CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении эволюции и деятельности кампании по борьбе с вредоносным ПО Ebury, освещении ее роста и сложности, сотрудничестве между ESET и Национальным подразделением по борьбе с преступностью в сфере высоких технологий Нидерландов, тактике, используемой Ebury group для распространения вредоносного ПО на новые серверы, а также постоянной угрозе, исходящей от Ebury, включая кражу финансовых данных и внедрение новых семейств вредоносных программ.
-----
В тексте рассказывается об эволюции и деятельности вредоносной кампании Ebury, которая является одной из самых продвинутых серверных вредоносных кампаний, число которых продолжает расти. Десять лет назад компания Ebury, впервые упомянутая в официальном документе под названием Operation Windigo, с тех пор диверсифицировалась, включив кражу кредитных карт и криптовалют. Несмотря на арест и осуждение одного из злоумышленников Ebury после операции Windigo, ботнет продолжал расширяться, используя бэкдор OpenSSH и программу для кражи учетных данных. ESET отслеживает действия Ebury с помощью honeypots, но вредоносное ПО становится все более изощренным, что затрудняет наблюдение за ним.
Сотрудничество между ESET и Национальным подразделением Нидерландов по борьбе с преступностью в сфере высоких технологий (NHTCU) в 2021 году позволило получить представление о недавней деятельности Ebury group и используемом ими вредоносном ПО. В документе раскрываются новые методы, используемые группой для распространения Ebury на новые серверы, с акцентом на хостинг-провайдеров. Подвергая риску инфраструктуру хостинг-провайдеров, группа устанавливает Ebury на серверы, арендуемые провайдерами. Эта тактика была продемонстрирована, когда ESET арендовала виртуальный сервер и установила Ebury в течение семи дней. Кроме того, группа использует злоумышленника в центре для перехвата SSH-трафика в центрах обработки данных и кражи учетных данных, в частности, для узлов Bitcoin и Ethereum.
Об эффективности кампании свидетельствует компрометация примерно 400 000 серверов с 2009 года, причем по состоянию на конец 2023 года более 100 000 серверов все еще были скомпрометированы. Временная шкала серверов, добавляемых в ботнет каждый месяц, показывает крупные инциденты, когда десятки тысяч серверов были одновременно скомпрометированы. В документе также раскрываются новые семейства вредоносных программ, используемых для использования ботнета Ebury, позволяющего красть финансовые данные с веб-сайтов, связанных с транзакциями, с помощью спама, перенаправления веб-трафика и HTTP POST-запросов.
Кроме того, само семейство вредоносных программ Ebury было обновлено до новой основной версии 1.8, представленной в конце 2023 года. Это обновление включает в себя новые методы обфускации, алгоритм генерации домена (DGA) и улучшения в рутките userland, используемом для сокрытия Ebury от системных администраторов. Вредоносная программа предназначена для сокрытия своих процессов, файлов, сокетов и подключенной памяти, когда она активна.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении эволюции и деятельности кампании по борьбе с вредоносным ПО Ebury, освещении ее роста и сложности, сотрудничестве между ESET и Национальным подразделением по борьбе с преступностью в сфере высоких технологий Нидерландов, тактике, используемой Ebury group для распространения вредоносного ПО на новые серверы, а также постоянной угрозе, исходящей от Ebury, включая кражу финансовых данных и внедрение новых семейств вредоносных программ.
-----
В тексте рассказывается об эволюции и деятельности вредоносной кампании Ebury, которая является одной из самых продвинутых серверных вредоносных кампаний, число которых продолжает расти. Десять лет назад компания Ebury, впервые упомянутая в официальном документе под названием Operation Windigo, с тех пор диверсифицировалась, включив кражу кредитных карт и криптовалют. Несмотря на арест и осуждение одного из злоумышленников Ebury после операции Windigo, ботнет продолжал расширяться, используя бэкдор OpenSSH и программу для кражи учетных данных. ESET отслеживает действия Ebury с помощью honeypots, но вредоносное ПО становится все более изощренным, что затрудняет наблюдение за ним.
