#ParsedReport #CompletenessLow
12-05-2024
Analysis of ArcaneDoor Threat Infrastructure Suggests Potential Ties to Chinese-based Actor
https://censys.com/analysis-of-arcanedoor-threat-infrastructure-suggests-potential-ties-to-chinese-based-actor
Report completeness: Low
Actors/Campaigns:
Arcanedoor
Uat4356
Industry:
Government, Telco
Geo:
Luxembourg, Mexico, Chinese, Russian, China
CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: 6.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)
CVE-2024-20358 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)
CVE-2024-20353 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)
ChatGPT TTPs:
T1190, T1588.006, T1595
IOCs:
Hash: 1
IP: 1
Links:
12-05-2024
Analysis of ArcaneDoor Threat Infrastructure Suggests Potential Ties to Chinese-based Actor
https://censys.com/analysis-of-arcanedoor-threat-infrastructure-suggests-potential-ties-to-chinese-based-actor
Report completeness: Low
Actors/Campaigns:
Arcanedoor
Uat4356
Industry:
Government, Telco
Geo:
Luxembourg, Mexico, Chinese, Russian, China
CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: 6.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)
CVE-2024-20358 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)
CVE-2024-20353 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)
ChatGPT TTPs:
do not use without manual checkT1190, T1588.006, T1595
IOCs:
Hash: 1
IP: 1
Links:
https://github.com/Gozargahhttps://github.com/XTLS/Xray-corehttps://github.com/Gozargah/MarzbanCensys
Analysis of ArcaneDoor Threat Infrastructure Suggests Potential Ties to Chinese-based Actor - Censys
Discover how Censys researchers analyzed the ArcaneDoor campaign exploiting Cisco firewall zero-days, uncovering threat actor infrastructure and potential China links.
CTT Report Hub
#ParsedReport #CompletenessLow 12-05-2024 Analysis of ArcaneDoor Threat Infrastructure Suggests Potential Ties to Chinese-based Actor https://censys.com/analysis-of-arcanedoor-threat-infrastructure-suggests-potential-ties-to-chinese-based-actor Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - всесторонний анализ, проведенный Cisco Talos в рамках кампании ArcaneDoor, который выявил сложную инфраструктуру злоумышленников, нацеленную на государственные устройства периметральной сети по всему миру. В ходе кампании использовались уязвимости нулевого дня в брандмауэрах Cisco, что указывает на потенциальную связь с субъектами, базирующимися в Китае, которые используют средства борьбы с цензурой. Постоянный мониторинг и расследования имеют решающее значение для смягчения последствий и предотвращения будущих угроз сетевой безопасности.
-----
Анализ, проведенный Cisco Talos, выявил сложную инфраструктуру злоумышленников, стоящую за кампанией ArcaneDoor, нацеленной на государственные устройства периметральной сети по всему миру. В ходе расследования были обнаружены три уязвимости нулевого дня, а именно CVE-2024-20353, CVE-2024-20359 и CVE-2024-20358, в продуктах брандмауэра Cisco. Из них в кампании использовались CVE-2024-20353 и CVE-2024-20359. Хотя первоначальный вектор доступа остается неизвестным, Cisco оперативно выпустила обновления программного обеспечения и предоставила клиентам рекомендации по проверке целостности их устройств брандмауэра Cisco.
Дальнейшее расследование IP-адресов, контролируемых участниками, выявило убедительные данные, указывающие на потенциальную причастность субъекта, базирующегося в Китае, что подтверждается ссылками на крупные китайские сети и наличием разработанного в Китае программного обеспечения для борьбы с цензурой, такого как OpenConnect VPN Server (Ocserv). Некоторые хосты, работающие с этим программным обеспечением, были идентифицированы с помощью данных Censys, которые указывают на связь с программным обеспечением ASA и принадлежат известным китайским сетям, таким как Tencent и ChinaNet.
24 апреля Талос выявил спонсируемого государством злоумышленника UAT4356, ответственного за кампанию ArcaneDoor. Инфраструктура злоумышленника была создана в период с ноября по декабрь 2023 года, а первоначальная активность была обнаружена в начале января 2024 года. Цепочка атак использовала вышеупомянутые уязвимости нулевого дня в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD).
