#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в широком внедрении и использовании злоумышленниками платформы Viper с открытым исходным кодом, а также ее интеграции с другими инструментами, такими как Cobalt Strike и Yakit, для вредоносных целей. В тексте также подчеркивается важность надежных возможностей обнаружения для противодействия рискам, связанным с этими инструментами в киберпространстве.
-----

Платформа Viper с открытым исходным кодом предлагает более 80 модулей, предназначенных для оптимизации различных этапов атаки, что делает ее популярной среди red teams и участников угроз. Она известна своим графическим интерфейсом, похожим на Cobalt Strike, и доступностью административного раздела через открытые страницы входа в систему через Интернет. Компания Hunt идентифицировала более 400 уникальных IP-адресов, на которых размещены страницы входа в систему Viper, при этом большинство серверов Viper расположены в Китае, что соответствует происхождению инструмента. Примечательно, что более половины наблюдаемой инфраструктуры Viper размещено на серверах Tencent с использованием порта 60000 по умолчанию, что указывает на региональные предпочтения и выбор сетевой среды.

Универсальность Viper позволяет операторам создавать полезные приложения для различных операционных систем и языков сценариев, таких как Python, PowerShell, Ruby и VBS. Адаптивность платформы повышает ее эффективность в различных технологических средах. Исследователи могут легко обнаружить развертывания Viper, взаимодействуя со страницами входа в систему с помощью сценариев на Python для захвата заголовков и генерации хэшей содержимого для входа. Viper включает в себя сертификат TLS по умолчанию, который облегчает идентификацию страниц входа в систему с помощью специальных запросов.

Случаи заражения Cobalt Strike были обнаружены на различных IP-адресах, расположенных рядом с серверами Viper, в частности, на серверах Tencent и Huawei. Кроме того, в Alibaba Cloud был обнаружен домен, маскирующийся под веб-сайт TSMC, работающий по модели искусственного интеллекта. Yakit, разработанный компанией Yaklang.io, предлагает такие функции кибербезопасности, как MITM, веб-фаззинг, сканирование уязвимостей и интеграцию с инструментом Project Discovery Nuclears. Несмотря на то, что Yakit признан законным средством обеспечения безопасности, злоумышленники могут использовать его в сочетании с Viper или другими платформами для использования в злонамеренных целях.

Широкое внедрение Viper в сочетании с его интеграцией с такими инструментами, как Cobalt Strike, Sliver и Yakit, подчеркивает его универсальность и эффективность для участников угроз. Эта тенденция подчеркивает постоянное использование злоумышленниками решений с открытым исходным кодом для получения и поддержания доступа в целевых средах. Проведенный анализ подчеркивает необходимость создания надежных средств обнаружения для выявления и снижения рисков, связанных с этими инструментами в киберпространстве.

#ParsedReport #CompletenessLow
12-05-2024

Unmasking Tycoon 2FA: A Stealthy Phishing Kit Used to Bypass Microsoft 365 and Google MFA

https://www.proofpoint.com/us/blog/email-and-cloud-threats/tycoon-2fa-phishing-kit-mfa-bypass

Report completeness: Low

Threats:
Tycoon_2fa
Aitm_technique
Evilginx_tool
Evilproxy_tool

Victims:
Microsoft 365 users, Gmail users

ChatGPT TTPs:
do not use without manual check
T1566, T1110, T1556, T1059, T1090, T1027

Soft:
Gmail, Telegram, WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается Tycoon 2FA, платформа для фишинга как услуги, которая представляет угрозу, обходя средства защиты от многофакторной аутентификации, в частности, для учетных записей Microsoft 365 и Gmail. Обновленная версия платформы улучшает уклонение от обнаружения и направлена на повышение скрытности при проведении фишинговых атак. Proofpoint выявила фишинговые целевые страницы, использующие Tycoon 2FA для облегчения кражи токенов MFA, что подчеркивает необходимость усиления усилий по обнаружению, устранению неполадок и управлению человеческими рисками для противодействия растущим угрозам в киберпространстве. Proofpoint предлагает защитные решения, использующие поведенческий искусственный интеллект, аналитику и инструменты повышения осведомленности о безопасности для борьбы с такими угрозами, как Tycoon 2FA. Компании, обеспокоенные этими фишинговыми наборами, могут обратиться к Proofpoint за поддержкой и стратегиями поиска угроз для улучшения своих механизмов защиты.
-----

Tycoon 2FA - это платформа "фишинг как услуга" (PhaaS), которая обходит защиту от многофакторной аутентификации (MFA).