Сотрудничество между ESET и Национальным подразделением Нидерландов по борьбе с преступностью в сфере высоких технологий (NHTCU) в 2021 году позволило получить представление о недавней деятельности Ebury group и используемом ими вредоносном ПО. В документе раскрываются новые методы, используемые группой для распространения Ebury на новые серверы, с акцентом на хостинг-провайдеров. Подвергая риску инфраструктуру хостинг-провайдеров, группа устанавливает Ebury на серверы, арендуемые провайдерами. Эта тактика была продемонстрирована, когда ESET арендовала виртуальный сервер и установила Ebury в течение семи дней. Кроме того, группа использует злоумышленника в центре для перехвата SSH-трафика в центрах обработки данных и кражи учетных данных, в частности, для узлов Bitcoin и Ethereum.
Об эффективности кампании свидетельствует компрометация примерно 400 000 серверов с 2009 года, причем по состоянию на конец 2023 года более 100 000 серверов все еще были скомпрометированы. Временная шкала серверов, добавляемых в ботнет каждый месяц, показывает крупные инциденты, когда десятки тысяч серверов были одновременно скомпрометированы. В документе также раскрываются новые семейства вредоносных программ, используемых для использования ботнета Ebury, позволяющего красть финансовые данные с веб-сайтов, связанных с транзакциями, с помощью спама, перенаправления веб-трафика и HTTP POST-запросов.
Кроме того, само семейство вредоносных программ Ebury было обновлено до новой основной версии 1.8, представленной в конце 2023 года. Это обновление включает в себя новые методы обфускации, алгоритм генерации домена (DGA) и улучшения в рутките userland, используемом для сокрытия Ebury от системных администраторов. Вредоносная программа предназначена для сокрытия своих процессов, файлов, сокетов и подключенной памяти, когда она активна.
#ParsedReport #CompletenessLow
16-05-2024
APT41s concealment and hiding methods
https://www.ctfiot.com/181184.html
Report completeness: Low
Actors/Campaigns:
Winnti
ChatGPT TTPs:
T1564.004, T1574.002, T1112, T1053.005, T1027
IOCs:
File: 2
Soft:
Windows Installer, Component Object Model
16-05-2024
APT41s concealment and hiding methods
https://www.ctfiot.com/181184.html
Report completeness: Low
Actors/Campaigns:
Winnti
ChatGPT TTPs:
do not use without manual checkT1564.004, T1574.002, T1112, T1053.005, T1027
IOCs:
File: 2
Soft:
Windows Installer, Component Object Model
CTF导航
APT41的隐蔽潜藏手法 | CTF导航
APT41利用了一个批处理文件来植入恶意代码。这个批处理文件位于共享网络驱动器的游戏开发文件夹中,原本用于将更新上传到游戏服务器。攻击者在这个文件中添加了恶意代码,然后等待开发人员运行它。当一名开发人员打...
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 APT41s concealment and hiding methods https://www.ctfiot.com/181184.html Report completeness: Low Actors/Campaigns: Winnti ChatGPT TTPs: do not use without manual check T1564.004, T1574.002, T1112, T1053.005,…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT41, опытный злоумышленник, использует передовые и запутанные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий, что затрудняет специалистам по кибербезопасности обнаружение и устранение угроз.
-----
APT41, опытный злоумышленник, использует скрытый метод для внедрения вредоносного кода, подделывая пакетный файл, расположенный в папке разработки игры на общем сетевом диске. Первоначальной целью этого пакетного файла было облегчить обновление игрового сервера. Когда разработчик по незнанию запускает измененный пакетный файл, он запускает загрузку вредоносного установочного файла MSI с помощью средства установки Microsoft Windows (MSIExec). Этот вредоносный MSI-файл состоит из вредоносной библиотеки DLL и скрипта, который обеспечивает сохранение библиотеки DLL в системе.
В отличие от обычных методов, при которых злоумышленники захватывают законные объекты компонентной объектной модели (COM), APT41 использует более сложный подход. Они генерируют два COM-объекта, один из которых указывает на подлинную библиотеку Windows DLL (AppLockerCSP.dll), а другой - на вредоносную библиотеку DLL. Настроив первый объект для перенаправления на второй, они гарантируют, что когда другие приложения будут запрашивать первый объект, вредоносный код из второго объекта будет выполнен. Этот метод в сочетании с созданием запланированной задачи, которая ежедневно вызывает кажущийся безобидным COM-объект, позволяет незаметно выполнить вредоносный код.
