CTT Report Hub
3.4K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessHigh
17-05-2024

Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation

https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-zero-day-exploitation

Report completeness: High

Actors/Campaigns:
Unc5221 (motivation: cyber_espionage)
Emissary_panda

Threats:
Bushwalk
Lightwire
Chainline_shell
Wirefire
Framesting_shell
Zipline_backdoor
Warpwire
Impacket_tool
Crackmapexec_tool
Timestomp_technique

Industry:
Healthcare

Geo:
China

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1134, T1100, T1553, T1027, T1552, T1041, T1563, T1083, T1210, have more...

IOCs:
File: 7
Hash: 9
Domain: 11
IP: 8

Soft:
Ivanti, Active Directory, cpanel

Algorithms:
hmac, aes-128, base64, sha1, aes, rc4, aes-128-cbc, sha256

Functions:
BUSHWALK, add_resource, exec

Win API:
decompress

Languages:
perl, python

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-zero-day-exploitation Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Mandiant выявила и проанализировала ряд критических уязвимостей нулевого дня, затрагивающих устройства Ivanti Connect Secure VPN и Policy Secure, которые были использованы злоумышленниками, в частности UNC5221, связанными с Китаем. В анализе также рассматриваются различные семейства вредоносных программ, тактика последующей эксплуатации и методы обхода угроз, используемые злоумышленниками, что подчеркивает эволюционирующий характер киберугроз и важность своевременного обнаружения и стратегий смягчения последствий. Сотрудничество между Mandiant и отраслевыми партнерами сыграло важную роль в реагировании на эти сложные киберугрозы.
-----

Компания Mandiant раскрыла четыре критические уязвимости, затрагивающие устройства Ivanti Connect Secure VPN (CS) и Ivanti Policy Secure (PS): CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 и CVE-2024-21893.

Эти уязвимости позволили злоумышленникам, включая UNC5221, запускать произвольные команды на устройствах с повышенными привилегиями, что привело к их использованию начиная с 3 декабря 2023 года.

UNC5221 и другие группы по борьбе с угрозами осуществляли широкомасштабную деятельность по эксплуатации с использованием автоматизированных методов выявления уязвимостей после их обнаружения, используя TTP, подробно описанные в рамках нескольких мероприятий по реагированию на инциденты. Новые семейства вредоносных программ, такие как LIGHTWIRE, BUSHWALK, CHAINLINE и FRAMESTING, были отнесены к UNC5221.

Компания Mandiant определила обходной метод защиты, использующий веб-оболочку BUSHWALK, позволяющий обойти первоначальные меры защиты, предоставляемые Ivanti, демонстрируя эволюционирующие угрозы.

Различные версии вредоносного ПО WARPWIRE были нацелены на пароли и имена пользователей с открытым текстом, а Mandiant - на изощренную тактику злоумышленников. Инструменты с открытым исходным кодом облегчали последующую эксплуатацию устройств Ivanti.

Mandiant обнаружил изменения в пакете CAV Python, включая включение веб-оболочек, таких как WIREFIRE, CHAINLINE и FRAMEWORK TESTING. В ответ на подозрительные действия были получены предупреждения от внутренних средств проверки целостности.

Документ UNC5221 был со средней степенью достоверности связан со шпионской деятельностью, связанной с Китаем, с использованием TTP, согласованных с предыдущими вторжениями, связанными с подозреваемыми в шпионаже лицами, базирующимися в Китае.

Компания Mandiant рекомендовала организациям сбросить пароли локальных пользователей на уязвимых устройствах, просмотреть телеметрию EDR, а брандмауэр зарегистрировать инцидент после WARPWIRE.

Компания Mandiant опубликовала руководство по устранению выявленных уязвимостей в устройствах Ivanti и повышению их защищенности от них, отметив успешное сотрудничество с Ivanti, Mandiant Consulting, Intelligence, FLARE и Google TAG team при реагировании на инциденты, связанные с использованием UNC5221.
#ParsedReport #CompletenessMedium
17-05-2024

When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors

https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel-middle-east

Report completeness: Medium

Actors/Campaigns:
Unc1549 (motivation: cyber_espionage)
Tortoiseshell (motivation: cyber_espionage)
Irgc

Threats:
Supply_chain_technique
Minibike
Minibus
Smokeloader
Credential_harvesting_technique
Spear-phishing_technique
Lightrail
Lastenzug_tool

Industry:
Aerospace, Education

Geo:
German, Israelis, Israel, India, Iranian, Iran, Turkey, Emirates, Albania, Israeli

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1047, T1071, T1562, T1119, T1090, T1059, T1547, have more...

