#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении тенденции, связанной с распространением программ-вымогателей и инфокрадов посредством вредоносных электронных писем, выдающих себя за предупреждения о нарушении авторских прав и резюме. Эволюция методов доставки включает в себя электронные письма со ссылками, переход к атакам с двумя направлениями и появление сложных программ-вымогателей, таких как Beast, способных перемещаться по сетям. Подчеркивается важность бдительности пользователей, своевременного обновления системы безопасности и получения информации о возникающих угрозах для защиты от развивающихся киберугроз.
-----

Аналитический центр безопасности AhnLab (ASEC) выявил тенденцию распространения программ-вымогателей и инфокрадов с помощью вредоносных электронных писем, выдающих себя за предупреждения о нарушении авторских прав и резюме. Семейства программ-вымогателей Makop и LockBit занимают видное место в этих кампаниях, причем программы-вымогатели Makop маскируются под резюме и распространяют контент, связанный с нарушением авторских прав. Программы-вымогатели LockBit также распространяются по электронной почте, маскируясь под сообщения, касающиеся авторских прав или приложений. Эти вредоносные электронные письма направлены на то, чтобы побудить получателя загрузить вредоносное ПО, включая внешние ссылки, а не вложения.

Недавняя эволюция в способах доставки вредоносного кода включает отправку электронных писем со ссылками вместо защищенных паролем сжатых вложений. При нажатии на ссылку и извлечении содержимого получатели сталкиваются с двумя исполняемыми файлами, маскирующимися под настоящие корейские файлы или файлы Excel. Эти файлы были идентифицированы как вредоносная программа Vidar infostealer и Beast ransomware соответственно. Наличие в одном и том же электронном письме как infostealer, так и программы-вымогателя указывает на переход к атакам с двойным подходом, направленным на компрометацию пользовательских систем по нескольким направлениям.

Программа-вымогатель Beast, созданная тем же злоумышленником, что и программа-вымогатель Monster, представляет собой более сложную версию своего предшественника. Программа-вымогатель шифрует файлы и присваивает им отличительные расширения, в результате чего получаются имена файлов, характерные для конкретной жертвы. Кроме того, программа-вымогатель Beast способна сканировать уязвимые SMB-порты для распространения в сетях, что указывает на намерение распространять инфекции в стороны через общие папки.

Файл Excel icon, распространяемый вместе с программой Beast ransomware, содержит вредоносную программу Vidar infostealer, предназначенную для утечки конфиденциальной информации пользователей. Вредоносная программа Vidar подключается к серверу управления (C2) для получения инструкций и использует различные тактические приемы для кражи данных, включая загрузку дополнительных DLL-файлов. В отличие от обычных инфокрадов, Vidar нацелен на широкий спектр информации, хранящейся в пользовательских системах, от учетных данных учетной записи до данных браузера и данных кредитной карты. Вредоносное ПО использует такие платформы, как Telegram и Steam Community, для связи с сервером C2, что позволяет красть данные и потенциально обходить меры безопасности.

Постоянное распространение вредоносных программ-вымогателей и инфокрадов подчеркивает важность бдительности пользователей и своевременного обновления системы безопасности. Поскольку злоумышленники адаптируют свою тактику для обхода традиционных средств защиты, частным лицам и организациям рекомендуется использовать современные решения для обеспечения безопасности, такие как V3, для снижения риска заражения. Постоянное информирование о возникающих угрозах и соблюдение осторожности при работе с подозрительными электронными письмами имеют решающее значение для защиты от возникающих киберугроз.