Он нацелен на учетные записи Microsoft 365 и Gmail, собирая сессионные файлы cookie для переопределения элементов управления MFA.

В марте 2024 года была выпущена обновленная версия Tycoon 2FA с расширенными возможностями уклонения от обнаружения.

Платформа продает фишинговые страницы для Microsoft 365 и Gmail в Telegram, привлекая менее технически подготовленных злоумышленников.

Tycoon 2FA полагается на инфраструктуру, контролируемую злоумышленниками, и использует "обратный прокси" для перехвата учетных данных жертвы.

Proofpoint выявила фишинговые целевые страницы, использующие Tycoon 2FA для облегчения кражи и обхода токенов MFA.

Другие сервисы обратного прокси, такие как Evilginx и EvilProxy, были обнаружены и заблокированы Proofpoint.

Появление наборов, способных красть токены сеанса, создает растущий риск, поскольку участники фишинга используют эти инструменты.

Усилия по выявлению, устранению неполадок и управлению человеческими рисками имеют решающее значение для противодействия меняющемуся ландшафту угроз.

Proofpoint предлагает комплексные подходы к защите с использованием поведенческого искусственного интеллекта, аналитики, анализа угроз и повышения осведомленности о безопасности для борьбы с такими угрозами, как Tycoon 2FA.

Компании, обеспокоенные Tycoon 2FA, могут обратиться в Proofpoint за поддержкой в разработке стратегий поиска угроз и обучении навыкам безопасности.

#ParsedReport #CompletenessLow
12-05-2024

Malicious code created by Konni disguised as a tax evasion report - Attachment 1_List of explanatory materials (tax evasion report) (April 5, 2024)

https://wezard4u.tistory.com/6806

Report completeness: Low

Threats:
Konni_rat
Pantera
Artemis

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1027, T1564, T1105

IOCs:
Hash: 3
File: 4
Path: 1

Algorithms:
sha256, sha1, xor, md5

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ сложного вредоносного кода, известного как приложение 1_List of Explanatory Materials (Отчет об уклонении от уплаты налогов), созданного северокорейской хакерской группой Konni. Вредоносная программа замаскирована под lnk-файл, запускается через PowerShell, использует операции исключения и использует многоэтапную стратегию атаки для подрыва безопасности системы. Поставщики систем безопасности идентифицировали вредоносное ПО как Heur.BZC.YAX.Pantera.3049.815F5292, подчеркивая необходимость обмена информацией об угрозах для борьбы с киберугрозами.
-----

В тексте обсуждается вредоносный код, известный как Attachment 1_List of Explanatory Materials (Отчет об уклонении от уплаты налогов), который был создан северокорейской хакерской группой Konni. Эта вредоносная программа представлена в виде файла lnk, маскирующегося под вложение в текстовом редакторе hwp (Хангыль). Когда пользователь открывает файл, вредоносная программа запускается через PowerShell. Предоставляются хэш-значения вредоносной программы, включая имя файла, размер, контрольные суммы MD5, SHA-1 и SHA-256.

Обнаруженный в системе вредоносный скрипт PowerShell использует операции исключения с 0xD8 для изменения данных в файлах. Он также создает скрытый каталог с именем GSlLzFnTov. Указаны конкретные сведения об URL-адресе для загрузки файлов и команде для запуска загруженного файла, включая папку GSlLzFnTov, в которой обнаружены вредоносные файлы. Выявленная вредоносная программа помечена несколькими поставщиками систем безопасности как Heur.BZC.YAX.Pantera.3049.815F5292.

Анализ показывает сложную природу вредоносного ПО, поскольку северокорейский злоумышленник использует тактику обмана, чтобы заставить пользователей запустить вредоносный файл lnk. Использование PowerShell для запуска указывает на высокий уровень запутывания и потенциальный ущерб в результате изменения файлов в системе.

Наличие скрытого каталога и использование исключающих операций демонстрируют намерение вредоносной программы избежать обнаружения и манипулировать данными в скомпрометированной системе. URL-адрес для загрузки дополнительных файлов и соответствующая команда для их запуска указывают на многоэтапную стратегию атаки, направленную на дальнейшее снижение безопасности системы.