В описании запланированной задачи не указан путь к вредоносной библиотеке DLL, что затрудняет обнаружение аномалий с помощью рутинных проверок. Программное обеспечение для обеспечения безопасности должно уметь привязывать идентификатор GUID COM-объекта к фактическому пути к библиотеке DLL и понимать механизм перенаправления COM для эффективного выявления вредоносной активности. Использование APT41 скрытности посредством манипулирования COM-объектами и перенаправления значительно усложняет процесс обнаружения.
Дальнейший анализ показывает, что вредоносная библиотека DLL скрыта в системе с помощью функции переменного потока данных (ADS) NTFS, которая хранится в зоне с именем ADS.Идентификатор. Чтобы избежать использования обычных методов сканирования файлов, содержимое PE-файла в ADS шифруется с использованием алгоритма RC6. Исследователи приложили усилия к выявлению библиотеки шифрования CryptoCycle, используемой загрузчиком, и разработали сценарий для расшифровки конечного вредоносного кода — бэкдора.
Таким образом, APT41 демонстрирует высокий уровень сложности, используя сложные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий. Их способность обходить обычные механизмы обнаружения подчеркивает постоянную проблему, с которой сталкивается сообщество кибербезопасности при выявлении и устранении продвинутых угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT41, опытный злоумышленник, использует передовые и запутанные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий, что затрудняет специалистам по кибербезопасности обнаружение и устранение угроз.
-----
APT41, опытный злоумышленник, использует скрытый метод для внедрения вредоносного кода, подделывая пакетный файл, расположенный в папке разработки игры на общем сетевом диске. Первоначальной целью этого пакетного файла было облегчить обновление игрового сервера. Когда разработчик по незнанию запускает измененный пакетный файл, он запускает загрузку вредоносного установочного файла MSI с помощью средства установки Microsoft Windows (MSIExec). Этот вредоносный MSI-файл состоит из вредоносной библиотеки DLL и скрипта, который обеспечивает сохранение библиотеки DLL в системе.
В отличие от обычных методов, при которых злоумышленники захватывают законные объекты компонентной объектной модели (COM), APT41 использует более сложный подход. Они генерируют два COM-объекта, один из которых указывает на подлинную библиотеку Windows DLL (AppLockerCSP.dll), а другой - на вредоносную библиотеку DLL. Настроив первый объект для перенаправления на второй, они гарантируют, что когда другие приложения будут запрашивать первый объект, вредоносный код из второго объекта будет выполнен. Этот метод в сочетании с созданием запланированной задачи, которая ежедневно вызывает кажущийся безобидным COM-объект, позволяет незаметно выполнить вредоносный код.
В описании запланированной задачи не указан путь к вредоносной библиотеке DLL, что затрудняет обнаружение аномалий с помощью рутинных проверок. Программное обеспечение для обеспечения безопасности должно уметь привязывать идентификатор GUID COM-объекта к фактическому пути к библиотеке DLL и понимать механизм перенаправления COM для эффективного выявления вредоносной активности. Использование APT41 скрытности посредством манипулирования COM-объектами и перенаправления значительно усложняет процесс обнаружения.
Дальнейший анализ показывает, что вредоносная библиотека DLL скрыта в системе с помощью функции переменного потока данных (ADS) NTFS, которая хранится в зоне с именем ADS.Идентификатор. Чтобы избежать использования обычных методов сканирования файлов, содержимое PE-файла в ADS шифруется с использованием алгоритма RC6. Исследователи приложили усилия к выявлению библиотеки шифрования CryptoCycle, используемой загрузчиком, и разработали сценарий для расшифровки конечного вредоносного кода — бэкдора.
Таким образом, APT41 демонстрирует высокий уровень сложности, используя сложные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий. Их способность обходить обычные механизмы обнаружения подчеркивает постоянную проблему, с которой сталкивается сообщество кибербезопасности при выявлении и устранении продвинутых угроз.
