CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 APT41s concealment and hiding methods https://www.ctfiot.com/181184.html Report completeness: Low Actors/Campaigns: Winnti ChatGPT TTPs: do not use without manual check T1564.004, T1574.002, T1112, T1053.005,…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT41, опытный злоумышленник, использует передовые и запутанные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий, что затрудняет специалистам по кибербезопасности обнаружение и устранение угроз.
-----
APT41, опытный злоумышленник, использует скрытый метод для внедрения вредоносного кода, подделывая пакетный файл, расположенный в папке разработки игры на общем сетевом диске. Первоначальной целью этого пакетного файла было облегчить обновление игрового сервера. Когда разработчик по незнанию запускает измененный пакетный файл, он запускает загрузку вредоносного установочного файла MSI с помощью средства установки Microsoft Windows (MSIExec). Этот вредоносный MSI-файл состоит из вредоносной библиотеки DLL и скрипта, который обеспечивает сохранение библиотеки DLL в системе.
В отличие от обычных методов, при которых злоумышленники захватывают законные объекты компонентной объектной модели (COM), APT41 использует более сложный подход. Они генерируют два COM-объекта, один из которых указывает на подлинную библиотеку Windows DLL (AppLockerCSP.dll), а другой - на вредоносную библиотеку DLL. Настроив первый объект для перенаправления на второй, они гарантируют, что когда другие приложения будут запрашивать первый объект, вредоносный код из второго объекта будет выполнен. Этот метод в сочетании с созданием запланированной задачи, которая ежедневно вызывает кажущийся безобидным COM-объект, позволяет незаметно выполнить вредоносный код.
В описании запланированной задачи не указан путь к вредоносной библиотеке DLL, что затрудняет обнаружение аномалий с помощью рутинных проверок. Программное обеспечение для обеспечения безопасности должно уметь привязывать идентификатор GUID COM-объекта к фактическому пути к библиотеке DLL и понимать механизм перенаправления COM для эффективного выявления вредоносной активности. Использование APT41 скрытности посредством манипулирования COM-объектами и перенаправления значительно усложняет процесс обнаружения.
Дальнейший анализ показывает, что вредоносная библиотека DLL скрыта в системе с помощью функции переменного потока данных (ADS) NTFS, которая хранится в зоне с именем ADS.Идентификатор. Чтобы избежать использования обычных методов сканирования файлов, содержимое PE-файла в ADS шифруется с использованием алгоритма RC6. Исследователи приложили усилия к выявлению библиотеки шифрования CryptoCycle, используемой загрузчиком, и разработали сценарий для расшифровки конечного вредоносного кода — бэкдора.
Таким образом, APT41 демонстрирует высокий уровень сложности, используя сложные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий. Их способность обходить обычные механизмы обнаружения подчеркивает постоянную проблему, с которой сталкивается сообщество кибербезопасности при выявлении и устранении продвинутых угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT41, опытный злоумышленник, использует передовые и запутанные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий, что затрудняет специалистам по кибербезопасности обнаружение и устранение угроз.
-----
APT41, опытный злоумышленник, использует скрытый метод для внедрения вредоносного кода, подделывая пакетный файл, расположенный в папке разработки игры на общем сетевом диске. Первоначальной целью этого пакетного файла было облегчить обновление игрового сервера. Когда разработчик по незнанию запускает измененный пакетный файл, он запускает загрузку вредоносного установочного файла MSI с помощью средства установки Microsoft Windows (MSIExec). Этот вредоносный MSI-файл состоит из вредоносной библиотеки DLL и скрипта, который обеспечивает сохранение библиотеки DLL в системе.
В отличие от обычных методов, при которых злоумышленники захватывают законные объекты компонентной объектной модели (COM), APT41 использует более сложный подход. Они генерируют два COM-объекта, один из которых указывает на подлинную библиотеку Windows DLL (AppLockerCSP.dll), а другой - на вредоносную библиотеку DLL. Настроив первый объект для перенаправления на второй, они гарантируют, что когда другие приложения будут запрашивать первый объект, вредоносный код из второго объекта будет выполнен. Этот метод в сочетании с созданием запланированной задачи, которая ежедневно вызывает кажущийся безобидным COM-объект, позволяет незаметно выполнить вредоносный код.
