CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----
В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.
В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.
Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.
Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.
Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.
Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----
В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.
В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.
Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.
Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.
Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.
Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
#ParsedReport #CompletenessLow
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
T1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
do not use without manual checkT1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
Google Cloud Blog
Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm | Google Cloud Blog
APT44 is a threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations.
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm Report completeness: Low Actors/Campaigns: Sandworm (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----
Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.
Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.
Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.
APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.
APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.
APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.
Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----
Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.
Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.
Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.
APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.
APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.
APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.
Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
#ParsedReport #CompletenessHigh
16-05-2024
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed
Report completeness: High
Threats:
Grandoreiro
Bloat_technique
Fake-trusteer
Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service
Industry:
Financial, Government
Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...
IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4
Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera
Wallets:
electrum, coinomi
Crypto:
binance, bitcoin
Algorithms:
zip, cbc, rc4, aes, sha256
Win API:
ShellExecuteW
Languages:
javascript, delphi, pascal, python
Links:
16-05-2024
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed
Report completeness: High
Threats:
Grandoreiro
Bloat_technique
Fake-trusteer
Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service
Industry:
Financial, Government
Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...
IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4
Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera
Wallets:
electrum, coinomi
Crypto:
binance, bitcoin
Algorithms:
zip, cbc, rc4, aes, sha256
Win API:
ShellExecuteW
Languages:
javascript, delphi, pascal, python
Links:
https://github.com/AArhin/delphi-oop/blob/master/Persistence/Externals/NativeXml/extlib/eldos\_aes/ElAES.pasSecurity Intelligence
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
Since March 2024, IBM X-Force has been tracking several large-scale phishing campaigns distributing the Grandoreiro banking trojan.
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed Report completeness: High Threats: Grandoreiro Bloat_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----
IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.
Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.
Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.
Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.
Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.
Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.
Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.
Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----
IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.
Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.
Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.
Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.
Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.
Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.
Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.
Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
#ParsedReport #CompletenessHigh
17-05-2024
Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups
https://rt-solar.ru/solar-4rays/blog/4329
Report completeness: High
Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti
Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique
Victims:
Russian telecom company, Government iis servers
Industry:
Healthcare, Telco, Government
Geo:
Russian, Australian, Switzerland, Usa, Asian
CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)
TTPs:
IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9
Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows
Algorithms:
aes, sha1, base64, xor, md5, sha256
Win Services:
w3svc
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
17-05-2024
Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups
https://rt-solar.ru/solar-4rays/blog/4329
Report completeness: High
Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti
Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique
Victims:
Russian telecom company, Government iis servers
Industry:
Healthcare, Telco, Government
Geo:
Russian, Australian, Switzerland, Usa, Asian
CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)
TTPs:
IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9
Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows
Algorithms:
aes, sha1, base64, xor, md5, sha256
Win Services:
w3svc
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
https://github.com/Kevin-Robertson/Invoke-TheHash/tree/master?tab=readme-ov-file#invoke-smbclienthttps://github.com/pwntester/ysoserial.net/tree/masterhttps://github.com/pwntester/ysoserial.net/blob/1dba9c4416ba6e79b6b262b758fa75e2ee9008e9/ysoserial/Generators/ActivitySurrogateDisableTypeCheck.cs#L48
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups https://rt-solar.ru/solar-4rays/blog/4329 Report completeness: High Actors/Campaigns: Obstinate_mogwai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----
В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.
В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.
В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.
Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.
В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----
В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.
В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.
В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.
Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.