#ParsedReport #CompletenessLow
16-05-2024
APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/181253.html
Report completeness: Low
Actors/Campaigns:
Bitter
Dropping_elephant
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Government, Military, Education
Geo:
Asia
ChatGPT TTPs:
T1566.002, T1552.001, T1587.001, T1583.001
IOCs:
File: 4
Soft:
WeChat
Languages:
php
16-05-2024
APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/181253.html
Report completeness: Low
Actors/Campaigns:
Bitter
Dropping_elephant
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Government, Military, Education
Geo:
Asia
ChatGPT TTPs:
do not use without manual checkT1566.002, T1552.001, T1587.001, T1583.001
IOCs:
File: 4
Soft:
Languages:
php
CTF导航
APT-C-08(蔓灵花)组织利用Replit平台攻击活动分析 | CTF导航
APT-C-08 蔓灵花APT-C-08(蔓灵花)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。我们监测到多起由蔓灵花组织...
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform https://www.ctfiot.com/181253.html Report completeness: Low Actors/Campaigns: Bitter Dropping_elephant …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является группой, действующей в Южной Азии при поддержке правительства. Группа осуществляет APT-атаки, нацеленные на различные организации, используя тактику фишинга, и в 2023 году в их методах произошли последние изменения. В тексте освещается эволюция организаций APT из Южной Азии в адаптации их методов для успешных атак, в частности, подчеркивается продолжающаяся и совершенствующаяся фишинговая деятельность Manlinghua и важность усиления мер безопасности аналитиками в ответ на эти атаки с использованием гарпуна.
-----
APT-C-08, также известная как Manlinghua, действует в Южной Азии при поддержке правительства. На протяжении многих лет эта группа проводила атаки APT на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения в соседних странах Южной Азии. Их тактика в основном заключается в фишинговых атаках, направленных на получение учетных данных пользователей через сайты загрузки вложений электронной почты.
В ходе недавней атаки 2023 года было замечено, что Manlinghua использовала онлайн-платформу Replit для создания фишингового веб-сайта, что ознаменовало изменение их методов фишинга. Это свидетельствует о том, что организации APT из Южной Азии адаптируют и развивают свои методы для проведения успешных атак. Ранее они использовали платформы, подобные GitHub-страницам, для аналогичных целей. Несмотря на изменение платформы, другие сторонние веб-сервисы, такие как netlify.app, остаются последовательными в своих действиях по атакам.
Фишинговая деятельность Manlinghua продолжается уже много лет и постоянно совершенствуется, что свидетельствует о том, что организация отдает предпочтение недорогим методам атаки с высокой вероятностью успеха. Аналитикам по безопасности крайне важно сохранять бдительность и усиливать меры безопасности в ответ на подобные атаки с использованием гарпуна. В операциях APT-атак все чаще используются общедоступные хостинговые платформы для сокрытия сетевых ресурсов, что подчеркивает важность проверки безопасности ссылок на ресурсы с общедоступных платформ.
В 2023 году не произошло существенных изменений в процедурах гарпунной атаки, организованных компанией Manlinghua. Организация использовала функциональные возможности онлайн-платформы Replit IDE для создания среды PHP для своего фишингового веб-сайта, специально предназначенной для проверки учетных данных электронной почты пользователей, имитируя знакомую страницу загрузки вложений электронной почты. Злоумышленники использовали такую тактику, как перенаправление с одного PHP-файла на HTML-файл и изменение адреса отправки формы, чтобы продолжить сбор информации о пользователях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является группой, действующей в Южной Азии при поддержке правительства. Группа осуществляет APT-атаки, нацеленные на различные организации, используя тактику фишинга, и в 2023 году в их методах произошли последние изменения. В тексте освещается эволюция организаций APT из Южной Азии в адаптации их методов для успешных атак, в частности, подчеркивается продолжающаяся и совершенствующаяся фишинговая деятельность Manlinghua и важность усиления мер безопасности аналитиками в ответ на эти атаки с использованием гарпуна.
-----
APT-C-08, также известная как Manlinghua, действует в Южной Азии при поддержке правительства. На протяжении многих лет эта группа проводила атаки APT на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения в соседних странах Южной Азии. Их тактика в основном заключается в фишинговых атаках, направленных на получение учетных данных пользователей через сайты загрузки вложений электронной почты.
В ходе недавней атаки 2023 года было замечено, что Manlinghua использовала онлайн-платформу Replit для создания фишингового веб-сайта, что ознаменовало изменение их методов фишинга. Это свидетельствует о том, что организации APT из Южной Азии адаптируют и развивают свои методы для проведения успешных атак. Ранее они использовали платформы, подобные GitHub-страницам, для аналогичных целей. Несмотря на изменение платформы, другие сторонние веб-сервисы, такие как netlify.app, остаются последовательными в своих действиях по атакам.