Идентификация вредоносного ПО поставщиками систем безопасности подчеркивает важность обмена информацией об угрозах и сотрудничества в борьбе с киберугрозами. Обозначение вредоносной программы как Heur.BZC.YAX.Pantera.3049.815F5292 предполагает, что она демонстрирует эвристическое поведение, указывающее на сложную и потенциально опасную угрозу.

#ParsedReport #CompletenessLow
12-05-2024

Analysis of ArcaneDoor Threat Infrastructure Suggests Potential Ties to Chinese-based Actor

https://censys.com/analysis-of-arcanedoor-threat-infrastructure-suggests-potential-ties-to-chinese-based-actor

Report completeness: Low

Actors/Campaigns:
Arcanedoor
Uat4356

Industry:
Government, Telco

Geo:
Luxembourg, Mexico, Chinese, Russian, China

CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: 6.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)

CVE-2024-20358 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)

CVE-2024-20353 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)


ChatGPT TTPs:
do not use without manual check
T1190, T1588.006, T1595

IOCs:
Hash: 1
IP: 1

Links:
https://github.com/Gozargah
https://github.com/XTLS/Xray-core
https://github.com/Gozargah/Marzban

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - всесторонний анализ, проведенный Cisco Talos в рамках кампании ArcaneDoor, который выявил сложную инфраструктуру злоумышленников, нацеленную на государственные устройства периметральной сети по всему миру. В ходе кампании использовались уязвимости нулевого дня в брандмауэрах Cisco, что указывает на потенциальную связь с субъектами, базирующимися в Китае, которые используют средства борьбы с цензурой. Постоянный мониторинг и расследования имеют решающее значение для смягчения последствий и предотвращения будущих угроз сетевой безопасности.
-----

Анализ, проведенный Cisco Talos, выявил сложную инфраструктуру злоумышленников, стоящую за кампанией ArcaneDoor, нацеленной на государственные устройства периметральной сети по всему миру. В ходе расследования были обнаружены три уязвимости нулевого дня, а именно CVE-2024-20353, CVE-2024-20359 и CVE-2024-20358, в продуктах брандмауэра Cisco. Из них в кампании использовались CVE-2024-20353 и CVE-2024-20359. Хотя первоначальный вектор доступа остается неизвестным, Cisco оперативно выпустила обновления программного обеспечения и предоставила клиентам рекомендации по проверке целостности их устройств брандмауэра Cisco.

Дальнейшее расследование IP-адресов, контролируемых участниками, выявило убедительные данные, указывающие на потенциальную причастность субъекта, базирующегося в Китае, что подтверждается ссылками на крупные китайские сети и наличием разработанного в Китае программного обеспечения для борьбы с цензурой, такого как OpenConnect VPN Server (Ocserv). Некоторые хосты, работающие с этим программным обеспечением, были идентифицированы с помощью данных Censys, которые указывают на связь с программным обеспечением ASA и принадлежат известным китайским сетям, таким как Tencent и ChinaNet.

24 апреля Талос выявил спонсируемого государством злоумышленника UAT4356, ответственного за кампанию ArcaneDoor. Инфраструктура злоумышленника была создана в период с ноября по декабрь 2023 года, а первоначальная активность была обнаружена в начале января 2024 года. Цепочка атак использовала вышеупомянутые уязвимости нулевого дня в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD).

Компания Talos сообщила о важных признаках в инфраструктуре злоумышленника, указывающих на использование VPN-сервера OpenConnect злоумышленником. Наличие 11 из 22 идентифицированных хостов указывает на продолжающуюся активность в инфраструктуре. Среди известных организаций, участвовавших в проведении этих мероприятий, были GHOST, AS-CHOOPA и ACCELERATED-IT, а также такие сети, как Tencent и ChinaNet. Более того, наличие XTLS, продвинутой криптографической технологии, разработанной китайскими разработчиками, наводило на мысль о намерении обойти брандмауэры, такие как китайский Great Firewall.

Наблюдения, сделанные в отношении конкретных хостингов, на которых установлено программное обеспечение для борьбы с цензурой и которые демонстрируют характеристики, связанные с инструментами, разработанными в Китае, вызвали подозрения в отношении субъекта, базирующегося в Китае. Было рекомендовано продолжить мониторинг этих хостингов для получения дополнительной информации, с ожиданиями дальнейшего развития событий в расследовании. Ожидается, что появятся дополнительные сведения о целях этих атак, что требует бдительности и соблюдения рекомендаций по быстрому реагированию для понимания воздействия на уязвимые устройства Cisco ASA и принятия соответствующих мер по устранению неполадок.