В описании запланированной задачи не указан путь к вредоносной библиотеке DLL, что затрудняет обнаружение аномалий с помощью рутинных проверок. Программное обеспечение для обеспечения безопасности должно уметь привязывать идентификатор GUID COM-объекта к фактическому пути к библиотеке DLL и понимать механизм перенаправления COM для эффективного выявления вредоносной активности. Использование APT41 скрытности посредством манипулирования COM-объектами и перенаправления значительно усложняет процесс обнаружения.
Дальнейший анализ показывает, что вредоносная библиотека DLL скрыта в системе с помощью функции переменного потока данных (ADS) NTFS, которая хранится в зоне с именем ADS.Идентификатор. Чтобы избежать использования обычных методов сканирования файлов, содержимое PE-файла в ADS шифруется с использованием алгоритма RC6. Исследователи приложили усилия к выявлению библиотеки шифрования CryptoCycle, используемой загрузчиком, и разработали сценарий для расшифровки конечного вредоносного кода — бэкдора.
Таким образом, APT41 демонстрирует высокий уровень сложности, используя сложные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий. Их способность обходить обычные механизмы обнаружения подчеркивает постоянную проблему, с которой сталкивается сообщество кибербезопасности при выявлении и устранении продвинутых угроз.
#ParsedReport #CompletenessLow
16-05-2024
APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/181253.html
Report completeness: Low
Actors/Campaigns:
Bitter
Dropping_elephant
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Government, Military, Education
Geo:
Asia
ChatGPT TTPs:
T1566.002, T1552.001, T1587.001, T1583.001
IOCs:
File: 4
Soft:
WeChat
Languages:
php
16-05-2024
APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/181253.html
Report completeness: Low
Actors/Campaigns:
Bitter
Dropping_elephant
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Government, Military, Education
Geo:
Asia
ChatGPT TTPs:
do not use without manual checkT1566.002, T1552.001, T1587.001, T1583.001
IOCs:
File: 4
Soft:
Languages:
php
CTF导航
APT-C-08(蔓灵花)组织利用Replit平台攻击活动分析 | CTF导航
APT-C-08 蔓灵花APT-C-08(蔓灵花)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。我们监测到多起由蔓灵花组织...
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform https://www.ctfiot.com/181253.html Report completeness: Low Actors/Campaigns: Bitter Dropping_elephant …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является группой, действующей в Южной Азии при поддержке правительства. Группа осуществляет APT-атаки, нацеленные на различные организации, используя тактику фишинга, и в 2023 году в их методах произошли последние изменения. В тексте освещается эволюция организаций APT из Южной Азии в адаптации их методов для успешных атак, в частности, подчеркивается продолжающаяся и совершенствующаяся фишинговая деятельность Manlinghua и важность усиления мер безопасности аналитиками в ответ на эти атаки с использованием гарпуна.
-----
APT-C-08, также известная как Manlinghua, действует в Южной Азии при поддержке правительства. На протяжении многих лет эта группа проводила атаки APT на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения в соседних странах Южной Азии. Их тактика в основном заключается в фишинговых атаках, направленных на получение учетных данных пользователей через сайты загрузки вложений электронной почты.
В ходе недавней атаки 2023 года было замечено, что Manlinghua использовала онлайн-платформу Replit для создания фишингового веб-сайта, что ознаменовало изменение их методов фишинга. Это свидетельствует о том, что организации APT из Южной Азии адаптируют и развивают свои методы для проведения успешных атак. Ранее они использовали платформы, подобные GitHub-страницам, для аналогичных целей. Несмотря на изменение платформы, другие сторонние веб-сервисы, такие как netlify.app, остаются последовательными в своих действиях по атакам.
Фишинговая деятельность Manlinghua продолжается уже много лет и постоянно совершенствуется, что свидетельствует о том, что организация отдает предпочтение недорогим методам атаки с высокой вероятностью успеха. Аналитикам по безопасности крайне важно сохранять бдительность и усиливать меры безопасности в ответ на подобные атаки с использованием гарпуна. В операциях APT-атак все чаще используются общедоступные хостинговые платформы для сокрытия сетевых ресурсов, что подчеркивает важность проверки безопасности ссылок на ресурсы с общедоступных платформ.
В 2023 году не произошло существенных изменений в процедурах гарпунной атаки, организованных компанией Manlinghua. Организация использовала функциональные возможности онлайн-платформы Replit IDE для создания среды PHP для своего фишингового веб-сайта, специально предназначенной для проверки учетных данных электронной почты пользователей, имитируя знакомую страницу загрузки вложений электронной почты. Злоумышленники использовали такую тактику, как перенаправление с одного PHP-файла на HTML-файл и изменение адреса отправки формы, чтобы продолжить сбор информации о пользователях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является группой, действующей в Южной Азии при поддержке правительства. Группа осуществляет APT-атаки, нацеленные на различные организации, используя тактику фишинга, и в 2023 году в их методах произошли последние изменения. В тексте освещается эволюция организаций APT из Южной Азии в адаптации их методов для успешных атак, в частности, подчеркивается продолжающаяся и совершенствующаяся фишинговая деятельность Manlinghua и важность усиления мер безопасности аналитиками в ответ на эти атаки с использованием гарпуна.
-----
APT-C-08, также известная как Manlinghua, действует в Южной Азии при поддержке правительства. На протяжении многих лет эта группа проводила атаки APT на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения в соседних странах Южной Азии. Их тактика в основном заключается в фишинговых атаках, направленных на получение учетных данных пользователей через сайты загрузки вложений электронной почты.
В ходе недавней атаки 2023 года было замечено, что Manlinghua использовала онлайн-платформу Replit для создания фишингового веб-сайта, что ознаменовало изменение их методов фишинга. Это свидетельствует о том, что организации APT из Южной Азии адаптируют и развивают свои методы для проведения успешных атак. Ранее они использовали платформы, подобные GitHub-страницам, для аналогичных целей. Несмотря на изменение платформы, другие сторонние веб-сервисы, такие как netlify.app, остаются последовательными в своих действиях по атакам.
Фишинговая деятельность Manlinghua продолжается уже много лет и постоянно совершенствуется, что свидетельствует о том, что организация отдает предпочтение недорогим методам атаки с высокой вероятностью успеха. Аналитикам по безопасности крайне важно сохранять бдительность и усиливать меры безопасности в ответ на подобные атаки с использованием гарпуна. В операциях APT-атак все чаще используются общедоступные хостинговые платформы для сокрытия сетевых ресурсов, что подчеркивает важность проверки безопасности ссылок на ресурсы с общедоступных платформ.
В 2023 году не произошло существенных изменений в процедурах гарпунной атаки, организованных компанией Manlinghua. Организация использовала функциональные возможности онлайн-платформы Replit IDE для создания среды PHP для своего фишингового веб-сайта, специально предназначенной для проверки учетных данных электронной почты пользователей, имитируя знакомую страницу загрузки вложений электронной почты. Злоумышленники использовали такую тактику, как перенаправление с одного PHP-файла на HTML-файл и изменение адреса отправки формы, чтобы продолжить сбор информации о пользователях.
#ParsedReport #CompletenessLow
16-05-2024
QakBot attacks with Windows zero-day (CVE-2024-30051)
https://securelist.com/cve-2024-30051/112618
Report completeness: Low
Threats:
Qakbot
Trojan.win32.generic;
Trojan.win32.agent.gen
Cobalt_strike
CVEs:
CVE-2023-36033 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5122, 10.0.17763.529, 10.0.17763.404, 10.0.17763.1432, 10.0.17763.557)
- microsoft windows 10 21h2 (<10.0.19041.3693, 10.0.19041.3570, -)
- microsoft windows 10 22h2 (<10.0.19045.3693, 10.0.19045.3516, 10.0.19045.2311, 10.0.19045.3155, 10.0.19045.3086)
- microsoft windows 11 21h2 (<10.0.22000.2600, 10.0.22000.493, 10.0.22000.1880, 10.0.22000.258, 10.0.22000.318)
- microsoft windows 11 22h2 (<10.0.22621.2715, 10.0.22621.2134, 10.0.22621.1485, -, 10.0.22621.1194)
have more...