Фишинговая деятельность Manlinghua продолжается уже много лет и постоянно совершенствуется, что свидетельствует о том, что организация отдает предпочтение недорогим методам атаки с высокой вероятностью успеха. Аналитикам по безопасности крайне важно сохранять бдительность и усиливать меры безопасности в ответ на подобные атаки с использованием гарпуна. В операциях APT-атак все чаще используются общедоступные хостинговые платформы для сокрытия сетевых ресурсов, что подчеркивает важность проверки безопасности ссылок на ресурсы с общедоступных платформ.
В 2023 году не произошло существенных изменений в процедурах гарпунной атаки, организованных компанией Manlinghua. Организация использовала функциональные возможности онлайн-платформы Replit IDE для создания среды PHP для своего фишингового веб-сайта, специально предназначенной для проверки учетных данных электронной почты пользователей, имитируя знакомую страницу загрузки вложений электронной почты. Злоумышленники использовали такую тактику, как перенаправление с одного PHP-файла на HTML-файл и изменение адреса отправки формы, чтобы продолжить сбор информации о пользователях.
#ParsedReport #CompletenessLow
16-05-2024
QakBot attacks with Windows zero-day (CVE-2024-30051)
https://securelist.com/cve-2024-30051/112618
Report completeness: Low
Threats:
Qakbot
Trojan.win32.generic;
Trojan.win32.agent.gen
Cobalt_strike
CVEs:
CVE-2023-36033 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5122, 10.0.17763.529, 10.0.17763.404, 10.0.17763.1432, 10.0.17763.557)
- microsoft windows 10 21h2 (<10.0.19041.3693, 10.0.19041.3570, -)
- microsoft windows 10 22h2 (<10.0.19045.3693, 10.0.19045.3516, 10.0.19045.2311, 10.0.19045.3155, 10.0.19045.3086)
- microsoft windows 11 21h2 (<10.0.22000.2600, 10.0.22000.493, 10.0.22000.1880, 10.0.22000.258, 10.0.22000.318)
- microsoft windows 11 22h2 (<10.0.22621.2715, 10.0.22621.2134, 10.0.22621.1485, -, 10.0.22621.1194)
have more...
CVE-2024-30051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1068, T1190, T1210, T1566
Soft:
Windows DWM Core Library
16-05-2024
QakBot attacks with Windows zero-day (CVE-2024-30051)
https://securelist.com/cve-2024-30051/112618
Report completeness: Low
Threats:
Qakbot
Trojan.win32.generic;
Trojan.win32.agent.gen
Cobalt_strike
CVEs:
CVE-2023-36033 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5122, 10.0.17763.529, 10.0.17763.404, 10.0.17763.1432, 10.0.17763.557)
- microsoft windows 10 21h2 (<10.0.19041.3693, 10.0.19041.3570, -)
- microsoft windows 10 22h2 (<10.0.19045.3693, 10.0.19045.3516, 10.0.19045.2311, 10.0.19045.3155, 10.0.19045.3086)
- microsoft windows 11 21h2 (<10.0.22000.2600, 10.0.22000.493, 10.0.22000.1880, 10.0.22000.258, 10.0.22000.318)
- microsoft windows 11 22h2 (<10.0.22621.2715, 10.0.22621.2134, 10.0.22621.1485, -, 10.0.22621.1194)
have more...
CVE-2024-30051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1068, T1190, T1210, T1566
Soft:
Windows DWM Core Library
Securelist
QakBot attacks with Windows zero-day (CVE-2024-30051)
In April 2024, while researching CVE-2023-36033, we discovered another zero-day elevation-of-privilege vulnerability, which was assigned CVE-2024-30051 identifier and patched on May, 14 as part of Microsoft's patch Tuesday. We have seen it exploited by QakBot…
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 QakBot attacks with Windows zero-day (CVE-2024-30051) https://securelist.com/cve-2024-30051/112618 Report completeness: Low Threats: Qakbot Trojan.win32.generic; Trojan.win32.agent.gen Cobalt_strike CVEs: CVE…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Команда специалистов по кибербезопасности исследует уязвимость нулевого дня в базовой библиотеке Windows DWM, выявляет новый эксплойт для повышения привилегий, сообщает об этом корпорации Майкрософт, отслеживает атаки и планирует опубликовать технические подробности после того, как пользователи обновят свои системы. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
-----
В начале апреля 2024 года команда специалистов по кибербезопасности исследовала уязвимость CVE-2023-36033, связанную с повышением прав доступа к базовой библиотеке Windows DWM, - эксплойт нулевого дня, обнаруженный в открытом доступе. Изучая соответствующие образцы, они наткнулись на подозрительный документ на сайте VirusTotal с подробным названием файла, указывающим на то, что в нем содержится информация об уязвимости операционной системы Windows. В документе описывалась другая уязвимость Windows Desktop Window Manager (DWM), которая позволяла повысить привилегии, но качество написания и отсутствующие детали вызывали сомнения в его достоверности.
