CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 QakBot attacks with Windows zero-day (CVE-2024-30051) https://securelist.com/cve-2024-30051/112618 Report completeness: Low Threats: Qakbot Trojan.win32.generic; Trojan.win32.agent.gen Cobalt_strike CVEs: CVE…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Команда специалистов по кибербезопасности исследует уязвимость нулевого дня в базовой библиотеке Windows DWM, выявляет новый эксплойт для повышения привилегий, сообщает об этом корпорации Майкрософт, отслеживает атаки и планирует опубликовать технические подробности после того, как пользователи обновят свои системы. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
-----

В начале апреля 2024 года команда специалистов по кибербезопасности исследовала уязвимость CVE-2023-36033, связанную с повышением прав доступа к базовой библиотеке Windows DWM, - эксплойт нулевого дня, обнаруженный в открытом доступе. Изучая соответствующие образцы, они наткнулись на подозрительный документ на сайте VirusTotal с подробным названием файла, указывающим на то, что в нем содержится информация об уязвимости операционной системы Windows. В документе описывалась другая уязвимость Windows Desktop Window Manager (DWM), которая позволяла повысить привилегии, но качество написания и отсутствующие детали вызывали сомнения в его достоверности.

Несмотря на первоначальный скептицизм, команда подтвердила существование новой уязвимости нулевого дня, способной к повышению привилегий. Они незамедлительно сообщили об этом как о CVE-2024-30051 в Microsoft, которая выпустила исправление 14 мая 2024 года, во вторник обновления. После этого команда провела мониторинг на предмет эксплойтов и атак, использующих эту уязвимость, и в середине апреля обнаружила эксплойт. Эксплойт был обнаружен в сочетании с QakBot и другими вредоносными программами, что позволяет предположить, что доступ к нему имели несколько участников угроз.

Команда намерена опубликовать технические подробности о CVE-2024-30051, как только у пользователей будет достаточно времени для обновления своих систем Windows. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
#ParsedReport #CompletenessLow
16-05-2024

Poll Vaulting: Cyber Threats to Global Elections

https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections

Report completeness: Low

Actors/Campaigns:
Cyberberkut (motivation: hacktivism)
Marnanbridge
Haienergy
Sandworm
Xaknet
Cyberarmyofrussia
Solntsepek
Seaborgium
Dcleaks
Fancy_bear
Killnet
Anonymous_sudans
Moldova_leaks
Noname057
Jokerdnr
Beregini
Frwl
Secondary_infektion
Rusponder
Ghostwriter
Unc2589
Unc5101
Duke
Charming_kitten
Irgc
Fox_kitten
Mosesstaff
Ta428 (motivation: cyber_espionage)
Winnti
Apt31
Leviathan
Unc3658
Unc4713
Dragonbridge
Kimsuky

Threats:
Log4shell_vuln
Sogu_sec
Brownspark
Airbreak
Spear-phishing_technique

Victims:
Ukrainian presidential election infrastructure, U.s. state voter registration websites, Ukrainian government agencies, Political parties, News and social media, Election-related targets

Industry:
Energy, Financial, Education, Government, Telco, Ngo, Transport, Military

Geo:
Africa, Palestinian, Georgia, Philippines, Korea, Iran, Russia, Indian, Italy, Philippine, Canadian, Indonesia, Canada, Ukrainians, Taiwanese, Myanmar, Singapore, India, France, American, Chinese, Asia, Indonesian, Ukrainian, Israel, Cambodia, Dprk, Tibet, Iranian, Belarusian, Oceania, Bahraini, Korean, Taiwan, Russian, Australian, China, Australia, Ukraine, America

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1486, T1498, T1105, T1567, T1204, T1491, T1573, T1565, have more...

IOCs:
File: 2

Soft:
Telegram, Windows Installer, TikTok
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 Poll Vaulting: Cyber Threats to Global Elections https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections Report completeness: Low Actors/Campaigns: Cyberberkut (motivation: hacktivism)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Глобальная система кибербезопасности на выборах сложна и включает в себя широкий спектр участников, представляющих угрозы, таких как спонсируемые государством субъекты, киберпреступники, хактивисты и инсайдеры. Спонсируемые государством субъекты, особенно из России, Ирана, Китая и Северной Кореи, представляют значительный риск для безопасности выборов в результате кибератак, кампаний по дезинформации и подрывной деятельности. Обеспечение безопасности выборов требует комплексных стратегий, которые защищают машины для голосования, реестры, политические организации, средства массовой информации и социальные платформы. Сотрудничество, обмен разведывательными данными и активные меры безопасности имеют решающее значение для защиты от киберугроз и обеспечения честности выборов.
-----

Глобальный ландшафт кибербезопасности выборов сложен, поскольку различные субъекты, представляющие угрозу, нацелены на выборы.

Субъекты, финансируемые государством, представляют наиболее серьезную угрозу кибербезопасности, осуществляя кибервзломы, подрывные действия и информационные операции.

Злоумышленники используют такие тактики, как глубокие фейки и DDoS-атаки, чтобы повлиять на общественное восприятие и выбор избирателей.

Стратегии кибербезопасности на выборах должны включать понимание различных направлений угроз, таких как фишинг, кража данных и кампании по дезинформации.

Обеспечение безопасности выборов включает в себя защиту машин для голосования, реестров, политических организаций, новостных агентств и платформ социальных сетей.

Киберугрозы, спонсируемые государством, включают в себя такие примеры, как КиберБеркут российских хактивистов, нацеленный на президентские выборы в Украине в 2014 году.

Ожидается, что на будущих выборах спонсируемые государством субъекты из России, Ирана, Китая и Северной Кореи сосредоточат свое внимание на целях, связанных с выборами.

Mandiant оценивает киберугрозы со стороны России, Ирана, Китая и Северной Кореи как значительные риски для выборов в конкретных регионах.

Организациям рекомендуется заблаговременно подготовить инфраструктуру к потенциальным атакам и укрепить ее, а также использовать передовые средства обеспечения безопасности.
#ParsedReport #CompletenessLow
15-05-2024

Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices

https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices

Report completeness: Low

Actors/Campaigns:
Uta0218

Geo:
Chinese

CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


ChatGPT TTPs:
do not use without manual check
T1190, T1070.004, T1039, T1059, T1069.001, T1562.001, T1552.001, T1053.005, T1041

IOCs:
File: 3
IP: 3

Soft:
PAN-OS, openssl, Volexity Volcano

Algorithms:
gzip, base64

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-04-12%20Palo%20Alto%20Networks%20GlobalProtect/indicators/rules.yar
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----

В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.

В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.

Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.

Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.

Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.

Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
#ParsedReport #CompletenessLow
15-05-2024

Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm

https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm

Report completeness: Low

Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)

Threats:
Eternal_petya

Victims:
Ukraine, Google

Industry:
Petroleum, Government, Military, Energy

Geo:
Ukraine, Russia, Moscow, Russian

ChatGPT TTPs:
do not use without manual check
T1562

Soft:
Jenkins, Gmail, Chrome

Platforms:
arm
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm Report completeness: Low Actors/Campaigns: Sandworm (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----

Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.

Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.

Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.

APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.

APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.

APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.

Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
#ParsedReport #CompletenessHigh
16-05-2024

Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns

https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed

Report completeness: High

Threats:
Grandoreiro
Bloat_technique
Fake-trusteer

Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service

Industry:
Financial, Government

Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...

IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4

Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera

Wallets:
electrum, coinomi

Crypto:
binance, bitcoin

Algorithms:
zip, cbc, rc4, aes, sha256

Win API:
ShellExecuteW

Languages:
javascript, delphi, pascal, python

Links:
https://github.com/AArhin/delphi-oop/blob/master/Persistence/Externals/NativeXml/extlib/eldos\_aes/ElAES.pas
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed Report completeness: High Threats: Grandoreiro Bloat_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----

IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.

Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.

Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.

Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.

Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.

Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.

Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.

Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
#ParsedReport #CompletenessHigh
17-05-2024

Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups

https://rt-solar.ru/solar-4rays/blog/4329

Report completeness: High

Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti

Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique

Victims:
Russian telecom company, Government iis servers

Industry:
Healthcare, Telco, Government

Geo:
Russian, Australian, Switzerland, Usa, Asian

CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)

CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)

CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)


TTPs:

IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9

Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows

Algorithms:
aes, sha1, base64, xor, md5, sha256

Win Services:
w3svc

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash/tree/master?tab=readme-ov-file#invoke-smbclient
https://github.com/pwntester/ysoserial.net/tree/master
https://github.com/pwntester/ysoserial.net/blob/1dba9c4416ba6e79b6b262b758fa75e2ee9008e9/ysoserial/Generators/ActivitySurrogateDisableTypeCheck.cs#L48
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups https://rt-solar.ru/solar-4rays/blog/4329 Report completeness: High Actors/Campaigns: Obstinate_mogwai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----

В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.

В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.

В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.

Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.

В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
#ParsedReport #CompletenessMedium
17-05-2024

[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate

https://www.ctfiot.com/182058.html

Report completeness: Medium

Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique

Victims:
Operation and maintenance personnel

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090

IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7

Soft:
Nginx, WeChat

Algorithms:
md5