CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 Kimsuky APT attack discovered using Facebook and MS management console https://www.genians.co.kr/blog/threat_intelligence/facebook Report completeness: High Actors/Campaigns: Kimsuky Threats: Reconshark Spear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----
Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.
Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.
Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.
Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.
Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----
Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.
Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.
Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.
Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.
Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.
#ParsedReport #CompletenessMedium
09-05-2024
Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.)
https://asec.ahnlab.com/ko/65307
Report completeness: Medium
Threats:
Xmrig_miner
Orcusrat
Hvnc_tool
Purecryptor
Trojan/win.antiav.c5619969
Dropper/win.3proxy.c5619967
Trojan/win.3proxy.c5619966
Infostealer/mdp.behavior.m1965
Antivm
Malware/mdp.behavior.m3108
Victims:
Domestic users
Geo:
Korea
ChatGPT TTPs:
T1027, T1566.001, T1059.001, T1562.001, T1053.005, T1574.002, T1071.001, T1090, T1027.005, T1047, have more...
IOCs:
Domain: 4
File: 77
Hash: 13
Url: 6
Soft:
task scheduler, Telegram, Mastodon, VALORANT, Photoshop, openssl, 3Proxy
Algorithms:
base64, md5, 7zip
Languages:
powershell
09-05-2024
Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.)
https://asec.ahnlab.com/ko/65307
Report completeness: Medium
Threats:
Xmrig_miner
Orcusrat
Hvnc_tool
Purecryptor
Trojan/win.antiav.c5619969
Dropper/win.3proxy.c5619967
Trojan/win.3proxy.c5619966
Infostealer/mdp.behavior.m1965
Antivm
Malware/mdp.behavior.m3108
Victims:
Domestic users
Geo:
Korea
ChatGPT TTPs:
do not use without manual checkT1027, T1566.001, T1059.001, T1562.001, T1053.005, T1574.002, T1071.001, T1090, T1027.005, T1047, have more...
IOCs:
Domain: 4
File: 77
Hash: 13
Url: 6
Soft:
task scheduler, Telegram, Mastodon, VALORANT, Photoshop, openssl, 3Proxy
Algorithms:
base64, md5, 7zip
Languages:
powershell
ASEC
MS 오피스 크랙을 위장하여 유포 중인 악성코드 (XMRig, OrcusRAT 등) - ASEC
AhnLab SEcurity intelligence Center(ASEC) 에서는 과거 “한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT” [1] 포스팅을 통해 국내 사용자들을 대상으로 RAT 및 코인 마이너를 유포하는 공격 사례를 공개한 바 있다. 공격자는 최근까지도 다운로더, 코인마이너, RAT, Proxy, AntiAV 등 다양한 악성코드들을 새롭게 제작해 유포하고 있다. 일반적으로 윈도우, 오피스 정품 인증 도구나 한글 워드 프로세서와…
CTT Report Hub
#ParsedReport #CompletenessMedium 09-05-2024 Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.) https://asec.ahnlab.com/ko/65307 Report completeness: Medium Threats: Xmrig_miner Orcusrat Hvnc_tool Purecryptor Trojan/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробное описание случая атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники маскируют вредоносные коды под взломанные версии легального программного обеспечения, чтобы заражать системы, особенно в Корее, и поддерживать их работоспособность с помощью планировщиков задач и обновлений вредоносных программ. Вредоносное ПО включает в себя различные функциональные возможности, такие как кейлоггинг, кража информации и майнинг. Из-за агрессивной тактики распространения происходит постоянное заражение вредоносными программами, и пользователям рекомендуется принимать меры предосторожности для предотвращения и удаления заражений.
-----
В тексте описывается случай атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники создают и распространяют различные новые вредоносные коды, такие как Downloader, Coin Miner, RAT, Proxy и AntiAV, маскируя их под взломанные версии законного программного обеспечения, такого как Windows или Office activation tools. Таким образом, они заражают многие системы, особенно в Корее.
Злоумышленники обновляют вредоносное ПО, регистрируя планировщик задач на зараженных системах, который затем устанавливает вредоносное ПО, выполняя команды Powershell. Если планировщик задач не удаляется, в систему продолжает устанавливаться новое вредоносное ПО. Текущий продукт версии 3 может очищать установленный вредоносным ПО планировщик заданий, предотвращая постоянную установку вредоносных программ, когда пользователи неосознанно устанавливают вредоносные программы, замаскированные под трещины. Однако системы без версии 3 остаются уязвимыми для постоянных заражений вредоносными программами.
Злоумышленники распространяют вредоносное ПО, замаскированное под MS Office cracks, через веб-жесткие диски или торренты. Вредоносное ПО, разработанное с использованием .NET и замаскированное для маскировки, получает доступ к Telegram для получения адресов загрузки. Недавно распространенная вредоносная программа содержит адреса Telegram и Mastodon, а также строки, используемые для адресов Google Диска или GitHub. При расшифровке этих строк обнаруживаются команды Powershell, ответственные за установку различных вредоносных кодов.
Во время установки вредоносная программа копирует программу Powershell по определенному пути, загружает сжатые файлы с GitHub и Google Диска и распаковывает их с помощью программы 7zip. Ключевая вредоносная программа под названием Updater поддерживает постоянство, устанавливаясь под именем "software_reporter_tool.exe" и регистрируя планировщик задач для непрерывной работы.
Вредоносная программа включает в себя Orcus RAT для функций удаленного управления, таких как сбор системной информации и выполнение команд, а также возможности кейлоггинга и кражи информации. XMRig поддерживает майнинг и включает опции для остановки майнинга при выполнении определенных процессов. Вредоносная программа также использует 3Proxy для реализации функций прокси-сервера, внедряя его в обычные процессы.
Злоумышленники обходят диагностику файлов, регулярно распространяя новые вредоносные программы, что приводит к продолжению заражения даже после удаления предыдущих вредоносных программ. Пользователям рекомендуется быть осторожными с исполняемыми файлами с сайтов обмена данными, загружать программы из официальных источников и обновлять продукты безопасности, такие как V3, для предотвращения заражения. Для зараженных систем рекомендуется установить версию 3 и восстановить планировщик задач, чтобы остановить цикл установки вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробное описание случая атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники маскируют вредоносные коды под взломанные версии легального программного обеспечения, чтобы заражать системы, особенно в Корее, и поддерживать их работоспособность с помощью планировщиков задач и обновлений вредоносных программ. Вредоносное ПО включает в себя различные функциональные возможности, такие как кейлоггинг, кража информации и майнинг. Из-за агрессивной тактики распространения происходит постоянное заражение вредоносными программами, и пользователям рекомендуется принимать меры предосторожности для предотвращения и удаления заражений.