Несмотря на первоначальный скептицизм, команда подтвердила существование новой уязвимости нулевого дня, способной к повышению привилегий. Они незамедлительно сообщили об этом как о CVE-2024-30051 в Microsoft, которая выпустила исправление 14 мая 2024 года, во вторник обновления. После этого команда провела мониторинг на предмет эксплойтов и атак, использующих эту уязвимость, и в середине апреля обнаружила эксплойт. Эксплойт был обнаружен в сочетании с QakBot и другими вредоносными программами, что позволяет предположить, что доступ к нему имели несколько участников угроз.
Команда намерена опубликовать технические подробности о CVE-2024-30051, как только у пользователей будет достаточно времени для обновления своих систем Windows. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Команда специалистов по кибербезопасности исследует уязвимость нулевого дня в базовой библиотеке Windows DWM, выявляет новый эксплойт для повышения привилегий, сообщает об этом корпорации Майкрософт, отслеживает атаки и планирует опубликовать технические подробности после того, как пользователи обновят свои системы. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
-----
В начале апреля 2024 года команда специалистов по кибербезопасности исследовала уязвимость CVE-2023-36033, связанную с повышением прав доступа к базовой библиотеке Windows DWM, - эксплойт нулевого дня, обнаруженный в открытом доступе. Изучая соответствующие образцы, они наткнулись на подозрительный документ на сайте VirusTotal с подробным названием файла, указывающим на то, что в нем содержится информация об уязвимости операционной системы Windows. В документе описывалась другая уязвимость Windows Desktop Window Manager (DWM), которая позволяла повысить привилегии, но качество написания и отсутствующие детали вызывали сомнения в его достоверности.
Несмотря на первоначальный скептицизм, команда подтвердила существование новой уязвимости нулевого дня, способной к повышению привилегий. Они незамедлительно сообщили об этом как о CVE-2024-30051 в Microsoft, которая выпустила исправление 14 мая 2024 года, во вторник обновления. После этого команда провела мониторинг на предмет эксплойтов и атак, использующих эту уязвимость, и в середине апреля обнаружила эксплойт. Эксплойт был обнаружен в сочетании с QakBot и другими вредоносными программами, что позволяет предположить, что доступ к нему имели несколько участников угроз.
Команда намерена опубликовать технические подробности о CVE-2024-30051, как только у пользователей будет достаточно времени для обновления своих систем Windows. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
#ParsedReport #CompletenessLow
16-05-2024
Poll Vaulting: Cyber Threats to Global Elections
https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections
Report completeness: Low
Actors/Campaigns:
Cyberberkut (motivation: hacktivism)
Marnanbridge
Haienergy
Sandworm
Xaknet
Cyberarmyofrussia
Solntsepek
Seaborgium
Dcleaks
Fancy_bear
Killnet
Anonymous_sudans
Moldova_leaks
Noname057
Jokerdnr
Beregini
Frwl
Secondary_infektion
Rusponder
Ghostwriter
Unc2589
Unc5101
Duke
Charming_kitten
Irgc
Fox_kitten
Mosesstaff
Ta428 (motivation: cyber_espionage)
Winnti
Apt31
Leviathan
Unc3658
Unc4713
Dragonbridge
Kimsuky
Threats:
Log4shell_vuln
Sogu_sec
Brownspark
Airbreak
Spear-phishing_technique
Victims:
Ukrainian presidential election infrastructure, U.s. state voter registration websites, Ukrainian government agencies, Political parties, News and social media, Election-related targets
Industry:
Energy, Financial, Education, Government, Telco, Ngo, Transport, Military
Geo:
Africa, Palestinian, Georgia, Philippines, Korea, Iran, Russia, Indian, Italy, Philippine, Canadian, Indonesia, Canada, Ukrainians, Taiwanese, Myanmar, Singapore, India, France, American, Chinese, Asia, Indonesian, Ukrainian, Israel, Cambodia, Dprk, Tibet, Iranian, Belarusian, Oceania, Bahraini, Korean, Taiwan, Russian, Australian, China, Australia, Ukraine, America
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
T1566, T1190, T1486, T1498, T1105, T1567, T1204, T1491, T1573, T1565, have more...
