CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers https://asec.ahnlab.com/ko/64558 Report completeness: Medium Threats: Meterpreter_tool Procdump_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) выявил вредоносное ПО, распространяемое на плохо управляемых веб-серверах Windows Internet Information Services (IIS), что в конечном итоге направляет пользователей на сайты с незаконной рекламой азартных игр. Атака включает в себя множество вредоносных инструментов и тактик, включая разведку сети, бэкдоры, переадресацию портов и манипулирование информацией в заголовке HTTP для отображения незаконного контента. Это подчеркивает важность принятия надлежащих мер безопасности, постоянного мониторинга и своевременного внесения исправлений для защиты от киберугроз.
-----
Аналитический центр безопасности AhnLab (ASEC) подтвердил распространение вредоносного ПО, которое подключается к сайтам, рекламирующим незаконные азартные игры, и нацелено на внутренние веб-серверы. Атака начинается с проникновения на плохо управляемые веб-серверы Windows Internet Information Services (IIS), где злоумышленник устанавливает различные вредоносные инструменты, включая бэкдор meterpreter, утилиту переадресации портов и вредоносное ПО модуля IIS, а также крадет учетные данные сервера с помощью ProcDump.
Вредоносная программа IIS module предназначена для отслеживания строк HTTP-заголовка зараженного веб-сервера и изменения значений ответов при определенных условиях, что приводит к отображению рекламы нелегальных игорных сайтов как на отечественных, так и на китайских поисковых порталах. Заманивая пользователей кликать по этим объявлениям, вредоносная программа приводит их к подключению к нелегальным сайтам азартных игр.
Перед развертыванием вредоносного ПО IIS module злоумышленник проводит разведку сети с помощью таких утилит, как ipconfig и systeminfo, для сбора информации о целевом сервере. Бэкдор meterpreter устанавливается путем указания IP-адреса злоумышленника и номера порта, что позволяет осуществлять удаленную связь и выполнять шелл-код на скомпрометированном сервере.
После установки бэкдора meterpreter злоумышленник использует инструмент переадресации портов HTran с помощью процесса w3wp.exe. HTran обеспечивает переадресацию данных с одного порта на другой и обычно используется для удаленной связи через порт RDP. Кроме того, злоумышленник создает учетную запись бэкдора с помощью команды net, чтобы обеспечить постоянный доступ к скомпрометированной системе, позволяя удаленный доступ, даже если исходные учетные данные сервера неизвестны.
Разработка вредоносного ПО IIS module предполагает внедрение вредоносного кода в определенные обработчики на веб-сервере IIS. Манипулируя значениями ответов на основе информации заголовка HTTP, вредоносное ПО может идентифицировать запросы поисковой системы и отображать незаконный контент, связанный с азартными играми, вместо законных веб-страниц. Эта тактика расширяет охват нелегальных игорных сайтов, заставляя поисковые системы их индексировать.
Кроме того, злоумышленник использует Procdump для извлечения учетных данных, сбрасывая данные из памяти процесса lsass.exe, что потенциально облегчает перемещение на другие подключенные серверы. График атаки показывает быстрый захват веб-сервера - от первоначального доступа до обеспечения сохраняемости и выполнения вредоносных задач менее чем за два часа.
Атака подчеркивает важность надлежащих мер безопасности для веб-серверов, а также необходимость постоянного мониторинга активов, подверженных потенциальным угрозам. Злоумышленники используют плохо управляемые системы для проведения сложных атак, подчеркивая важность своевременного внесения исправлений и обнаружения вредоносных действий для защиты от киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) выявил вредоносное ПО, распространяемое на плохо управляемых веб-серверах Windows Internet Information Services (IIS), что в конечном итоге направляет пользователей на сайты с незаконной рекламой азартных игр. Атака включает в себя множество вредоносных инструментов и тактик, включая разведку сети, бэкдоры, переадресацию портов и манипулирование информацией в заголовке HTTP для отображения незаконного контента. Это подчеркивает важность принятия надлежащих мер безопасности, постоянного мониторинга и своевременного внесения исправлений для защиты от киберугроз.
-----
Аналитический центр безопасности AhnLab (ASEC) подтвердил распространение вредоносного ПО, которое подключается к сайтам, рекламирующим незаконные азартные игры, и нацелено на внутренние веб-серверы. Атака начинается с проникновения на плохо управляемые веб-серверы Windows Internet Information Services (IIS), где злоумышленник устанавливает различные вредоносные инструменты, включая бэкдор meterpreter, утилиту переадресации портов и вредоносное ПО модуля IIS, а также крадет учетные данные сервера с помощью ProcDump.
Вредоносная программа IIS module предназначена для отслеживания строк HTTP-заголовка зараженного веб-сервера и изменения значений ответов при определенных условиях, что приводит к отображению рекламы нелегальных игорных сайтов как на отечественных, так и на китайских поисковых порталах. Заманивая пользователей кликать по этим объявлениям, вредоносная программа приводит их к подключению к нелегальным сайтам азартных игр.
Перед развертыванием вредоносного ПО IIS module злоумышленник проводит разведку сети с помощью таких утилит, как ipconfig и systeminfo, для сбора информации о целевом сервере. Бэкдор meterpreter устанавливается путем указания IP-адреса злоумышленника и номера порта, что позволяет осуществлять удаленную связь и выполнять шелл-код на скомпрометированном сервере.
После установки бэкдора meterpreter злоумышленник использует инструмент переадресации портов HTran с помощью процесса w3wp.exe. HTran обеспечивает переадресацию данных с одного порта на другой и обычно используется для удаленной связи через порт RDP. Кроме того, злоумышленник создает учетную запись бэкдора с помощью команды net, чтобы обеспечить постоянный доступ к скомпрометированной системе, позволяя удаленный доступ, даже если исходные учетные данные сервера неизвестны.