-----
В тексте описывается случай атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники создают и распространяют различные новые вредоносные коды, такие как Downloader, Coin Miner, RAT, Proxy и AntiAV, маскируя их под взломанные версии законного программного обеспечения, такого как Windows или Office activation tools. Таким образом, они заражают многие системы, особенно в Корее.
Злоумышленники обновляют вредоносное ПО, регистрируя планировщик задач на зараженных системах, который затем устанавливает вредоносное ПО, выполняя команды Powershell. Если планировщик задач не удаляется, в систему продолжает устанавливаться новое вредоносное ПО. Текущий продукт версии 3 может очищать установленный вредоносным ПО планировщик заданий, предотвращая постоянную установку вредоносных программ, когда пользователи неосознанно устанавливают вредоносные программы, замаскированные под трещины. Однако системы без версии 3 остаются уязвимыми для постоянных заражений вредоносными программами.
Злоумышленники распространяют вредоносное ПО, замаскированное под MS Office cracks, через веб-жесткие диски или торренты. Вредоносное ПО, разработанное с использованием .NET и замаскированное для маскировки, получает доступ к Telegram для получения адресов загрузки. Недавно распространенная вредоносная программа содержит адреса Telegram и Mastodon, а также строки, используемые для адресов Google Диска или GitHub. При расшифровке этих строк обнаруживаются команды Powershell, ответственные за установку различных вредоносных кодов.
Во время установки вредоносная программа копирует программу Powershell по определенному пути, загружает сжатые файлы с GitHub и Google Диска и распаковывает их с помощью программы 7zip. Ключевая вредоносная программа под названием Updater поддерживает постоянство, устанавливаясь под именем "software_reporter_tool.exe" и регистрируя планировщик задач для непрерывной работы.
Вредоносная программа включает в себя Orcus RAT для функций удаленного управления, таких как сбор системной информации и выполнение команд, а также возможности кейлоггинга и кражи информации. XMRig поддерживает майнинг и включает опции для остановки майнинга при выполнении определенных процессов. Вредоносная программа также использует 3Proxy для реализации функций прокси-сервера, внедряя его в обычные процессы.
Злоумышленники обходят диагностику файлов, регулярно распространяя новые вредоносные программы, что приводит к продолжению заражения даже после удаления предыдущих вредоносных программ. Пользователям рекомендуется быть осторожными с исполняемыми файлами с сайтов обмена данными, загружать программы из официальных источников и обновлять продукты безопасности, такие как V3, для предотвращения заражения. Для зараженных систем рекомендуется установить версию 3 и восстановить планировщик задач, чтобы остановить цикл установки вредоносного ПО.
#ParsedReport #CompletenessLow
09-05-2024
macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge
https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge
Report completeness: Low
Threats:
Cuckoo_stealer
Amos_stealer
Realst
Meta_stealer
Applescript
Pandora
ChatGPT TTPs:
T1587, T1204, T1555, T1027, T1547, T1059, T1553
IOCs:
File: 3
Hash: 54
Soft:
macOS, Android, Gatekeeper, acOS ne, Telegram
Algorithms:
sha1, xor
Platforms:
intel, apple, arm, x86
09-05-2024
macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge
https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge
Report completeness: Low
Threats:
Cuckoo_stealer
Amos_stealer
Realst
Meta_stealer
Applescript
Pandora
ChatGPT TTPs:
do not use without manual checkT1587, T1204, T1555, T1027, T1547, T1059, T1553
IOCs:
File: 3
Hash: 54
Soft:
macOS, Android, Gatekeeper, acOS ne, Telegram
Algorithms:
sha1, xor
Platforms:
intel, apple, arm, x86
SentinelOne
macOS Cuckoo Stealer | Ensuring Detection and Defense as New Samples Rapidly Emerge
Learn about the mechanics of macOS Cuckoo Stealer, discover extended indicators and ensure your organization remains protected.
CTT Report Hub
#ParsedReport #CompletenessLow 09-05-2024 macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем распространении инфокрадов, нацеленных на устройства macOS, с акцентом на семейство вредоносных программ Cuckoo Stealer, их возможности, методы распространения, эволюцию и изощренные методы уклонения. Это подчеркивает необходимость в упреждающих стратегиях смягчения последствий и передовых решениях безопасности для защиты от развивающихся киберугроз, нацеленных на macOS.
-----
Распространение инфокрадов, нацеленных на устройства macOS, растет уже более года, при этом такие варианты, как Atomic Stealer, RealStealer, MetaStealer и недавно идентифицированный Cuckoo Stealer, распространяются через вредоносные веб-сайты, взломанные приложения и троянские программы для установки. Cuckoo Stealer выделяется своей двойной функциональностью - как программа для кражи информации и как программа-шпион, что представляет серьезную угрозу для пользователей macOS. Это семейство вредоносных программ быстро развивалось с момента их первоначального обнаружения, и число уникальных троянских приложений выросло с четырех до 18, что свидетельствует о проактивном подходе злоумышленников к расширению зоны их атаки.
Cuckoo Stealer распространяется через приложения, содержащие вредоносный двоичный файл с именем upd в папке macOS, причем последние версии поддерживают архитектуры Intel x86 и arm64. Несмотря на то, что Gatekeeper от Apple предупреждает о незарегистрированных приложениях, авторы вредоносного ПО содержат инструкции для пользователей по обходу этого механизма защиты, демонстрируя уровень изощренности своей тактики атаки. Вредоносная программа закодирована на C++ с использованием более старой версии Xcode и использует XOR-шифрование для маскировки своего поведения, что делает сканеры статических сигнатур менее эффективными при обнаружении ее вредоносных действий.
Анализ Cuckoo Stealer показывает, что он использует знакомые методы, которые можно увидеть у других инфокрадов, нацеленных на macOS, такие как использование AppleScript для дублирования файлов, папок и кражи паролей администратора в виде обычного текста. Вредоносная программа использует диалоговое окно для запроса пароля администратора, настойчиво запрашивая его до тех пор, пока не будет введен правильный пароль, даже если пользователь попытается отменить диалоговое окно. Кроме того, Cuckoo Stealer пытается установить постоянный агент запуска, чтобы обеспечить его присутствие в зараженных системах, используя автономные утилиты для выполнения различных задач.