#ParsedReport #CompletenessMedium
27-04-2024

Trojan instead of money

https://rt-solar.ru/solar-4rays/blog/4288

Report completeness: Medium

Threats:
Cerberus
Mimicry

Industry:
Government, Financial

Geo:
Ukraine, Russian, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566.002, T1199, T1059.007, T1402, T1571, T1071.001, T1583.001, T1584.002

IOCs:
Domain: 5
Url: 4
File: 4
IP: 3
Hash: 7

Soft:
Android

Algorithms:
sha1, md5, zip, sha256

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе информации о киберугрозах, проведенном экспертами из центра Solar AURA, которые обнаружили поддельный веб-сайт, предназначенный для кражи персональных данных и распространения опасного вредоносного ПО под видом предоставления бесплатных денег от государства. В атаке задействован троян, распространяемый через фишинговый сайт, который представляет серьезную угрозу для банковских счетов жертв и потенциально позволяет получить несанкционированный доступ к услугам онлайн-банкинга. Эксперты выявили множество образцов вредоносного ПО, проследили его эволюцию и оперативно отреагировали на блокировку вредоносных доменов, одновременно выявив новые компоненты кампании.
-----

Эксперты из Solar AURA выявили поддельный веб-сайт, обещающий бесплатные деньги, но на самом деле крадущий личные данные и распространяющий опасное вредоносное ПО, в частности троян, распространяемый через фишинговый сайт.

Фишинговый веб-сайт использует такую тактику, как предложение дублировать загрузку вредоносного ПО, и использует вспомогательную стратегию домена для продления срока службы.

Вредоносная программа, полученная через фишинговый сайт, запрашивает такие разрешения, как возможность автозапуска и доступа к SMS-сообщениям, что потенциально позволяет получить несанкционированный доступ к банковским счетам жертв для совершения мошеннических транзакций.

Solar AURA обнаружила новые управляющие адреса для вредоносного ПО в открытых источниках, выявив сходство в структуре кода и взаимодействии с серверами управления, продемонстрировав эволюцию кампании с помощью анализа метаданных.

#ParsedReport #CompletenessMedium
27-04-2024

Malware campaign attempts abuse of defender binaries

https://news.sophos.com/en-us/2024/04/26/malware-campaign-abuses-legit-defender-binaries

Report completeness: Medium

Threats:
Cobalt_strike
Brc4_tool
Qakbot
Latrodectus
Titanldr
Icedid
Pikabot

Industry:
Healthcare

IOCs:
File: 8
Hash: 422
IP: 7
Domain: 25
Url: 27

Algorithms:
xor, sha256

Win API:
dllregisterserver

Languages:
javascript

Platforms:
intel

Links:
https://github.com/sophoslabs/IoCs
https://github.com/sophoslabs/IoCs/blob/master/2404%20impersonation%20campaign.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кампании программ-вымогателей, которые используют законные исполняемые файлы и библиотеки DLL Sophos для выдачи себя за файлы с целью проникновения в системы. Эта кампания включает в себя модификацию исходного контента, вставку расшифрованных полезных данных в качестве ресурсов и использование различных вредоносных программ, таких как Cobalt Strike, Brute Ratel и других. Кампания была обнаружена при попытке подключения с помощью Ratel C2 и включает в себя постоянные угрозы, поддельные программы установки, вредоносный код загрузчика и участие нескольких преступных группировок. Sophos и другие компании, занимающиеся кибербезопасностью, активно отслеживают эту широко распространенную угрозу и реагируют на нее, подчеркивая важность постоянной бдительности и сотрудничества в рамках сообщества кибербезопасности.
-----

Кампания программ-вымогателей, использующих законные исполняемые файлы и библиотеки DLL Sophos.

Тактика атаки включает в себя изменение исходного контента, перезапись кода точки входа и вставку расшифрованных полезных данных.

Поврежденные файлы Sophos являются частью версии 2022.4.3 продукта Windows Endpoint.

Аналогичные нарушения были обнаружены в файлах других защитников, таких как AVG, BitDefender, Emsisoft и Microsoft.

Потенциальная полезная нагрузка включает в себя Cobalt Strike, Brute Ratel, Qakbot, Latrodectus и другие.

Обнаружение попытки подключения по протоколу Brute Ratel C2 запустило расследование.

Вредоносный файл HealthApi.dll выдавал себя за законный компонент Sophos.

Обнаружены образцы, датированные январем, что указывает на постоянную угрозу.

Используйте различные полезные заряды, уделяя особое внимание Cobalt Strike или Brute Ratel.

Вредоносный код загрузчика заменил код точки входа, а зашифрованная полезная нагрузка сохранилась в разделе ресурсов.

Кампания включала в себя использование загрузчика TitanLdr для полезных нагрузок Cobalt Strike и более простой шеллкод для процессов загрузки.

Sophos обнаружила многочисленные ошибки IoC, в том числе использование двоичных файлов с отозванными сертификатами для доставки полезных данных, таких как Qakbot.

Такие средства защиты Sophos, как ATK/ScLoad-N, ATK-ScLoad-L, ATK/SCLoad-M, ATK/SCLoad-O, Troj/Cobalt-JA, Troj/Mdrop-JXD и динамическая защита шелл-кодом, оказались эффективными.

В связи с этими действиями был обнаружен штамм вредоносного ПО Oyster/CleanUpLoader.

Кампания представляет собой шумную и широко распространенную угрозу, поэтому крайне важны постоянная бдительность и сотрудничество в рамках сообщества кибербезопасности.

#ParsedReport #CompletenessMedium
27-04-2024

ShadowRay Campaign Exploits Critical Ray Framework Vulnerabilities to Compromise AI Workloads Globally

https://socradar.io/shadowray-campaign-exploits-critical-ray-framework-vulnerabilities-to-compromise-ai-workloads-globally

Report completeness: Medium

Actors/Campaigns:
Shadowray (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Xmrig_miner
Nbminer
Zephyrus
Interactsh_tool

Victims:
Anyscale, Amazon, Openai

Industry:
Healthcare, Education

CVEs:
CVE-2023-48022 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- anyscale ray (2.6.3, 2.8.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1078, T1562, T1114, T1071, T1047, T1027

IOCs:
Domain: 1

Soft:
Slack, sudo

Algorithms:
base64

Languages:
python, java

Links:
https://github.com/projectdiscovery/interactsh?tab=readme-ov-file#using-self-hosted-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ShadowRay нацелена на уязвимости в платформе Ray framework, используя критическую брешь, которая представляет угрозу безопасности для крупных компаний, использующих Ray для приложений искусственного интеллекта и Python. Злоумышленники манипулировали рабочими нагрузками ИИ, получали доступ к базам данных, перехватывали токены для вредоносных действий и избегали обнаружения с помощью Interactsh, демонстрируя сложную киберугрозу. Для защиты от таких угроз рекомендуется использовать передовые методы, включая безопасное развертывание и непрерывный мониторинг.
-----

Кампания ShadowRay, нацеленная на устранение уязвимостей в платформе Ray, стартовала 5 сентября 2023 года.

Злоумышленники воспользовались критической брешью в платформе Ray, используемой такими крупными компаниями, как Amazon и OpenAI.

В API заданий платформы Ray framework отсутствует авторизация, что делает его уязвимым для несанкционированного использования, особенно из-за уязвимости CVE-2023-48022.

Компания MITRE присвоила уязвимости в системе безопасности Ray's Jobs API критическую оценку в 9,8 баллов.

Злоумышленники манипулировали рабочими нагрузками на производство ИИ в таких секторах, как здравоохранение и академические учреждения, проникая в производственные кластеры Ray.

Использование учетных данных базы данных и закрытых SSH-ключей позволило злоумышленникам вмешиваться в базы данных, заниматься криптомайнингом и обеспечивать постоянство работы скомпрометированных систем.

Токены OpenAI, HuggingFace и Stripe были идентифицированы и могли быть использованы не по назначению для различных вредоносных действий.

Деятельность по крипто-майнингу была обнаружена благодаря присутствию майнеров XMRig, NBMiner и Zephyr на базе Java в скомпрометированных системах.

Злоумышленники избежали обнаружения, используя сервис с открытым исходным кодом Interactsh через домен oast.fun для получения уведомлений о DNS-запросах.

Рекомендации по обеспечению безопасности развертываний Ray включают развертывание в защищенных средах, внедрение механизмов авторизации, постоянный мониторинг кластеров искусственного интеллекта и предотвращение подключений к IP-адресу 0.0.0.0.

Использование таких инструментов безопасности, как модули SOCRadar, может помочь снизить риски, связанные с такими угрозами, как кампания ShadowRay, за счет постоянного мониторинга новых уязвимостей.

#ParsedReport #CompletenessMedium
28-04-2024

Exploring MadMxShells Infrastructure: Rapid Pivoting for Actionable Insights. Conclusion:

https://securite360.net/exploring-madmxshells-infrastructure-rapid-pivoting-for-actionable-insights-2

Report completeness: Medium

Threats:
Madmxshell
Dll_sideloading_technique
Typosquatting_technique

Victims:
It professionals

Geo:
Russia, French

ChatGPT TTPs:
do not use without manual check
T1027, T1071.004, T1036, T1566, T1574.002

IOCs:
IP: 6
Domain: 15
Url: 1

Algorithms:
zip

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ киберкампании, нацеленной на ИТ-специалистов с помощью Google maldvertising, направленной на распространение нового бэкдора под названием MadMxShell. Злоумышленники использовали различные методы, такие как имитация домена, дополнительная загрузка библиотек DLL, зашифрованные шелл-коды и запросы DNS, чтобы избежать обнаружения и связаться со своим сервером управления (C2). Анализ также охватывает использование законных серверов сети доставки контента (CDN) для маскировки вредоносной инфраструктуры, обнаружение вредоносных доменных имен, действия по удалению опечаток и важность мониторинга подозрительных доменов и DNS-центров для выявления потенциальных угроз.
-----

Киберкампания, нацеленная на ИТ-специалистов с помощью недобросовестной рекламы Google, распространяла бэкдор под названием MadMxShell.

Злоумышленники использовали домены, имитирующие популярные IP-сканеры, чтобы обманом заставить жертв загрузить zip-файл с вредоносной DLL-библиотекой.

Использовал несколько этапов дополнительной загрузки библиотеки DLL с зашифрованными shell-кодами и запросами DNS для связи C2.

Список вредоносных доменов привел к расследованию, в ходе которого были выявлены IP-адреса, размещенные на законных серверах CDN, таких как CloudFlare и Datacamp, которые использовались злоумышленниками.

Обнаружение вредоносных доменов, связанных с сервисами проверки подлинных IP-адресов с опечатками, размещенными на серверах OVH во Франции.

Злоумышленники использовали панель управления хостингом Vesta для управления вредоносными веб-сайтами.

Сеть серверов, связанных с серверами OVH и аналогичными шаблонами хостинга, обнаруженными с помощью сводных данных DNS.

Известный IP-адрес 51.222.204.42 вызвал подозрения из-за связи с несвязанными доменами и OVH.

Рекомендации по мониторингу подозрительных доменов и продолжению проверки DNS для выявления дополнительных вредоносных IP-адресов.

Рекомендуется соблюдать осторожность при отличении законных сервисов от вредоносных действий, особенно когда злоумышленники используют сервисы CDN.

Анализ домена C2 litterbolo.com преобразован в IP-адреса Cloudflare, что затрудняет идентификацию IP-адресов серверов злоумышленников.

Разрешения DNS, связанные с IP-адресом Horizon LLC в России, показали прошлые ассоциации с доменами с опечатками.

#ParsedReport #CompletenessHigh
28-04-2024

Uncorking Old Wine: Zero-Day from 2017 + Cobalt Strike Loader in Unholy Alliance

https://www.deepinstinct.com/blog/uncorking-old-wine-zero-day-cobalt-strike-loader

Report completeness: High

Threats:
Cobalt_strike
Sandbox_evasion_technique
Bloat_technique
Dll_injection_technique
Process_injection_technique

Victims:
Ukraine

Industry:
Military

Geo:
Russian, Poland, Ukraine

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2017-8570 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 5
Technics: 9