Компания Talos сообщила о важных признаках в инфраструктуре злоумышленника, указывающих на использование VPN-сервера OpenConnect злоумышленником. Наличие 11 из 22 идентифицированных хостов указывает на продолжающуюся активность в инфраструктуре. Среди известных организаций, участвовавших в проведении этих мероприятий, были GHOST, AS-CHOOPA и ACCELERATED-IT, а также такие сети, как Tencent и ChinaNet. Более того, наличие XTLS, продвинутой криптографической технологии, разработанной китайскими разработчиками, наводило на мысль о намерении обойти брандмауэры, такие как китайский Great Firewall.
Наблюдения, сделанные в отношении конкретных хостингов, на которых установлено программное обеспечение для борьбы с цензурой и которые демонстрируют характеристики, связанные с инструментами, разработанными в Китае, вызвали подозрения в отношении субъекта, базирующегося в Китае. Было рекомендовано продолжить мониторинг этих хостингов для получения дополнительной информации, с ожиданиями дальнейшего развития событий в расследовании. Ожидается, что появятся дополнительные сведения о целях этих атак, что требует бдительности и соблюдения рекомендаций по быстрому реагированию для понимания воздействия на уязвимые устройства Cisco ASA и принятия соответствующих мер по устранению неполадок.
Таким образом, анализ дает всесторонний обзор кампании ArcaneDoor, освещая инфраструктуру участников угроз, их методы эксплуатации с использованием уязвимостей нулевого дня и потенциальную связь с участниками, базирующимися в Китае, которые используют инструменты борьбы с цензурой. Постоянный мониторинг и расследования необходимы для смягчения последствий и предотвращения будущих угроз сетевой безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - всесторонний анализ, проведенный Cisco Talos в рамках кампании ArcaneDoor, который выявил сложную инфраструктуру злоумышленников, нацеленную на государственные устройства периметральной сети по всему миру. В ходе кампании использовались уязвимости нулевого дня в брандмауэрах Cisco, что указывает на потенциальную связь с субъектами, базирующимися в Китае, которые используют средства борьбы с цензурой. Постоянный мониторинг и расследования имеют решающее значение для смягчения последствий и предотвращения будущих угроз сетевой безопасности.
-----
Анализ, проведенный Cisco Talos, выявил сложную инфраструктуру злоумышленников, стоящую за кампанией ArcaneDoor, нацеленной на государственные устройства периметральной сети по всему миру. В ходе расследования были обнаружены три уязвимости нулевого дня, а именно CVE-2024-20353, CVE-2024-20359 и CVE-2024-20358, в продуктах брандмауэра Cisco. Из них в кампании использовались CVE-2024-20353 и CVE-2024-20359. Хотя первоначальный вектор доступа остается неизвестным, Cisco оперативно выпустила обновления программного обеспечения и предоставила клиентам рекомендации по проверке целостности их устройств брандмауэра Cisco.
Дальнейшее расследование IP-адресов, контролируемых участниками, выявило убедительные данные, указывающие на потенциальную причастность субъекта, базирующегося в Китае, что подтверждается ссылками на крупные китайские сети и наличием разработанного в Китае программного обеспечения для борьбы с цензурой, такого как OpenConnect VPN Server (Ocserv). Некоторые хосты, работающие с этим программным обеспечением, были идентифицированы с помощью данных Censys, которые указывают на связь с программным обеспечением ASA и принадлежат известным китайским сетям, таким как Tencent и ChinaNet.
24 апреля Талос выявил спонсируемого государством злоумышленника UAT4356, ответственного за кампанию ArcaneDoor. Инфраструктура злоумышленника была создана в период с ноября по декабрь 2023 года, а первоначальная активность была обнаружена в начале января 2024 года. Цепочка атак использовала вышеупомянутые уязвимости нулевого дня в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD).
Компания Talos сообщила о важных признаках в инфраструктуре злоумышленника, указывающих на использование VPN-сервера OpenConnect злоумышленником. Наличие 11 из 22 идентифицированных хостов указывает на продолжающуюся активность в инфраструктуре. Среди известных организаций, участвовавших в проведении этих мероприятий, были GHOST, AS-CHOOPA и ACCELERATED-IT, а также такие сети, как Tencent и ChinaNet. Более того, наличие XTLS, продвинутой криптографической технологии, разработанной китайскими разработчиками, наводило на мысль о намерении обойти брандмауэры, такие как китайский Great Firewall.