Решения для обеспечения безопасности, такие как SentinelOne Singularity, оказались эффективными в обнаружении и предотвращении запуска Cuckoo Stealer, обеспечивая защиту от этой развивающейся угрозы. Уделяя особое внимание поведенческим индикаторам и ссылкам на TTP-адреса MITRE, характерные для инфокрадов macOS, SentinelOne обеспечивает надежный механизм защиты от таких разновидностей вредоносных программ. Быстрое развитие и инвестиции в ресурсы, наблюдаемые в рамках кампании Cuckoo Stealer, указывают на постоянную угрозу, что побуждает предприятия рассматривать сторонние решения для обеспечения безопасности устройств macOS от этой и подобных возникающих угроз.
Подводя итог, можно сказать, что появление Cuckoo Stealer подчеркивает постоянную угрозу, исходящую от инфокрадов, нацеленных на устройства macOS, с ее сложными функциями и методами обхода, требующими упреждающих стратегий противодействия и использования передовых решений безопасности для защиты от развивающихся киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем распространении инфокрадов, нацеленных на устройства macOS, с акцентом на семейство вредоносных программ Cuckoo Stealer, их возможности, методы распространения, эволюцию и изощренные методы уклонения. Это подчеркивает необходимость в упреждающих стратегиях смягчения последствий и передовых решениях безопасности для защиты от развивающихся киберугроз, нацеленных на macOS.
-----
Распространение инфокрадов, нацеленных на устройства macOS, растет уже более года, при этом такие варианты, как Atomic Stealer, RealStealer, MetaStealer и недавно идентифицированный Cuckoo Stealer, распространяются через вредоносные веб-сайты, взломанные приложения и троянские программы для установки. Cuckoo Stealer выделяется своей двойной функциональностью - как программа для кражи информации и как программа-шпион, что представляет серьезную угрозу для пользователей macOS. Это семейство вредоносных программ быстро развивалось с момента их первоначального обнаружения, и число уникальных троянских приложений выросло с четырех до 18, что свидетельствует о проактивном подходе злоумышленников к расширению зоны их атаки.
Cuckoo Stealer распространяется через приложения, содержащие вредоносный двоичный файл с именем upd в папке macOS, причем последние версии поддерживают архитектуры Intel x86 и arm64. Несмотря на то, что Gatekeeper от Apple предупреждает о незарегистрированных приложениях, авторы вредоносного ПО содержат инструкции для пользователей по обходу этого механизма защиты, демонстрируя уровень изощренности своей тактики атаки. Вредоносная программа закодирована на C++ с использованием более старой версии Xcode и использует XOR-шифрование для маскировки своего поведения, что делает сканеры статических сигнатур менее эффективными при обнаружении ее вредоносных действий.
Анализ Cuckoo Stealer показывает, что он использует знакомые методы, которые можно увидеть у других инфокрадов, нацеленных на macOS, такие как использование AppleScript для дублирования файлов, папок и кражи паролей администратора в виде обычного текста. Вредоносная программа использует диалоговое окно для запроса пароля администратора, настойчиво запрашивая его до тех пор, пока не будет введен правильный пароль, даже если пользователь попытается отменить диалоговое окно. Кроме того, Cuckoo Stealer пытается установить постоянный агент запуска, чтобы обеспечить его присутствие в зараженных системах, используя автономные утилиты для выполнения различных задач.
Решения для обеспечения безопасности, такие как SentinelOne Singularity, оказались эффективными в обнаружении и предотвращении запуска Cuckoo Stealer, обеспечивая защиту от этой развивающейся угрозы. Уделяя особое внимание поведенческим индикаторам и ссылкам на TTP-адреса MITRE, характерные для инфокрадов macOS, SentinelOne обеспечивает надежный механизм защиты от таких разновидностей вредоносных программ. Быстрое развитие и инвестиции в ресурсы, наблюдаемые в рамках кампании Cuckoo Stealer, указывают на постоянную угрозу, что побуждает предприятия рассматривать сторонние решения для обеспечения безопасности устройств macOS от этой и подобных возникающих угроз.
Подводя итог, можно сказать, что появление Cuckoo Stealer подчеркивает постоянную угрозу, исходящую от инфокрадов, нацеленных на устройства macOS, с ее сложными функциями и методами обхода, требующими упреждающих стратегий противодействия и использования передовых решений безопасности для защиты от развивающихся киберугроз.
#ParsedReport #CompletenessLow
09-05-2024
Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up
https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024
Report completeness: Low
Actors/Campaigns:
Nemesis_kitten
Threats:
Lockbit
Ars_loader
Kmsauto_tool
Victims:
Royal mail, Canadian town, Chicago children's hospital, British armed forces, Users of affected vpn applications, Users of affected tinyproxy, Users of milesight ur32l wireless router
Industry:
Military, Iot, Telco, Government, Financial
Geo:
Canadian, Ontario, Russian, Chinese, Netherlands, China
CVEs:
CVE-2023-49606 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1190
IOCs:
Hash: 10
File: 4
Soft:
Android, Tinyproxy, Kmsauto
Algorithms:
md5
Platforms:
x86
09-05-2024
Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up
https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024
Report completeness: Low
Actors/Campaigns:
Nemesis_kitten
Threats:
Lockbit
Ars_loader
Kmsauto_tool
Victims:
Royal mail, Canadian town, Chicago children's hospital, British armed forces, Users of affected vpn applications, Users of affected tinyproxy, Users of milesight ur32l wireless router
Industry:
Military, Iot, Telco, Government, Financial
Geo:
Canadian, Ontario, Russian, Chinese, Netherlands, China
CVEs:
CVE-2023-49606 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1190
IOCs:
Hash: 10
File: 4
Soft:
Android, Tinyproxy, Kmsauto
Algorithms:
md5
Platforms:
x86
Cisco Talos
A new alert system from CISA seems to be effective — now we just need companies to sign up
Under a pilot program, CISA has sent out more than 2,000 alerts to registered organizations regarding the existence of any unpatched vulnerabilities in CISA’s KEV catalog.
CTT Report Hub
#ParsedReport #CompletenessLow 09-05-2024 Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024 Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена различным темам разведки киберугроз, в том числе программе, предоставляющей бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети, обвинительному заключению Дмитрия Юрьевича Хорошева, лидера группы программ-вымогателей LockBit, недавнему раскрытию уязвимостей исследовательской группой Cisco Talos, а также важности оперативное реагирование на киберугрозы и уязвимости для улучшения состояния кибербезопасности и защиты критически важной инфраструктуры и национальной безопасности.