Разработка вредоносного ПО IIS module предполагает внедрение вредоносного кода в определенные обработчики на веб-сервере IIS. Манипулируя значениями ответов на основе информации заголовка HTTP, вредоносное ПО может идентифицировать запросы поисковой системы и отображать незаконный контент, связанный с азартными играми, вместо законных веб-страниц. Эта тактика расширяет охват нелегальных игорных сайтов, заставляя поисковые системы их индексировать.
Кроме того, злоумышленник использует Procdump для извлечения учетных данных, сбрасывая данные из памяти процесса lsass.exe, что потенциально облегчает перемещение на другие подключенные серверы. График атаки показывает быстрый захват веб-сервера - от первоначального доступа до обеспечения сохраняемости и выполнения вредоносных задач менее чем за два часа.
Атака подчеркивает важность надлежащих мер безопасности для веб-серверов, а также необходимость постоянного мониторинга активов, подверженных потенциальным угрозам. Злоумышленники используют плохо управляемые системы для проведения сложных атак, подчеркивая важность своевременного внесения исправлений и обнаружения вредоносных действий для защиты от киберугроз.
#ParsedReport #CompletenessMedium
24-04-2024
Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover
https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign
Report completeness: Medium
Actors/Campaigns:
Frozen_shadow (motivation: information_theft)
Threats:
Ssload
Cobalt_strike
Screenconnect_tool
Sloader
Ssloader
Bazarbackdoor
Trickbot
Nltest_tool
Connectwise_rat
Powerview
Geo:
Asia, Americas
TTPs:
Tactics: 6
Technics: 18
IOCs:
Domain: 17
File: 6
Path: 3
Url: 5
Command: 2
IP: 4
Hash: 53
Soft:
slack, Windows Powershell
Win Services:
BITS
Languages:
javascript, powershell
Platforms:
intel
Links:
24-04-2024
Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover
https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign
Report completeness: Medium
Actors/Campaigns:
Frozen_shadow (motivation: information_theft)
Threats:
Ssload
Cobalt_strike
Screenconnect_tool
Sloader
Ssloader
Bazarbackdoor
Trickbot
Nltest_tool
Connectwise_rat
Powerview
Geo:
Asia, Americas
TTPs:
Tactics: 6
Technics: 18
IOCs:
Domain: 17
File: 6
Path: 3
Url: 5
Command: 2
IP: 4
Hash: 53
Soft:
slack, Windows Powershell
Win Services:
BITS
Languages:
javascript, powershell
Platforms:
intel
Links:
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/template.profilehttps://github.com/executemalware/Malware-IOCs/blob/main/2024-04-17%20SSLoad%20IOCshttps://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-04-15-IOC-for-Contact-Forms-campaign-SSLoad-activity.txtSecuronix
Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM…
The Securonix Threat Research team (STR) observed an interesting attack campaign dubbed FROZEN#SHADOW which leveraged SSLoad malware and Cobalt Strike implants resulting in the attackers being able to pivot and take over the entire network domain. Read more.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover https://www.securonix.com/blog/securonix-threat-research…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда исследователей угроз Securonix обнаружила сложную кампанию атак под названием FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad и импланты Cobalt Strike для проникновения в сетевые домены и контроля над ними в нескольких регионах. Злоумышленники использовали фишинговые электронные письма с вредоносными файлами JavaScript и MSI-файлами для развертывания вредоносного ПО, в конечном итоге получив доступ к критически важным серверам и поставив под угрозу кибербезопасность организации.
-----
Команда исследователей угроз Securonix обнаружила сложную кампанию атак, известную как кампания FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad вместе с имплантатами Cobalt Strike для проникновения в целые сетевые домены и контроля над ними. SSLoad - это скрытая вредоносная программа, предназначенная для проникновения в системы, сбора конфиденциальных данных и предоставления отчетов своим операторам. В отличие от более старой версии SLoader, SSLoad - относительно новая вредоносная программа, которая обычно распространяется с помощью фишинговых кампаний по электронной почте. Жертвы этой кампании были обнаружены в Азии, Европе и Северной и Южной Америке с помощью фишинговых электронных писем, содержащих ссылку, перенаправляющую на файл JavaScript, что привело к дальнейшим стадиям заражения.
Файл JavaScript, о котором идет речь, out_czlrh.js использовал методы обфускации, чтобы избежать обнаружения антивирусом. Он содержал обширные блоки комментариев, разделяющие строки кода, что затрудняло анализ. После удаления этих комментариев размер файла значительно уменьшился, что продемонстрировало продуманную стратегию обхода. Кроме того, в кампании использовался файл MSI (slack.msi), похожий на BazarBackdoor, часто связанный с бандой TrickBot, которая печально известна тем, что внедряет программы-вымогатели и крадет данные.
После запуска вредоносная программа связывалась с определенными доменами для загрузки основной полезной нагрузки SSLoad и инициировала отправку маячков на предопределенные серверы управления (C2). Она собирала системные и пользовательские данные, выполняла системные команды и передавала их злоумышленникам. Позже были выпущены ручные команды для управления серверной средой и подготовки к дальнейшим вредоносным действиям, таким как развертывание маяка Cobalt Strike для связи C2.
Злоумышленники закрепились, разместив маяки Cobalt Strike по всей сети, используя зашифрованный трафик через порт 443. Они установили программное обеспечение ScreenConnect RMM на хостах-жертвах для поддержания контроля и выполнения команд для перечисления систем и загрузки программного обеспечения. Несмотря на законное использование, ScreenConnect может быть перепрофилирован для вредоносных действий, позволяя злоумышленникам выполнять такие задачи, как совместное использование экрана, утечка данных, боковое перемещение и развертывание дополнительных вредоносных программ.