CVE-2024-30051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1068, T1190, T1210, T1566
Soft:
Windows DWM Core Library
16-05-2024
QakBot attacks with Windows zero-day (CVE-2024-30051)
https://securelist.com/cve-2024-30051/112618
Report completeness: Low
Threats:
Qakbot
Trojan.win32.generic;
Trojan.win32.agent.gen
Cobalt_strike
CVEs:
CVE-2023-36033 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5122, 10.0.17763.529, 10.0.17763.404, 10.0.17763.1432, 10.0.17763.557)
- microsoft windows 10 21h2 (<10.0.19041.3693, 10.0.19041.3570, -)
- microsoft windows 10 22h2 (<10.0.19045.3693, 10.0.19045.3516, 10.0.19045.2311, 10.0.19045.3155, 10.0.19045.3086)
- microsoft windows 11 21h2 (<10.0.22000.2600, 10.0.22000.493, 10.0.22000.1880, 10.0.22000.258, 10.0.22000.318)
- microsoft windows 11 22h2 (<10.0.22621.2715, 10.0.22621.2134, 10.0.22621.1485, -, 10.0.22621.1194)
have more...
CVE-2024-30051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1068, T1190, T1210, T1566
Soft:
Windows DWM Core Library
Securelist
QakBot attacks with Windows zero-day (CVE-2024-30051)
In April 2024, while researching CVE-2023-36033, we discovered another zero-day elevation-of-privilege vulnerability, which was assigned CVE-2024-30051 identifier and patched on May, 14 as part of Microsoft's patch Tuesday. We have seen it exploited by QakBot…
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 QakBot attacks with Windows zero-day (CVE-2024-30051) https://securelist.com/cve-2024-30051/112618 Report completeness: Low Threats: Qakbot Trojan.win32.generic; Trojan.win32.agent.gen Cobalt_strike CVEs: CVE…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Команда специалистов по кибербезопасности исследует уязвимость нулевого дня в базовой библиотеке Windows DWM, выявляет новый эксплойт для повышения привилегий, сообщает об этом корпорации Майкрософт, отслеживает атаки и планирует опубликовать технические подробности после того, как пользователи обновят свои системы. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
-----
В начале апреля 2024 года команда специалистов по кибербезопасности исследовала уязвимость CVE-2023-36033, связанную с повышением прав доступа к базовой библиотеке Windows DWM, - эксплойт нулевого дня, обнаруженный в открытом доступе. Изучая соответствующие образцы, они наткнулись на подозрительный документ на сайте VirusTotal с подробным названием файла, указывающим на то, что в нем содержится информация об уязвимости операционной системы Windows. В документе описывалась другая уязвимость Windows Desktop Window Manager (DWM), которая позволяла повысить привилегии, но качество написания и отсутствующие детали вызывали сомнения в его достоверности.
Несмотря на первоначальный скептицизм, команда подтвердила существование новой уязвимости нулевого дня, способной к повышению привилегий. Они незамедлительно сообщили об этом как о CVE-2024-30051 в Microsoft, которая выпустила исправление 14 мая 2024 года, во вторник обновления. После этого команда провела мониторинг на предмет эксплойтов и атак, использующих эту уязвимость, и в середине апреля обнаружила эксплойт. Эксплойт был обнаружен в сочетании с QakBot и другими вредоносными программами, что позволяет предположить, что доступ к нему имели несколько участников угроз.
Команда намерена опубликовать технические подробности о CVE-2024-30051, как только у пользователей будет достаточно времени для обновления своих систем Windows. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Команда специалистов по кибербезопасности исследует уязвимость нулевого дня в базовой библиотеке Windows DWM, выявляет новый эксплойт для повышения привилегий, сообщает об этом корпорации Майкрософт, отслеживает атаки и планирует опубликовать технические подробности после того, как пользователи обновят свои системы. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
-----
В начале апреля 2024 года команда специалистов по кибербезопасности исследовала уязвимость CVE-2023-36033, связанную с повышением прав доступа к базовой библиотеке Windows DWM, - эксплойт нулевого дня, обнаруженный в открытом доступе. Изучая соответствующие образцы, они наткнулись на подозрительный документ на сайте VirusTotal с подробным названием файла, указывающим на то, что в нем содержится информация об уязвимости операционной системы Windows. В документе описывалась другая уязвимость Windows Desktop Window Manager (DWM), которая позволяла повысить привилегии, но качество написания и отсутствующие детали вызывали сомнения в его достоверности.
Несмотря на первоначальный скептицизм, команда подтвердила существование новой уязвимости нулевого дня, способной к повышению привилегий. Они незамедлительно сообщили об этом как о CVE-2024-30051 в Microsoft, которая выпустила исправление 14 мая 2024 года, во вторник обновления. После этого команда провела мониторинг на предмет эксплойтов и атак, использующих эту уязвимость, и в середине апреля обнаружила эксплойт. Эксплойт был обнаружен в сочетании с QakBot и другими вредоносными программами, что позволяет предположить, что доступ к нему имели несколько участников угроз.
Команда намерена опубликовать технические подробности о CVE-2024-30051, как только у пользователей будет достаточно времени для обновления своих систем Windows. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
#ParsedReport #CompletenessLow
16-05-2024
Poll Vaulting: Cyber Threats to Global Elections
https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections
Report completeness: Low
Actors/Campaigns:
Cyberberkut (motivation: hacktivism)
Marnanbridge
Haienergy
Sandworm
Xaknet
Cyberarmyofrussia
Solntsepek
Seaborgium
Dcleaks
Fancy_bear
Killnet
Anonymous_sudans
Moldova_leaks
Noname057
Jokerdnr
Beregini
Frwl
Secondary_infektion
Rusponder
Ghostwriter
Unc2589
Unc5101
Duke
Charming_kitten
Irgc
Fox_kitten
Mosesstaff
Ta428 (motivation: cyber_espionage)
Winnti
Apt31
Leviathan
Unc3658
Unc4713
Dragonbridge
Kimsuky
Threats:
Log4shell_vuln
Sogu_sec
Brownspark
Airbreak
Spear-phishing_technique
Victims:
Ukrainian presidential election infrastructure, U.s. state voter registration websites, Ukrainian government agencies, Political parties, News and social media, Election-related targets
Industry:
Energy, Financial, Education, Government, Telco, Ngo, Transport, Military
Geo:
Africa, Palestinian, Georgia, Philippines, Korea, Iran, Russia, Indian, Italy, Philippine, Canadian, Indonesia, Canada, Ukrainians, Taiwanese, Myanmar, Singapore, India, France, American, Chinese, Asia, Indonesian, Ukrainian, Israel, Cambodia, Dprk, Tibet, Iranian, Belarusian, Oceania, Bahraini, Korean, Taiwan, Russian, Australian, China, Australia, Ukraine, America
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
T1566, T1190, T1486, T1498, T1105, T1567, T1204, T1491, T1573, T1565, have more...
IOCs:
File: 2
Soft:
Telegram, Windows Installer, TikTok
16-05-2024
Poll Vaulting: Cyber Threats to Global Elections
https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections
Report completeness: Low
Actors/Campaigns:
Cyberberkut (motivation: hacktivism)
Marnanbridge
Haienergy
Sandworm
Xaknet
Cyberarmyofrussia
Solntsepek
Seaborgium
Dcleaks
Fancy_bear
Killnet
Anonymous_sudans
Moldova_leaks
Noname057
Jokerdnr
Beregini
Frwl
Secondary_infektion
Rusponder
Ghostwriter
Unc2589
Unc5101
Duke
Charming_kitten
Irgc
Fox_kitten
Mosesstaff
Ta428 (motivation: cyber_espionage)
Winnti
Apt31
Leviathan
Unc3658
Unc4713
Dragonbridge
Kimsuky
Threats:
Log4shell_vuln
Sogu_sec
Brownspark
Airbreak
Spear-phishing_technique
Victims:
Ukrainian presidential election infrastructure, U.s. state voter registration websites, Ukrainian government agencies, Political parties, News and social media, Election-related targets
Industry:
Energy, Financial, Education, Government, Telco, Ngo, Transport, Military
Geo:
Africa, Palestinian, Georgia, Philippines, Korea, Iran, Russia, Indian, Italy, Philippine, Canadian, Indonesia, Canada, Ukrainians, Taiwanese, Myanmar, Singapore, India, France, American, Chinese, Asia, Indonesian, Ukrainian, Israel, Cambodia, Dprk, Tibet, Iranian, Belarusian, Oceania, Bahraini, Korean, Taiwan, Russian, Australian, China, Australia, Ukraine, America
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
do not use without manual checkT1566, T1190, T1486, T1498, T1105, T1567, T1204, T1491, T1573, T1565, have more...
IOCs:
File: 2
Soft:
Telegram, Windows Installer, TikTok
Google Cloud Blog
Poll Vaulting: Cyber Threats to Global Elections | Google Cloud Blog
The election cybersecurity landscape globally is characterized by a diversity of targets, tactics, and threats.
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 Poll Vaulting: Cyber Threats to Global Elections https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections Report completeness: Low Actors/Campaigns: Cyberberkut (motivation: hacktivism)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Глобальная система кибербезопасности на выборах сложна и включает в себя широкий спектр участников, представляющих угрозы, таких как спонсируемые государством субъекты, киберпреступники, хактивисты и инсайдеры. Спонсируемые государством субъекты, особенно из России, Ирана, Китая и Северной Кореи, представляют значительный риск для безопасности выборов в результате кибератак, кампаний по дезинформации и подрывной деятельности. Обеспечение безопасности выборов требует комплексных стратегий, которые защищают машины для голосования, реестры, политические организации, средства массовой информации и социальные платформы. Сотрудничество, обмен разведывательными данными и активные меры безопасности имеют решающее значение для защиты от киберугроз и обеспечения честности выборов.
-----
Глобальный ландшафт кибербезопасности выборов сложен, поскольку различные субъекты, представляющие угрозу, нацелены на выборы.
Субъекты, финансируемые государством, представляют наиболее серьезную угрозу кибербезопасности, осуществляя кибервзломы, подрывные действия и информационные операции.
Злоумышленники используют такие тактики, как глубокие фейки и DDoS-атаки, чтобы повлиять на общественное восприятие и выбор избирателей.
Стратегии кибербезопасности на выборах должны включать понимание различных направлений угроз, таких как фишинг, кража данных и кампании по дезинформации.
Обеспечение безопасности выборов включает в себя защиту машин для голосования, реестров, политических организаций, новостных агентств и платформ социальных сетей.
Киберугрозы, спонсируемые государством, включают в себя такие примеры, как КиберБеркут российских хактивистов, нацеленный на президентские выборы в Украине в 2014 году.
Ожидается, что на будущих выборах спонсируемые государством субъекты из России, Ирана, Китая и Северной Кореи сосредоточат свое внимание на целях, связанных с выборами.
Mandiant оценивает киберугрозы со стороны России, Ирана, Китая и Северной Кореи как значительные риски для выборов в конкретных регионах.
Организациям рекомендуется заблаговременно подготовить инфраструктуру к потенциальным атакам и укрепить ее, а также использовать передовые средства обеспечения безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Глобальная система кибербезопасности на выборах сложна и включает в себя широкий спектр участников, представляющих угрозы, таких как спонсируемые государством субъекты, киберпреступники, хактивисты и инсайдеры. Спонсируемые государством субъекты, особенно из России, Ирана, Китая и Северной Кореи, представляют значительный риск для безопасности выборов в результате кибератак, кампаний по дезинформации и подрывной деятельности. Обеспечение безопасности выборов требует комплексных стратегий, которые защищают машины для голосования, реестры, политические организации, средства массовой информации и социальные платформы. Сотрудничество, обмен разведывательными данными и активные меры безопасности имеют решающее значение для защиты от киберугроз и обеспечения честности выборов.
-----
Глобальный ландшафт кибербезопасности выборов сложен, поскольку различные субъекты, представляющие угрозу, нацелены на выборы.