IOCs:
Domain: 141
Hash: 45
File: 27
Path: 6
Registry: 3
IP: 1

Soft:
outlook, Microsoft SharePoint, Microsoft OneDrive, Android

Algorithms:
zip, md5

Platforms:
x64

Links:
https://github.com/codewhitesec/Lastenzug
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается кампания по борьбе с киберугрозами, приписываемая связанной с Ираном группе UNC1549, нацеленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока. Исполнители угроз, связанные с КСИР Ирана, используют уникальные лазейки и тактику социальной инженерии, уделяя особое внимание кампании на военную тематику Израиля и Хамаса. В отчете подчеркивается участие UNC1549 в операции, подчеркивается использование нетрадиционной тактики и развертывание пользовательских семейств вредоносных программ, таких как MINIBIKE и MINIBUSUS. Постоянство кампании и появление новых версий вредоносного ПО, а также подключение к инфраструктуре Azure создают значительные риски для целевых организаций и частных лиц в таких регионах, как Израиль, Индия и ОАЭ.
-----

Компания Mandiant раскрыла подозрительную шпионскую деятельность связанной с Ираном террористической группировки UNC1549, нацеленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока.

UNC1549, связанная с компанией Tortoiseshell, связанной с КСИР Ирана, проводит постоянную кампанию, по крайней мере, с июня 2022 года, используя бэкдоры для мини-велосипедов и микроавтобусов, методы уклонения и облачную инфраструктуру Azure.

Примечательным аспектом является наблюдение за военной кампанией Израиля и Хамаса во время обострения напряженности в отношениях с Ираном с использованием нетрадиционных тактик, таких как тематические приманки и более 125 поддоменов Azure C2.

Кампания включает в себя поддельные веб-сайты для вербовки персонала, на которых размещается полезная информация, в том числе поддельное приложение, связанное с Хамасом, и использование .NET-приложений для доставки вредоносного ПО.

Подробно описаны пользовательские семейства вредоносных программ MINIBIKE и MINIBUS, причем MINIBUS - это более сложная платформа, предназначенная для опытных операторов, связанная с конфликтом между Израилем и ХАМАСОМ и нацеленная на несколько стран.

Другой инструмент под названием LIGHTRAIL, связанный с UNC1549, имеет общие инфраструктурные черты с минибайком и микроавтобусом и ориентирован на пересекающиеся среды обитания жертв.

Угроза связана с вредоносной полезной нагрузкой, скрытой в ZIP-архиве с именем bringthemhomenow.zip, включая бэкдор для микроавтобуса, предназначенный для поддержания постоянства с помощью перехвата заказов на поиск и связи C2 с поддоменами Azure и различными доменами, затрагивающими множество стран.

Организациям и частным лицам в целевых регионах, таких как Израиль, Индия, ОАЭ и Албания, рекомендуется усилить меры безопасности, чтобы снизить риски, связанные с этой кампанией по борьбе с киберугрозами.
#ParsedReport #CompletenessHigh
17-05-2024

Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies

https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement

Report completeness: High

Actors/Campaigns:
Volt_typhoon
Unc5291
Unc5221
Unc5266 (motivation: cyber_espionage)
Unc3569 (motivation: cyber_espionage)
Unc5330 (motivation: cyber_espionage)
Unc5337 (motivation: cyber_espionage)
Unc5325

Threats:
Sliver_c2_tool
Warpwire
Terribletea
Smanager
Tonerjam
Spawnsnail
Spawnmole
Spawnnant
Spawnsloth
Crackmapexec_tool
Rootrot
Brickstorm
Dcsync_technique

Victims:
Ivanti, U.s. energy sector, U.s. defense sector, Vmware vcenter servers

Industry:
Healthcare, Energy

Geo:
China, Rwanda

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2019-11539 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- pulsesecure pulse connect secure (8.2r1.1, 8.2r2.0, 8.1r1.0, 8.2r4.0, 8.2r5.0)
- pulsesecure pulse policy secure (5.1r5.0, 5.1r1.1, 5.1r2.0, 5.2r7.0, 5.3r7.0)
- ivanti connect secure (8.2, 8.3, 8.1)