IOCs:
Domain: 2
File: 4
Path: 2
Registry: 2
Command: 1
IP: 1
Hash: 3

Soft:
AnyConnect

Functions:
WinAPI, Windows

Win API:
DllRegisterServer, NtDelayExecution, OpenProcess, WriteProcessMemory, CreateRemoteThread, WaitForSingleObject, CryptDecrypt

Languages:
javascript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе целенаправленной кибероперации, направленной против Украины, с использованием CVE-2017-8570 в качестве исходного вектора атаки. Злоумышленники остаются неустановленными, несмотря на тщательное расследование, и они использовали различные методы для сокрытия своей деятельности, включая размещение вредоносного контента на российском VPS-сервере и регистрацию сервера командования и контроля в Польше. Целью атаки были военнослужащие, которые использовали замаскированные доменные имена для проведения атаки.
-----

Лаборатория по борьбе с угрозами Deep Instinct недавно обнаружила предполагаемую целенаправленную кибероперацию, направленную против Украины, в ходе которой в качестве исходного вектора атаки использовался CVE-2017-8570. Интересно, что эта операция не могла быть напрямую связана с какими-либо известными участниками угроз, что добавляло загадочности ситуации. Злоумышленники использовали пользовательский загрузчик для Cobalt Strike Beacon, хорошо известного инструмента, используемого для учений red team и оценки безопасности.

Атака была впервые обнаружена, когда вредоносный файл PPSX был загружен из Украины на VirusTotal в конце 2023 года. Анализ показал, что использование префикса "script:" перед URL-адресом https указывает на использование CVE-2017-8570 для обхода более известного CVE-2017-0199. Удаленный скрипт с именем "widget_iframe.617766616773726468746672726a6834.html" был размещен на домене "weavesilk.space", который изначально был защищен CloudFlare. Однако более тщательное расследование, проведенное лабораторией угроз Deep Instinct, показало, что хостинг, стоящий за доменом, был российским VPS-провайдером.

На втором этапе атаки был задействован HTML-файл с кодом JavaScript, который выполнялся через Windows cscript.exe. На этом этапе в системе была удалена полезная нагрузка, замаскированная под файл Cisco AnyConnect VPN, который был размещен по определенному пути. Чтобы сохранить работоспособность скомпрометированной системы, злоумышленники изменили разделы реестра, гарантируя, что вредоносная программа будет выполняться каждый раз при запуске определенных команд. Образец вредоносной программы также содержал библиотеку динамической компоновки загрузчика/упаковщика (DLL) под названием vpn.sessings, которая отвечает за загрузку маяка Cobalt Strike в память и ожидание инструкций от сервера управления и контроля (C&C).

Примечательное поведение загрузчика включало выполнение CPUID с использованием встроенной инструкции ASM, чтобы определить, запущена ли вредоносная программа на виртуальной машине, - распространенный метод, используемый для предотвращения обнаружения антивирусными системами. Злоумышленники также внедрили дополнительные уловки для замедления анализа, такие как вставка ненужного кода для создания путаницы и задержки идентификации.

Конфигурация Cobalt Beacon включала открытый ключ для зашифрованного обмена данными с сервером C&C, что свидетельствовало о том, что это была взломанная версия Cobalt Strike, о чем свидетельствует идентификатор лицензии. Было обнаружено, что сервером C&C является petapixel.fun, замаскированный под популярный фотосайт и зарегистрированный в Варшаве, Польша, что обеспечивает анонимность и затрудняет отслеживание злоумышленников.

Несмотря на детальный анализ, проведенный лабораторией Deep Instinct Threat Lab, окончательно установить виновных в этих атаках не удалось. Доказательства указывали на образец, загруженный из Украины, второй этап, размещенный на российском VPS-сервере, и сервер C&C, зарегистрированный в Польше. Злоумышленники специально нацеливались на военнослужащих с помощью контента военной тематики, используя такие доменные имена, как weavesilk.space и petapixel.fun, для маскировки своей вредоносной деятельности.