-----
В тексте обсуждаются различные темы, касающиеся анализа киберугроз, в том числе программа, которая предоставляет бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети. В настоящее время оповещения доступны федеральным органам власти, правительствам штатов, местным органам власти, племенам и территориям, а также некоторым организациям, занимающимся критически важной инфраструктурой. Цель состоит в том, чтобы расширить охват программы в будущем, но есть вопросы о критериях приемлемости для объектов критически важной инфраструктуры, таких как региональные интернет-провайдеры. Несмотря на то, что подписаться на получение оповещений по электронной почте несложно, цель программы - помочь организациям, испытывающим нехватку персонала и финансирования, улучшить свою систему кибербезопасности.
Кроме того, в нем упоминается идентификация и предъявление обвинения Дмитрию Юрьевичу Хорошеву, предполагаемому лидеру группы вымогателей LockBit, которому в США предъявлено 26 обвинений с максимальным наказанием в виде 185 лет тюремного заключения. Группа LockBit вымогала у жертв около 500 миллионов долларов и связана с крупными нападениями, в том числе на Royal Mail, канадский город и детскую больницу в Чикаго. США предлагают вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к аресту Хорошева. Кроме того, Великобритания обвинила спонсируемых китайским государством лиц в утечке данных военного подрядчика, которая затронула около 270 000 военнослужащих британских вооруженных сил.
Кроме того, в тексте освещаются недавние раскрытия уязвимостей исследовательской группой Cisco Talos, в которых основное внимание уделяется трем уязвимостям нулевого дня. Примечательно, что две уязвимости в демоне HTTP-прокси Tinyproxy и библиотеке файлов stb_vorbis.c могут привести к выполнению произвольного кода с оценкой CVSS 9,8 из 10. Хотя с тех пор Tinyproxy был исправлен, в беспроводном маршрутизаторе Milesight UR32L существует еще одна уязвимость нулевого дня. Эти данные были опубликованы в соответствии с графиком, после того как соответствующие поставщики не смогли устранить уязвимости в течение указанного периода.
В обсуждении подчеркивается уязвимость после использования (CVE-2023-49606) в заголовке "Connection" Tinyproxy, которая может привести к удаленному выполнению кода из-за повреждения памяти. Несмотря на наличие некоторых исправлений, некоторые выявленные проблемы остаются нерешенными, что побуждает затронутых пользователей искать альтернативные способы их устранения. В целом, в тексте подчеркивается важность получения информации о киберугрозах, оперативного реагирования на уязвимости и учета последствий различных киберинцидентов для критически важной инфраструктуры и национальной безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена различным темам разведки киберугроз, в том числе программе, предоставляющей бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети, обвинительному заключению Дмитрия Юрьевича Хорошева, лидера группы программ-вымогателей LockBit, недавнему раскрытию уязвимостей исследовательской группой Cisco Talos, а также важности оперативное реагирование на киберугрозы и уязвимости для улучшения состояния кибербезопасности и защиты критически важной инфраструктуры и национальной безопасности.
-----
В тексте обсуждаются различные темы, касающиеся анализа киберугроз, в том числе программа, которая предоставляет бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети. В настоящее время оповещения доступны федеральным органам власти, правительствам штатов, местным органам власти, племенам и территориям, а также некоторым организациям, занимающимся критически важной инфраструктурой. Цель состоит в том, чтобы расширить охват программы в будущем, но есть вопросы о критериях приемлемости для объектов критически важной инфраструктуры, таких как региональные интернет-провайдеры. Несмотря на то, что подписаться на получение оповещений по электронной почте несложно, цель программы - помочь организациям, испытывающим нехватку персонала и финансирования, улучшить свою систему кибербезопасности.
Кроме того, в нем упоминается идентификация и предъявление обвинения Дмитрию Юрьевичу Хорошеву, предполагаемому лидеру группы вымогателей LockBit, которому в США предъявлено 26 обвинений с максимальным наказанием в виде 185 лет тюремного заключения. Группа LockBit вымогала у жертв около 500 миллионов долларов и связана с крупными нападениями, в том числе на Royal Mail, канадский город и детскую больницу в Чикаго. США предлагают вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к аресту Хорошева. Кроме того, Великобритания обвинила спонсируемых китайским государством лиц в утечке данных военного подрядчика, которая затронула около 270 000 военнослужащих британских вооруженных сил.
Кроме того, в тексте освещаются недавние раскрытия уязвимостей исследовательской группой Cisco Talos, в которых основное внимание уделяется трем уязвимостям нулевого дня. Примечательно, что две уязвимости в демоне HTTP-прокси Tinyproxy и библиотеке файлов stb_vorbis.c могут привести к выполнению произвольного кода с оценкой CVSS 9,8 из 10. Хотя с тех пор Tinyproxy был исправлен, в беспроводном маршрутизаторе Milesight UR32L существует еще одна уязвимость нулевого дня. Эти данные были опубликованы в соответствии с графиком, после того как соответствующие поставщики не смогли устранить уязвимости в течение указанного периода.
В обсуждении подчеркивается уязвимость после использования (CVE-2023-49606) в заголовке "Connection" Tinyproxy, которая может привести к удаленному выполнению кода из-за повреждения памяти. Несмотря на наличие некоторых исправлений, некоторые выявленные проблемы остаются нерешенными, что побуждает затронутых пользователей искать альтернативные способы их устранения. В целом, в тексте подчеркивается важность получения информации о киберугрозах, оперативного реагирования на уязвимости и учета последствий различных киберинцидентов для критически важной инфраструктуры и национальной безопасности.
#ParsedReport #CompletenessHigh
09-05-2024
SocGholish Sets Sights on Victim Peers
https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers
Report completeness: High
Threats:
Socgholish_loader
Lolbin_technique
Industry:
Education
Geo:
Emea, America, Apac
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1566, T1193, T1020, T1059, T1204, T1140, T1556, T1070, T1565, T1105, have more...
IOCs:
File: 2
Hash: 1
Url: 5
Path: 2
Command: 2
IP: 1
Soft:
Selenium, WordPress, Microsoft Edge, Google Chrome, Chrome, Microsoft Outlook
Algorithms:
md5, base64
Languages:
powershell, python, javascript
Links:
09-05-2024
SocGholish Sets Sights on Victim Peers
https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers
Report completeness: High
Threats:
Socgholish_loader
Lolbin_technique
Industry:
Education
Geo:
Emea, America, Apac
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1020, T1059, T1204, T1140, T1556, T1070, T1565, T1105, have more...