В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
#ParsedReport #CompletenessMedium
17-05-2024
[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate
https://www.ctfiot.com/182058.html
Report completeness: Medium
Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Victims:
Operation and maintenance personnel
ChatGPT TTPs:
T1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090
IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7
Soft:
Nginx, WeChat
Algorithms:
md5
17-05-2024
[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate
https://www.ctfiot.com/182058.html
Report completeness: Medium
Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Victims:
Operation and maintenance personnel
ChatGPT TTPs:
do not use without manual checkT1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090
IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7
Soft:
Nginx, WeChat
Algorithms:
md5
CTF导航
【高级持续威胁(APT)】amdc6766团伙来袭,供应链投毒攻击再升级 | CTF导航
概述2024年5月,深信服深瞻情报实验室,监测到LNMP遭受供应链投毒攻击。根据此次供应链攻击分析,深瞻情报实验室将该事件归因为amdc6766黑产组织。2023上半年至今,amdc6766黑产组织利用仿冒页面(AMH、宝塔、Xsh...
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 [Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate https://www.ctfiot.com/182058.html Report completeness: Medium Actors/Campaigns: Amdc6766 (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----
Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.
Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.
Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.
Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.
В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.
Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.
Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----
Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.
Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.
Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.
Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.
В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.
Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.
Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
#ParsedReport #CompletenessHigh
16-05-2024
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID
https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus
Report completeness: High
Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 2
Technics: 6
IOCs:
File: 15
Domain: 4
Hash: 1
Soft:
Component Object Model, Flask
Algorithms:
crc-32, sha256, prng, rc4, base64
Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx
Languages:
javascript, python
YARA: Found
Links:
16-05-2024
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID
https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus
Report completeness: High
Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 2
Technics: 6
IOCs:
File: 15
Domain: 4
Hash: 1
Soft:
Component Object Model, Flask
Algorithms:
crc-32, sha256, prng, rc4, base64
Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx
Languages:
javascript, python
YARA: Found
Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_oversized\_windows\_script\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_oversized\_windows\_script\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_remote\_file\_execution\_via\_msiexec.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_suspicious\_msiexec\_child\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_virtualprotect\_api\_call\_from\_an\_unsigned\_dll.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_shellcode\_execution\_from\_low\_reputation\_module.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/persistence\_scheduled\_task\_creation\_by\_an\_unusual\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_potential\_self\_deletion\_of\_a\_running\_executable.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_network\_module\_loaded\_from\_suspicious\_unbacked\_memory.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_rundll32\_or\_regsvr32\_loaded\_a\_dll\_from\_unbacked\_memory.tomlhttps://github.com/mandiant/capa-rules/blob/master/anti-analysis/anti-forensic/self-deletion/self-delete-using-alternate-data-streams.ymlhttps://github.com/elastic/labs-releases/blob/main/tools/latrodectus/latro\_str\_decrypt.pyhttps://github.com/LloydLabs/delete-self-pochttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Latrodectus.yarhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_command\_shell\_activity\_started\_via\_rundll32.tomlhttps://github.com/LloydLabs/delete-self-poc/blob/49fe92218fdcfe8e173aa60a9eb307bae07cb027/main.h#L10https://github.com/elastic/labs-releases/tree/main/nightMAREhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/initial\_access\_execution\_via\_a\_suspicious\_wmi\_client.tomlwww.elastic.co
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID — Elastic Security Labs
Elastic Security Labs has observed an uptick in a recent emerging loader known as LATRODECTUS. This lightweight loader packs a big punch with ties to ICEDID and may turn into a possible replacement to fill the gap in the loader market.
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus Report completeness: High Threats: Latrodectus Icedid Pikabot Qakbot Rook…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что LATRODECTUS - это сложный и развивающийся загрузчик вредоносных программ, тесно связанный с ICEDID, обладающий расширенными возможностями, методами обхода и механизмом самоудаления. Он активно используется в киберкампаниях и представляет серьезную угрозу для организаций, что побуждает специалистов по кибербезопасности проявлять бдительность при выявлении и смягчении его последствий.
-----
LATRODECTUS - это вредоносный загрузчик, впервые обнаруженный исследователями Walmart в октябре 2023 года, набирающий популярность среди киберпреступников и демонстрирующий тесную связь с ICEDID из-за сходства в поведении и развитии. Этот загрузчик предоставляет участникам угроз различные возможности для развертывания дополнительных полезных нагрузок, включая базу кода с 11 обработчиками команд, ориентированными на перечисление и выполнение. LATRODECTUS является частью недавней тенденции создания облегченных и прямых загрузчиков, наблюдаемой специалистами по кибербезопасности.
В Elastic Security Labs отметили увеличение количества рассылок по электронной почте с рассылкой LATRODECTUS, начиная с начала марта 2024 года, в которых используются узнаваемые цепочки заражения, включающие файлы JavaScript большого размера, которые используют WMI для установки удаленного файла MSI. Поскольку другие загрузчики, такие как QBOT и ICEDID, столкнулись с закрытием или сокращением присутствия, в качестве потенциальных заменителей появляются новые, такие как PIKABOT и LATRODECTUS.
Образец вредоносной программы LATRODECTUS изначально содержит информацию о файле, маскирующуюся под компонент драйвера режима ядра Bitdefender. В нем используется простой алгоритм защиты строк и тактика, позволяющая скрыть импорт до времени выполнения. Россия- выполняя противоаналитические проверки, такие как обнаружение отладчиков и изолированных сред, LATRODECTUS обеспечивает защиту от заражения и сохранение работоспособности зараженных систем.
LATRODECTUS использует технологию самоудаления, позволяющую ему удалять себя во время выполнения процесса, чтобы препятствовать процессам реагирования на инциденты. Вредоносная программа шифрует свои запросы с помощью base64 и RC4 с помощью жестко заданного пароля и поддерживает постоянство при выполнении запланированных задач с использованием компонентной объектной модели Windows (COM). Кроме того, она поддерживает дрожание для передачи данных по маяку на сервер командования и управления, повышая скрытность за счет рандомизированных интервалов связи.
Между ICEDID и LATRODECTUS есть заметные сходства, такие как общие команды перечисления, экспорт библиотек DLL, указывающих на один и тот же адрес, и настройка запланированных задач на основе COM. Хотя исследователи окончательно не пришли к выводу о прямой взаимосвязи между этими двумя семействами, развитие LATRODECTUS может быть продолжающейся попыткой постепенно вытеснить ICEDID.
Чтобы помочь организациям обнаруживать LATRODECTUS и реагировать на него, Elastic Security разработала правила YARA и запросы для обнаружения. Кроме того, создав изолированную среду с сервером Flask, настроенным для имитации действий вредоносного ПО, защитники могут эффективно протестировать свои механизмы обнаружения и ведения журнала. Защитные функции Elastic Defend и сигнатуры памяти используются для выявления инфекций, вызванных LATRODECTUS, и реагирования на них.
Таким образом, LATRODECTUS представляет собой серьезную киберугрозу благодаря своим расширяющимся возможностям, подключениям к ICEDID и сложным методам обхода. Специалисты по кибербезопасности должны проявлять бдительность при обнаружении и устранении этого вредоносного ПО, чтобы защитить свои сети и системы от эксплуатации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что LATRODECTUS - это сложный и развивающийся загрузчик вредоносных программ, тесно связанный с ICEDID, обладающий расширенными возможностями, методами обхода и механизмом самоудаления. Он активно используется в киберкампаниях и представляет серьезную угрозу для организаций, что побуждает специалистов по кибербезопасности проявлять бдительность при выявлении и смягчении его последствий.
-----
LATRODECTUS - это вредоносный загрузчик, впервые обнаруженный исследователями Walmart в октябре 2023 года, набирающий популярность среди киберпреступников и демонстрирующий тесную связь с ICEDID из-за сходства в поведении и развитии. Этот загрузчик предоставляет участникам угроз различные возможности для развертывания дополнительных полезных нагрузок, включая базу кода с 11 обработчиками команд, ориентированными на перечисление и выполнение. LATRODECTUS является частью недавней тенденции создания облегченных и прямых загрузчиков, наблюдаемой специалистами по кибербезопасности.
В Elastic Security Labs отметили увеличение количества рассылок по электронной почте с рассылкой LATRODECTUS, начиная с начала марта 2024 года, в которых используются узнаваемые цепочки заражения, включающие файлы JavaScript большого размера, которые используют WMI для установки удаленного файла MSI. Поскольку другие загрузчики, такие как QBOT и ICEDID, столкнулись с закрытием или сокращением присутствия, в качестве потенциальных заменителей появляются новые, такие как PIKABOT и LATRODECTUS.
Образец вредоносной программы LATRODECTUS изначально содержит информацию о файле, маскирующуюся под компонент драйвера режима ядра Bitdefender. В нем используется простой алгоритм защиты строк и тактика, позволяющая скрыть импорт до времени выполнения. Россия- выполняя противоаналитические проверки, такие как обнаружение отладчиков и изолированных сред, LATRODECTUS обеспечивает защиту от заражения и сохранение работоспособности зараженных систем.
LATRODECTUS использует технологию самоудаления, позволяющую ему удалять себя во время выполнения процесса, чтобы препятствовать процессам реагирования на инциденты. Вредоносная программа шифрует свои запросы с помощью base64 и RC4 с помощью жестко заданного пароля и поддерживает постоянство при выполнении запланированных задач с использованием компонентной объектной модели Windows (COM). Кроме того, она поддерживает дрожание для передачи данных по маяку на сервер командования и управления, повышая скрытность за счет рандомизированных интервалов связи.
Между ICEDID и LATRODECTUS есть заметные сходства, такие как общие команды перечисления, экспорт библиотек DLL, указывающих на один и тот же адрес, и настройка запланированных задач на основе COM. Хотя исследователи окончательно не пришли к выводу о прямой взаимосвязи между этими двумя семействами, развитие LATRODECTUS может быть продолжающейся попыткой постепенно вытеснить ICEDID.
Чтобы помочь организациям обнаруживать LATRODECTUS и реагировать на него, Elastic Security разработала правила YARA и запросы для обнаружения. Кроме того, создав изолированную среду с сервером Flask, настроенным для имитации действий вредоносного ПО, защитники могут эффективно протестировать свои механизмы обнаружения и ведения журнала. Защитные функции Elastic Defend и сигнатуры памяти используются для выявления инфекций, вызванных LATRODECTUS, и реагирования на них.
Таким образом, LATRODECTUS представляет собой серьезную киберугрозу благодаря своим расширяющимся возможностям, подключениям к ICEDID и сложным методам обхода. Специалисты по кибербезопасности должны проявлять бдительность при обнаружении и устранении этого вредоносного ПО, чтобы защитить свои сети и системы от эксплуатации.
#ParsedReport #CompletenessMedium
16-05-2024
New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates
https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates
Report completeness: Medium
Threats:
Antidot
Brokewell
Chameleon
Ermac
Industry:
Financial
Geo:
German, Romanian, French, Portuguese, Russian, Spanish
TTPs:
Tactics: 4
Technics: 8
IOCs:
Url: 5
Hash: 4
Soft:
Android
Algorithms:
md5, base64, sha256, sha1
16-05-2024
New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates
https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates
Report completeness: Medium
Threats:
Antidot
Brokewell
Chameleon
Ermac
Industry:
Financial
Geo:
German, Romanian, French, Portuguese, Russian, Spanish
TTPs:
Tactics: 4
Technics: 8
IOCs:
Url: 5
Hash: 4
Soft:
Android
Algorithms:
md5, base64, sha256, sha1
Cyble
New Antidot Trojan Disguised As Fake Google Play Updates
Discover the 'Antidot' Android Banking Trojan: a fake Google Play update that steals credentials using overlay attacks and remote control techniques.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-05-2024 New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что банковский троянец Android "Antidot" - это сложная угроза, нацеленная на пользователей Android по всему миру, использующая такие методы, как VNC, оверлейные атаки, кейлоггинг и связь с серверами управления. Вредоносная программа использует различные вредоносные функции для получения несанкционированного доступа к конфиденциальным данным, удаленного управления функциями устройства и выполнения оверлейных атак с целью получения учетных данных. Использование в нем шифрования и обфускации, наряду с расширяющимися возможностями, подчеркивает важность бдительности пользователей и постоянного анализа для борьбы с растущей изощренностью киберугроз.
-----
Банковский троянец Android "Antidot" выдает себя за приложение для обновления Google Play, предназначенное для пользователей Android по всему миру.
Он использует методы VNC и Overlay для кражи учетных данных, а также такие вредоносные функции, как кейлоггинг и атаки overlay.
Троянец взаимодействует со своим сервером управления через WebSocket для взаимодействия в режиме реального времени и выполнения команд, включая сбор SMS-сообщений и удаленное управление функциями устройства.
Лаборатории Cyble Research и Intelligence Labs обнаружили "Антидот", который использует оверлейные атаки в качестве основного метода сбора учетных данных и пользовательское шифрование для обфускации.
"Antidot" предлагает пользователям предоставить службе специальных возможностей разрешения на ее вредоносные действия и устанавливает связь со своим C&C-сервером через HTTP и WebSockets.
Всего он поддерживает 35 команд, начиная от базовых функций, таких как получение SMS-сообщений, и заканчивая сложными действиями, такими как инициализация активности VNC.
Вредоносная программа захватывает и передает содержимое экрана устройства с помощью функции MediaProjection и выполняет оверлейные атаки для перехвата учетных данных пользователя.
Он использует кейлоггинг для отслеживания и эксфильтрации введенных данных, кодирования и передачи их на сервер для анализа.
Эволюция банковских троянских программ для Android, таких как "Antidot", демонстрирует необходимость повышения бдительности пользователей и постоянного анализа для борьбы с растущими угрозами, связанными с вредоносными программами для мобильных устройств.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что банковский троянец Android "Antidot" - это сложная угроза, нацеленная на пользователей Android по всему миру, использующая такие методы, как VNC, оверлейные атаки, кейлоггинг и связь с серверами управления. Вредоносная программа использует различные вредоносные функции для получения несанкционированного доступа к конфиденциальным данным, удаленного управления функциями устройства и выполнения оверлейных атак с целью получения учетных данных. Использование в нем шифрования и обфускации, наряду с расширяющимися возможностями, подчеркивает важность бдительности пользователей и постоянного анализа для борьбы с растущей изощренностью киберугроз.
-----
Банковский троянец Android "Antidot" выдает себя за приложение для обновления Google Play, предназначенное для пользователей Android по всему миру.
Он использует методы VNC и Overlay для кражи учетных данных, а также такие вредоносные функции, как кейлоггинг и атаки overlay.
Троянец взаимодействует со своим сервером управления через WebSocket для взаимодействия в режиме реального времени и выполнения команд, включая сбор SMS-сообщений и удаленное управление функциями устройства.
Лаборатории Cyble Research и Intelligence Labs обнаружили "Антидот", который использует оверлейные атаки в качестве основного метода сбора учетных данных и пользовательское шифрование для обфускации.
"Antidot" предлагает пользователям предоставить службе специальных возможностей разрешения на ее вредоносные действия и устанавливает связь со своим C&C-сервером через HTTP и WebSockets.
Всего он поддерживает 35 команд, начиная от базовых функций, таких как получение SMS-сообщений, и заканчивая сложными действиями, такими как инициализация активности VNC.
Вредоносная программа захватывает и передает содержимое экрана устройства с помощью функции MediaProjection и выполняет оверлейные атаки для перехвата учетных данных пользователя.
Он использует кейлоггинг для отслеживания и эксфильтрации введенных данных, кодирования и передачи их на сервер для анализа.
Эволюция банковских троянских программ для Android, таких как "Antidot", демонстрирует необходимость повышения бдительности пользователей и постоянного анализа для борьбы с растущими угрозами, связанными с вредоносными программами для мобильных устройств.