#ParsedReport #CompletenessLow
28-04-2024

New Malware Campaign Targets WP-Automatic Plugin

https://wpscan.com/blog/new-malware-campaign-targets-wp-automatic-plugin

Report completeness: Low

CVEs:
CVE-2024-27956 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1133, T1105, T1027, T1036

IOCs:
Hash: 2
File: 2

Soft:
WordPress

Algorithms:
sha1

Languages:
php, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте обсуждается критическая уязвимость SQL-инъекции, обнаруженная в плагине WordPress WPAutomatic, которая позволяет злоумышленникам компрометировать веб-сайты, выполняя несанкционированные запросы к базе данных, создавая учетные записи уровня администратора, загружая вредоносные файлы и получая полный контроль над уязвимыми сайтами. В нем подчеркивается важность обновления плагина, аудита учетных записей пользователей, использования инструментов мониторинга безопасности и сохранения резервных копий для снижения риска, связанного с этой уязвимостью. Кроме того, для защиты от потенциальных угроз рекомендуются такие защитные меры, как использование Jetpack WAF и специальные правила для блокирования доступа к уязвимому файлу.
-----

В тексте подчеркивается критическая уязвимость, обнаруженная в популярном плагине WordPress WPAutomatic, которая заключается в внедрении SQL-кода (SQLi). Эта уязвимость позволяет злоумышленникам получать несанкционированный доступ к веб-сайтам, создавать учетные записи пользователей на уровне администратора, загружать вредоносные файлы и потенциально получать полный контроль над скомпрометированными сайтами. Ошибка связана с неправильным использованием плагином механизма аутентификации пользователя, что позволяет злоумышленникам выполнять вредоносные SQL-запросы, отправляя специально созданные запросы для ввода произвольного SQL-кода в базу данных сайта.

Уязвимость была публично раскрыта PatchStack 13 марта 2024 года, что привело к значительному увеличению числа попыток атаки: с момента раскрытия было зарегистрировано более 5,5 миллионов атак. Злоумышленники используют уязвимость SQL-инъекции для выполнения несанкционированных запросов к базе данных, создания учетных записей уровня администратора в WordPress, загрузки вредоносных файлов (таких как веб-оболочки или бэкдоры) и потенциального переименования уязвимого файла WPAutomatic для сохранения эксклюзивного доступа к нему. Как только сайт WordPress оказывается взломанным, злоумышленники внедряют бэкдоры, запутывают код и устанавливают плагины / темы для облегчения загрузки файлов или редактирования кода.

Чтобы снизить риск, связанный с этой уязвимостью, рекомендуется принять несколько защитных мер. К ним относятся обновление плагина WPAutomatic до последней версии, регулярный просмотр и аудит учетных записей пользователей в WordPress для удаления неавторизованных или подозрительных пользователей, использование надежных инструментов мониторинга безопасности, таких как Jetpack Scan, и поддержание актуальных резервных копий данных веб-сайта для быстрого восстановления в случае взлома. Пользователям Jetpack WAF рекомендуется включить функцию "Усилить защиту", чтобы брандмауэр веб-приложений (WAF) мог проверять запросы, направленные на уязвимые файлы PHP, и обеспечивать защиту от потенциальных угроз.

Пользователи Jetpack WAF с устаревшими версиями плагина WPAutomatic могут воспользоваться правилом, специально разработанным для блокирования доступа к уязвимому файлу PHP, отклоняя таким образом все вредоносные запросы. Кроме того, в базу данных вредоносных программ Jetpack были добавлены новые правила для обнаружения и очистки вредоносных программ, связанных с этой кампанией.

#ParsedReport #CompletenessLow
28-04-2024

Nation-State Threat Actors Renew Publications to npm

https://blog.phylum.io/north-korean-state-actors

Report completeness: Low

Threats:
Supply_chain_technique

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1195, T1059.007, T1027, T1070.004, T1105, T1574.002

IOCs:
File: 7
Domain: 1

Soft:
macOS

Languages:
javascript

Links:
https://github.com/node-config/node-config/tree/master
https://github.com/marketplace/phylum-io
https://github.com/node-config/node-config/blob/master/defer.js