С помощью Cobalt Strike beacon злоумышленники получили учетные данные администратора домена, предоставив им доступ к критически важным серверам, включая контроллер домена, SQL server и почтовый сервер. Используя ScreenConnect для подсчета сетевых данных и извлечения учетных данных, злоумышленники добились постоянства, полностью скомпрометировали домен и создали вредоносную учетную запись администратора домена. Такой уровень доступа позволял им перемещаться по сети и повышать свои привилегии, что создавало серьезную угрозу кибербезопасности организации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда исследователей угроз Securonix обнаружила сложную кампанию атак под названием FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad и импланты Cobalt Strike для проникновения в сетевые домены и контроля над ними в нескольких регионах. Злоумышленники использовали фишинговые электронные письма с вредоносными файлами JavaScript и MSI-файлами для развертывания вредоносного ПО, в конечном итоге получив доступ к критически важным серверам и поставив под угрозу кибербезопасность организации.
-----
Команда исследователей угроз Securonix обнаружила сложную кампанию атак, известную как кампания FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad вместе с имплантатами Cobalt Strike для проникновения в целые сетевые домены и контроля над ними. SSLoad - это скрытая вредоносная программа, предназначенная для проникновения в системы, сбора конфиденциальных данных и предоставления отчетов своим операторам. В отличие от более старой версии SLoader, SSLoad - относительно новая вредоносная программа, которая обычно распространяется с помощью фишинговых кампаний по электронной почте. Жертвы этой кампании были обнаружены в Азии, Европе и Северной и Южной Америке с помощью фишинговых электронных писем, содержащих ссылку, перенаправляющую на файл JavaScript, что привело к дальнейшим стадиям заражения.
Файл JavaScript, о котором идет речь, out_czlrh.js использовал методы обфускации, чтобы избежать обнаружения антивирусом. Он содержал обширные блоки комментариев, разделяющие строки кода, что затрудняло анализ. После удаления этих комментариев размер файла значительно уменьшился, что продемонстрировало продуманную стратегию обхода. Кроме того, в кампании использовался файл MSI (slack.msi), похожий на BazarBackdoor, часто связанный с бандой TrickBot, которая печально известна тем, что внедряет программы-вымогатели и крадет данные.
После запуска вредоносная программа связывалась с определенными доменами для загрузки основной полезной нагрузки SSLoad и инициировала отправку маячков на предопределенные серверы управления (C2). Она собирала системные и пользовательские данные, выполняла системные команды и передавала их злоумышленникам. Позже были выпущены ручные команды для управления серверной средой и подготовки к дальнейшим вредоносным действиям, таким как развертывание маяка Cobalt Strike для связи C2.
Злоумышленники закрепились, разместив маяки Cobalt Strike по всей сети, используя зашифрованный трафик через порт 443. Они установили программное обеспечение ScreenConnect RMM на хостах-жертвах для поддержания контроля и выполнения команд для перечисления систем и загрузки программного обеспечения. Несмотря на законное использование, ScreenConnect может быть перепрофилирован для вредоносных действий, позволяя злоумышленникам выполнять такие задачи, как совместное использование экрана, утечка данных, боковое перемещение и развертывание дополнительных вредоносных программ.
С помощью Cobalt Strike beacon злоумышленники получили учетные данные администратора домена, предоставив им доступ к критически важным серверам, включая контроллер домена, SQL server и почтовый сервер. Используя ScreenConnect для подсчета сетевых данных и извлечения учетных данных, злоумышленники добились постоянства, полностью скомпрометировали домен и создали вредоносную учетную запись администратора домена. Такой уровень доступа позволял им перемещаться по сети и повышать свои привилегии, что создавало серьезную угрозу кибербезопасности организации.
👍1
#ParsedReport #CompletenessLow
24-04-2024
Ransomware Evolution \| How Cheated Affiliates Are Recycling Victim Data for Profit
https://www.sentinelone.com/blog/ransomware-evolution-how-cheated-affiliates-are-recycling-victim-data-for-profit
Report completeness: Low
Actors/Campaigns:
Ransomhub
Threats:
Blackcat
Revil
Lockbit
Victims:
Change healthcare, Unitedhealth group
Industry:
Financial, Government, Healthcare, Military
Geo:
Korea, China, Romania
ChatGPT TTPs:
T1486, T1491, T1567, T1027, T1583
IOCs:
Domain: 5
IP: 1
Soft:
Telegram, Discord
24-04-2024
Ransomware Evolution \| How Cheated Affiliates Are Recycling Victim Data for Profit
https://www.sentinelone.com/blog/ransomware-evolution-how-cheated-affiliates-are-recycling-victim-data-for-profit
Report completeness: Low
Actors/Campaigns:
Ransomhub
Threats:
Blackcat
Revil
Lockbit
Victims:
Change healthcare, Unitedhealth group
Industry:
Financial, Government, Healthcare, Military
Geo:
Korea, China, Romania
ChatGPT TTPs:
do not use without manual checkT1486, T1491, T1567, T1027, T1583
IOCs:
Domain: 5
IP: 1
Soft:
Telegram, Discord
CTT Report Hub
#ParsedReport #CompletenessLow 24-04-2024 Ransomware Evolution \| How Cheated Affiliates Are Recycling Victim Data for Profit https://www.sentinelone.com/blog/ransomware-evolution-how-cheated-affiliates-are-recycling-victim-data-for-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - это меняющийся ландшафт киберугроз, в котором особое внимание уделяется появлению новой тенденции, когда филиалы программ-вымогателей повторно монетизируют украденные данные независимо от своих первоначальных соглашений о предоставлении программ-вымогателей в качестве услуги из-за финансовых споров между участниками угроз. В тексте особое внимание уделяется инцидентам, связанным с повторным вымогательством у жертв, сотрудничеству между аффилированными лицами и третьими сторонами, такими как RansomHub, и проблемам, связанным с доверием к субъектам угроз и поставщикам услуг в экосистеме программ-вымогателей. Это также подчеркивает способность киберпреступников адаптировать свою тактику для защиты своих интересов и прибыли, а также нежелание правоохранительных органов по всему миру платить выкуп и пропаганду сообщений о киберинцидентах для повышения устойчивости и предотвращения будущих атак.