IOCs:
File: 2
Hash: 1
Url: 5
Path: 2
Command: 2
IP: 1
Soft:
Selenium, WordPress, Microsoft Edge, Google Chrome, Chrome, Microsoft Outlook
Algorithms:
md5, base64
Languages:
powershell, python, javascript
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SocGholish/SocGholish\_iocs\_4-27-2024.txteSentire
SocGholish Sets Sights on Victim Peers
Learn more about SocGholish malware infection initiated by a fake browser update and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessHigh 09-05-2024 SocGholish Sets Sights on Victim Peers https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers Report completeness: High Threats: Socgholish_loader Lolbin_technique Industry: Education Geo: Emea…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена подразделению eSentire Threat Response Unit (TRU) и его усилиям по повышению устойчивости организации с помощью передовых исследований угроз, возможностей обнаружения и сотрудничества с центрами обеспечения безопасности (SoCs). В тексте также освещается конкретный инцидент, когда TRU обнаружил заражение SocGholish, вызванное поддельным обновлением браузера, и обсуждается тактика, используемая злоумышленниками для компрометации деловых отношений, сбора конфиденциальных данных и мониторинга действий пользователей. Подчеркивается важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных источников, тщательного мониторинга поведения в сети и понимания поведения после эксплуатации для защиты от кибератак.
-----
В апреле 2024 года eSentire TRU выявила вирусную инфекцию SocGholish, которая возникла из-за поддельного обновления браузера, использующего запутанный JavaScript для закрепления в целевой среде. Злоумышленники стремились скомпрометировать деловые отношения, внедряя веб-маяки в подписи электронной почты и общие сетевые ресурсы, что позволяло им отображать соединения и потенциально использовать уязвимости. Вредоносный код JavaScript был внедрен на взломанный веб-сайт под видом поддельного обновления браузера с именем "Update.js" в качестве тактики, позволяющей обойти механизмы обнаружения. Впоследствии, после заражения, злоумышленники осуществляли различные вредоносные действия, включая извлечение пароля, выполнение команд PowerShell для расшифровки ключей шифрования и развертывание полезных программ на языке Python в системе жертвы. Они также использовали команды PowerShell для изменения файлов подписи HTML в Microsoft Outlook для удаленного доступа и наблюдения. Кроме того, в сетевом ресурсе были созданы ярлыки, позволяющие отслеживать взаимодействие пользователей, подключаясь к серверу управления (C2). Эта кампания по внедрению SocGholish продемонстрировала тактику социальной инженерии, используя поддельные обновления для проникновения в системы и выполнения действий по сценарию для сбора конфиденциальных данных и мониторинга действий пользователей.
Первичный источник заражения, который включал загрузку с компьютера, замаскированную под законное обновление браузера, подчеркивает критическую важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных или подозрительных источников. Извлечение и манипулирование критически важными данными, такими как учетные данные для входа в браузеры и изменения в подписях электронной почты для потенциального отслеживания взаимодействий, подчеркивают необходимость тщательного мониторинга поведения сети и анализа любых нерегулярных действий, которые могут указывать на скомпрометированный хост. Более того, использование закодированных сценариев PowerShell для расшифровки паролей и создание переносимой среды Python для дальнейших вредоносных операций подчеркивают важность понимания поведения после эксплуатации и потенциальных признаков компрометации для эффективной защиты от вторжений и реагирования на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена подразделению eSentire Threat Response Unit (TRU) и его усилиям по повышению устойчивости организации с помощью передовых исследований угроз, возможностей обнаружения и сотрудничества с центрами обеспечения безопасности (SoCs). В тексте также освещается конкретный инцидент, когда TRU обнаружил заражение SocGholish, вызванное поддельным обновлением браузера, и обсуждается тактика, используемая злоумышленниками для компрометации деловых отношений, сбора конфиденциальных данных и мониторинга действий пользователей. Подчеркивается важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных источников, тщательного мониторинга поведения в сети и понимания поведения после эксплуатации для защиты от кибератак.
-----
В апреле 2024 года eSentire TRU выявила вирусную инфекцию SocGholish, которая возникла из-за поддельного обновления браузера, использующего запутанный JavaScript для закрепления в целевой среде. Злоумышленники стремились скомпрометировать деловые отношения, внедряя веб-маяки в подписи электронной почты и общие сетевые ресурсы, что позволяло им отображать соединения и потенциально использовать уязвимости. Вредоносный код JavaScript был внедрен на взломанный веб-сайт под видом поддельного обновления браузера с именем "Update.js" в качестве тактики, позволяющей обойти механизмы обнаружения. Впоследствии, после заражения, злоумышленники осуществляли различные вредоносные действия, включая извлечение пароля, выполнение команд PowerShell для расшифровки ключей шифрования и развертывание полезных программ на языке Python в системе жертвы. Они также использовали команды PowerShell для изменения файлов подписи HTML в Microsoft Outlook для удаленного доступа и наблюдения. Кроме того, в сетевом ресурсе были созданы ярлыки, позволяющие отслеживать взаимодействие пользователей, подключаясь к серверу управления (C2). Эта кампания по внедрению SocGholish продемонстрировала тактику социальной инженерии, используя поддельные обновления для проникновения в системы и выполнения действий по сценарию для сбора конфиденциальных данных и мониторинга действий пользователей.
Первичный источник заражения, который включал загрузку с компьютера, замаскированную под законное обновление браузера, подчеркивает критическую важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных или подозрительных источников. Извлечение и манипулирование критически важными данными, такими как учетные данные для входа в браузеры и изменения в подписях электронной почты для потенциального отслеживания взаимодействий, подчеркивают необходимость тщательного мониторинга поведения сети и анализа любых нерегулярных действий, которые могут указывать на скомпрометированный хост. Более того, использование закодированных сценариев PowerShell для расшифровки паролей и создание переносимой среды Python для дальнейших вредоносных операций подчеркивают важность понимания поведения после эксплуатации и потенциальных признаков компрометации для эффективной защиты от вторжений и реагирования на них.