CVE-2020-8218 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- pulsesecure pulse connect secure (le9.0)
- ivanti connect secure (9.1)
- pulsesecure pulse policy secure (le9.0)
- ivanti policy secure (9.1)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1547, T1059, T1105

IOCs:
File: 3
Path: 1
Hash: 20
IP: 7
Domain: 3

Soft:
Ivanti, Microsoft Exchange, SELinux, active directory, Windows Certificate, systemd, curl, outlook, cpanel

Algorithms:
md5, sha256, xxtea, aes, base64

Win API:
PIE

Languages:
perl, python

YARA: Found

Links:
https://github.com/kubo/funchook
https://github.com/gorilla/mux
https://github.com/lonng/nex
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Mandiant отслеживает активность киберугроз, используя уязвимости Ivanti, в частности, связанные с многочисленными шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами. Анализ сосредоточен на выявлении групп злоумышленников, использующих эти уязвимости, их тактике и методах, развертывании семейств вредоносных программ и инструментов, а также на важности специализированного вредоносного ПО в киберкампаниях против передовых устройств.
-----

Mandiant активно отслеживает многочисленные группы киберугроз, использующих уязвимости Ivanti, включая CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.

Эти эксплойты связаны с предполагаемыми шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами, занимающимися крипто-майнингом.

Компания Mandiant выявила восемь различных кластеров, использующих эти уязвимости, причем пять кластеров, связанных с Китаем, совершают вторжения.

Выделены конкретные группы действующих лиц, представляющих угрозу, включая UNC5291, UNC5221, UNC5330, UNC5337 и UNC5266.

Среди известных действий - UNC5291, нацеленный на энергетический и оборонный секторы США, UNC5221, использующий CVE-2023-46805 и CVE-2024-21887, и UNC5330, использующий сложные методы, такие как WMI, для вторжений.

Семейства вредоносных программ и инструменты, такие как SPAWNSNAIL, SPAWNMOLE, SPAWNANT и SPAWNSLOTH, использовались для создания постоянных бэкдоров на взломанных устройствах Ivanti Connect Secure.

Для несанкционированного доступа и обеспечения сохраняемости были развернуты различные вредоносные программы, включая BRICKSTORM и ROOTROT.

UNC5266 развернул бэкдор под названием TERRIBLETEA, который взаимодействует по протоколу HTTP с использованием шифрования XXTEA и предлагает различные функциональные возможности.

TERRIBLETEA использует скрипт профиля Bash для сохранения и адаптирован для конкретных сред.

Особое внимание уделяется агрессивному использованию уязвимостей нулевого и нулевого дня связанными с Китаем злоумышленниками, нацеленными на передовые устройства.
#ParsedReport #CompletenessHigh
17-05-2024

Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect

https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect

Report completeness: High

Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Dawn_calvary (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)

Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goheavy_tool
Goreverse
Netcat_tool
Fscan_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Dirbuster_tool
Metasploit_tool
Afrog_tool
Credential_dumping_technique

Victims:
U.s. defense contractors, Uk government entities, Institutions in asia, Southeast asian research and education institutions, U.s. research and education institutions, Hong kong businesses, Charities and non-governmental organizations in hong kong, U.s. government organizations, Uk government organizations, Organizations using f5 big-ip appliances, have more...

Industry:
Government, Military, Education, Ngo

Geo:
China, Asia, Chinese, Taiwan, Oceania, Canada, Asian

CVEs:
CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.19.16, 6.0.6, 6.10.1, 7.4.4, 5.3.1)

CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)

CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, 8.3.0, 8.3.1, 8.2.1, 8.3.2)
- atlassian confluence server (<8.3.3, 8.1.0, 8.1.3, 8.2.0, 8.3.1)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.0.6, 13.1.0, 13.1.0.5, 13.1.1.1)

CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel usg flex 100w firmware (<5.30)
- zyxel usg flex 200 firmware (<5.30)
- zyxel usg flex 500 firmware (le5.30)
- zyxel usg flex 700 firmware (<5.30)
- zyxel vpn100 firmware (<5.30)
have more...

TTPs:
Tactics: 11
Technics: 42

IOCs:
IP: 3
Url: 1
Hash: 6

Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, Unix

Algorithms:
xor

Languages:
visual_basic, golang

Links:
https://github.com/Chocapikk/CVE-2023-22515
https://github.com/shadow1ng/fscan
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в отчете о киберугрозах, в котором подробно описывается деятельность группы злоумышленников UNC5174, предположительно базирующейся в Китае и связанной с китайским правительством. В отчете описывается использование уязвимостей группой, профиль участников, использование пользовательских инструментов и фреймворков, целевые операции, рекомендации по устранению последствий, атрибуция, посредничество в доступе и будущий ландшафт угроз.
-----

В отчете cyber threat intelligence подробно описывается серия изощренных кибервзломов и атак, проведенных группой злоумышленников, известной как UNC5174, которая, как полагают, базируется в Китае и связана с Китайской Народной Республикой (КНР). Вот ключевые моменты из отчета:.

**Используемые уязвимости**:.

В конце октября 2023 года UNC5174 воспользовался уязвимостью нулевого дня (CVE-2023-46747), затрагивающей пользовательский интерфейс управления трафиком F5 BIG-IP, что позволило получить несанкционированный доступ к скомпрометированным системам.

В феврале 2024 года UNC5174 использовал уязвимость Connectwise ScreenConnect CVE-2024-1709 для взлома сотен учреждений в США и Канаде.

**Профиль актера**:.

UNC5174, использующий псевдоним "Uteus", идентифицирован как бывший член китайских коллективов хактивистов, который в настоящее время работает подрядчиком в Министерстве государственной безопасности Китая (МГБ), занимаясь операциями доступа и, возможно, посредничеством в получении доступа к скомпрометированным средам.

**Инструменты и фреймворк**:.

В UNC5174 использовались пользовательские инструменты и платформа SUPERSHELL, демонстрирующие уникальный и целенаправленный подход, связанный с PRC threat actor, UNC5174.

Актер использовал различные инструменты, такие как SNOWLIGHT, GOHEAVY, GOREVERSE и другие, чтобы облегчить разведку сети, боковое перемещение и установление каналов связи с серверами C2.

**Цели и операции**:.

UNC5174 был агрессивно нацелен на исследовательские институты, предприятия, государственные учреждения и НПО в Юго-Восточной Азии, США, Великобритании и других регионах.

Mandiant выявил UNC5174, пытавшийся продать доступ оборонным подрядчикам США и правительственным структурам Великобритании после успешного использования уязвимостей.

**Меры по смягчению последствий и рекомендации**:.

Компания Mandiant рекомендовала применять сценарии устранения неполадок, предоставляемые поставщиками, для защиты уязвимых систем, поиска признаков компрометации и мониторинга действий по доступу, особенно связанных с выявленными уязвимостями.

В отчете подчеркивается сохраняющаяся угроза, которую представляет UNC5174 для организаций академического, неправительственного и государственного секторов в конкретных регионах.

**Методы и атрибуция**:.

Систематическое использование уязвимостей в широко распространенном оборудовании edge в документе UNC5174 подчеркивает целенаправленный подход к получению доступа к стратегическим целям, отвечающим интересам КНР.

**Посреднический доступ**:.

UNC5174 определен в качестве начального посредника доступа для MSS, сотрудничающего с другими участниками угроз, такими как UNC302, и демонстрирующего общие эксплойты и операционные приоритеты.

**Ландшафт будущих угроз**:.

Mandiant прогнозирует продолжение угроз со стороны UNC5174, нацеленных на конкретные секторы и регионы, представляющие интерес для КНР, что подчеркивает эволюционирующий и постоянный характер киберугроз, исходящих от субъектов, спонсируемых государством.
#ParsedReport #CompletenessHigh
17-05-2024

APT29 Uses WINELOADER to Target German Political Parties

https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Wineloader
Envyscout
Burntbatter
Muskybeat
Beatdrop_loader
Password_spray_technique
Donut
Daveshell
Dll_sideloading_technique
Process_injection_technique

Victims:
German political parties

Industry:
Government

Geo:
Russian, Russia, German, Peru, Moscow, Czechia, India, Italy, Ukraine, Germany, Latvia