IOCs:
File: 2
Soft:
Telegram, Windows Installer, TikTok
16-05-2024
Poll Vaulting: Cyber Threats to Global Elections
https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections
Report completeness: Low
Actors/Campaigns:
Cyberberkut (motivation: hacktivism)
Marnanbridge
Haienergy
Sandworm
Xaknet
Cyberarmyofrussia
Solntsepek
Seaborgium
Dcleaks
Fancy_bear
Killnet
Anonymous_sudans
Moldova_leaks
Noname057
Jokerdnr
Beregini
Frwl
Secondary_infektion
Rusponder
Ghostwriter
Unc2589
Unc5101
Duke
Charming_kitten
Irgc
Fox_kitten
Mosesstaff
Ta428 (motivation: cyber_espionage)
Winnti
Apt31
Leviathan
Unc3658
Unc4713
Dragonbridge
Kimsuky
Threats:
Log4shell_vuln
Sogu_sec
Brownspark
Airbreak
Spear-phishing_technique
Victims:
Ukrainian presidential election infrastructure, U.s. state voter registration websites, Ukrainian government agencies, Political parties, News and social media, Election-related targets
Industry:
Energy, Financial, Education, Government, Telco, Ngo, Transport, Military
Geo:
Africa, Palestinian, Georgia, Philippines, Korea, Iran, Russia, Indian, Italy, Philippine, Canadian, Indonesia, Canada, Ukrainians, Taiwanese, Myanmar, Singapore, India, France, American, Chinese, Asia, Indonesian, Ukrainian, Israel, Cambodia, Dprk, Tibet, Iranian, Belarusian, Oceania, Bahraini, Korean, Taiwan, Russian, Australian, China, Australia, Ukraine, America
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
do not use without manual checkT1566, T1190, T1486, T1498, T1105, T1567, T1204, T1491, T1573, T1565, have more...
IOCs:
File: 2
Soft:
Telegram, Windows Installer, TikTok
Google Cloud Blog
Poll Vaulting: Cyber Threats to Global Elections | Google Cloud Blog
The election cybersecurity landscape globally is characterized by a diversity of targets, tactics, and threats.
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 Poll Vaulting: Cyber Threats to Global Elections https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections Report completeness: Low Actors/Campaigns: Cyberberkut (motivation: hacktivism)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Глобальная система кибербезопасности на выборах сложна и включает в себя широкий спектр участников, представляющих угрозы, таких как спонсируемые государством субъекты, киберпреступники, хактивисты и инсайдеры. Спонсируемые государством субъекты, особенно из России, Ирана, Китая и Северной Кореи, представляют значительный риск для безопасности выборов в результате кибератак, кампаний по дезинформации и подрывной деятельности. Обеспечение безопасности выборов требует комплексных стратегий, которые защищают машины для голосования, реестры, политические организации, средства массовой информации и социальные платформы. Сотрудничество, обмен разведывательными данными и активные меры безопасности имеют решающее значение для защиты от киберугроз и обеспечения честности выборов.
-----
Глобальный ландшафт кибербезопасности выборов сложен, поскольку различные субъекты, представляющие угрозу, нацелены на выборы.
Субъекты, финансируемые государством, представляют наиболее серьезную угрозу кибербезопасности, осуществляя кибервзломы, подрывные действия и информационные операции.
Злоумышленники используют такие тактики, как глубокие фейки и DDoS-атаки, чтобы повлиять на общественное восприятие и выбор избирателей.
Стратегии кибербезопасности на выборах должны включать понимание различных направлений угроз, таких как фишинг, кража данных и кампании по дезинформации.
Обеспечение безопасности выборов включает в себя защиту машин для голосования, реестров, политических организаций, новостных агентств и платформ социальных сетей.