#ParsedReport #CompletenessHigh
10-05-2024
Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation
https://www.ctfiot.com/180250.html
Report completeness: High
Actors/Campaigns:
Lazarus
Contagious_interview
Threats:
Anydesk_tool
Beavertail
Invisibleferret
Victims:
Developers in the blockchain industry, Financial institutions
Industry:
Financial, Government
Geo:
Asian
ChatGPT TTPs:
T1566, T1204, T1059, T1064, T1027, T1573, T1555
IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4
Url: 12
Soft:
macOS, Chrome, Opera, , Android, WeChat
Algorithms:
base64, zip, md5
Languages:
javascript, python
10-05-2024
Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation
https://www.ctfiot.com/180250.html
Report completeness: High
Actors/Campaigns:
Lazarus
Contagious_interview
Threats:
Anydesk_tool
Beavertail
Invisibleferret
Victims:
Developers in the blockchain industry, Financial institutions
Industry:
Financial, Government
Geo:
Asian
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1064, T1027, T1573, T1555
IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4
Url: 12
Soft:
macOS, Chrome, Opera, , Android, WeChat
Algorithms:
base64, zip, md5
Languages:
javascript, python
CTF导航
针对区块链从业者的招聘陷阱:疑似Lazarus(APT-Q-1)窃密行动分析 | CTF导航
团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的...
CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation https://www.ctfiot.com/180250.html Report completeness: High Actors/Campaigns: Lazarus Contagious_interview…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Lazarus, организация APT из Северо-Восточной Азии, ранее работала с государственными учреждениями, но с 2014 года переключила свое внимание на глобальные финансовые институты и платформы виртуальной валюты. В последнее время они нацелились на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о приеме на работу, используя такие платформы, как LinkedIn и Upwork, для кражи конфиденциальной информации, связанной с виртуальной валютой, и внедрения вредоносных программ. Злоумышленники хранят вредоносный код в программных пакетах на таких платформах, как GitHub, GitLab и Bitbucket, что затрудняет его обнаружение. Lazarus последовательно атакует криптовалютную и блокчейн-индустрию, используя методы фишинга и социальной инженерии для кражи криптовалюты.
-----
Краткое содержание:.
Компания QiAnXin идентифицировала Lazarus, организацию APT, предположительно имеющую происхождение из Северо-Восточной Азии, по внутреннему номеру для отслеживания APT-Q-1. Группа впервые привлекла к себе внимание нападками на Sony Pictures в 2014 году и ведет свою историю с 2007 года. Изначально Lazarus был нацелен на правительственные агентства, занимающиеся кражей разведывательных данных, но с 2014 года переключился на глобальные финансовые институты и платформы виртуальной валюты, занимающиеся кражей денег и активов. В последнее время Lazarus нацелился на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о вакансиях на таких платформах, как LinkedIn и Upwork. Злоумышленники используют эти объявления о приеме на работу, чтобы обманом заставить кандидатов запустить вредоносный код на их устройствах, что приводит к краже конфиденциальной информации, связанной с виртуальной валютой, и внедрению вредоносного ПО.
Злоумышленники используют такие платформы, как GitHub, GitLab и Bitbucket, для хранения пакетов программного обеспечения, содержащих вредоносный код, который может быть загружен кандидатами в блокчейн-индустрии. В примерах атак часто упоминается домен app.freebling.io, связанный с кражей криптовалютных кошельков. Вредоносный JavaScript-код вставляется в пакеты программного обеспечения, что затрудняет его обнаружение. Пример MD5-хэша показывает, как конфиденциальная информация собирается и отправляется на сервер C2 с последующей загрузкой скриптов для дальнейшей кражи данных.
Lazarus последовательно нацеливается на криптовалютную и блокчейн-индустрию, часто используя методы фишинга для привлечения технического персонала. Создавая фальшивые удостоверения личности и используя поиск работы в качестве прикрытия, злоумышленники стремятся украсть криптовалюту с помощью социальной инженерии. Считается, что продолжающиеся крупномасштабные фишинговые атаки связаны с Lazarus из-за сходства тактики и таргетинга на блокчейн-сектор.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Lazarus, организация APT из Северо-Восточной Азии, ранее работала с государственными учреждениями, но с 2014 года переключила свое внимание на глобальные финансовые институты и платформы виртуальной валюты. В последнее время они нацелились на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о приеме на работу, используя такие платформы, как LinkedIn и Upwork, для кражи конфиденциальной информации, связанной с виртуальной валютой, и внедрения вредоносных программ. Злоумышленники хранят вредоносный код в программных пакетах на таких платформах, как GitHub, GitLab и Bitbucket, что затрудняет его обнаружение. Lazarus последовательно атакует криптовалютную и блокчейн-индустрию, используя методы фишинга и социальной инженерии для кражи криптовалюты.
-----
Краткое содержание:.
Компания QiAnXin идентифицировала Lazarus, организацию APT, предположительно имеющую происхождение из Северо-Восточной Азии, по внутреннему номеру для отслеживания APT-Q-1. Группа впервые привлекла к себе внимание нападками на Sony Pictures в 2014 году и ведет свою историю с 2007 года. Изначально Lazarus был нацелен на правительственные агентства, занимающиеся кражей разведывательных данных, но с 2014 года переключился на глобальные финансовые институты и платформы виртуальной валюты, занимающиеся кражей денег и активов. В последнее время Lazarus нацелился на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о вакансиях на таких платформах, как LinkedIn и Upwork. Злоумышленники используют эти объявления о приеме на работу, чтобы обманом заставить кандидатов запустить вредоносный код на их устройствах, что приводит к краже конфиденциальной информации, связанной с виртуальной валютой, и внедрению вредоносного ПО.
Злоумышленники используют такие платформы, как GitHub, GitLab и Bitbucket, для хранения пакетов программного обеспечения, содержащих вредоносный код, который может быть загружен кандидатами в блокчейн-индустрии. В примерах атак часто упоминается домен app.freebling.io, связанный с кражей криптовалютных кошельков. Вредоносный JavaScript-код вставляется в пакеты программного обеспечения, что затрудняет его обнаружение. Пример MD5-хэша показывает, как конфиденциальная информация собирается и отправляется на сервер C2 с последующей загрузкой скриптов для дальнейшей кражи данных.
Lazarus последовательно нацеливается на криптовалютную и блокчейн-индустрию, часто используя методы фишинга для привлечения технического персонала. Создавая фальшивые удостоверения личности и используя поиск работы в качестве прикрытия, злоумышленники стремятся украсть криптовалюту с помощью социальной инженерии. Считается, что продолжающиеся крупномасштабные фишинговые атаки связаны с Lazarus из-за сходства тактики и таргетинга на блокчейн-сектор.
