#ParsedReport #CompletenessLow
16-05-2024
Poll Vaulting: Cyber Threats to Global Elections
https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections
Report completeness: Low
Actors/Campaigns:
Cyberberkut (motivation: hacktivism)
Marnanbridge
Haienergy
Sandworm
Xaknet
Cyberarmyofrussia
Solntsepek
Seaborgium
Dcleaks
Fancy_bear
Killnet
Anonymous_sudans
Moldova_leaks
Noname057
Jokerdnr
Beregini
Frwl
Secondary_infektion
Rusponder
Ghostwriter
Unc2589
Unc5101
Duke
Charming_kitten
Irgc
Fox_kitten
Mosesstaff
Ta428 (motivation: cyber_espionage)
Winnti
Apt31
Leviathan
Unc3658
Unc4713
Dragonbridge
Kimsuky
Threats:
Log4shell_vuln
Sogu_sec
Brownspark
Airbreak
Spear-phishing_technique
Victims:
Ukrainian presidential election infrastructure, U.s. state voter registration websites, Ukrainian government agencies, Political parties, News and social media, Election-related targets
Industry:
Energy, Financial, Education, Government, Telco, Ngo, Transport, Military
Geo:
Africa, Palestinian, Georgia, Philippines, Korea, Iran, Russia, Indian, Italy, Philippine, Canadian, Indonesia, Canada, Ukrainians, Taiwanese, Myanmar, Singapore, India, France, American, Chinese, Asia, Indonesian, Ukrainian, Israel, Cambodia, Dprk, Tibet, Iranian, Belarusian, Oceania, Bahraini, Korean, Taiwan, Russian, Australian, China, Australia, Ukraine, America
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
T1566, T1190, T1486, T1498, T1105, T1567, T1204, T1491, T1573, T1565, have more...
IOCs:
File: 2
Soft:
Telegram, Windows Installer, TikTok
16-05-2024
Poll Vaulting: Cyber Threats to Global Elections
https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections
Report completeness: Low
Actors/Campaigns:
Cyberberkut (motivation: hacktivism)
Marnanbridge
Haienergy
Sandworm
Xaknet
Cyberarmyofrussia
Solntsepek
Seaborgium
Dcleaks
Fancy_bear
Killnet
Anonymous_sudans
Moldova_leaks
Noname057
Jokerdnr
Beregini
Frwl
Secondary_infektion
Rusponder
Ghostwriter
Unc2589
Unc5101
Duke
Charming_kitten
Irgc
Fox_kitten
Mosesstaff
Ta428 (motivation: cyber_espionage)
Winnti
Apt31
Leviathan
Unc3658
Unc4713
Dragonbridge
Kimsuky
Threats:
Log4shell_vuln
Sogu_sec
Brownspark
Airbreak
Spear-phishing_technique
Victims:
Ukrainian presidential election infrastructure, U.s. state voter registration websites, Ukrainian government agencies, Political parties, News and social media, Election-related targets
Industry:
Energy, Financial, Education, Government, Telco, Ngo, Transport, Military
Geo:
Africa, Palestinian, Georgia, Philippines, Korea, Iran, Russia, Indian, Italy, Philippine, Canadian, Indonesia, Canada, Ukrainians, Taiwanese, Myanmar, Singapore, India, France, American, Chinese, Asia, Indonesian, Ukrainian, Israel, Cambodia, Dprk, Tibet, Iranian, Belarusian, Oceania, Bahraini, Korean, Taiwan, Russian, Australian, China, Australia, Ukraine, America
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
do not use without manual checkT1566, T1190, T1486, T1498, T1105, T1567, T1204, T1491, T1573, T1565, have more...
IOCs:
File: 2
Soft:
Telegram, Windows Installer, TikTok
Google Cloud Blog
Poll Vaulting: Cyber Threats to Global Elections | Google Cloud Blog
The election cybersecurity landscape globally is characterized by a diversity of targets, tactics, and threats.