Таким образом, анализ дает всесторонний обзор кампании ArcaneDoor, освещая инфраструктуру участников угроз, их методы эксплуатации с использованием уязвимостей нулевого дня и потенциальную связь с участниками, базирующимися в Китае, которые используют инструменты борьбы с цензурой. Постоянный мониторинг и расследования необходимы для смягчения последствий и предотвращения будущих угроз сетевой безопасности.

#ParsedReport #CompletenessLow
12-05-2024

Resilience Threat Researchers Identify New Campaigns from Scattered Spider

https://www.cyberresilience.com/threatonomics/resilience-threat-researchers-identify-new-campaigns-from-scattered-spider

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)

Threats:
Sim_swapping_technique
Credential_stealing_technique
Blackcat
Aitm_technique
Spear-phishing_technique

Victims:
Mgm resorts, Caesars entertainment, Insurance companies, Telecommunication firms, Charter communications

Industry:
Telco, Foodtech, Entertainment, Financial, Retail

CVEs:
CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)


ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1134, T1586, T1595, T1621

IOCs:
Domain: 143

Soft:
Ivanti, Outlook, telegram, Ubuntu, Nginx

Functions:
dnstwist

Languages:
php

Links:
https://github.com/elceef/dnstwist

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Scattered Spider, финансово мотивированная группа злоумышленников, известная тем, что нацеливается на организации в различных отраслях с помощью таких тактик, как фишинговые атаки и подмена SIM-карт, представляет серьезную угрозу кибербезопасности бизнеса. Они используют передовые технологии и сотрудничают с другими группами для проведения успешных атак на крупные компании, подчеркивая необходимость принятия упреждающих мер кибербезопасности и постоянного мониторинга информации об угрозах для защиты от развивающихся киберугроз.
-----

Scattered Spider, финансово мотивированная группа злоумышленников, также известная как 0ktapus, UNC3944, Roasted Oktapus, Scatter Swine, Octo Tempest и Muddled Libra, активно атакует организации в различных отраслях с мая 2022 года. Группа приобрела дурную славу благодаря своим успешным взломам крупных компаний, таких как MGM и Caesars casino, которые были приписаны им. Считается, что компания Scattered Spider, связанная с BlackCat/AlphV, использует в своих кампаниях такие тактики, как "противник посередине" (AiTM), социальную инженерию и методы обмена симами.

В последние годы Scattered Spider расширила сферу своей деятельности, сосредоточившись на таких секторах, как общественное питание, страхование, розничная торговля, технологии и видеоигры. Они используют домены-двойники и поддельные страницы входа для проведения фишинговых атак, что представляет серьезную угрозу для организаций во многих секторах. Их атаки характеризуются быстрым развертыванием инфраструктуры и слаженной работой, длящейся всего несколько часов. После нападения на компании группа может продолжить атаки с использованием sim-карт, чтобы получить полный доступ к конфиденциальным корпоративным данным и активам.

Аналитики связывают Scattered Spider с использованием фишинговых доменов в определенных форматах, таких как "victimname-sso.com` и `victimname-okta.com`. Группа размещает фишинговые страницы, содержащие ключевые данные, такие как ссылки на поддомены Okta для получения помощи, и формирует запросы POST на указанные URL-адреса. Было замечено, что разрозненные члены Spider, предположительно молодые люди, связанные с мошеннической группой Star и преступным сообществом Com, используют фишинговый набор, который извлекает данные и отправляет их в указанный чат Telegram.

Более того, Scattered Spider предпочитает нападать на конкретных жертв, а не на организации, совершающие случайные нападения. Они также сотрудничали с BlackCat/ALPHV для получения выкупа у крупных корпораций, таких как Caesars Entertainment и MGM Resorts, что указывает на стратегический сдвиг в их деятельности. Группа использует фишинговые кампании с использованием поддельных страниц входа в систему CMS, которые очень похожи на законные платформы, что повышает эффективность их атак.