#ParsedReport #CompletenessMedium
10-05-2024
In the Shadow of Venus: Trinity Ransomware s Covert Ties
https://cyble.com/blog/in-the-shadow-of-venus-trinity-ransomwares-covert-ties
Report completeness: Medium
Threats:
Grateful_pos
Venus_locker
2023lock
Shadow_copies_delete_technique
TTPs:
Tactics: 5
Technics: 7
IOCs:
Registry: 2
File: 3
Hash: 1
Soft:
Windows shell
Algorithms:
sha256, sha1, chacha20, md5
Functions:
GetModuleHandle, OpenMutexA
Win API:
FindResourceW, SizeofResource, LoadResource, ExitProcess, GetProcAddress, RtlInitUnicodeString, NtCreateFile, NtWriteFile, NtReadFile, NtQueryDirectoryFile, have more...
Platforms:
intel
YARA: Found
10-05-2024
In the Shadow of Venus: Trinity Ransomware s Covert Ties
https://cyble.com/blog/in-the-shadow-of-venus-trinity-ransomwares-covert-ties
Report completeness: Medium
Threats:
Grateful_pos
Venus_locker
2023lock
Shadow_copies_delete_technique
TTPs:
Tactics: 5
Technics: 7
IOCs:
Registry: 2
File: 3
Hash: 1
Soft:
Windows shell
Algorithms:
sha256, sha1, chacha20, md5
Functions:
GetModuleHandle, OpenMutexA
Win API:
FindResourceW, SizeofResource, LoadResource, ExitProcess, GetProcAddress, RtlInitUnicodeString, NtCreateFile, NtWriteFile, NtReadFile, NtQueryDirectoryFile, have more...
Platforms:
intel
YARA: Found
Cyble
Trinity Ransomware: Covert Ties In Venus' Shadow
Explore the newly discovered Trinity ransomware, its ties to Venus, and insights from Cyble's analysis of its double extortion tactics.
CTT Report Hub
#ParsedReport #CompletenessMedium 10-05-2024 In the Shadow of Venus: Trinity Ransomware s Covert Ties https://cyble.com/blog/in-the-shadow-of-venus-trinity-ransomwares-covert-ties Report completeness: Medium Threats: Grateful_pos Venus_locker 2023lock…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Компания Cyble CRIL выявила новый вариант программы-вымогателя Trinity, который использует технику двойного вымогательства и имеет сходство с другими вариантами программ-вымогателей, такими как 2023Lock и Venus. Это наводит на мысль о потенциальном сотрудничестве между группами участников угроз, что указывает на тревожную тенденцию в тактике программ-вымогателей, направленную на оказание давления на жертв с помощью утечки данных и передовых методов шифрования.
-----
**Краткое описание:**.
Компания Cyble CRIL (Cyble Research and Intelligence Labs) недавно обнаружила новый вариант программы-вымогателя Trinity, который использует метод двойного вымогательства для поиска жертв. Программа-вымогатель Trinity использует в своих операциях как поддержку жертв, так и сайты утечки данных, что указывает на изощренный подход злоумышленников. Примечательно, что CRIL обнаружил сходство между программой-вымогателем Trinity и другой программой-вымогателем под названием "2023Lock", предполагая, что Trinity может быть новым вариантом 2023Lock из-за общих форматов уведомлений о требовании выкупа и элементов кодовой базы.
Более того, CRIL обнаружил общие черты между программами-вымогателями Trinity и Venus, включая использование значений реестра и соглашения об именовании мьютексов. Этот общий код между Trinity и Venus указывает на потенциальную связь или сотрудничество между злоумышленниками, стоящими за этими вариантами программ-вымогателей. Программа-вымогатель Venus, работающая с 2022 года, в прошлом проводила крупномасштабные атаки по всему миру, что указывает на тревожный характер угроз, связанных с деятельностью этих программ-вымогателей.
Технически программа-вымогатель Trinity использует алгоритм шифрования ChaCha20, распространяет сообщения о требовании выкупа как в текстовом, так и в hta-формате, изменяет обои рабочего стола с помощью изменений в реестре и добавляет расширение ".trinitylock" к зашифрованным файлам. Программа-вымогатель извлекает информацию о требовании выкупа из своего двоичного ресурса, разрешает функции во время выполнения, устанавливает параметры безопасности, удаляет теневые копии, используя данные WMI, и использует методы для олицетворения процессов. Кроме того, Trinity использует согласованный формат именования для мьютексов в своих операциях.
Появление Trinity с ее стратегией двойного вымогательства отражает тенденцию в тактике программ-вымогателей, когда злоумышленники используют утечку конфиденциальных данных, чтобы заставить жертв заплатить выкуп. Сходство между версиями программ-вымогателей Trinity, 2023Lock и Venus предполагает потенциальное сотрудничество между группами участников угроз, ведущее к обмену методами и инструментами, которые могут повысить масштаб и изощренность будущих кампаний по борьбе с программами-вымогателями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Компания Cyble CRIL выявила новый вариант программы-вымогателя Trinity, который использует технику двойного вымогательства и имеет сходство с другими вариантами программ-вымогателей, такими как 2023Lock и Venus. Это наводит на мысль о потенциальном сотрудничестве между группами участников угроз, что указывает на тревожную тенденцию в тактике программ-вымогателей, направленную на оказание давления на жертв с помощью утечки данных и передовых методов шифрования.
-----
**Краткое описание:**.
Компания Cyble CRIL (Cyble Research and Intelligence Labs) недавно обнаружила новый вариант программы-вымогателя Trinity, который использует метод двойного вымогательства для поиска жертв. Программа-вымогатель Trinity использует в своих операциях как поддержку жертв, так и сайты утечки данных, что указывает на изощренный подход злоумышленников. Примечательно, что CRIL обнаружил сходство между программой-вымогателем Trinity и другой программой-вымогателем под названием "2023Lock", предполагая, что Trinity может быть новым вариантом 2023Lock из-за общих форматов уведомлений о требовании выкупа и элементов кодовой базы.
Более того, CRIL обнаружил общие черты между программами-вымогателями Trinity и Venus, включая использование значений реестра и соглашения об именовании мьютексов. Этот общий код между Trinity и Venus указывает на потенциальную связь или сотрудничество между злоумышленниками, стоящими за этими вариантами программ-вымогателей. Программа-вымогатель Venus, работающая с 2022 года, в прошлом проводила крупномасштабные атаки по всему миру, что указывает на тревожный характер угроз, связанных с деятельностью этих программ-вымогателей.
Технически программа-вымогатель Trinity использует алгоритм шифрования ChaCha20, распространяет сообщения о требовании выкупа как в текстовом, так и в hta-формате, изменяет обои рабочего стола с помощью изменений в реестре и добавляет расширение ".trinitylock" к зашифрованным файлам. Программа-вымогатель извлекает информацию о требовании выкупа из своего двоичного ресурса, разрешает функции во время выполнения, устанавливает параметры безопасности, удаляет теневые копии, используя данные WMI, и использует методы для олицетворения процессов. Кроме того, Trinity использует согласованный формат именования для мьютексов в своих операциях.
Появление Trinity с ее стратегией двойного вымогательства отражает тенденцию в тактике программ-вымогателей, когда злоумышленники используют утечку конфиденциальных данных, чтобы заставить жертв заплатить выкуп. Сходство между версиями программ-вымогателей Trinity, 2023Lock и Venus предполагает потенциальное сотрудничество между группами участников угроз, ведущее к обмену методами и инструментами, которые могут повысить масштаб и изощренность будущих кампаний по борьбе с программами-вымогателями.
#cyberthreattech
Вот такие вот профили сейчас удается построить с помощью накопленных отчетов и LLM OpenChat. Залилось уже все, до 06.2023. Как все прольется, буду думать как опубликовать.
Есть идея прикрутить к существующему боту в ТГ, либо вытащить в виде API.
Ближе к теме запилю голосовалку :)
Вот такие вот профили сейчас удается построить с помощью накопленных отчетов и LLM OpenChat. Залилось уже все, до 06.2023. Как все прольется, буду думать как опубликовать.
Есть идея прикрутить к существующему боту в ТГ, либо вытащить в виде API.
Ближе к теме запилю голосовалку :)
Ducktail, also known as Ducktail Malware, is a type of malware that specifically targets Facebook Business Accounts through LinkedIn Phishing Attacks. This malware poses a significant cybersecurity threat as it exploits vulnerabilities in the targeted systems and attempts to gain unauthorized access to sensitive information. The malware uses social engineering tactics to deceive users into clicking on malicious links or downloading infected files, which then enable the attackers to infiltrate the targeted accounts and steal valuable data.
The behavior of Ducktail can be described as follows:
1. Social Engineering Tactics: Ducktail uses social engineering tactics to deceive users into clicking on malicious links or downloading infected files. These links and files are disguised as genuine documents or ads, which makes it difficult for users to identify them as malicious.
2. Exploitation of Vulnerabilities: Once the user clicks on the malicious link or downloads the infected file, the malware exploits vulnerabilities in the targeted system to gain unauthorized access to sensitive information. This information can include session cookies, access tokens, user agents, and IP addresses.
3. Two-Factor Authentication Bypass: Ducktail also verifies if two-factor authentication (2FA) is mandatory for the targeted account. In such cases, it tries to acquire the recovery codes, further increasing its chances of gaining unauthorized access to the account.
4. Information Extraction: Once the malware gains access to the targeted account, it gathers various details, including victims' names, birthdays, email addresses, and user IDs. It also steals security credentials, such as session cookies.
5. Command and Control (C&C) Channel: Ducktail utilizes Telegram as its Command and Control (C&C) channel, using the Telegram Bot functionality to exfiltrate the stolen data. The malware component employs the Telegram.Bot client library for this purpose.
6. Distribution Methods: Ducktail commonly employs ZIP files to deliver the initial payload. It is possible that the group also utilizes LinkedIn messages as a distribution method. The payload files are disguised with Word/PDF icons, using deceptive tactics to deceive victims into thinking they are genuine document files.
7. Financial Motivation: Ducktail is a financially motivated malware variant, specifically aiming at individuals and businesses utilizing a Social Media Business/Ads platform. The malware is created by Threat Actors (TAs) originating from Vietnam.
In conclusion, Ducktail is a constantly evolving information stealer that poses a significant threat to user privacy and the overall security of Social Media Business accounts. Its ability to bypass most Social Media platforms' security measures, specifically targeting advertising and business accounts, makes it a dangerous tool for cybercriminals. It is crucial for businesses and individuals to be vigilant about potential phishing attacks and take necessary precautions to protect their online accounts and information.
#ParsedReport #CompletenessHigh
10-05-2024
#StopRansomware: Black Basta
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a
Report completeness: High
Threats:
Blackbasta
Akira_ransomware
Phobos
Spear-phishing_technique
Qakbot
Connectwise_rat
Bitsadmin
Cobalt_strike
Splashtop_tool
Mimikatz_tool
Zerologon_vuln
Nopac_vuln
Printnightmare_vuln
Backstab_tool
Shadow_copies_delete_technique
Screenconnect_tool
Victims:
Healthcare organizations
Industry:
Financial, Healthcare
Geo:
America, Australia
CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4, -, 22.7)
CVE-2021-42278 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...
CVE-2021-42287 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (*)
have more...
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
TTPs:
Tactics: 1
Technics: 9
IOCs:
File: 6
Hash: 59
IP: 40
Domain: 107
Path: 21
Soft:
SoftPerfect network scanner, PsExec, macOS, WinSCP
Crypto:
bitcoin
Algorithms:
rsa-4096, chacha20
Win Services:
(BITS)
Languages:
powershell
Platforms:
intel, cross-platform
Links:
10-05-2024
#StopRansomware: Black Basta
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a
Report completeness: High
Threats:
Blackbasta
Akira_ransomware
Phobos
Spear-phishing_technique
Qakbot
Connectwise_rat
Bitsadmin
Cobalt_strike
Splashtop_tool
Mimikatz_tool
Zerologon_vuln
Nopac_vuln
Printnightmare_vuln
Backstab_tool
Shadow_copies_delete_technique
Screenconnect_tool
Victims:
Healthcare organizations
Industry:
Financial, Healthcare
Geo:
America, Australia
CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4, -, 22.7)
CVE-2021-42278 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...
CVE-2021-42287 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (*)
have more...
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
TTPs:
Tactics: 1
Technics: 9
IOCs:
File: 6
Hash: 59
IP: 40
Domain: 107
Path: 21
Soft:
SoftPerfect network scanner, PsExec, macOS, WinSCP
Crypto:
bitcoin
Algorithms:
rsa-4096, chacha20
Win Services:
(BITS)
Languages:
powershell
Platforms:
intel, cross-platform
Links:
https://github.com/cisagov/Decider/Vulners Database
CVE-2024-1709 - vulnerability database | Vulners.com
ConnectWise ScreenConnect 23.9.7 and prior are affected by an Authentication Bypass Using an Alternate Path or Channel vulnerability, which may allow an attacker direct access to confidential information or critical systems.