CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform https://www.ctfiot.com/181253.html Report completeness: Low Actors/Campaigns: Bitter Dropping_elephant …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является группой, действующей в Южной Азии при поддержке правительства. Группа осуществляет APT-атаки, нацеленные на различные организации, используя тактику фишинга, и в 2023 году в их методах произошли последние изменения. В тексте освещается эволюция организаций APT из Южной Азии в адаптации их методов для успешных атак, в частности, подчеркивается продолжающаяся и совершенствующаяся фишинговая деятельность Manlinghua и важность усиления мер безопасности аналитиками в ответ на эти атаки с использованием гарпуна.
-----

APT-C-08, также известная как Manlinghua, действует в Южной Азии при поддержке правительства. На протяжении многих лет эта группа проводила атаки APT на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения в соседних странах Южной Азии. Их тактика в основном заключается в фишинговых атаках, направленных на получение учетных данных пользователей через сайты загрузки вложений электронной почты.

В ходе недавней атаки 2023 года было замечено, что Manlinghua использовала онлайн-платформу Replit для создания фишингового веб-сайта, что ознаменовало изменение их методов фишинга. Это свидетельствует о том, что организации APT из Южной Азии адаптируют и развивают свои методы для проведения успешных атак. Ранее они использовали платформы, подобные GitHub-страницам, для аналогичных целей. Несмотря на изменение платформы, другие сторонние веб-сервисы, такие как netlify.app, остаются последовательными в своих действиях по атакам.

Фишинговая деятельность Manlinghua продолжается уже много лет и постоянно совершенствуется, что свидетельствует о том, что организация отдает предпочтение недорогим методам атаки с высокой вероятностью успеха. Аналитикам по безопасности крайне важно сохранять бдительность и усиливать меры безопасности в ответ на подобные атаки с использованием гарпуна. В операциях APT-атак все чаще используются общедоступные хостинговые платформы для сокрытия сетевых ресурсов, что подчеркивает важность проверки безопасности ссылок на ресурсы с общедоступных платформ.

В 2023 году не произошло существенных изменений в процедурах гарпунной атаки, организованных компанией Manlinghua. Организация использовала функциональные возможности онлайн-платформы Replit IDE для создания среды PHP для своего фишингового веб-сайта, специально предназначенной для проверки учетных данных электронной почты пользователей, имитируя знакомую страницу загрузки вложений электронной почты. Злоумышленники использовали такую тактику, как перенаправление с одного PHP-файла на HTML-файл и изменение адреса отправки формы, чтобы продолжить сбор информации о пользователях.
#ParsedReport #CompletenessLow
16-05-2024

QakBot attacks with Windows zero-day (CVE-2024-30051)

https://securelist.com/cve-2024-30051/112618

Report completeness: Low

Threats:
Qakbot
Trojan.win32.generic;
Trojan.win32.agent.gen
Cobalt_strike

CVEs:
CVE-2023-36033 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5122, 10.0.17763.529, 10.0.17763.404, 10.0.17763.1432, 10.0.17763.557)
- microsoft windows 10 21h2 (<10.0.19041.3693, 10.0.19041.3570, -)
- microsoft windows 10 22h2 (<10.0.19045.3693, 10.0.19045.3516, 10.0.19045.2311, 10.0.19045.3155, 10.0.19045.3086)
- microsoft windows 11 21h2 (<10.0.22000.2600, 10.0.22000.493, 10.0.22000.1880, 10.0.22000.258, 10.0.22000.318)
- microsoft windows 11 22h2 (<10.0.22621.2715, 10.0.22621.2134, 10.0.22621.1485, -, 10.0.22621.1194)
have more...
CVE-2024-30051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1068, T1190, T1210, T1566

Soft:
Windows DWM Core Library
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 QakBot attacks with Windows zero-day (CVE-2024-30051) https://securelist.com/cve-2024-30051/112618 Report completeness: Low Threats: Qakbot Trojan.win32.generic; Trojan.win32.agent.gen Cobalt_strike CVEs: CVE…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Команда специалистов по кибербезопасности исследует уязвимость нулевого дня в базовой библиотеке Windows DWM, выявляет новый эксплойт для повышения привилегий, сообщает об этом корпорации Майкрософт, отслеживает атаки и планирует опубликовать технические подробности после того, как пользователи обновят свои системы. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
-----