Киберугрозы, спонсируемые государством, включают в себя такие примеры, как КиберБеркут российских хактивистов, нацеленный на президентские выборы в Украине в 2014 году.
Ожидается, что на будущих выборах спонсируемые государством субъекты из России, Ирана, Китая и Северной Кореи сосредоточат свое внимание на целях, связанных с выборами.
Mandiant оценивает киберугрозы со стороны России, Ирана, Китая и Северной Кореи как значительные риски для выборов в конкретных регионах.
Организациям рекомендуется заблаговременно подготовить инфраструктуру к потенциальным атакам и укрепить ее, а также использовать передовые средства обеспечения безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Глобальная система кибербезопасности на выборах сложна и включает в себя широкий спектр участников, представляющих угрозы, таких как спонсируемые государством субъекты, киберпреступники, хактивисты и инсайдеры. Спонсируемые государством субъекты, особенно из России, Ирана, Китая и Северной Кореи, представляют значительный риск для безопасности выборов в результате кибератак, кампаний по дезинформации и подрывной деятельности. Обеспечение безопасности выборов требует комплексных стратегий, которые защищают машины для голосования, реестры, политические организации, средства массовой информации и социальные платформы. Сотрудничество, обмен разведывательными данными и активные меры безопасности имеют решающее значение для защиты от киберугроз и обеспечения честности выборов.
-----
Глобальный ландшафт кибербезопасности выборов сложен, поскольку различные субъекты, представляющие угрозу, нацелены на выборы.
Субъекты, финансируемые государством, представляют наиболее серьезную угрозу кибербезопасности, осуществляя кибервзломы, подрывные действия и информационные операции.
Злоумышленники используют такие тактики, как глубокие фейки и DDoS-атаки, чтобы повлиять на общественное восприятие и выбор избирателей.
Стратегии кибербезопасности на выборах должны включать понимание различных направлений угроз, таких как фишинг, кража данных и кампании по дезинформации.
Обеспечение безопасности выборов включает в себя защиту машин для голосования, реестров, политических организаций, новостных агентств и платформ социальных сетей.
Киберугрозы, спонсируемые государством, включают в себя такие примеры, как КиберБеркут российских хактивистов, нацеленный на президентские выборы в Украине в 2014 году.
Ожидается, что на будущих выборах спонсируемые государством субъекты из России, Ирана, Китая и Северной Кореи сосредоточат свое внимание на целях, связанных с выборами.
Mandiant оценивает киберугрозы со стороны России, Ирана, Китая и Северной Кореи как значительные риски для выборов в конкретных регионах.
Организациям рекомендуется заблаговременно подготовить инфраструктуру к потенциальным атакам и укрепить ее, а также использовать передовые средства обеспечения безопасности.
#ParsedReport #CompletenessLow
15-05-2024
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices
Report completeness: Low
Actors/Campaigns:
Uta0218
Geo:
Chinese
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
ChatGPT TTPs:
T1190, T1070.004, T1039, T1059, T1069.001, T1562.001, T1552.001, T1053.005, T1041
IOCs:
File: 3
IP: 3
Soft:
PAN-OS, openssl, Volexity Volcano
Algorithms:
gzip, base64
Links:
15-05-2024
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices
Report completeness: Low
Actors/Campaigns:
Uta0218
Geo:
Chinese
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
ChatGPT TTPs:
do not use without manual checkT1190, T1070.004, T1039, T1059, T1069.001, T1562.001, T1552.001, T1053.005, T1041
IOCs:
File: 3
IP: 3
Soft:
PAN-OS, openssl, Volexity Volcano
Algorithms:
gzip, base64
Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-04-12%20Palo%20Alto%20Networks%20GlobalProtect/indicators/rules.yarVolexity
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
Last month, Volexity reported on its discovery of zero-day, in-the-wild exploitation of CVE-2024-3400 in the GlobalProtect feature of Palo Alto Networks PAN-OS by a threat actor Volexity tracks as UTA0218. Volexity has conducted several additional incident…
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----
В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.
В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.
Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.
Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.
Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.
Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----
В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.
В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.
Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.
Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.
Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.
Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
#ParsedReport #CompletenessLow
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
T1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
do not use without manual checkT1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
Google Cloud Blog
Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm | Google Cloud Blog
APT44 is a threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations.