перепрофилирован для вредоносных действий, позволяя злоумышленникам выполнять такие задачи, как совместное использование экрана, утечка данных, боковое перемещение и развертывание дополнительных вредоносных программ.

С помощью Cobalt Strike beacon злоумышленники получили учетные данные администратора домена, предоставив им доступ к критически важным серверам, включая контроллер домена, SQL server и почтовый сервер. Используя ScreenConnect для подсчета сетевых данных и извлечения учетных данных, злоумышленники добились постоянства, полностью скомпрометировали домен и создали вредоносную учетную запись администратора домена. Такой уровень доступа позволял им перемещаться по сети и повышать свои привилегии, что создавало серьезную угрозу кибербезопасности организации.
👍1
#ParsedReport #CompletenessLow
24-04-2024

Ransomware Evolution \| How Cheated Affiliates Are Recycling Victim Data for Profit

https://www.sentinelone.com/blog/ransomware-evolution-how-cheated-affiliates-are-recycling-victim-data-for-profit

Report completeness: Low

Actors/Campaigns:
Ransomhub

Threats:
Blackcat
Revil
Lockbit

Victims:
Change healthcare, Unitedhealth group

Industry:
Financial, Government, Healthcare, Military

Geo:
Korea, China, Romania

ChatGPT TTPs:
do not use without manual check
T1486, T1491, T1567, T1027, T1583

IOCs:
Domain: 5
IP: 1

Soft:
Telegram, Discord
CTT Report Hub
#ParsedReport #CompletenessLow 24-04-2024 Ransomware Evolution \| How Cheated Affiliates Are Recycling Victim Data for Profit https://www.sentinelone.com/blog/ransomware-evolution-how-cheated-affiliates-are-recycling-victim-data-for-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это меняющийся ландшафт киберугроз, в котором особое внимание уделяется появлению новой тенденции, когда филиалы программ-вымогателей повторно монетизируют украденные данные независимо от своих первоначальных соглашений о предоставлении программ-вымогателей в качестве услуги из-за финансовых споров между участниками угроз. В тексте особое внимание уделяется инцидентам, связанным с повторным вымогательством у жертв, сотрудничеству между аффилированными лицами и третьими сторонами, такими как RansomHub, и проблемам, связанным с доверием к субъектам угроз и поставщикам услуг в экосистеме программ-вымогателей. Это также подчеркивает способность киберпреступников адаптировать свою тактику для защиты своих интересов и прибыли, а также нежелание правоохранительных органов по всему миру платить выкуп и пропаганду сообщений о киберинцидентах для повышения устойчивости и предотвращения будущих атак.
-----

Филиалы программ-вымогателей все чаще повторно монетизируют украденные данные независимо от своих первоначальных соглашений RaaS из-за финансовых споров в экономике программ-вымогателей.

Аффилированная компания ALPHV нацелилась на Change Healthcare после того, как не получила свою долю выкупа, сотрудничая с RansomHub с целью вымогательства у компании во второй раз.

RansomHub функционирует как платформа RaaS, сотрудничая с филиалами, связанными с семействами программ-вымогателей, такими как ALPHV и LockBit, для расширения доступа к данным жертв.

Экосистема программ-вымогателей сталкивается с нестабильностью, поскольку существующие группы угроз проводят ребрендинг или распадаются, что приводит к отстранению аффилированных лиц от платежей и увеличивает риск повторного вымогательства данных.