-----
Филиалы программ-вымогателей все чаще повторно монетизируют украденные данные независимо от своих первоначальных соглашений RaaS из-за финансовых споров в экономике программ-вымогателей.
Аффилированная компания ALPHV нацелилась на Change Healthcare после того, как не получила свою долю выкупа, сотрудничая с RansomHub с целью вымогательства у компании во второй раз.
RansomHub функционирует как платформа RaaS, сотрудничая с филиалами, связанными с семействами программ-вымогателей, такими как ALPHV и LockBit, для расширения доступа к данным жертв.
Экосистема программ-вымогателей сталкивается с нестабильностью, поскольку существующие группы угроз проводят ребрендинг или распадаются, что приводит к отстранению аффилированных лиц от платежей и увеличивает риск повторного вымогательства данных.
Правоохранительные органы по всему миру не рекомендуют организациям платить выкуп, подчеркивая важность сообщения об инцидентах для повышения киберустойчивости и предотвращения будущих атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - это меняющийся ландшафт киберугроз, в котором особое внимание уделяется появлению новой тенденции, когда филиалы программ-вымогателей повторно монетизируют украденные данные независимо от своих первоначальных соглашений о предоставлении программ-вымогателей в качестве услуги из-за финансовых споров между участниками угроз. В тексте особое внимание уделяется инцидентам, связанным с повторным вымогательством у жертв, сотрудничеству между аффилированными лицами и третьими сторонами, такими как RansomHub, и проблемам, связанным с доверием к субъектам угроз и поставщикам услуг в экосистеме программ-вымогателей. Это также подчеркивает способность киберпреступников адаптировать свою тактику для защиты своих интересов и прибыли, а также нежелание правоохранительных органов по всему миру платить выкуп и пропаганду сообщений о киберинцидентах для повышения устойчивости и предотвращения будущих атак.
-----
Филиалы программ-вымогателей все чаще повторно монетизируют украденные данные независимо от своих первоначальных соглашений RaaS из-за финансовых споров в экономике программ-вымогателей.
Аффилированная компания ALPHV нацелилась на Change Healthcare после того, как не получила свою долю выкупа, сотрудничая с RansomHub с целью вымогательства у компании во второй раз.
RansomHub функционирует как платформа RaaS, сотрудничая с филиалами, связанными с семействами программ-вымогателей, такими как ALPHV и LockBit, для расширения доступа к данным жертв.
Экосистема программ-вымогателей сталкивается с нестабильностью, поскольку существующие группы угроз проводят ребрендинг или распадаются, что приводит к отстранению аффилированных лиц от платежей и увеличивает риск повторного вымогательства данных.
Правоохранительные органы по всему миру не рекомендуют организациям платить выкуп, подчеркивая важность сообщения об инцидентах для повышения киберустойчивости и предотвращения будущих атак.
👍2
#ParsedReport #CompletenessMedium
24-04-2024
Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices
Report completeness: Medium
Actors/Campaigns:
Arcanedoor (motivation: cyber_espionage)
Uat4356 (motivation: cyber_espionage)
Threats:
Line_runner
Line_dancer_tool
Victims:
Cisco, Multiple telecommunications providers, Multiple energy sector organizations
Industry:
Energy, Telco, Government
Geo:
Canadian, Australian
CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2018-0101 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (<9.1.7.23, <9.4.4.16, <9.2.4.27, <9.6.4.3, <9.8.2.20, <9.7.1.21, <9.9.1.2)
- cisco firepower threat defense (6.0.0, 6.0.1, 6.2.0, 6.1.0, 6.2.2, 6.2.1)
TTPs:
Tactics: 1
Technics: 13
IOCs:
File: 10
Hash: 5
IP: 69
Algorithms:
base64, zip
Functions:
processHostScanReply
Languages:
lua
24-04-2024
Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices
Report completeness: Medium
Actors/Campaigns:
Arcanedoor (motivation: cyber_espionage)
Uat4356 (motivation: cyber_espionage)
Threats:
Line_runner
Line_dancer_tool
Victims:
Cisco, Multiple telecommunications providers, Multiple energy sector organizations
Industry:
Energy, Telco, Government
Geo:
Canadian, Australian
CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2018-0101 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (<9.1.7.23, <9.4.4.16, <9.2.4.27, <9.6.4.3, <9.8.2.20, <9.7.1.21, <9.9.1.2)
- cisco firepower threat defense (6.0.0, 6.0.1, 6.2.0, 6.1.0, 6.2.2, 6.2.1)
TTPs:
Tactics: 1
Technics: 13
IOCs:
File: 10
Hash: 5
IP: 69
Algorithms:
base64, zip
Functions:
processHostScanReply
Languages:
lua
Cisco Talos
ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
Cisco is aware of new activity targeting certain Cisco Adaptive Security Appliances (ASA) 5500-X Series and has released three CVEs related to the event. We assess with high confidence this activity is related to same threat actor as ArcaneDoor in 2024.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о кампании ArcaneDoor, спонсируемой государством киберугрозе, нацеленной на периферийные сетевые устройства, особенно в таких секторах, как телекоммуникации и энергетика. Кампания была связана с использованием уязвимостей в Cisco Adaptive Security Appliances (ASA) злоумышленниками, зарегистрированными как UAT4356, которые использовали специализированные вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для проникновения в организации с целью разведки, изменения конфигурации и перехвата сетевого трафика. Кампания продемонстрировала передовую тактику уклонения, изощренность в развитии потенциала и использовании уязвимостей нулевого дня, что привело к сотрудничеству между различными разведывательными партнерами и агентствами для проведения расследований и установления виновных. Это подчеркивает сложную природу киберугроз, спонсируемых государством, и важность надежных мер кибербезопасности для снижения рисков.