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 Poll Vaulting: Cyber Threats to Global Elections https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-global-elections Report completeness: Low Actors/Campaigns: Cyberberkut (motivation: hacktivism)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Глобальная система кибербезопасности на выборах сложна и включает в себя широкий спектр участников, представляющих угрозы, таких как спонсируемые государством субъекты, киберпреступники, хактивисты и инсайдеры. Спонсируемые государством субъекты, особенно из России, Ирана, Китая и Северной Кореи, представляют значительный риск для безопасности выборов в результате кибератак, кампаний по дезинформации и подрывной деятельности. Обеспечение безопасности выборов требует комплексных стратегий, которые защищают машины для голосования, реестры, политические организации, средства массовой информации и социальные платформы. Сотрудничество, обмен разведывательными данными и активные меры безопасности имеют решающее значение для защиты от киберугроз и обеспечения честности выборов.
-----
Глобальный ландшафт кибербезопасности выборов сложен, поскольку различные субъекты, представляющие угрозу, нацелены на выборы.
Субъекты, финансируемые государством, представляют наиболее серьезную угрозу кибербезопасности, осуществляя кибервзломы, подрывные действия и информационные операции.
Злоумышленники используют такие тактики, как глубокие фейки и DDoS-атаки, чтобы повлиять на общественное восприятие и выбор избирателей.
Стратегии кибербезопасности на выборах должны включать понимание различных направлений угроз, таких как фишинг, кража данных и кампании по дезинформации.
Обеспечение безопасности выборов включает в себя защиту машин для голосования, реестров, политических организаций, новостных агентств и платформ социальных сетей.
Киберугрозы, спонсируемые государством, включают в себя такие примеры, как КиберБеркут российских хактивистов, нацеленный на президентские выборы в Украине в 2014 году.
Ожидается, что на будущих выборах спонсируемые государством субъекты из России, Ирана, Китая и Северной Кореи сосредоточат свое внимание на целях, связанных с выборами.
Mandiant оценивает киберугрозы со стороны России, Ирана, Китая и Северной Кореи как значительные риски для выборов в конкретных регионах.
Организациям рекомендуется заблаговременно подготовить инфраструктуру к потенциальным атакам и укрепить ее, а также использовать передовые средства обеспечения безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Глобальная система кибербезопасности на выборах сложна и включает в себя широкий спектр участников, представляющих угрозы, таких как спонсируемые государством субъекты, киберпреступники, хактивисты и инсайдеры. Спонсируемые государством субъекты, особенно из России, Ирана, Китая и Северной Кореи, представляют значительный риск для безопасности выборов в результате кибератак, кампаний по дезинформации и подрывной деятельности. Обеспечение безопасности выборов требует комплексных стратегий, которые защищают машины для голосования, реестры, политические организации, средства массовой информации и социальные платформы. Сотрудничество, обмен разведывательными данными и активные меры безопасности имеют решающее значение для защиты от киберугроз и обеспечения честности выборов.
-----
Глобальный ландшафт кибербезопасности выборов сложен, поскольку различные субъекты, представляющие угрозу, нацелены на выборы.
Субъекты, финансируемые государством, представляют наиболее серьезную угрозу кибербезопасности, осуществляя кибервзломы, подрывные действия и информационные операции.
Злоумышленники используют такие тактики, как глубокие фейки и DDoS-атаки, чтобы повлиять на общественное восприятие и выбор избирателей.
Стратегии кибербезопасности на выборах должны включать понимание различных направлений угроз, таких как фишинг, кража данных и кампании по дезинформации.
Обеспечение безопасности выборов включает в себя защиту машин для голосования, реестров, политических организаций, новостных агентств и платформ социальных сетей.
Киберугрозы, спонсируемые государством, включают в себя такие примеры, как КиберБеркут российских хактивистов, нацеленный на президентские выборы в Украине в 2014 году.
Ожидается, что на будущих выборах спонсируемые государством субъекты из России, Ирана, Китая и Северной Кореи сосредоточат свое внимание на целях, связанных с выборами.
Mandiant оценивает киберугрозы со стороны России, Ирана, Китая и Северной Кореи как значительные риски для выборов в конкретных регионах.
Организациям рекомендуется заблаговременно подготовить инфраструктуру к потенциальным атакам и укрепить ее, а также использовать передовые средства обеспечения безопасности.
#ParsedReport #CompletenessLow
15-05-2024
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices
Report completeness: Low
Actors/Campaigns:
Uta0218
Geo:
Chinese
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
ChatGPT TTPs:
T1190, T1070.004, T1039, T1059, T1069.001, T1562.001, T1552.001, T1053.005, T1041
IOCs:
File: 3
IP: 3
Soft:
PAN-OS, openssl, Volexity Volcano
Algorithms:
gzip, base64
Links:
15-05-2024
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices
Report completeness: Low
Actors/Campaigns:
Uta0218
Geo:
Chinese
CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
ChatGPT TTPs:
do not use without manual checkT1190, T1070.004, T1039, T1059, T1069.001, T1562.001, T1552.001, T1053.005, T1041
IOCs:
File: 3
IP: 3
Soft:
PAN-OS, openssl, Volexity Volcano
Algorithms:
gzip, base64
Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-04-12%20Palo%20Alto%20Networks%20GlobalProtect/indicators/rules.yarVolexity
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices
Last month, Volexity reported on its discovery of zero-day, in-the-wild exploitation of CVE-2024-3400 in the GlobalProtect feature of Palo Alto Networks PAN-OS by a threat actor Volexity tracks as UTA0218. Volexity has conducted several additional incident…
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----
В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.
В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.
Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.
Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.
Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.
Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----
В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.
В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.
Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.
Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.
Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.
Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
#ParsedReport #CompletenessLow
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
T1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
do not use without manual checkT1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
Google Cloud Blog
Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm | Google Cloud Blog
APT44 is a threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations.
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm Report completeness: Low Actors/Campaigns: Sandworm (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----
Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.
Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.
Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.
APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.
APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.
APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.
Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----
Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.
Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.
Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.
APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.
APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.
APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.
Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
#ParsedReport #CompletenessHigh
16-05-2024
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed
Report completeness: High
Threats:
Grandoreiro
Bloat_technique
Fake-trusteer
Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service
Industry:
Financial, Government
Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...
IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4
Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera
Wallets:
electrum, coinomi
Crypto:
binance, bitcoin
Algorithms:
zip, cbc, rc4, aes, sha256
Win API:
ShellExecuteW
Languages:
javascript, delphi, pascal, python
Links:
16-05-2024
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed
Report completeness: High
Threats:
Grandoreiro
Bloat_technique
Fake-trusteer
Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service
Industry:
Financial, Government
Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...
IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4
Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera
Wallets:
electrum, coinomi
Crypto:
binance, bitcoin
Algorithms:
zip, cbc, rc4, aes, sha256
Win API:
ShellExecuteW
Languages:
javascript, delphi, pascal, python
Links:
https://github.com/AArhin/delphi-oop/blob/master/Persistence/Externals/NativeXml/extlib/eldos\_aes/ElAES.pasSecurity Intelligence
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
Since March 2024, IBM X-Force has been tracking several large-scale phishing campaigns distributing the Grandoreiro banking trojan.
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed Report completeness: High Threats: Grandoreiro Bloat_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----
IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.
Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.
Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.
Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.
Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.
Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.
Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.
Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----
IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.
Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.
Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.
Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.
Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.
Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.
Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.
Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
#ParsedReport #CompletenessHigh
17-05-2024
Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups
https://rt-solar.ru/solar-4rays/blog/4329
Report completeness: High
Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti
Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique
Victims:
Russian telecom company, Government iis servers
Industry:
Healthcare, Telco, Government
Geo:
Russian, Australian, Switzerland, Usa, Asian
CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)
TTPs:
IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9
Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows
Algorithms:
aes, sha1, base64, xor, md5, sha256
Win Services:
w3svc
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
17-05-2024
Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups
https://rt-solar.ru/solar-4rays/blog/4329
Report completeness: High
Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti
Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique
Victims:
Russian telecom company, Government iis servers
Industry:
Healthcare, Telco, Government
Geo:
Russian, Australian, Switzerland, Usa, Asian
CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)
TTPs:
IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9
Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows
Algorithms:
aes, sha1, base64, xor, md5, sha256
Win Services:
w3svc
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
https://github.com/Kevin-Robertson/Invoke-TheHash/tree/master?tab=readme-ov-file#invoke-smbclienthttps://github.com/pwntester/ysoserial.net/tree/masterhttps://github.com/pwntester/ysoserial.net/blob/1dba9c4416ba6e79b6b262b758fa75e2ee9008e9/ysoserial/Generators/ActivitySurrogateDisableTypeCheck.cs#L48
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups https://rt-solar.ru/solar-4rays/blog/4329 Report completeness: High Actors/Campaigns: Obstinate_mogwai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----
В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.
В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.
В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.
Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.
В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----
В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.
В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.
В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.
Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.
В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
#ParsedReport #CompletenessMedium
17-05-2024
[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate
https://www.ctfiot.com/182058.html
Report completeness: Medium
Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Victims:
Operation and maintenance personnel
ChatGPT TTPs:
T1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090
IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7
Soft:
Nginx, WeChat
Algorithms:
md5
17-05-2024
[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate
https://www.ctfiot.com/182058.html
Report completeness: Medium
Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Victims:
Operation and maintenance personnel
ChatGPT TTPs:
do not use without manual checkT1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090
IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7
Soft:
Nginx, WeChat
Algorithms:
md5
CTF导航
【高级持续威胁(APT)】amdc6766团伙来袭,供应链投毒攻击再升级 | CTF导航
概述2024年5月,深信服深瞻情报实验室,监测到LNMP遭受供应链投毒攻击。根据此次供应链攻击分析,深瞻情报实验室将该事件归因为amdc6766黑产组织。2023上半年至今,amdc6766黑产组织利用仿冒页面(AMH、宝塔、Xsh...
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 [Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate https://www.ctfiot.com/182058.html Report completeness: Medium Actors/Campaigns: Amdc6766 (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----
Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.
Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.
Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.
Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.
В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.
Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.
Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----
Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.
Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.
Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.
Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.
В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.
Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.
Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
#ParsedReport #CompletenessHigh
16-05-2024
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID
https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus
Report completeness: High
Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 2
Technics: 6
IOCs:
File: 15
Domain: 4
Hash: 1
Soft:
Component Object Model, Flask
Algorithms:
crc-32, sha256, prng, rc4, base64
Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx
Languages:
javascript, python
YARA: Found
Links:
16-05-2024
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID
https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus
Report completeness: High
Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 2
Technics: 6
IOCs:
File: 15
Domain: 4
Hash: 1
Soft:
Component Object Model, Flask
Algorithms:
crc-32, sha256, prng, rc4, base64
Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx
Languages:
javascript, python
YARA: Found
Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_oversized\_windows\_script\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_oversized\_windows\_script\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_remote\_file\_execution\_via\_msiexec.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_suspicious\_msiexec\_child\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_virtualprotect\_api\_call\_from\_an\_unsigned\_dll.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_shellcode\_execution\_from\_low\_reputation\_module.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/persistence\_scheduled\_task\_creation\_by\_an\_unusual\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_potential\_self\_deletion\_of\_a\_running\_executable.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_network\_module\_loaded\_from\_suspicious\_unbacked\_memory.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_rundll32\_or\_regsvr32\_loaded\_a\_dll\_from\_unbacked\_memory.tomlhttps://github.com/mandiant/capa-rules/blob/master/anti-analysis/anti-forensic/self-deletion/self-delete-using-alternate-data-streams.ymlhttps://github.com/elastic/labs-releases/blob/main/tools/latrodectus/latro\_str\_decrypt.pyhttps://github.com/LloydLabs/delete-self-pochttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Latrodectus.yarhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_command\_shell\_activity\_started\_via\_rundll32.tomlhttps://github.com/LloydLabs/delete-self-poc/blob/49fe92218fdcfe8e173aa60a9eb307bae07cb027/main.h#L10https://github.com/elastic/labs-releases/tree/main/nightMAREhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/initial\_access\_execution\_via\_a\_suspicious\_wmi\_client.tomlwww.elastic.co
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID — Elastic Security Labs
Elastic Security Labs has observed an uptick in a recent emerging loader known as LATRODECTUS. This lightweight loader packs a big punch with ties to ICEDID and may turn into a possible replacement to fill the gap in the loader market.