В начале апреля 2024 года команда специалистов по кибербезопасности исследовала уязвимость CVE-2023-36033, связанную с повышением прав доступа к базовой библиотеке Windows DWM, - эксплойт нулевого дня, обнаруженный в открытом доступе. Изучая соответствующие образцы, они наткнулись на подозрительный документ на сайте VirusTotal с подробным названием файла, указывающим на то, что в нем содержится информация об уязвимости операционной системы Windows. В документе описывалась другая уязвимость Windows Desktop Window Manager (DWM), которая позволяла повысить привилегии, но качество написания и отсутствующие детали вызывали сомнения в его достоверности.

Несмотря на первоначальный скептицизм, команда подтвердила существование новой уязвимости нулевого дня, способной к повышению привилегий. Они незамедлительно сообщили об этом как о CVE-2024-30051 в Microsoft, которая выпустила исправление 14 мая 2024 года, во вторник обновления. После этого команда провела мониторинг на предмет эксплойтов и атак, использующих эту уязвимость, и в середине апреля обнаружила эксплойт. Эксплойт был обнаружен в сочетании с QakBot и другими вредоносными программами, что позволяет предположить, что доступ к нему имели несколько участников угроз.

Команда намерена опубликовать технические подробности о CVE-2024-30051, как только у пользователей будет достаточно времени для обновления своих систем Windows. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
#ParsedReport #CompletenessLow
16-05-2024

Poll Vaulting: Cyber Threats to Global Elections

https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections

Report completeness: Low

Actors/Campaigns:
Cyberberkut (motivation: hacktivism)
Marnanbridge
Haienergy
Sandworm
Xaknet
Cyberarmyofrussia
Solntsepek
Seaborgium
Dcleaks
Fancy_bear
Killnet
Anonymous_sudans
Moldova_leaks
Noname057
Jokerdnr
Beregini
Frwl
Secondary_infektion
Rusponder
Ghostwriter
Unc2589
Unc5101
Duke
Charming_kitten
Irgc
Fox_kitten
Mosesstaff
Ta428 (motivation: cyber_espionage)
Winnti
Apt31
Leviathan
Unc3658
Unc4713
Dragonbridge
Kimsuky

Threats:
Log4shell_vuln
Sogu_sec
Brownspark
Airbreak
Spear-phishing_technique

Victims:
Ukrainian presidential election infrastructure, U.s. state voter registration websites, Ukrainian government agencies, Political parties, News and social media, Election-related targets

Industry:
Energy, Financial, Education, Government, Telco, Ngo, Transport, Military

Geo:
Africa, Palestinian, Georgia, Philippines, Korea, Iran, Russia, Indian, Italy, Philippine, Canadian, Indonesia, Canada, Ukrainians, Taiwanese, Myanmar, Singapore, India, France, American, Chinese, Asia, Indonesian, Ukrainian, Israel, Cambodia, Dprk, Tibet, Iranian, Belarusian, Oceania, Bahraini, Korean, Taiwan, Russian, Australian, China, Australia, Ukraine, America

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1486, T1498, T1105, T1567, T1204, T1491, T1573, T1565, have more...

IOCs:
File: 2

Soft:
Telegram, Windows Installer, TikTok
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 Poll Vaulting: Cyber Threats to Global Elections https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections Report completeness: Low Actors/Campaigns: Cyberberkut (motivation: hacktivism)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Глобальная система кибербезопасности на выборах сложна и включает в себя широкий спектр участников, представляющих угрозы, таких как спонсируемые государством субъекты, киберпреступники, хактивисты и инсайдеры. Спонсируемые государством субъекты, особенно из России, Ирана, Китая и Северной Кореи, представляют значительный риск для безопасности выборов в результате кибератак, кампаний по дезинформации и подрывной деятельности. Обеспечение безопасности выборов требует комплексных стратегий, которые защищают машины для голосования, реестры, политические организации, средства массовой информации и социальные платформы. Сотрудничество, обмен разведывательными данными и активные меры безопасности имеют решающее значение для защиты от киберугроз и обеспечения честности выборов.
-----

Глобальный ландшафт кибербезопасности выборов сложен, поскольку различные субъекты, представляющие угрозу, нацелены на выборы.