-----
Кампания ArcaneDoor - это недавняя киберугроза, спонсируемая государством, направленная против сетевых устройств периметра от различных поставщиков, особенно в таких секторах, как телекоммуникации и энергетика.
Cisco обнаружила злоумышленника UAT4356, использующего пользовательские вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для выполнения таких операций, как разведка и манипулирование сетевым трафиком.
В ходе кампании использовались уязвимости CVE-2024-20353 и CVE-2024-20359 для внедрения пользовательских вредоносных программ и выполнения команд преимущественно в правительственных сетях по всему миру.
Компоненты вредоносного ПО включали резидентные в памяти интерпретаторы шеллкода, такие как Line Dancer и Line Runner, позволяющие выполнять произвольную полезную нагрузку и поддерживать доступ на скомпрометированных устройствах.
UAT4356 продемонстрировал продвинутую тактику уклонения, такую как обход операций AAA, отключение ведения журнала и использование анти-криминалистических мер, чтобы избежать обнаружения.
Проведение кампании приписывается спонсируемому государством субъекту, который продемонстрировал изощренность в развитии потенциала, мерах по борьбе с криминалистикой и использовании уязвимостей нулевого дня.
Разведывательные партнеры и агентства, такие как Австралийское управление связи, Канадский центр кибербезопасности и Microsoft Threat Intelligence Center, сотрудничали в расследовании, подчеркивая важность надежных мер кибербезопасности для противодействия киберугрозам, спонсируемым государством.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о кампании ArcaneDoor, спонсируемой государством киберугрозе, нацеленной на периферийные сетевые устройства, особенно в таких секторах, как телекоммуникации и энергетика. Кампания была связана с использованием уязвимостей в Cisco Adaptive Security Appliances (ASA) злоумышленниками, зарегистрированными как UAT4356, которые использовали специализированные вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для проникновения в организации с целью разведки, изменения конфигурации и перехвата сетевого трафика. Кампания продемонстрировала передовую тактику уклонения, изощренность в развитии потенциала и использовании уязвимостей нулевого дня, что привело к сотрудничеству между различными разведывательными партнерами и агентствами для проведения расследований и установления виновных. Это подчеркивает сложную природу киберугроз, спонсируемых государством, и важность надежных мер кибербезопасности для снижения рисков.
-----
Кампания ArcaneDoor - это недавняя киберугроза, спонсируемая государством, направленная против сетевых устройств периметра от различных поставщиков, особенно в таких секторах, как телекоммуникации и энергетика.
Cisco обнаружила злоумышленника UAT4356, использующего пользовательские вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для выполнения таких операций, как разведка и манипулирование сетевым трафиком.
В ходе кампании использовались уязвимости CVE-2024-20353 и CVE-2024-20359 для внедрения пользовательских вредоносных программ и выполнения команд преимущественно в правительственных сетях по всему миру.
Компоненты вредоносного ПО включали резидентные в памяти интерпретаторы шеллкода, такие как Line Dancer и Line Runner, позволяющие выполнять произвольную полезную нагрузку и поддерживать доступ на скомпрометированных устройствах.
UAT4356 продемонстрировал продвинутую тактику уклонения, такую как обход операций AAA, отключение ведения журнала и использование анти-криминалистических мер, чтобы избежать обнаружения.
Проведение кампании приписывается спонсируемому государством субъекту, который продемонстрировал изощренность в развитии потенциала, мерах по борьбе с криминалистикой и использовании уязвимостей нулевого дня.
Разведывательные партнеры и агентства, такие как Австралийское управление связи, Канадский центр кибербезопасности и Microsoft Threat Intelligence Center, сотрудничали в расследовании, подчеркивая важность надежных мер кибербезопасности для противодействия киберугрозам, спонсируемым государством.
#ParsedReport #CompletenessMedium
24-04-2024
Black Hat SEO Leveraged to Distribute Malware
https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware
Report completeness: Medium
Threats:
Blackseo_technique
Seo_poisoning_technique
Process_hollowing_technique
Dll_sideloading_technique
Screenconnect_tool
Industry:
Foodtech, Financial, Entertainment
ChatGPT TTPs:
T1566, T1199, T1027, T1064, T1059.001, T1140, T1112, T1105, T1547.001, T1574.002, have more...
IOCs:
File: 8
Path: 1
Domain: 2
Coin: 1
Hash: 3
Soft:
Chrome, gmail, bitwarden
Wallets:
coinbase, metamask
Crypto:
bitcoin, binance, kucoin
Algorithms:
base58, zip, exhibit, base64, xor
Functions:
CreateProcessInternalA
Win API:
NtQueryInformationProcess, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread
Languages:
javascript, powershell, php
24-04-2024
Black Hat SEO Leveraged to Distribute Malware
https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware
Report completeness: Medium
Threats:
Blackseo_technique
Seo_poisoning_technique
Process_hollowing_technique
Dll_sideloading_technique
Screenconnect_tool
Industry:
Foodtech, Financial, Entertainment
ChatGPT TTPs:
do not use without manual checkT1566, T1199, T1027, T1064, T1059.001, T1140, T1112, T1105, T1547.001, T1574.002, have more...
IOCs:
File: 8
Path: 1
Domain: 2
Coin: 1
Hash: 3
Soft:
Chrome, gmail, bitwarden
Wallets:
coinbase, metamask
Crypto:
bitcoin, binance, kucoin
Algorithms:
base58, zip, exhibit, base64, xor
Functions:
CreateProcessInternalA
Win API:
NtQueryInformationProcess, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread
Languages:
javascript, powershell, php
Zscaler
Black Hat SEO Leveraged to Distribute Malware | ThreatLabz
Learn how threat actors exploit search engine results and create fake sites on web hosting platforms to distribute malware.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Black Hat SEO Leveraged to Distribute Malware https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware Report completeness: Medium Threats: Blackseo_technique Seo_poisoning_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитики cyber threat intelligence выявляют тенденцию появления мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Злоумышленники стремятся манипулировать результатами поиска с помощью SEO-оптимизации, распространяя вредоносную информацию, замаскированную под различные жанры контента, такие как пиратское программное обеспечение и рецепты. Злоумышленники совершают масштабные кражи данных, в частности, нацеливаясь на электронную почту, связанную с криптовалютой. Пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения и отдавать предпочтение веб-сайтам с хорошей репутацией, чтобы снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-оптимизации.
-----
Исследователи Zscaler ThreatLabZ выявили тревожную тенденцию, связанную с появлением мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Эти сайты нацелены на манипулирование результатами поиска с помощью SEO-оптимизации, что повышает их видимость для ничего не подозревающих пользователей. Злоумышленники распространяют вредоносную информацию с помощью многоуровневых архивированных файлов, замаскированных под различные жанры контента, такие как пиратское программное обеспечение, игры и рецепты. После запуска вредоносное ПО собирает обширные данные, такие как системная информация, учетные данные и содержимое электронной почты, связанное с обменом криптовалютами. Чтобы избежать обнаружения, злоумышленники используют методы обфускации и проверяют URL-адреса ссылок, перенаправляя пользователей в зависимости от их метода доступа.
Например, распространенный сценарий заключается в том, что пользователи, ищущие взломанное программное обеспечение, попадают на вредоносный сайт, замаскированный под легитимный. Последовательность атаки включает удаление вредоносной библиотеки DLL во время установки легитимного программного обеспечения, используя дополнительную загрузку библиотеки DLL. Затем эта библиотека DLL запускает скрытые действия, используя explorer.exe с помощью методов "пустого процесса". Кроме того, команды PowerShell загружают запутанные сценарии, замаскированные под расширения браузера, и в конечном итоге подключаются к вредоносному серверу C2 для дальнейших вредоносных действий.
После установления связи с сервером C2 вредоносная программа совершает масштабную кражу данных, в частности, нацеливаясь на электронные сообщения, связанные с криптовалютой, на различных биржах. Она способна изменять содержимое электронной почты, красть коды аутентификации и внедрять код в электронные письма. Кампания по атаке является примером изощренной эксплуатации поведения пользователей, использующей тактику SEO-отравления для распространения вредоносного ПО и потенциального вымогательства у жертв финансовой выгоды.
Для предотвращения подобных угроз пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, избегать подозрительных источников и отдавать предпочтение веб-сайтам с хорошей репутацией. Такой упреждающий подход может значительно снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-анализа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитики cyber threat intelligence выявляют тенденцию появления мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Злоумышленники стремятся манипулировать результатами поиска с помощью SEO-оптимизации, распространяя вредоносную информацию, замаскированную под различные жанры контента, такие как пиратское программное обеспечение и рецепты. Злоумышленники совершают масштабные кражи данных, в частности, нацеливаясь на электронную почту, связанную с криптовалютой. Пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения и отдавать предпочтение веб-сайтам с хорошей репутацией, чтобы снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-оптимизации.
-----
Исследователи Zscaler ThreatLabZ выявили тревожную тенденцию, связанную с появлением мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Эти сайты нацелены на манипулирование результатами поиска с помощью SEO-оптимизации, что повышает их видимость для ничего не подозревающих пользователей. Злоумышленники распространяют вредоносную информацию с помощью многоуровневых архивированных файлов, замаскированных под различные жанры контента, такие как пиратское программное обеспечение, игры и рецепты. После запуска вредоносное ПО собирает обширные данные, такие как системная информация, учетные данные и содержимое электронной почты, связанное с обменом криптовалютами. Чтобы избежать обнаружения, злоумышленники используют методы обфускации и проверяют URL-адреса ссылок, перенаправляя пользователей в зависимости от их метода доступа.
Например, распространенный сценарий заключается в том, что пользователи, ищущие взломанное программное обеспечение, попадают на вредоносный сайт, замаскированный под легитимный. Последовательность атаки включает удаление вредоносной библиотеки DLL во время установки легитимного программного обеспечения, используя дополнительную загрузку библиотеки DLL. Затем эта библиотека DLL запускает скрытые действия, используя explorer.exe с помощью методов "пустого процесса". Кроме того, команды PowerShell загружают запутанные сценарии, замаскированные под расширения браузера, и в конечном итоге подключаются к вредоносному серверу C2 для дальнейших вредоносных действий.
После установления связи с сервером C2 вредоносная программа совершает масштабную кражу данных, в частности, нацеливаясь на электронные сообщения, связанные с криптовалютой, на различных биржах. Она способна изменять содержимое электронной почты, красть коды аутентификации и внедрять код в электронные письма. Кампания по атаке является примером изощренной эксплуатации поведения пользователей, использующей тактику SEO-отравления для распространения вредоносного ПО и потенциального вымогательства у жертв финансовой выгоды.
Для предотвращения подобных угроз пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, избегать подозрительных источников и отдавать предпочтение веб-сайтам с хорошей репутацией. Такой упреждающий подход может значительно снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-анализа.
#ParsedReport #CompletenessHigh
24-04-2024
Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections
https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections
Report completeness: High
Actors/Campaigns:
Sidecopy
Transparenttribe
Rusticweb
Flightnight
Threats:
Allakore_rat
Crimson_rat
Spear-phishing_technique
Ares_rat
Margulasrat
Caprarat
Elizarat
Oblique_rat
Eziriz_tool
Confuserex_tool
Eazfuscator_tool
Poseidon
Dll_sideloading_technique
Victims:
Indian government entities
Industry:
Military, Financial, Government
Geo:
Pakistan, Ukraine, Pakistani, Indian, Netherlands, Germany, India, Asian
TTPs:
Tactics: 9
Technics: 38
IOCs:
File: 15
Registry: 1
Domain: 11
IP: 7
Path: 23
Hash: 43
Url: 14
Soft:
Telegram, Windows Runtime, Windows Image, BinDiff, flutter, Mailbird
Algorithms:
base64, zip
Languages:
delphi, python
Links:
24-04-2024
Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections
https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections
Report completeness: High
Actors/Campaigns:
Sidecopy
Transparenttribe
Rusticweb
Flightnight
Threats:
Allakore_rat
Crimson_rat
Spear-phishing_technique
Ares_rat
Margulasrat
Caprarat
Elizarat
Oblique_rat
Eziriz_tool
Confuserex_tool
Eazfuscator_tool
Poseidon
Dll_sideloading_technique
Victims:
Indian government entities
Industry:
Military, Financial, Government
Geo:
Pakistan, Ukraine, Pakistani, Indian, Netherlands, Germany, India, Asian
TTPs:
Tactics: 9
Technics: 38
IOCs:
File: 15
Registry: 1
Domain: 11
IP: 7
Path: 23
Hash: 43
Url: 14
Soft:
Telegram, Windows Runtime, Windows Image, BinDiff, flutter, Mailbird
Algorithms:
base64, zip
Languages:
delphi, python
Links:
https://github.com/maickonn/AllaKore\_RemoteBlogs on Information Technology, Network & Cybersecurity | Seqrite
Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections
<p>In the recent past, cyberattacks on Indian government entities by Pakistan-linked APTs have gained significant momentum. Seqrite Labs APT team has discovered multiple such campaigns during telemetry analysis and hunting in the wild. One such threat group…
CTT Report Hub
#ParsedReport #CompletenessHigh 24-04-2024 Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в росте числа кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, в частности SideCopy и APT36, с подробным описанием их тактики, методов и сходства инфраструктуры. В анализе подчеркивается растущий уровень угроз, с которыми сталкивается Индия, включая новые кампании фишинга и громкие атаки программ-вымогателей, что подчеркивает необходимость усиления мер кибербезопасности для противодействия изощренным APT-группам, нацеленным на критически важную инфраструктуру и конфиденциальные данные.
-----
Всплеск кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, таких как SideCopy и APT36.
С 2019 года SideCopy использует AllaKore RAT в многочисленных кампаниях, нацеленных на оборонные и правительственные структуры Индии.
Transparent Tribe (APT36) использовали Crimson RAT в закодированных версиях во время тех же событий.
В последнее время отмечается рост продаж доступа к индийским юридическим лицам, громкие атаки программ-вымогателей и деструктивные атаки со стороны групп хакеров Telegram.
Сходства в тактике атак в разных кампаниях, включая использование скомпрометированных доменов, скрытый фишинг и использование RAT, таких как AllaKore.
На потенциальное сотрудничество или совместное использование ресурсов между SideCopy и APT36 указывают совпадения в использовании кода между AllaKore RAT и Crimson RAT.
Тесная связь между APT36 и SideCopy с точки зрения цепочек атак и сходства инфраструктуры.
Для индийских организаций важно усилить меры кибербезопасности, чтобы снизить риски, создаваемые сложными группами APT, в преддверии предстоящих событий, таких как выборы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в росте числа кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, в частности SideCopy и APT36, с подробным описанием их тактики, методов и сходства инфраструктуры. В анализе подчеркивается растущий уровень угроз, с которыми сталкивается Индия, включая новые кампании фишинга и громкие атаки программ-вымогателей, что подчеркивает необходимость усиления мер кибербезопасности для противодействия изощренным APT-группам, нацеленным на критически важную инфраструктуру и конфиденциальные данные.
-----
Всплеск кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, таких как SideCopy и APT36.
С 2019 года SideCopy использует AllaKore RAT в многочисленных кампаниях, нацеленных на оборонные и правительственные структуры Индии.
Transparent Tribe (APT36) использовали Crimson RAT в закодированных версиях во время тех же событий.
В последнее время отмечается рост продаж доступа к индийским юридическим лицам, громкие атаки программ-вымогателей и деструктивные атаки со стороны групп хакеров Telegram.
Сходства в тактике атак в разных кампаниях, включая использование скомпрометированных доменов, скрытый фишинг и использование RAT, таких как AllaKore.
На потенциальное сотрудничество или совместное использование ресурсов между SideCopy и APT36 указывают совпадения в использовании кода между AllaKore RAT и Crimson RAT.
Тесная связь между APT36 и SideCopy с точки зрения цепочек атак и сходства инфраструктуры.
Для индийских организаций важно усилить меры кибербезопасности, чтобы снизить риски, создаваемые сложными группами APT, в преддверии предстоящих событий, таких как выборы.
#ParsedReport #CompletenessMedium
24-04-2024
APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve-2022-38028
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Vice_society
Threats:
Gooseegg_tool
Printnightmare_vuln
Magniber
Victims:
Microsoft, Governmental organizations, Non-governmental organizations, Educational institutions, Transportation organizations
Industry:
Ngo, Energy, Transport, Government
Geo:
Ukraine, Russian, America
CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
ChatGPT TTPs:
T1068, T1078, T1059, T1564, T1547, T1574, T1021
IOCs:
File: 9
Hash: 4
Soft:
Windows Print Spooler, Microsoft Outlook
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
24-04-2024
APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve-2022-38028
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Vice_society
Threats:
Gooseegg_tool
Printnightmare_vuln
Magniber
Victims:
Microsoft, Governmental organizations, Non-governmental organizations, Educational institutions, Transportation organizations
Industry:
Ngo, Energy, Transport, Government
Geo:
Ukraine, Russian, America
CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
ChatGPT TTPs:
do not use without manual checkT1068, T1078, T1059, T1564, T1547, T1574, T1021
IOCs:
File: 9
Hash: 4
Soft:
Windows Print Spooler, Microsoft Outlook
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
SOCRadar® Cyber Intelligence Inc.
APT28 Deploys ‘GooseEgg’ in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
Microsoft recently shed light on a campaign orchestrated by the Russian-based threat actor Forest Blizzard, employing a tool named 'GooseEgg'...