Правоохранительные органы по всему миру не рекомендуют организациям платить выкуп, подчеркивая важность сообщения об инцидентах для повышения киберустойчивости и предотвращения будущих атак.
👍2
#ParsedReport #CompletenessMedium
24-04-2024

Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices

Report completeness: Medium

Actors/Campaigns:
Arcanedoor (motivation: cyber_espionage)
Uat4356 (motivation: cyber_espionage)

Threats:
Line_runner
Line_dancer_tool

Victims:
Cisco, Multiple telecommunications providers, Multiple energy sector organizations

Industry:
Energy, Telco, Government

Geo:
Canadian, Australian

CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-0101 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (<9.1.7.23, <9.4.4.16, <9.2.4.27, <9.6.4.3, <9.8.2.20, <9.7.1.21, <9.9.1.2)
- cisco firepower threat defense (6.0.0, 6.0.1, 6.2.0, 6.1.0, 6.2.2, 6.2.1)


TTPs:
Tactics: 1
Technics: 13

IOCs:
File: 10
Hash: 5
IP: 69

Algorithms:
base64, zip

Functions:
processHostScanReply

Languages:
lua
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о кампании ArcaneDoor, спонсируемой государством киберугрозе, нацеленной на периферийные сетевые устройства, особенно в таких секторах, как телекоммуникации и энергетика. Кампания была связана с использованием уязвимостей в Cisco Adaptive Security Appliances (ASA) злоумышленниками, зарегистрированными как UAT4356, которые использовали специализированные вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для проникновения в организации с целью разведки, изменения конфигурации и перехвата сетевого трафика. Кампания продемонстрировала передовую тактику уклонения, изощренность в развитии потенциала и использовании уязвимостей нулевого дня, что привело к сотрудничеству между различными разведывательными партнерами и агентствами для проведения расследований и установления виновных. Это подчеркивает сложную природу киберугроз, спонсируемых государством, и важность надежных мер кибербезопасности для снижения рисков.
-----

Кампания ArcaneDoor - это недавняя киберугроза, спонсируемая государством, направленная против сетевых устройств периметра от различных поставщиков, особенно в таких секторах, как телекоммуникации и энергетика.

Cisco обнаружила злоумышленника UAT4356, использующего пользовательские вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для выполнения таких операций, как разведка и манипулирование сетевым трафиком.

В ходе кампании использовались уязвимости CVE-2024-20353 и CVE-2024-20359 для внедрения пользовательских вредоносных программ и выполнения команд преимущественно в правительственных сетях по всему миру.

Компоненты вредоносного ПО включали резидентные в памяти интерпретаторы шеллкода, такие как Line Dancer и Line Runner, позволяющие выполнять произвольную полезную нагрузку и поддерживать доступ на скомпрометированных устройствах.

UAT4356 продемонстрировал продвинутую тактику уклонения, такую как обход операций AAA, отключение ведения журнала и использование анти-криминалистических мер, чтобы избежать обнаружения.

Проведение кампании приписывается спонсируемому государством субъекту, который продемонстрировал изощренность в развитии потенциала, мерах по борьбе с криминалистикой и использовании уязвимостей нулевого дня.

Разведывательные партнеры и агентства, такие как Австралийское управление связи, Канадский центр кибербезопасности и Microsoft Threat Intelligence Center, сотрудничали в расследовании, подчеркивая важность надежных мер кибербезопасности для противодействия киберугрозам, спонсируемым государством.
#ParsedReport #CompletenessMedium
24-04-2024

Black Hat SEO Leveraged to Distribute Malware

https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware

Report completeness: Medium

Threats:
Blackseo_technique
Seo_poisoning_technique
Process_hollowing_technique
Dll_sideloading_technique
Screenconnect_tool

Industry:
Foodtech, Financial, Entertainment

ChatGPT TTPs:
do not use without manual check
T1566, T1199, T1027, T1064, T1059.001, T1140, T1112, T1105, T1547.001, T1574.002, have more...

IOCs:
File: 8
Path: 1
Domain: 2
Coin: 1
Hash: 3

Soft:
Chrome, gmail, bitwarden

Wallets:
coinbase, metamask

Crypto:
bitcoin, binance, kucoin

Algorithms:
base58, zip, exhibit, base64, xor

Functions:
CreateProcessInternalA

Win API:
NtQueryInformationProcess, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread

Languages:
javascript, powershell, php