Субъекты, финансируемые государством, представляют наиболее серьезную угрозу кибербезопасности, осуществляя кибервзломы, подрывные действия и информационные операции.
Злоумышленники используют такие тактики, как глубокие фейки и DDoS-атаки, чтобы повлиять на общественное восприятие и выбор избирателей.
Стратегии кибербезопасности на выборах должны включать понимание различных направлений угроз, таких как фишинг, кража данных и кампании по дезинформации.
Обеспечение безопасности выборов включает в себя защиту машин для голосования, реестров, политических организаций, новостных агентств и платформ социальных сетей.
Киберугрозы, спонсируемые государством, включают в себя такие примеры, как КиберБеркут российских хактивистов, нацеленный на президентские выборы в Украине в 2014 году.
Ожидается, что на будущих выборах спонсируемые государством субъекты из России, Ирана, Китая и Северной Кореи сосредоточат свое внимание на целях, связанных с выборами.
Mandiant оценивает киберугрозы со стороны России, Ирана, Китая и Северной Кореи как значительные риски для выборов в конкретных регионах.
Организациям рекомендуется заблаговременно подготовить инфраструктуру к потенциальным атакам и укрепить ее, а также использовать передовые средства обеспечения безопасности.
#ParsedReport #CompletenessLow
15-05-2024
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices
Report completeness: Low
Actors/Campaigns:
Uta0218
Geo:
Chinese
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
ChatGPT TTPs:
T1190, T1070.004, T1039, T1059, T1069.001, T1562.001, T1552.001, T1053.005, T1041
IOCs:
File: 3
IP: 3
Soft:
PAN-OS, openssl, Volexity Volcano
Algorithms:
gzip, base64
Links:
15-05-2024
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices
Report completeness: Low
Actors/Campaigns:
Uta0218
Geo:
Chinese
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
ChatGPT TTPs:
do not use without manual checkT1190, T1070.004, T1039, T1059, T1069.001, T1562.001, T1552.001, T1053.005, T1041
IOCs:
File: 3
IP: 3
Soft:
PAN-OS, openssl, Volexity Volcano
Algorithms:
gzip, base64
Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-04-12%20Palo%20Alto%20Networks%20GlobalProtect/indicators/rules.yarVolexity
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
Last month, Volexity reported on its discovery of zero-day, in-the-wild exploitation of CVE-2024-3400 in the GlobalProtect feature of Palo Alto Networks PAN-OS by a threat actor Volexity tracks as UTA0218. Volexity has conducted several additional incident…
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----
В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.
В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.
Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.
Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.
Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.
Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----
В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.
В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.
Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.
Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.
Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.
Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
#ParsedReport #CompletenessLow
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
T1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
do not use without manual checkT1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
Google Cloud Blog
Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm | Google Cloud Blog
APT44 is a threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations.
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm Report completeness: Low Actors/Campaigns: Sandworm (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----
Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.
Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.
Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.
APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.
APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.
APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.
Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----
Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.
Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.
Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.
APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.
APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.
APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.
Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
#ParsedReport #CompletenessHigh
16-05-2024
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed
Report completeness: High
Threats:
Grandoreiro
Bloat_technique
Fake-trusteer
Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service
Industry:
Financial, Government
Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...
IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4
Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera
Wallets:
electrum, coinomi
Crypto:
binance, bitcoin
Algorithms:
zip, cbc, rc4, aes, sha256
Win API:
ShellExecuteW
Languages:
javascript, delphi, pascal, python
Links:
16-05-2024
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed
Report completeness: High
Threats:
Grandoreiro
Bloat_technique
Fake-trusteer
Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service
Industry:
Financial, Government
Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...
IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4
Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera
Wallets:
electrum, coinomi
Crypto:
binance, bitcoin
Algorithms:
zip, cbc, rc4, aes, sha256
Win API:
ShellExecuteW
Languages:
javascript, delphi, pascal, python
Links:
https://github.com/AArhin/delphi-oop/blob/master/Persistence/Externals/NativeXml/extlib/eldos\_aes/ElAES.pasSecurity Intelligence
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
Since March 2024, IBM X-Force has been tracking several large-scale phishing campaigns distributing the Grandoreiro banking trojan.