Наблюдения, сделанные в отношении конкретных хостингов, на которых установлено программное обеспечение для борьбы с цензурой и которые демонстрируют характеристики, связанные с инструментами, разработанными в Китае, вызвали подозрения в отношении субъекта, базирующегося в Китае. Было рекомендовано продолжить мониторинг этих хостингов для получения дополнительной информации, с ожиданиями дальнейшего развития событий в расследовании. Ожидается, что появятся дополнительные сведения о целях этих атак, что требует бдительности и соблюдения рекомендаций по быстрому реагированию для понимания воздействия на уязвимые устройства Cisco ASA и принятия соответствующих мер по устранению неполадок.
Таким образом, анализ дает всесторонний обзор кампании ArcaneDoor, освещая инфраструктуру участников угроз, их методы эксплуатации с использованием уязвимостей нулевого дня и потенциальную связь с участниками, базирующимися в Китае, которые используют инструменты борьбы с цензурой. Постоянный мониторинг и расследования необходимы для смягчения последствий и предотвращения будущих угроз сетевой безопасности.
#ParsedReport #CompletenessLow
12-05-2024
Resilience Threat Researchers Identify New Campaigns from Scattered Spider
https://www.cyberresilience.com/threatonomics/resilience-threat-researchers-identify-new-campaigns-from-scattered-spider
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Threats:
Sim_swapping_technique
Credential_stealing_technique
Blackcat
Aitm_technique
Spear-phishing_technique
Victims:
Mgm resorts, Caesars entertainment, Insurance companies, Telecommunication firms, Charter communications
Industry:
Telco, Foodtech, Entertainment, Financial, Retail
CVEs:
CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)
ChatGPT TTPs:
T1566, T1566.002, T1134, T1586, T1595, T1621
IOCs:
Domain: 143
Soft:
Ivanti, Outlook, telegram, Ubuntu, Nginx
Functions:
dnstwist
Languages:
php
Links:
12-05-2024
Resilience Threat Researchers Identify New Campaigns from Scattered Spider
https://www.cyberresilience.com/threatonomics/resilience-threat-researchers-identify-new-campaigns-from-scattered-spider
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Threats:
Sim_swapping_technique
Credential_stealing_technique
Blackcat
Aitm_technique
Spear-phishing_technique
Victims:
Mgm resorts, Caesars entertainment, Insurance companies, Telecommunication firms, Charter communications
Industry:
Telco, Foodtech, Entertainment, Financial, Retail
CVEs:
CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)
ChatGPT TTPs:
do not use without manual checkT1566, T1566.002, T1134, T1586, T1595, T1621
IOCs:
Domain: 143
Soft:
Ivanti, Outlook, telegram, Ubuntu, Nginx
Functions:
dnstwist
Languages:
php
Links:
https://github.com/elceef/dnstwistResilience
Resilience Threat Researchers Identify New Campaigns from Scattered Spider - Resilience
Following their attacks on MGM and Caesars’ casinos, threat actor group Scattered Spider is believed to be behind attacks on multiple companies in the
CTT Report Hub
#ParsedReport #CompletenessLow 12-05-2024 Resilience Threat Researchers Identify New Campaigns from Scattered Spider https://www.cyberresilience.com/threatonomics/resilience-threat-researchers-identify-new-campaigns-from-scattered-spider Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Scattered Spider, финансово мотивированная группа злоумышленников, известная тем, что нацеливается на организации в различных отраслях с помощью таких тактик, как фишинговые атаки и подмена SIM-карт, представляет серьезную угрозу кибербезопасности бизнеса. Они используют передовые технологии и сотрудничают с другими группами для проведения успешных атак на крупные компании, подчеркивая необходимость принятия упреждающих мер кибербезопасности и постоянного мониторинга информации об угрозах для защиты от развивающихся киберугроз.
-----
Scattered Spider, финансово мотивированная группа злоумышленников, также известная как 0ktapus, UNC3944, Roasted Oktapus, Scatter Swine, Octo Tempest и Muddled Libra, активно атакует организации в различных отраслях с мая 2022 года. Группа приобрела дурную славу благодаря своим успешным взломам крупных компаний, таких как MGM и Caesars casino, которые были приписаны им. Считается, что компания Scattered Spider, связанная с BlackCat/AlphV, использует в своих кампаниях такие тактики, как "противник посередине" (AiTM), социальную инженерию и методы обмена симами.
В последние годы Scattered Spider расширила сферу своей деятельности, сосредоточившись на таких секторах, как общественное питание, страхование, розничная торговля, технологии и видеоигры. Они используют домены-двойники и поддельные страницы входа для проведения фишинговых атак, что представляет серьезную угрозу для организаций во многих секторах. Их атаки характеризуются быстрым развертыванием инфраструктуры и слаженной работой, длящейся всего несколько часов. После нападения на компании группа может продолжить атаки с использованием sim-карт, чтобы получить полный доступ к конфиденциальным корпоративным данным и активам.
Аналитики связывают Scattered Spider с использованием фишинговых доменов в определенных форматах, таких как "victimname-sso.com` и `victimname-okta.com`. Группа размещает фишинговые страницы, содержащие ключевые данные, такие как ссылки на поддомены Okta для получения помощи, и формирует запросы POST на указанные URL-адреса. Было замечено, что разрозненные члены Spider, предположительно молодые люди, связанные с мошеннической группой Star и преступным сообществом Com, используют фишинговый набор, который извлекает данные и отправляет их в указанный чат Telegram.
Более того, Scattered Spider предпочитает нападать на конкретных жертв, а не на организации, совершающие случайные нападения. Они также сотрудничали с BlackCat/ALPHV для получения выкупа у крупных корпораций, таких как Caesars Entertainment и MGM Resorts, что указывает на стратегический сдвиг в их деятельности. Группа использует фишинговые кампании с использованием поддельных страниц входа в систему CMS, которые очень похожи на законные платформы, что повышает эффективность их атак.
Для борьбы с растущей угрозой, исходящей от Spider Spider и других подобных злоумышленников, организациям рекомендуется регулярно отслеживать домены-двойники, обучать сотрудников выявлению попыток фишинга и информировать их о целенаправленных атаках, таких как фишинг, рассылка по электронной почте и лов рыбы. Используя такие инструменты, как dnstwist(), аналитики безопасности и системные администраторы смогут эффективно обнаруживать и отслеживать потенциально опасных доменов. При реализации оптимальной стратегии управления уязвимости и планов реагирования на инциденты, предприятия могут повысить их устойчивость против сложных кибер-угроз, как и те, которые возникали рассеянные паук.
Таким образом, Scattered Spider представляет собой серьезную киберугрозу для организаций, использующих передовые методы обхода мер безопасности и получения несанкционированного доступа к конфиденциальным данным и активам. Их постоянная ориентация на различные отрасли подчеркивает важность упреждающих мер кибербезопасности и постоянного мониторинга информации об угрозах, чтобы опережать появление новых угроз в цифровом пространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Scattered Spider, финансово мотивированная группа злоумышленников, известная тем, что нацеливается на организации в различных отраслях с помощью таких тактик, как фишинговые атаки и подмена SIM-карт, представляет серьезную угрозу кибербезопасности бизнеса. Они используют передовые технологии и сотрудничают с другими группами для проведения успешных атак на крупные компании, подчеркивая необходимость принятия упреждающих мер кибербезопасности и постоянного мониторинга информации об угрозах для защиты от развивающихся киберугроз.
-----
Scattered Spider, финансово мотивированная группа злоумышленников, также известная как 0ktapus, UNC3944, Roasted Oktapus, Scatter Swine, Octo Tempest и Muddled Libra, активно атакует организации в различных отраслях с мая 2022 года. Группа приобрела дурную славу благодаря своим успешным взломам крупных компаний, таких как MGM и Caesars casino, которые были приписаны им. Считается, что компания Scattered Spider, связанная с BlackCat/AlphV, использует в своих кампаниях такие тактики, как "противник посередине" (AiTM), социальную инженерию и методы обмена симами.
В последние годы Scattered Spider расширила сферу своей деятельности, сосредоточившись на таких секторах, как общественное питание, страхование, розничная торговля, технологии и видеоигры. Они используют домены-двойники и поддельные страницы входа для проведения фишинговых атак, что представляет серьезную угрозу для организаций во многих секторах. Их атаки характеризуются быстрым развертыванием инфраструктуры и слаженной работой, длящейся всего несколько часов. После нападения на компании группа может продолжить атаки с использованием sim-карт, чтобы получить полный доступ к конфиденциальным корпоративным данным и активам.
Аналитики связывают Scattered Spider с использованием фишинговых доменов в определенных форматах, таких как "victimname-sso.com` и `victimname-okta.com`. Группа размещает фишинговые страницы, содержащие ключевые данные, такие как ссылки на поддомены Okta для получения помощи, и формирует запросы POST на указанные URL-адреса. Было замечено, что разрозненные члены Spider, предположительно молодые люди, связанные с мошеннической группой Star и преступным сообществом Com, используют фишинговый набор, который извлекает данные и отправляет их в указанный чат Telegram.
Более того, Scattered Spider предпочитает нападать на конкретных жертв, а не на организации, совершающие случайные нападения. Они также сотрудничали с BlackCat/ALPHV для получения выкупа у крупных корпораций, таких как Caesars Entertainment и MGM Resorts, что указывает на стратегический сдвиг в их деятельности. Группа использует фишинговые кампании с использованием поддельных страниц входа в систему CMS, которые очень похожи на законные платформы, что повышает эффективность их атак.
Для борьбы с растущей угрозой, исходящей от Spider Spider и других подобных злоумышленников, организациям рекомендуется регулярно отслеживать домены-двойники, обучать сотрудников выявлению попыток фишинга и информировать их о целенаправленных атаках, таких как фишинг, рассылка по электронной почте и лов рыбы. Используя такие инструменты, как dnstwist(), аналитики безопасности и системные администраторы смогут эффективно обнаруживать и отслеживать потенциально опасных доменов. При реализации оптимальной стратегии управления уязвимости и планов реагирования на инциденты, предприятия могут повысить их устойчивость против сложных кибер-угроз, как и те, которые возникали рассеянные паук.
Таким образом, Scattered Spider представляет собой серьезную киберугрозу для организаций, использующих передовые методы обхода мер безопасности и получения несанкционированного доступа к конфиденциальным данным и активам. Их постоянная ориентация на различные отрасли подчеркивает важность упреждающих мер кибербезопасности и постоянного мониторинга информации об угрозах, чтобы опережать появление новых угроз в цифровом пространстве.
👍1
Ежегодная независимая премия для пентестеров — Pentest award возвращается!
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз вас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB 🆕
— Пробив инфраструктуры 🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз вас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB 🆕
— Пробив инфраструктуры 🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward
👍2🔥1
#cyberthreattech
Итого, по автоматическому построению описания угроз удалось запустить движочек и обработать все отчеты с 2022 года.
Получился механизм, в который можно подать строку (пока не более 50 символов и
По каждой угрозе из текста он попробует найти описание.
Встал вопрос, как вытаскивать в паблик: допилить бота в ТГ, или добавить REST API. Опрос будет ниже.
Итого, по автоматическому построению описания угроз удалось запустить движочек и обработать все отчеты с 2022 года.
Получился механизм, в который можно подать строку (пока не более 50 символов и
^[a-zA-Z0-9 _-]+$, т.к. наш продакшен токенайзер я не смог пока вытащить отдельным микросервисом, а он уже умеет разбирать любой текст) и движочек найдет в ней названия угроз.По каждой угрозе из текста он попробует найти описание.
Встал вопрос, как вытаскивать в паблик: допилить бота в ТГ, или добавить REST API. Опрос будет ниже.
{
"data": {
"summary": [
{
"id": "inc_ransomware",
"found": true,
"generation": {
"date": "20240513 02:37:12",
"sources": {
"begin": "20231121",
"end": "20240417",
"urls": [
"https://mp.weixin.qq.com/s/_KuFPPs6XFOICNpRjzn5AA",
"https://www.secureworks.com/blog/gold-ionic-deploys-inc-ransomware",
"https://www.cybereason.com/blog/threat-alert-inc-ransomware",
"https://socradar.io/dark-web-profile-donutleaks",
"https://socradar.io/dark-web-profile-inc-ransom"
]
}
},
"text": "INC Ransomware, also known as INC Ransom, is a newly emerged ransomware group first observed by security researchers in early August 2023. This group primarily targets the United States and European countries, with a few victims from other Western countries such as Singapore. The majority of the victims are private sector businesses, but the group has also targeted a government organization and a charity association.\nThe INC Ransomware operates by employing partial encryption combined with a multi-threading approach to accelerate the encryption process. The group does not charge for the leaked data, unlike some other ransomware groups like LockBit 3.0. Instead, they follow a double and triple extortion strategy.\nAfter gaining access to the network, the attacker drops an executable (p443x64.exe) that installs a Meterpreter shell. They then use the AdFind command-line Active Directory query tool to enumerate the environment, WinRAR to archive files and folders, and the Megasync cloud hosting solution to exfiltrate more than 70 GB of data. After exfiltrating the data, the threat actor copies the INC ransomware executable to over 500 other systems and then runs it remotely via PsExec. The executed binary encrypts files, adds a .inc file extension to the encrypted files, and drops the INC ransom note (INC-README.txt).\nThe INC ransom note includes a Tor .onion address along with a personal ID, and it instructs the victim to contact the threat actor within 72 hours or sensitive data will be published to the leak site. The structure and design of the INC Ransom leak site are similar to the LockBit leak site, but there are no other indications that the groups are related.\nThe INC Ransomware group, tracked by Secureworks Counter Threat Unit (CTU) researchers as GOLD IONIC, uses the common double extortion method: they exfiltrate data before encrypting systems and then threaten public exposure as leverage in ransom negotiations with victims."
}
]
}
}Как лучше вытащить наружу движок поиска описания угроз
Final Results
24%
Бот в ТГ
65%
REST API
11%
Я мимо крокодил
🔥4
#technique
Unorthodox and stealthy way to inject a DLL into the explorer using icons
https://github.com/0xda568/IconJector
Unorthodox and stealthy way to inject a DLL into the explorer using icons
https://github.com/0xda568/IconJector
GitHub
GitHub - d419h/IconJector: Inject DLLs into the explorer process using icons
Inject DLLs into the explorer process using icons. Contribute to d419h/IconJector development by creating an account on GitHub.
Russia-Linked CopyCop Uses LLMs to Weaponize Influence Content at Scale
https://go.recordedfuture.com/hubfs/reports/cta-2024-0509.pdf
https://go.recordedfuture.com/hubfs/reports/cta-2024-0509.pdf
Kinsing Demystified - A Comprehensive Technical Guide
https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf
https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf
Analysing a NSO iOS Spyware Sample
https://i.blackhat.com/Asia-24/Asia-24-Frielingsdorf-YouShallNotPassAnalysing.pdf
https://i.blackhat.com/Asia-24/Asia-24-Frielingsdorf-YouShallNotPassAnalysing.pdf
#technique
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
https://blog.zsec.uk/hellojackhunter-exploring-winsxs/
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
https://blog.zsec.uk/hellojackhunter-exploring-winsxs/
ZephrSec - Adventures In Information Security
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
This post explores Windows Side-by-Side (WinSxS) and DLL hijacking, deep-diving some tooling I've written and some of the fun along the way.
CTT Report Hub
Как лучше вытащить наружу движок поиска описания угроз
API, так API :) Запилю.
Спасибо, всем, кто поучаствовал в опросе.
Спасибо, всем, кто поучаствовал в опросе.
#ParsedReport #CompletenessMedium
13-05-2024
[Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST
https://www.ctfiot.com/181035.html
Report completeness: Medium
Actors/Campaigns:
Timitator (motivation: cyber_criminal)
Duke
Oceanlotus
Threats:
Harpoon
Cobalt_strike
Vmprotect_tool
Victims:
Energy, Universities, Scientific research institutions, Military industry
Industry:
Energy, Military, Education
ChatGPT TTPs:
T1566, T1204, T1105, T1059, T1553, T1574, T1529, T1070, T1027, T1012, have more...
IOCs:
Hash: 13
IP: 7
File: 8
Soft:
trycloudflare, WeChat
Algorithms:
sha256, xor, md5
Win API:
loadlibrary
Languages:
golang, rust
13-05-2024
[Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST
https://www.ctfiot.com/181035.html
Report completeness: Medium
Actors/Campaigns:
Timitator (motivation: cyber_criminal)
Duke
Oceanlotus
Threats:
Harpoon
Cobalt_strike
Vmprotect_tool
Victims:
Energy, Universities, Scientific research institutions, Military industry
Industry:
Energy, Military, Education
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1105, T1059, T1553, T1574, T1529, T1070, T1027, T1012, have more...
IOCs:
Hash: 13
IP: 7
File: 8
Soft:
trycloudflare, WeChat
Algorithms:
sha256, xor, md5
Win API:
loadlibrary
Languages:
golang, rust
CTF导航
【高级威胁追踪(APT)】警惕来自Timitator组织RUST特马的攻击 | CTF导航
概述Timitator(战术模仿者) 组织自2022年到2023年针对我国的能源、高校、科研机构及军工等行业进行攻击,主要采取鱼叉、nday等方式进行打点。其鱼叉攻击分别投递过exe、chm、iso(img)及lnk等格式的载荷,在...
CTT Report Hub
#ParsedReport #CompletenessMedium 13-05-2024 [Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST https://www.ctfiot.com/181035.html Report completeness: Medium Actors/Campaigns: Timitator (motivation: cyber_criminal) Duke…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Организация Timitator планирует кибератаки на несколько секторов, используя такие тактики, как атаки с использованием гарпуна, эксплойты nday и другие методы. Они имитируют тактику атак других организаций, переключившись с CobaltStrike на инструмент дистанционного управления под названием RUST Tema. Их фишинговые образцы оснащены защитой от виртуальной оболочки VMP и используют методы обмана, которые выдаются за законное программное обеспечение. Все более широкое использование Timitator средств дистанционного управления и усовершенствованных тактик фишинга представляет собой серьезную угрозу в киберпространстве, что требует постоянной бдительности в отношении потенциальных целенаправленных атак.
-----
Организация Timitator планирует кибератаки на множество секторов, включая энергетику, университеты, научно-исследовательские институты и военную промышленность, в 2022-2023 годах. Они используют такие тактические приемы, как атаки гарпунами, эксплойты в режиме реального времени и другие методы проникновения в свои цели. Атаки harpoon от Timitator включают доставку вредоносной полезной нагрузки в таких форматах, как exe, chm, iso (img) и lnk. После успешного выполнения вредоносных вложений на первом этапе выполняется загрузка CobaltStrike для установления соединения, а на втором этапе загружается пользовательская специальная лошадь через CobaltStrike. Этот специальный инструмент позволяет им определять ценность скомпрометированных объектов в сети, разрабатывать индивидуальные последующие атаки и красть ценные данные и файлы.
Группа Timitator известна тем, что имитирует тактику атак других организаций, за что получила название Tactical Imitator (Тимитатор- имитатор ttps). Другие исследователи также называют их apt-q-77 и mutant rat, а некоторые связывают их деятельность с OceanLotus. Однако их истинная принадлежность остается сложной и неопределенной. Недавние выводы аналитической лаборатории Sangfor Deep View показали, что организация Timitator перешла от использования CobaltStrike к использованию для своих атак инструмента дистанционного управления, написанного на RUST, под названием RUST Tema. Кроме того, в их фишинговых образцах использовалась защита виртуальной оболочки VMP.
Дальнейший анализ показал, что после 28 марта 2024 года фишинговые образцы организации адаптировали новый подход, используя инструмент удаленного управления в RUST вместо CobaltStrike. Эти файлы были замаскированы поддельной подписью Microsoft и описательной информацией от местной компании, чтобы выглядеть как законные программы. После запуска эти образцы запускают несколько исполняемых файлов в каталоге %temp%, что приводит к загрузке вредоносных программ, таких как Log.dll и SogouInput.библиотека dll для выполнения шелл-кода и получения контроля над системой. Эти программы способны выполнять удаленные команды, операции с файлами и удаленное выполнение кода, при этом данные конфигурации расшифровываются с помощью ключа "p@sswor!kS@mk$y".
Использование Timitator различных средств дистанционного управления, таких как CobaltStrike, golang special horse и RUST special horse, свидетельствует о постоянном совершенствовании методов атаки, позволяющих избежать обнаружения и перехвата программным обеспечением безопасности. Используя специальные механизмы и совершенствуя тактику фишинга с помощью сложных сигнатур файлов, организация стремится повысить уровень успеха и сохранить оперативную секретность. Рекомендуется сохранять бдительность в отношении потенциальных целенаправленных атак со стороны группы Timitator, поскольку они по-прежнему представляют серьезную угрозу в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Организация Timitator планирует кибератаки на несколько секторов, используя такие тактики, как атаки с использованием гарпуна, эксплойты nday и другие методы. Они имитируют тактику атак других организаций, переключившись с CobaltStrike на инструмент дистанционного управления под названием RUST Tema. Их фишинговые образцы оснащены защитой от виртуальной оболочки VMP и используют методы обмана, которые выдаются за законное программное обеспечение. Все более широкое использование Timitator средств дистанционного управления и усовершенствованных тактик фишинга представляет собой серьезную угрозу в киберпространстве, что требует постоянной бдительности в отношении потенциальных целенаправленных атак.
-----
Организация Timitator планирует кибератаки на множество секторов, включая энергетику, университеты, научно-исследовательские институты и военную промышленность, в 2022-2023 годах. Они используют такие тактические приемы, как атаки гарпунами, эксплойты в режиме реального времени и другие методы проникновения в свои цели. Атаки harpoon от Timitator включают доставку вредоносной полезной нагрузки в таких форматах, как exe, chm, iso (img) и lnk. После успешного выполнения вредоносных вложений на первом этапе выполняется загрузка CobaltStrike для установления соединения, а на втором этапе загружается пользовательская специальная лошадь через CobaltStrike. Этот специальный инструмент позволяет им определять ценность скомпрометированных объектов в сети, разрабатывать индивидуальные последующие атаки и красть ценные данные и файлы.
Группа Timitator известна тем, что имитирует тактику атак других организаций, за что получила название Tactical Imitator (Тимитатор- имитатор ttps). Другие исследователи также называют их apt-q-77 и mutant rat, а некоторые связывают их деятельность с OceanLotus. Однако их истинная принадлежность остается сложной и неопределенной. Недавние выводы аналитической лаборатории Sangfor Deep View показали, что организация Timitator перешла от использования CobaltStrike к использованию для своих атак инструмента дистанционного управления, написанного на RUST, под названием RUST Tema. Кроме того, в их фишинговых образцах использовалась защита виртуальной оболочки VMP.
Дальнейший анализ показал, что после 28 марта 2024 года фишинговые образцы организации адаптировали новый подход, используя инструмент удаленного управления в RUST вместо CobaltStrike. Эти файлы были замаскированы поддельной подписью Microsoft и описательной информацией от местной компании, чтобы выглядеть как законные программы. После запуска эти образцы запускают несколько исполняемых файлов в каталоге %temp%, что приводит к загрузке вредоносных программ, таких как Log.dll и SogouInput.библиотека dll для выполнения шелл-кода и получения контроля над системой. Эти программы способны выполнять удаленные команды, операции с файлами и удаленное выполнение кода, при этом данные конфигурации расшифровываются с помощью ключа "p@sswor!kS@mk$y".
Использование Timitator различных средств дистанционного управления, таких как CobaltStrike, golang special horse и RUST special horse, свидетельствует о постоянном совершенствовании методов атаки, позволяющих избежать обнаружения и перехвата программным обеспечением безопасности. Используя специальные механизмы и совершенствуя тактику фишинга с помощью сложных сигнатур файлов, организация стремится повысить уровень успеха и сохранить оперативную секретность. Рекомендуется сохранять бдительность в отношении потенциальных целенаправленных атак со стороны группы Timitator, поскольку они по-прежнему представляют серьезную угрозу в киберпространстве.
#ParsedReport #CompletenessLow
13-05-2024
Emerging Identity Threats: The Muddy Waters of Residential Proxies
https://www.obsidiansecurity.com/blog/emerging-identity-threats-the-muddy-waters-of-residential-proxies
Report completeness: Low
Actors/Campaigns:
Muddywater
Threats:
Residential_proxy_technique
Industry:
Telco
ChatGPT TTPs:
T1566, T1090, T1078, T1110
IOCs:
File: 1
Soft:
Chrome
Platforms:
x64
13-05-2024
Emerging Identity Threats: The Muddy Waters of Residential Proxies
https://www.obsidiansecurity.com/blog/emerging-identity-threats-the-muddy-waters-of-residential-proxies
Report completeness: Low
Actors/Campaigns:
Muddywater
Threats:
Residential_proxy_technique
Industry:
Telco
ChatGPT TTPs:
do not use without manual checkT1566, T1090, T1078, T1110
IOCs:
File: 1
Soft:
Chrome
Platforms:
x64
Obsidiansecurity
Emerging Identity Threats: The Muddy Waters of Residential Proxies
Navigate emerging identity threats from residential proxies. Understand how attackers use legitimate infrastructure to evade detection.