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028 https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Microsoft обнаружила киберкампанию, возглавляемую базирующимся в России агентом по борьбе с угрозами Forest Blizzard, использующим пользовательский инструмент GooseEgg для использования уязвимости в службе диспетчера очереди печати Windows. Целью Forest Blizzard является получение расширенного доступа к целевым системам, кража учетных данных и осуществление вредоносных действий, таких как повышение привилегий и перемещение по скомпрометированным сетям. Злоумышленник, связанный с российской разведкой, нацелен на различные сектора по всему миру и, как было замечено, использует другие эксплойты наряду с выявленной уязвимостью. Организации, использующие продукты Microsoft, подвергаются риску использования злоумышленниками, такими как Forest Blizzard, что подчеркивает важность получения информации и принятия строгих мер кибербезопасности для предотвращения потенциальных нарушений.
-----
Microsoft раскрыла кибератаку российского злоумышленника Forest Blizzard, который использовал инструмент GooseEgg для использования CVE-2022-38028 в службе диспетчера очереди печати Windows.
"Лесная метель" нацелена на правительственные, неправительственные, образовательные и транспортные организации в Украине, Западной Европе и Северной Америке.
GooseEgg позволяет повышать привилегии, красть учетные данные, устанавливать бэкдор, удаленно выполнять код и перемещаться по скомпрометированным сетям.
Цель Forest Blizzard - получить доступ, украсть учетные данные и информацию, развернув GooseEgg с помощью пакетных сценариев, таких как execute.bat и doit.bat.
Forest Blizzard, также известная как APT28, фокусируется на стратегических разведывательных задачах, поддерживающих цели российской внешней политики, по крайней мере, с 2010 года.
Forest Blizzard использовала другие эксплойты, такие как CVE-2023-23397, наряду со службой диспетчера очереди печати Windows.
Кампания имеет большое значение, поскольку поставщики систем безопасности ранее не сообщали об использовании GooseEgg компанией Forest Blizzard, а другие группы программ-вымогателей использовали аналогичные уязвимости.
Microsoft Threat Intelligence предоставляет информацию о тактике Forest Blizzard, уделяя особое внимание получению несанкционированного доступа и краже конфиденциальной информации.
Организации должны быть постоянно информированы о таких субъектах угрозы и инструментах для повышения уровня кибербезопасности и предотвращения нарушений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Microsoft обнаружила киберкампанию, возглавляемую базирующимся в России агентом по борьбе с угрозами Forest Blizzard, использующим пользовательский инструмент GooseEgg для использования уязвимости в службе диспетчера очереди печати Windows. Целью Forest Blizzard является получение расширенного доступа к целевым системам, кража учетных данных и осуществление вредоносных действий, таких как повышение привилегий и перемещение по скомпрометированным сетям. Злоумышленник, связанный с российской разведкой, нацелен на различные сектора по всему миру и, как было замечено, использует другие эксплойты наряду с выявленной уязвимостью. Организации, использующие продукты Microsoft, подвергаются риску использования злоумышленниками, такими как Forest Blizzard, что подчеркивает важность получения информации и принятия строгих мер кибербезопасности для предотвращения потенциальных нарушений.
-----
Microsoft раскрыла кибератаку российского злоумышленника Forest Blizzard, который использовал инструмент GooseEgg для использования CVE-2022-38028 в службе диспетчера очереди печати Windows.
"Лесная метель" нацелена на правительственные, неправительственные, образовательные и транспортные организации в Украине, Западной Европе и Северной Америке.
GooseEgg позволяет повышать привилегии, красть учетные данные, устанавливать бэкдор, удаленно выполнять код и перемещаться по скомпрометированным сетям.
Цель Forest Blizzard - получить доступ, украсть учетные данные и информацию, развернув GooseEgg с помощью пакетных сценариев, таких как execute.bat и doit.bat.
Forest Blizzard, также известная как APT28, фокусируется на стратегических разведывательных задачах, поддерживающих цели российской внешней политики, по крайней мере, с 2010 года.
Forest Blizzard использовала другие эксплойты, такие как CVE-2023-23397, наряду со службой диспетчера очереди печати Windows.
Кампания имеет большое значение, поскольку поставщики систем безопасности ранее не сообщали об использовании GooseEgg компанией Forest Blizzard, а другие группы программ-вымогателей использовали аналогичные уязвимости.
Microsoft Threat Intelligence предоставляет информацию о тактике Forest Blizzard, уделяя особое внимание получению несанкционированного доступа и краже конфиденциальной информации.
Организации должны быть постоянно информированы о таких субъектах угрозы и инструментах для повышения уровня кибербезопасности и предотвращения нарушений.
#ParsedReport #CompletenessMedium
24-04-2024
The new Scaly Wolf bootloader turned out to be unusable for attacks
https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak
Report completeness: Medium
Actors/Campaigns:
Scaly_wolf
Threats:
Donut
Whitesnake_stealer
Snake_keylogger
Spear-phishing_technique
Process_injection_technique
Geo:
Russian, Belarusian, Russia
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 6
Path: 1
Command: 1
Domain: 2
Url: 27
Hash: 3
Soft:
Windows kernel, OpenSSH
Platforms:
intel
24-04-2024
The new Scaly Wolf bootloader turned out to be unusable for attacks
https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak
Report completeness: Medium
Actors/Campaigns:
Scaly_wolf
Threats:
Donut
Whitesnake_stealer
Snake_keylogger
Spear-phishing_technique
Process_injection_technique
Geo:
Russian, Belarusian, Russia
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 6
Path: 1
Command: 1
Domain: 2
Url: 27
Hash: 3
Soft:
Windows kernel, OpenSSH
Platforms:
intel
BI.ZONE
Новый загрузчик Scaly Wolf оказался непригодным для атак
Специалисты BI.ZONE Threat Intelligence обнаружили свежую кампанию группировки, нацеленную на российские и белорусские организации