Для борьбы с растущей угрозой, исходящей от Spider Spider и других подобных злоумышленников, организациям рекомендуется регулярно отслеживать домены-двойники, обучать сотрудников выявлению попыток фишинга и информировать их о целенаправленных атаках, таких как фишинг, рассылка по электронной почте и лов рыбы. Используя такие инструменты, как dnstwist(), аналитики безопасности и системные администраторы смогут эффективно обнаруживать и отслеживать потенциально опасных доменов. При реализации оптимальной стратегии управления уязвимости и планов реагирования на инциденты, предприятия могут повысить их устойчивость против сложных кибер-угроз, как и те, которые возникали рассеянные паук.

Таким образом, Scattered Spider представляет собой серьезную киберугрозу для организаций, использующих передовые методы обхода мер безопасности и получения несанкционированного доступа к конфиденциальным данным и активам. Их постоянная ориентация на различные отрасли подчеркивает важность упреждающих мер кибербезопасности и постоянного мониторинга информации об угрозах, чтобы опережать появление новых угроз в цифровом пространстве.

Ежегодная независимая премия для пентестеров — Pentest award возвращается!

Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.

В этот раз вас ждут 6 номинаций, по три призовых места в каждой:

— Пробив WEB 🆕
— Пробив инфраструктуры 🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка

Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.

Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward

#cyberthreattech
Итого, по автоматическому построению описания угроз удалось запустить движочек и обработать все отчеты с 2022 года.
Получился механизм, в который можно подать строку (пока не более 50 символов и ^[a-zA-Z0-9 _-]+$, т.к. наш продакшен токенайзер я не смог пока вытащить отдельным микросервисом, а он уже умеет разбирать любой текст) и движочек найдет в ней названия угроз.
По каждой угрозе из текста он попробует найти описание.
Встал вопрос, как вытаскивать в паблик: допилить бота в ТГ, или добавить REST API. Опрос будет ниже.

{
  "data": {
    "summary": [
      {
        "id": "inc_ransomware",
        "found": true,
        "generation": {
          "date": "20240513 02:37:12",
          "sources": {
            "begin": "20231121",
            "end": "20240417",
            "urls": [
              "https://mp.weixin.qq.com/s/_KuFPPs6XFOICNpRjzn5AA",
              "https://www.secureworks.com/blog/gold-ionic-deploys-inc-ransomware",
              "https://www.cybereason.com/blog/threat-alert-inc-ransomware",
              "https://socradar.io/dark-web-profile-donutleaks",
              "https://socradar.io/dark-web-profile-inc-ransom"
            ]
          }
        },
        "text": "INC Ransomware, also known as INC Ransom, is a newly emerged ransomware group first observed by security researchers in early August 2023. This group primarily targets the United States and European countries, with a few victims from other Western countries such as Singapore. The majority of the victims are private sector businesses, but the group has also targeted a government organization and a charity association.\nThe INC Ransomware operates by employing partial encryption combined with a multi-threading approach to accelerate the encryption process. The group does not charge for the leaked data, unlike some other ransomware groups like LockBit 3.0. Instead, they follow a double and triple extortion strategy.\nAfter gaining access to the network, the attacker drops an executable (p443x64.exe) that installs a Meterpreter shell. They then use the AdFind command-line Active Directory query tool to enumerate the environment, WinRAR to archive files and folders, and the Megasync cloud hosting solution to exfiltrate more than 70 GB of data. After exfiltrating the data, the threat actor copies the INC ransomware executable to over 500 other systems and then runs it remotely via PsExec. The executed binary encrypts files, adds a .inc file extension to the encrypted files, and drops the INC ransom note (INC-README.txt).\nThe INC ransom note includes a Tor .onion address along with a personal ID, and it instructs the victim to contact the threat actor within 72 hours or sensitive data will be published to the leak site. The structure and design of the INC Ransom leak site are similar to the LockBit leak site, but there are no other indications that the groups are related.\nThe INC Ransomware group, tracked by Secureworks Counter Threat Unit (CTU) researchers as GOLD IONIC, uses the common double extortion method: they exfiltrate data before encrypting systems and then threaten public exposure as leverage in ransom negotiations with victims."
      }
    ]
  }
}

#technique

Unorthodox and stealthy way to inject a DLL into the explorer using icons

https://github.com/0xda568/IconJector

Russia-Linked CopyCop Uses LLMs to Weaponize Influence Content at Scale

https://go.recordedfuture.com/hubfs/reports/cta-2024-0509.pdf

Kinsing Demystified - A Comprehensive Technical Guide

https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf