CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups https://rt-solar.ru/solar-4rays/blog/4329 Report completeness: High Actors/Campaigns: Obstinate_mogwai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----
В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.
В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.
В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.
Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.
В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----
В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.
В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.
В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.
Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.
В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
#ParsedReport #CompletenessMedium
17-05-2024
[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate
https://www.ctfiot.com/182058.html
Report completeness: Medium
Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Victims:
Operation and maintenance personnel
ChatGPT TTPs:
T1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090
IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7
Soft:
Nginx, WeChat
Algorithms:
md5
17-05-2024
[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate
https://www.ctfiot.com/182058.html
Report completeness: Medium
Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Victims:
Operation and maintenance personnel
ChatGPT TTPs:
do not use without manual checkT1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090
IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7
Soft:
Nginx, WeChat
Algorithms:
md5
CTF导航
【高级持续威胁(APT)】amdc6766团伙来袭,供应链投毒攻击再升级 | CTF导航
概述2024年5月,深信服深瞻情报实验室,监测到LNMP遭受供应链投毒攻击。根据此次供应链攻击分析,深瞻情报实验室将该事件归因为amdc6766黑产组织。2023上半年至今,amdc6766黑产组织利用仿冒页面(AMH、宝塔、Xsh...
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 [Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate https://www.ctfiot.com/182058.html Report completeness: Medium Actors/Campaigns: Amdc6766 (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----
Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.
Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.
Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.
Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.
В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.
Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.
Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----
Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.
Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.
Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.
Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.
В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.
Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.
Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
#ParsedReport #CompletenessHigh
16-05-2024
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID
https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus
Report completeness: High
Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 2
Technics: 6
IOCs:
File: 15
Domain: 4
Hash: 1
Soft:
Component Object Model, Flask
Algorithms:
crc-32, sha256, prng, rc4, base64
Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx
Languages:
javascript, python
YARA: Found
Links:
16-05-2024
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID
https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus
Report completeness: High
Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 2
Technics: 6
IOCs:
File: 15
Domain: 4
Hash: 1
Soft:
Component Object Model, Flask
Algorithms:
crc-32, sha256, prng, rc4, base64
Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx
Languages:
javascript, python
YARA: Found
Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_oversized\_windows\_script\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_oversized\_windows\_script\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_remote\_file\_execution\_via\_msiexec.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_suspicious\_msiexec\_child\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_virtualprotect\_api\_call\_from\_an\_unsigned\_dll.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_shellcode\_execution\_from\_low\_reputation\_module.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/persistence\_scheduled\_task\_creation\_by\_an\_unusual\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_potential\_self\_deletion\_of\_a\_running\_executable.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_network\_module\_loaded\_from\_suspicious\_unbacked\_memory.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_rundll32\_or\_regsvr32\_loaded\_a\_dll\_from\_unbacked\_memory.tomlhttps://github.com/mandiant/capa-rules/blob/master/anti-analysis/anti-forensic/self-deletion/self-delete-using-alternate-data-streams.ymlhttps://github.com/elastic/labs-releases/blob/main/tools/latrodectus/latro\_str\_decrypt.pyhttps://github.com/LloydLabs/delete-self-pochttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Latrodectus.yarhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_command\_shell\_activity\_started\_via\_rundll32.tomlhttps://github.com/LloydLabs/delete-self-poc/blob/49fe92218fdcfe8e173aa60a9eb307bae07cb027/main.h#L10https://github.com/elastic/labs-releases/tree/main/nightMAREhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/initial\_access\_execution\_via\_a\_suspicious\_wmi\_client.tomlwww.elastic.co
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID — Elastic Security Labs
Elastic Security Labs has observed an uptick in a recent emerging loader known as LATRODECTUS. This lightweight loader packs a big punch with ties to ICEDID and may turn into a possible replacement to fill the gap in the loader market.
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus Report completeness: High Threats: Latrodectus Icedid Pikabot Qakbot Rook…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что LATRODECTUS - это сложный и развивающийся загрузчик вредоносных программ, тесно связанный с ICEDID, обладающий расширенными возможностями, методами обхода и механизмом самоудаления. Он активно используется в киберкампаниях и представляет серьезную угрозу для организаций, что побуждает специалистов по кибербезопасности проявлять бдительность при выявлении и смягчении его последствий.
-----
LATRODECTUS - это вредоносный загрузчик, впервые обнаруженный исследователями Walmart в октябре 2023 года, набирающий популярность среди киберпреступников и демонстрирующий тесную связь с ICEDID из-за сходства в поведении и развитии. Этот загрузчик предоставляет участникам угроз различные возможности для развертывания дополнительных полезных нагрузок, включая базу кода с 11 обработчиками команд, ориентированными на перечисление и выполнение. LATRODECTUS является частью недавней тенденции создания облегченных и прямых загрузчиков, наблюдаемой специалистами по кибербезопасности.
В Elastic Security Labs отметили увеличение количества рассылок по электронной почте с рассылкой LATRODECTUS, начиная с начала марта 2024 года, в которых используются узнаваемые цепочки заражения, включающие файлы JavaScript большого размера, которые используют WMI для установки удаленного файла MSI. Поскольку другие загрузчики, такие как QBOT и ICEDID, столкнулись с закрытием или сокращением присутствия, в качестве потенциальных заменителей появляются новые, такие как PIKABOT и LATRODECTUS.
Образец вредоносной программы LATRODECTUS изначально содержит информацию о файле, маскирующуюся под компонент драйвера режима ядра Bitdefender. В нем используется простой алгоритм защиты строк и тактика, позволяющая скрыть импорт до времени выполнения. Россия- выполняя противоаналитические проверки, такие как обнаружение отладчиков и изолированных сред, LATRODECTUS обеспечивает защиту от заражения и сохранение работоспособности зараженных систем.
LATRODECTUS использует технологию самоудаления, позволяющую ему удалять себя во время выполнения процесса, чтобы препятствовать процессам реагирования на инциденты. Вредоносная программа шифрует свои запросы с помощью base64 и RC4 с помощью жестко заданного пароля и поддерживает постоянство при выполнении запланированных задач с использованием компонентной объектной модели Windows (COM). Кроме того, она поддерживает дрожание для передачи данных по маяку на сервер командования и управления, повышая скрытность за счет рандомизированных интервалов связи.
Между ICEDID и LATRODECTUS есть заметные сходства, такие как общие команды перечисления, экспорт библиотек DLL, указывающих на один и тот же адрес, и настройка запланированных задач на основе COM. Хотя исследователи окончательно не пришли к выводу о прямой взаимосвязи между этими двумя семействами, развитие LATRODECTUS может быть продолжающейся попыткой постепенно вытеснить ICEDID.
Чтобы помочь организациям обнаруживать LATRODECTUS и реагировать на него, Elastic Security разработала правила YARA и запросы для обнаружения. Кроме того, создав изолированную среду с сервером Flask, настроенным для имитации действий вредоносного ПО, защитники могут эффективно протестировать свои механизмы обнаружения и ведения журнала. Защитные функции Elastic Defend и сигнатуры памяти используются для выявления инфекций, вызванных LATRODECTUS, и реагирования на них.
Таким образом, LATRODECTUS представляет собой серьезную киберугрозу благодаря своим расширяющимся возможностям, подключениям к ICEDID и сложным методам обхода. Специалисты по кибербезопасности должны проявлять бдительность при обнаружении и устранении этого вредоносного ПО, чтобы защитить свои сети и системы от эксплуатации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что LATRODECTUS - это сложный и развивающийся загрузчик вредоносных программ, тесно связанный с ICEDID, обладающий расширенными возможностями, методами обхода и механизмом самоудаления. Он активно используется в киберкампаниях и представляет серьезную угрозу для организаций, что побуждает специалистов по кибербезопасности проявлять бдительность при выявлении и смягчении его последствий.
-----
LATRODECTUS - это вредоносный загрузчик, впервые обнаруженный исследователями Walmart в октябре 2023 года, набирающий популярность среди киберпреступников и демонстрирующий тесную связь с ICEDID из-за сходства в поведении и развитии. Этот загрузчик предоставляет участникам угроз различные возможности для развертывания дополнительных полезных нагрузок, включая базу кода с 11 обработчиками команд, ориентированными на перечисление и выполнение. LATRODECTUS является частью недавней тенденции создания облегченных и прямых загрузчиков, наблюдаемой специалистами по кибербезопасности.
В Elastic Security Labs отметили увеличение количества рассылок по электронной почте с рассылкой LATRODECTUS, начиная с начала марта 2024 года, в которых используются узнаваемые цепочки заражения, включающие файлы JavaScript большого размера, которые используют WMI для установки удаленного файла MSI. Поскольку другие загрузчики, такие как QBOT и ICEDID, столкнулись с закрытием или сокращением присутствия, в качестве потенциальных заменителей появляются новые, такие как PIKABOT и LATRODECTUS.
Образец вредоносной программы LATRODECTUS изначально содержит информацию о файле, маскирующуюся под компонент драйвера режима ядра Bitdefender. В нем используется простой алгоритм защиты строк и тактика, позволяющая скрыть импорт до времени выполнения. Россия- выполняя противоаналитические проверки, такие как обнаружение отладчиков и изолированных сред, LATRODECTUS обеспечивает защиту от заражения и сохранение работоспособности зараженных систем.
LATRODECTUS использует технологию самоудаления, позволяющую ему удалять себя во время выполнения процесса, чтобы препятствовать процессам реагирования на инциденты. Вредоносная программа шифрует свои запросы с помощью base64 и RC4 с помощью жестко заданного пароля и поддерживает постоянство при выполнении запланированных задач с использованием компонентной объектной модели Windows (COM). Кроме того, она поддерживает дрожание для передачи данных по маяку на сервер командования и управления, повышая скрытность за счет рандомизированных интервалов связи.
Между ICEDID и LATRODECTUS есть заметные сходства, такие как общие команды перечисления, экспорт библиотек DLL, указывающих на один и тот же адрес, и настройка запланированных задач на основе COM. Хотя исследователи окончательно не пришли к выводу о прямой взаимосвязи между этими двумя семействами, развитие LATRODECTUS может быть продолжающейся попыткой постепенно вытеснить ICEDID.
Чтобы помочь организациям обнаруживать LATRODECTUS и реагировать на него, Elastic Security разработала правила YARA и запросы для обнаружения. Кроме того, создав изолированную среду с сервером Flask, настроенным для имитации действий вредоносного ПО, защитники могут эффективно протестировать свои механизмы обнаружения и ведения журнала. Защитные функции Elastic Defend и сигнатуры памяти используются для выявления инфекций, вызванных LATRODECTUS, и реагирования на них.
Таким образом, LATRODECTUS представляет собой серьезную киберугрозу благодаря своим расширяющимся возможностям, подключениям к ICEDID и сложным методам обхода. Специалисты по кибербезопасности должны проявлять бдительность при обнаружении и устранении этого вредоносного ПО, чтобы защитить свои сети и системы от эксплуатации.
#ParsedReport #CompletenessMedium
16-05-2024
New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates
https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates
Report completeness: Medium
Threats:
Antidot
Brokewell
Chameleon
Ermac
Industry:
Financial
Geo:
German, Romanian, French, Portuguese, Russian, Spanish
TTPs:
Tactics: 4
Technics: 8
IOCs:
Url: 5
Hash: 4
Soft:
Android
Algorithms:
md5, base64, sha256, sha1
16-05-2024
New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates
https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates
Report completeness: Medium
Threats:
Antidot
Brokewell
Chameleon
Ermac
Industry:
Financial
Geo:
German, Romanian, French, Portuguese, Russian, Spanish
TTPs:
Tactics: 4
Technics: 8
IOCs:
Url: 5
Hash: 4
Soft:
Android
Algorithms:
md5, base64, sha256, sha1
Cyble
New Antidot Trojan Disguised As Fake Google Play Updates
Discover the 'Antidot' Android Banking Trojan: a fake Google Play update that steals credentials using overlay attacks and remote control techniques.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-05-2024 New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что банковский троянец Android "Antidot" - это сложная угроза, нацеленная на пользователей Android по всему миру, использующая такие методы, как VNC, оверлейные атаки, кейлоггинг и связь с серверами управления. Вредоносная программа использует различные вредоносные функции для получения несанкционированного доступа к конфиденциальным данным, удаленного управления функциями устройства и выполнения оверлейных атак с целью получения учетных данных. Использование в нем шифрования и обфускации, наряду с расширяющимися возможностями, подчеркивает важность бдительности пользователей и постоянного анализа для борьбы с растущей изощренностью киберугроз.
-----
Банковский троянец Android "Antidot" выдает себя за приложение для обновления Google Play, предназначенное для пользователей Android по всему миру.
Он использует методы VNC и Overlay для кражи учетных данных, а также такие вредоносные функции, как кейлоггинг и атаки overlay.
Троянец взаимодействует со своим сервером управления через WebSocket для взаимодействия в режиме реального времени и выполнения команд, включая сбор SMS-сообщений и удаленное управление функциями устройства.
Лаборатории Cyble Research и Intelligence Labs обнаружили "Антидот", который использует оверлейные атаки в качестве основного метода сбора учетных данных и пользовательское шифрование для обфускации.
"Antidot" предлагает пользователям предоставить службе специальных возможностей разрешения на ее вредоносные действия и устанавливает связь со своим C&C-сервером через HTTP и WebSockets.
Всего он поддерживает 35 команд, начиная от базовых функций, таких как получение SMS-сообщений, и заканчивая сложными действиями, такими как инициализация активности VNC.
Вредоносная программа захватывает и передает содержимое экрана устройства с помощью функции MediaProjection и выполняет оверлейные атаки для перехвата учетных данных пользователя.
Он использует кейлоггинг для отслеживания и эксфильтрации введенных данных, кодирования и передачи их на сервер для анализа.
Эволюция банковских троянских программ для Android, таких как "Antidot", демонстрирует необходимость повышения бдительности пользователей и постоянного анализа для борьбы с растущими угрозами, связанными с вредоносными программами для мобильных устройств.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что банковский троянец Android "Antidot" - это сложная угроза, нацеленная на пользователей Android по всему миру, использующая такие методы, как VNC, оверлейные атаки, кейлоггинг и связь с серверами управления. Вредоносная программа использует различные вредоносные функции для получения несанкционированного доступа к конфиденциальным данным, удаленного управления функциями устройства и выполнения оверлейных атак с целью получения учетных данных. Использование в нем шифрования и обфускации, наряду с расширяющимися возможностями, подчеркивает важность бдительности пользователей и постоянного анализа для борьбы с растущей изощренностью киберугроз.
-----
Банковский троянец Android "Antidot" выдает себя за приложение для обновления Google Play, предназначенное для пользователей Android по всему миру.
Он использует методы VNC и Overlay для кражи учетных данных, а также такие вредоносные функции, как кейлоггинг и атаки overlay.
Троянец взаимодействует со своим сервером управления через WebSocket для взаимодействия в режиме реального времени и выполнения команд, включая сбор SMS-сообщений и удаленное управление функциями устройства.
Лаборатории Cyble Research и Intelligence Labs обнаружили "Антидот", который использует оверлейные атаки в качестве основного метода сбора учетных данных и пользовательское шифрование для обфускации.
"Antidot" предлагает пользователям предоставить службе специальных возможностей разрешения на ее вредоносные действия и устанавливает связь со своим C&C-сервером через HTTP и WebSockets.
Всего он поддерживает 35 команд, начиная от базовых функций, таких как получение SMS-сообщений, и заканчивая сложными действиями, такими как инициализация активности VNC.
Вредоносная программа захватывает и передает содержимое экрана устройства с помощью функции MediaProjection и выполняет оверлейные атаки для перехвата учетных данных пользователя.
Он использует кейлоггинг для отслеживания и эксфильтрации введенных данных, кодирования и передачи их на сервер для анализа.
Эволюция банковских троянских программ для Android, таких как "Antidot", демонстрирует необходимость повышения бдительности пользователей и постоянного анализа для борьбы с растущими угрозами, связанными с вредоносными программами для мобильных устройств.
#ParsedReport #CompletenessMedium
16-05-2024
Analysis of APT attack cases targeting domestic companies using Dora RAT (Andariel Group)
https://asec.ahnlab.com/ko/65495
Report completeness: Medium
Actors/Campaigns:
Andariel (motivation: financially_motivated)
Lazarus
Kimsuky
Threats:
Dora_rat
Nestdoor
Log4shell_vuln
Tiger_rat
Threadneedle_tool
Spear-phishing_technique
Watering_hole_technique
Trojan/win.injector.c5610655
Trojan/win.agent.c5610733
Dropper/win.agent.c5610793
Dropper/win.agent.c5610654
Trojan/win.keylogger.c5610642
Trojan/win.launcher.c5622509
Trojan/win.pws.c5068848
Malware/mdp.fraud.m800
Victims:
Domestic manufacturing companies, Construction companies, Educational institutions
Geo:
German, Korea
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
T1566, T1190, T1203, T1071, T1105, T1027, T1056, T1564, T1555, T1547, have more...
IOCs:
File: 13
Hash: 13
IP: 3
Domain: 1
Soft:
VMware Horizon, task scheduler
Algorithms:
md5
16-05-2024
Analysis of APT attack cases targeting domestic companies using Dora RAT (Andariel Group)
https://asec.ahnlab.com/ko/65495
Report completeness: Medium
Actors/Campaigns:
Andariel (motivation: financially_motivated)
Lazarus
Kimsuky
Threats:
Dora_rat
Nestdoor
Log4shell_vuln
Tiger_rat
Threadneedle_tool
Spear-phishing_technique
Watering_hole_technique
Trojan/win.injector.c5610655
Trojan/win.agent.c5610733
Dropper/win.agent.c5610793
Dropper/win.agent.c5610654
Trojan/win.keylogger.c5610642
Trojan/win.launcher.c5622509
Trojan/win.pws.c5068848
Malware/mdp.fraud.m800
Victims:
Domestic manufacturing companies, Construction companies, Educational institutions
Geo:
German, Korea
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
do not use without manual checkT1566, T1190, T1203, T1071, T1105, T1027, T1056, T1564, T1555, T1547, have more...
IOCs:
File: 13
Hash: 13
IP: 3
Domain: 1
Soft:
VMware Horizon, task scheduler
Algorithms:
md5
ASEC
Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹) - ASEC
Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹) ASEC
CTT Report Hub
#ParsedReport #CompletenessMedium 16-05-2024 Analysis of APT attack cases targeting domestic companies using Dora RAT (Andariel Group) https://asec.ahnlab.com/ko/65495 Report completeness: Medium Actors/Campaigns: Andariel (motivation: financially_motivated)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Andariel group, продвинутого агента по борьбе с постоянными угрозами (APT), который проводит сложные кибератаки на различные отечественные компании и учреждения с использованием целого ряда вредоносных инструментов. Группа была идентифицирована с помощью бэкдоров, кейлоггеров, инфокрадов, прокси-инструментов и новых вредоносных программ, таких как Nestdoor и Dora RAT, для получения несанкционированного доступа к системам, кражи конфиденциальных данных и потенциального осуществления вредоносных действий, таких как обратная оболочка и выполнение команд. В тексте подчеркивается важность сохранения бдительности в отношении подобных угроз, подчеркивается необходимость устранения уязвимостей организациями, обновления программного обеспечения и соблюдения осторожности для защиты от кибератак.
-----
Аналитический центр безопасности AhnLab (ASEC) подтвердил, что APT-атаки группы Andariel были направлены против местных организаций, таких как производственные компании, строительные фирмы и образовательные учреждения.
Andariel group использовала различные вредоносные инструменты, такие как бэкдоры, кейлоггеры, инфокрады и прокси-серверы, чтобы получить контроль над зараженными системами и украсть конфиденциальные данные.
К числу известных выявленных вредоносных программ относятся Nestdoor, вредоносный бэкдор и троян удаленного доступа (RAT) под названием TigerRAT, использующий совместно с Nestdoor один и тот же сервер C&C.
Группа компаний Andariel использовала уязвимости в веб-серверах, таких как Apache Tomcat и продукты VMware Horizon, для распространения вредоносного ПО.
Недавно разработанные группой Andariel вредоносные программы-бэкдоры, такие как Dora RAT, разработанные на языке Go, демонстрируют способность группы адаптироваться к использованию новых инструментов.
На потенциальное сотрудничество или совместное использование ресурсов между Andariel group и другими участниками угроз, такими как Lazarus group, указывает использование аналогичных прокси-инструментов.
Andariel group, наряду с группами угроз, нацеленными на Корею, такими как Kimsuky и Lazarus, перешли от кражи информации к финансовой выгоде, демонстрируя меняющиеся мотивы кибератак.
Пользователям и организациям рекомендуется сохранять бдительность в отношении фишинговых атак, "подпольных" атак и уязвимостей программного обеспечения, чтобы снизить риск заражения вредоносными программами и утечки данных. Исправление уязвимостей программного обеспечения, обновление до последних версий и осторожность с вложениями электронной почты являются важными мерами защиты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Andariel group, продвинутого агента по борьбе с постоянными угрозами (APT), который проводит сложные кибератаки на различные отечественные компании и учреждения с использованием целого ряда вредоносных инструментов. Группа была идентифицирована с помощью бэкдоров, кейлоггеров, инфокрадов, прокси-инструментов и новых вредоносных программ, таких как Nestdoor и Dora RAT, для получения несанкционированного доступа к системам, кражи конфиденциальных данных и потенциального осуществления вредоносных действий, таких как обратная оболочка и выполнение команд. В тексте подчеркивается важность сохранения бдительности в отношении подобных угроз, подчеркивается необходимость устранения уязвимостей организациями, обновления программного обеспечения и соблюдения осторожности для защиты от кибератак.
-----
Аналитический центр безопасности AhnLab (ASEC) подтвердил, что APT-атаки группы Andariel были направлены против местных организаций, таких как производственные компании, строительные фирмы и образовательные учреждения.
Andariel group использовала различные вредоносные инструменты, такие как бэкдоры, кейлоггеры, инфокрады и прокси-серверы, чтобы получить контроль над зараженными системами и украсть конфиденциальные данные.
К числу известных выявленных вредоносных программ относятся Nestdoor, вредоносный бэкдор и троян удаленного доступа (RAT) под названием TigerRAT, использующий совместно с Nestdoor один и тот же сервер C&C.
Группа компаний Andariel использовала уязвимости в веб-серверах, таких как Apache Tomcat и продукты VMware Horizon, для распространения вредоносного ПО.
Недавно разработанные группой Andariel вредоносные программы-бэкдоры, такие как Dora RAT, разработанные на языке Go, демонстрируют способность группы адаптироваться к использованию новых инструментов.
На потенциальное сотрудничество или совместное использование ресурсов между Andariel group и другими участниками угроз, такими как Lazarus group, указывает использование аналогичных прокси-инструментов.
Andariel group, наряду с группами угроз, нацеленными на Корею, такими как Kimsuky и Lazarus, перешли от кражи информации к финансовой выгоде, демонстрируя меняющиеся мотивы кибератак.
Пользователям и организациям рекомендуется сохранять бдительность в отношении фишинговых атак, "подпольных" атак и уязвимостей программного обеспечения, чтобы снизить риск заражения вредоносными программами и утечки данных. Исправление уязвимостей программного обеспечения, обновление до последних версий и осторожность с вложениями электронной почты являются важными мерами защиты.
#ParsedReport #CompletenessMedium
16-05-2024
Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts
https://www.proofpoint.com/us/blog/threat-insight/security-brief-artificial-sweetener-sugargh0st-rat-used-target-american
Report completeness: Medium
Actors/Campaigns:
Unk_sweetspecter
Threats:
Sugargh0st_rat
Gh0st_rat
Spear-phishing_technique
Victims:
U.s. telecommunications company, International media organization, South asian government organization, Us-based artificial intelligence organization
Industry:
Education, Government, Telco
Geo:
Chinese, American, Asian, Asia
ChatGPT TTPs:
T1566.001, T1204.002, T1218.011, T1055, T1573.002, T1036.005, T1112, T1071.001
IOCs:
File: 1
Domain: 2
IP: 2
Hash: 5
Algorithms:
zip, sha256, xor, base64
Win API:
decompress
Languages:
javascript
Links:
16-05-2024
Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts
https://www.proofpoint.com/us/blog/threat-insight/security-brief-artificial-sweetener-sugargh0st-rat-used-target-american
Report completeness: Medium
Actors/Campaigns:
Unk_sweetspecter
Threats:
Sugargh0st_rat
Gh0st_rat
Spear-phishing_technique
Victims:
U.s. telecommunications company, International media organization, South asian government organization, Us-based artificial intelligence organization
Industry:
Education, Government, Telco
Geo:
Chinese, American, Asian, Asia
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1218.011, T1055, T1573.002, T1036.005, T1112, T1071.001
IOCs:
File: 1
Domain: 2
IP: 2
Hash: 5
Algorithms:
zip, sha256, xor, base64
Win API:
decompress
Languages:
javascript
Links:
https://github.com/killeven/DllToShellCodeProofpoint
SugarGh0st RAT Targets American AI Experts | Proofpoint US
Learn how SugarGh0st RAT is being used to infiltrate American AI experts’ systems. Find out the details behind this espionage campaign with Proofpoint.
👍1
CTT Report Hub
#ParsedReport #CompletenessMedium 16-05-2024 Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts https://www.proofpoint.com/us/blog/threat-insight/security-brief-artificial-sweetener-sugargh0st-rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Аналитики по киберугрозам обнаружили кампанию SugarGh0st RAT, направленную против американских организаций, занимающихся искусственным интеллектом, с особым акцентом на научные круги, частную промышленность и государственный сектор. Злоумышленники, идентифицированные как UNK_SweetSpecter, использовали специальный вариант Gh0stRAT, известный как SugarGh0st RAT, для отправки электронных писем на тему искусственного интеллекта с вредоносными вложениями, чтобы заманить цели. Эта кампания, начавшаяся в мае 2024 года, включала в себя перенос командных и контрольных коммуникаций на новый уровень и продемонстрировала серию целенаправленных, хотя и бесхитростных атак на такие организации, как американская телекоммуникационная фирма и международная медиа-организация. Интерес группы к информации, генерируемой ИИ, и ориентация на экспертов в области ИИ предполагают стратегический мотив, возможно, связанный с напряженными отношениями между США и Китаем по поводу доступа к технологиям. Аналитики советуют создать базовые механизмы обнаружения для выявления аналогичных вредоносных действий.
-----
Недавно Proofpoint обнаружила кампанию SugarGh0st RAT, ориентированную на американские организации, занимающиеся искусственным интеллектом в академических кругах, частном секторе и государственном секторе. Группа, стоящая за этим мероприятием, известная как UNK_SweetSpecter, использовала специальный вариант Gh0stRAT под названием SugarGh0st RAT. Ранее использовавшийся в Центральной и Восточной Азии SugarGh0st RAT был использован в кампании в мае 2024 года, которая включала в себя рассылку электронных писем на тему искусственного интеллекта с вредоносными вложениями для привлечения клиентов. Цепочка заражения, напоминающая "Цепочку заражения 2" от Cisco Talos, включала в себя JavaScript-дроппер, который развертывал документы-приманки, инструмент ActiveX и зашифрованный двоичный файл.
Примечательно, что UNK_SweetSpecter перенес свои системы управления (C2) с предыдущих доменов на домен "account.gommask.online". Инфраструктура C2 была размещена на AS142032, а общий хостинг был предоставлен другому зарегистрированному домену. С момента своего первоначального отчета в ноябре 2023 года SugarGh0st RAT участвовала в нескольких кампаниях, нацеленных на такие организации, как телекоммуникационная компания США, международная медиа-организация и правительственное агентство Южной Азии. Несмотря на то, что эти кампании не были технически сложными, они были очень целенаправленными, а кампания, проведенная в мае 2024 года, была сосредоточена на небольшом числе лиц, связанных с известной американской организацией по искусственному интеллекту.
Анализ, проведенный Cisco Talos, показал, что китайскоязычные злоумышленники изначально использовали SugarGh0st RAT. Хотя языковые артефакты подтвердили это, Proofpoint не хватает дополнительных данных для более точной идентификации. Тема кампании и ориентация на экспертов в области искусственного интеллекта свидетельствуют об интересе к информации, генерируемой искусственным интеллектом, особенно учитывая текущие усилия США по ограничению доступа Китая к таким технологиям. Защитникам предприятий рекомендуется установить базовые показатели для выявления вредоносной активности, как показано в этой кампании, в ходе которой при целенаправленных атаках с использованием подводного фишинга использовались обычные инструменты для первоначального доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Аналитики по киберугрозам обнаружили кампанию SugarGh0st RAT, направленную против американских организаций, занимающихся искусственным интеллектом, с особым акцентом на научные круги, частную промышленность и государственный сектор. Злоумышленники, идентифицированные как UNK_SweetSpecter, использовали специальный вариант Gh0stRAT, известный как SugarGh0st RAT, для отправки электронных писем на тему искусственного интеллекта с вредоносными вложениями, чтобы заманить цели. Эта кампания, начавшаяся в мае 2024 года, включала в себя перенос командных и контрольных коммуникаций на новый уровень и продемонстрировала серию целенаправленных, хотя и бесхитростных атак на такие организации, как американская телекоммуникационная фирма и международная медиа-организация. Интерес группы к информации, генерируемой ИИ, и ориентация на экспертов в области ИИ предполагают стратегический мотив, возможно, связанный с напряженными отношениями между США и Китаем по поводу доступа к технологиям. Аналитики советуют создать базовые механизмы обнаружения для выявления аналогичных вредоносных действий.
-----
Недавно Proofpoint обнаружила кампанию SugarGh0st RAT, ориентированную на американские организации, занимающиеся искусственным интеллектом в академических кругах, частном секторе и государственном секторе. Группа, стоящая за этим мероприятием, известная как UNK_SweetSpecter, использовала специальный вариант Gh0stRAT под названием SugarGh0st RAT. Ранее использовавшийся в Центральной и Восточной Азии SugarGh0st RAT был использован в кампании в мае 2024 года, которая включала в себя рассылку электронных писем на тему искусственного интеллекта с вредоносными вложениями для привлечения клиентов. Цепочка заражения, напоминающая "Цепочку заражения 2" от Cisco Talos, включала в себя JavaScript-дроппер, который развертывал документы-приманки, инструмент ActiveX и зашифрованный двоичный файл.
Примечательно, что UNK_SweetSpecter перенес свои системы управления (C2) с предыдущих доменов на домен "account.gommask.online". Инфраструктура C2 была размещена на AS142032, а общий хостинг был предоставлен другому зарегистрированному домену. С момента своего первоначального отчета в ноябре 2023 года SugarGh0st RAT участвовала в нескольких кампаниях, нацеленных на такие организации, как телекоммуникационная компания США, международная медиа-организация и правительственное агентство Южной Азии. Несмотря на то, что эти кампании не были технически сложными, они были очень целенаправленными, а кампания, проведенная в мае 2024 года, была сосредоточена на небольшом числе лиц, связанных с известной американской организацией по искусственному интеллекту.
Анализ, проведенный Cisco Talos, показал, что китайскоязычные злоумышленники изначально использовали SugarGh0st RAT. Хотя языковые артефакты подтвердили это, Proofpoint не хватает дополнительных данных для более точной идентификации. Тема кампании и ориентация на экспертов в области искусственного интеллекта свидетельствуют об интересе к информации, генерируемой искусственным интеллектом, особенно учитывая текущие усилия США по ограничению доступа Китая к таким технологиям. Защитникам предприятий рекомендуется установить базовые показатели для выявления вредоносной активности, как показано в этой кампании, в ходе которой при целенаправленных атаках с использованием подводного фишинга использовались обычные инструменты для первоначального доступа.
#cyberthreattech #phdays2024
Еле уместил все ключевые моменты в формат 40 мин. доклада.
Кажется, что полный рассказ может занять часа 3 :)
Еле уместил все ключевые моменты в формат 40 мин. доклада.
Кажется, что полный рассказ может занять часа 3 :)
👍3
#ParsedReport #CompletenessHigh
17-05-2024
Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts
https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-exploitation-persistence
Report completeness: High
Actors/Campaigns:
Unc5325 (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)
Unc4841
Threats:
Lolbin_technique
Bushwalk
Pitstop
Pitdog
Pitjet
Pithook
Interactsh_tool
Pitsock
Industry:
Telco
Geo:
Chinese, China
CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)
ChatGPT TTPs:
T1190, T1068, T1547, T1564, T1036, T1070, T1559, T1203, T1606, T1556, have more...
IOCs:
File: 6
Hash: 14
Soft:
Ivanti, Unix, outlook
Algorithms:
base64, rc4, md5, aes
Functions:
first_run, edit_current_data_backup, upgrade_monitor, edit_factory_reset, httpd_monitor, inject_loop, persist, getHandshakePlugin
Win API:
decompress, setsockopt
Languages:
python, perl, java
YARA: Found
Links:
17-05-2024
Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts
https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-exploitation-persistence
Report completeness: High
Actors/Campaigns:
Unc5325 (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)
Unc4841
Threats:
Lolbin_technique
Bushwalk
Pitstop
Pitdog
Pitjet
Pithook
Interactsh_tool
Pitsock
Industry:
Telco
Geo:
Chinese, China
CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)
ChatGPT TTPs:
do not use without manual checkT1190, T1068, T1547, T1564, T1036, T1070, T1559, T1203, T1606, T1556, have more...
IOCs:
File: 6
Hash: 14
Soft:
Ivanti, Unix, outlook
Algorithms:
base64, rc4, md5, aes
Functions:
first_run, edit_current_data_backup, upgrade_monitor, edit_factory_reset, httpd_monitor, inject_loop, persist, getHandshakePlugin
Win API:
decompress, setsockopt
Languages:
python, perl, java
YARA: Found
Links:
https://github.com/kubo/injectorhttps://github.com/projectdiscovery/interactshhttps://github.com/gaffe23/linux-injectGoogle Cloud Blog
Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts | Google Cloud Blog
Mandiant observed mass attempts to exploit Ivanti vulnerabilities by China-nexus threat actors.
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-exploitation-persistence Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности предполагаемого китайского злоумышленника UNC5325, который использовал уязвимости нулевого дня Ivanti на оборонно-промышленной базе США. UNC5325 использует сложные технологии, новые вредоносные программы, такие как LITTLELAMB.WOOLTEA, и тактику "жизни за пределами земли", чтобы избежать обнаружения, скомпрометировать защищенные устройства Ivanti Connect, внедрять различные вредоносные программы и поддерживать постоянство после обновления системы и внесения исправлений. Кроме того, UNC5325 использовал уязвимость CVE-2024-21893, разработал новую веб-оболочку BUSHWALK и использовал плагины SparkGateway для внедрения бэкдоров и обеспечения несанкционированного доступа к скомпрометированным устройствам. Этот злоумышленник использовал тактику и методы, схожие с тактикой и методами другого предполагаемого китайского злоумышленника, UNC3886, и продемонстрировал сосредоточенность на компрометации сетевых устройств в оборонно-промышленном комплексе и технологическом секторе.
-----
Расследования, проведенные Mandiant и Ivanti в отношении широкомасштабного использования Ivanti zero-days, выявили значительную активность в различных отраслях промышленности, в частности на оборонно-промышленной базе США. UNC5325, подозреваемый в китайской угрозе, был идентифицирован как организация, стоящая за этими действиями. Этот злоумышленник использует методы "жизни за пределами земли" (LotL), а также внедряет новые вредоносные программы, такие как LITTLELAMB.WOOLTEA, чтобы избежать обнаружения и поддерживать постоянство после обновления системы и внесения исправлений.
UNC5325 использовал уязвимость CVE-2024-21893 для взлома защищенных устройств Ivanti Connect, продемонстрировав глубокое понимание целевой технологии. Mandiant наблюдал, как UNC5325 внедрял различные вредоносные программы, такие как LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET и PITHOOK, с совпадением тактики, методов и процедур (TTP) с другим предполагаемым китайским участником угроз, UNC3886. Компания Mandiant со средней степенью уверенности предположила, что UNC5325 связан с UNC3886, который сосредоточился на компрометации сетевых устройств с использованием новых методов борьбы с технологиями виртуализации в оборонно-промышленном комплексе и технологическом секторе.
Использование UNC5325 CVE-2024-21893 привело к развертыванию дополнительного вредоносного ПО и попыткам сохранить постоянный доступ к скомпрометированным устройствам. Эксплойт для обхода этой уязвимости привел к разработке новой веб-оболочки BUSHWALK, которая позволяла получать несанкционированный доступ к ограниченным ресурсам на исправленных устройствах. Варианты BUSHWALK продемонстрировали сложные методы обхода, включая модификацию модулей Perl и использование уникальных системных утилит в продуктах Ivanti, чтобы оставаться незамеченными.
Кроме того, UNC5325 использовал плагины SparkGateway для постоянного внедрения общих объектов и развертывания бэкдоров после использования CVE-2024-21893. Вредоносное ПО, подобное LITTLELAMB.WOOLTEA, продемонстрировало способность сохраняться при обновлениях системы и исправлениях, манипулируя системными файлами в процессе обновления. Вредоносное ПО также продемонстрировало дополнительный метод сохранения с помощью функции upgrade_monitor(), которая поддерживала сохранение при обновлении системы и исправлениях.
Кроме того, UNC5325 использовал второй вредоносный плагин SparkGateway с именем security.jar (PITDOG), чтобы внедрить общий объект в память веб-процесса и запустить постоянный бэкдор (dsAgent/PITSTOP). Плагин продемонстрировал методы, позволяющие обеспечить непрерывное выполнение вредоносного бэкдора без вмешательства основного приложения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности предполагаемого китайского злоумышленника UNC5325, который использовал уязвимости нулевого дня Ivanti на оборонно-промышленной базе США. UNC5325 использует сложные технологии, новые вредоносные программы, такие как LITTLELAMB.WOOLTEA, и тактику "жизни за пределами земли", чтобы избежать обнаружения, скомпрометировать защищенные устройства Ivanti Connect, внедрять различные вредоносные программы и поддерживать постоянство после обновления системы и внесения исправлений. Кроме того, UNC5325 использовал уязвимость CVE-2024-21893, разработал новую веб-оболочку BUSHWALK и использовал плагины SparkGateway для внедрения бэкдоров и обеспечения несанкционированного доступа к скомпрометированным устройствам. Этот злоумышленник использовал тактику и методы, схожие с тактикой и методами другого предполагаемого китайского злоумышленника, UNC3886, и продемонстрировал сосредоточенность на компрометации сетевых устройств в оборонно-промышленном комплексе и технологическом секторе.
-----
Расследования, проведенные Mandiant и Ivanti в отношении широкомасштабного использования Ivanti zero-days, выявили значительную активность в различных отраслях промышленности, в частности на оборонно-промышленной базе США. UNC5325, подозреваемый в китайской угрозе, был идентифицирован как организация, стоящая за этими действиями. Этот злоумышленник использует методы "жизни за пределами земли" (LotL), а также внедряет новые вредоносные программы, такие как LITTLELAMB.WOOLTEA, чтобы избежать обнаружения и поддерживать постоянство после обновления системы и внесения исправлений.
UNC5325 использовал уязвимость CVE-2024-21893 для взлома защищенных устройств Ivanti Connect, продемонстрировав глубокое понимание целевой технологии. Mandiant наблюдал, как UNC5325 внедрял различные вредоносные программы, такие как LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET и PITHOOK, с совпадением тактики, методов и процедур (TTP) с другим предполагаемым китайским участником угроз, UNC3886. Компания Mandiant со средней степенью уверенности предположила, что UNC5325 связан с UNC3886, который сосредоточился на компрометации сетевых устройств с использованием новых методов борьбы с технологиями виртуализации в оборонно-промышленном комплексе и технологическом секторе.
Использование UNC5325 CVE-2024-21893 привело к развертыванию дополнительного вредоносного ПО и попыткам сохранить постоянный доступ к скомпрометированным устройствам. Эксплойт для обхода этой уязвимости привел к разработке новой веб-оболочки BUSHWALK, которая позволяла получать несанкционированный доступ к ограниченным ресурсам на исправленных устройствах. Варианты BUSHWALK продемонстрировали сложные методы обхода, включая модификацию модулей Perl и использование уникальных системных утилит в продуктах Ivanti, чтобы оставаться незамеченными.
Кроме того, UNC5325 использовал плагины SparkGateway для постоянного внедрения общих объектов и развертывания бэкдоров после использования CVE-2024-21893. Вредоносное ПО, подобное LITTLELAMB.WOOLTEA, продемонстрировало способность сохраняться при обновлениях системы и исправлениях, манипулируя системными файлами в процессе обновления. Вредоносное ПО также продемонстрировало дополнительный метод сохранения с помощью функции upgrade_monitor(), которая поддерживала сохранение при обновлении системы и исправлениях.
Кроме того, UNC5325 использовал второй вредоносный плагин SparkGateway с именем security.jar (PITDOG), чтобы внедрить общий объект в память веб-процесса и запустить постоянный бэкдор (dsAgent/PITSTOP). Плагин продемонстрировал методы, позволяющие обеспечить непрерывное выполнение вредоносного бэкдора без вмешательства основного приложения.