Субъекты, финансируемые государством, представляют наиболее серьезную угрозу кибербезопасности, осуществляя кибервзломы, подрывные действия и информационные операции.

Злоумышленники используют такие тактики, как глубокие фейки и DDoS-атаки, чтобы повлиять на общественное восприятие и выбор избирателей.

Стратегии кибербезопасности на выборах должны включать понимание различных направлений угроз, таких как фишинг, кража данных и кампании по дезинформации.

Обеспечение безопасности выборов включает в себя защиту машин для голосования, реестров, политических организаций, новостных агентств и платформ социальных сетей.

Киберугрозы, спонсируемые государством, включают в себя такие примеры, как КиберБеркут российских хактивистов, нацеленный на президентские выборы в Украине в 2014 году.

Ожидается, что на будущих выборах спонсируемые государством субъекты из России, Ирана, Китая и Северной Кореи сосредоточат свое внимание на целях, связанных с выборами.

Mandiant оценивает киберугрозы со стороны России, Ирана, Китая и Северной Кореи как значительные риски для выборов в конкретных регионах.

Организациям рекомендуется заблаговременно подготовить инфраструктуру к потенциальным атакам и укрепить ее, а также использовать передовые средства обеспечения безопасности.
#ParsedReport #CompletenessLow
15-05-2024

Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices

https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices

Report completeness: Low

Actors/Campaigns:
Uta0218

Geo:
Chinese

CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


ChatGPT TTPs:
do not use without manual check
T1190, T1070.004, T1039, T1059, T1069.001, T1562.001, T1552.001, T1053.005, T1041

IOCs:
File: 3
IP: 3

Soft:
PAN-OS, openssl, Volexity Volcano

Algorithms:
gzip, base64

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-04-12%20Palo%20Alto%20Networks%20GlobalProtect/indicators/rules.yar
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----

В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.

В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.

Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.

Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.

Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.

Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
#ParsedReport #CompletenessLow
15-05-2024

Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm

https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm

Report completeness: Low

Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)

Threats:
Eternal_petya

Victims:
Ukraine, Google

Industry:
Petroleum, Government, Military, Energy

Geo:
Ukraine, Russia, Moscow, Russian

ChatGPT TTPs:
do not use without manual check
T1562

Soft:
Jenkins, Gmail, Chrome

Platforms:
arm
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm Report completeness: Low Actors/Campaigns: Sandworm (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----

Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.

Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.

Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.

APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.

APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.

APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.

Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
#ParsedReport #CompletenessHigh
16-05-2024

Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns

https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed

Report completeness: High

Threats:
Grandoreiro
Bloat_technique
Fake-trusteer

Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service

Industry:
Financial, Government

Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...

IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4

Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera

Wallets:
electrum, coinomi

Crypto:
binance, bitcoin

Algorithms:
zip, cbc, rc4, aes, sha256

Win API:
ShellExecuteW

Languages:
javascript, delphi, pascal, python

Links:
https://github.com/AArhin/delphi-oop/blob/master/Persistence/Externals/NativeXml/extlib/eldos\_aes/ElAES.pas
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed Report completeness: High Threats: Grandoreiro Bloat_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----

IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.

Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.

Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.

Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.

Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.

Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.

Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.

Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
#ParsedReport #CompletenessHigh
17-05-2024

Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups

https://rt-solar.ru/solar-4rays/blog/4329

Report completeness: High

Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti

Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique

Victims:
Russian telecom company, Government iis servers

Industry:
Healthcare, Telco, Government

Geo:
Russian, Australian, Switzerland, Usa, Asian

CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)

CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)

CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)


TTPs:

IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9

Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows

Algorithms:
aes, sha1, base64, xor, md5, sha256

Win Services:
w3svc

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash/tree/master?tab=readme-ov-file#invoke-smbclient
https://github.com/pwntester/ysoserial.net/tree/master
https://github.com/pwntester/ysoserial.net/blob/1dba9c4416ba6e79b6b262b758fa75e2ee9008e9/ysoserial/Generators/ActivitySurrogateDisableTypeCheck.cs#L48