TTPs:
Tactics: 2
Technics: 10

IOCs:
Url: 3
File: 7
Hash: 8

Soft:
Jenkins, WordPress, outlook, LibreOffice, Windows Service

Algorithms:
md5, rc4, zip

Languages:
javascript, php

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 APT29 Uses WINELOADER to Target German Political Parties https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties Report completeness: High Actors/Campaigns: Duke (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в конце февраля 2024 года группа APT29, связанная с российской службой внешней разведки, атаковала немецкие политические партии, используя новый вариант бэкдора под названием WINELOADER. Это свидетельствует о смещении акцента APT29 в сторону политических партий и отходе от дипломатических миссий, а также свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. В тексте также подчеркивается, что в будущем операции APT29 могут распространиться на западные политические образования за пределами Германии.
-----

В конце февраля 2024 года APT29, террористическая группа, связанная со Службой внешней разведки России (СВР), атаковала немецкие политические партии с помощью нового бэкдора под названием WINELOADER. Это знаменует собой смещение акцента APT29 в сторону политических партий, отказ от типичной для него ориентации на дипломатические миссии. В ходе фишинговой кампании были отправлены электронные письма, выдаваемые за приглашения на мероприятие Христианско-демократического союза (ХДС), содержащие вредоносные вложения, которые привели к развертыванию WINELOADER через взломанный веб-сайт.

Вредоносная программа ROOTSAW, использовавшаяся в качестве начальной точки доступа, была постоянным инструментом в операциях APT29, направленных на сбор внешнеполитической разведданных. Ее использование в качестве мишени для политических партий Германии свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. Перевод документов на немецкий язык, что является отличием от предыдущих операций, предполагает переход к внутриполитическим структурам.

WINELOADER, который используется с января 2024 года, обладает общими функциями с другими семействами вредоносных программ APT29, такими как BURNTBATTER и MUSKYBEAT, что указывает на общего разработчика. Вредоносная программа использует уникальные методы взаимодействия со своим сервером управления (C2), используя такие методы, как расшифровка RC4, проверка процессов и загрузка DLL на стороне пользователя. ZScaler получил инструкции по поддержанию работоспособности WINELOADER путем настройки ключа запуска.

В дальнейшем интерес APT29 к политическим партиям выходит за пределы Германии, и западные политические организации из различных слоев общества могут стать потенциальными мишенями для будущих действий в области кибершпионажа. Ожидается, что деятельность группы будет развиваться в соответствии с геополитическими интересами России, потенциально фокусируясь на понимании динамики, связанной с Украиной, и других ключевых внешнеполитических вопросах. Как показала тактика фишинга, APT29 может использовать альтернативные методы, такие как облачная аутентификация subversion, для получения первоначального доступа.
#ParsedReport #CompletenessMedium
18-05-2024

Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation

https://www.ctfiot.com/182141.html

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Anydesk_tool
Beavertail
Invisibleferret

Victims:
Developers in the blockchain industry

Industry:
Financial, Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1059, T1557, T1553, T1105, T1110

IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4

Soft:
macOS, Chrome, Opera, , Android, WeChat

Algorithms:
md5, zip, base64

Languages:
python, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 18-05-2024 Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation https://www.ctfiot.com/182141.html Report completeness: Medium Actors/Campaigns: Lazarus Cont…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о группе Lazarus group, организации с развитой системой защиты от постоянных угроз (APT), происходящей из Северо-Восточной Азии, известной различными кибератаками, направленными против правительственных учреждений, финансовых институтов и частных лиц в таких отраслях, как блокчейн. Недавние действия включают использование поддельных аккаунтов в социальных сетях для фишинговых атак, использование вредоносного кода JavaScript в почтовых пакетах и поиск разработчиков с помощью поддельных вакансий для развертывания вредоносного ПО и кражи информации, особенно связанной с виртуальной валютой. В целях усиления мер безопасности пользователям рекомендуется проявлять осторожность в отношении неизвестных ссылок, вложений электронной почты и загрузок программного обеспечения из неофициальных источников, чтобы снизить риски, исходящие от таких групп, как Lazarus.
-----

Группа Lazarus, предположительно имеющая корни в Северо-Восточной Азии, является организацией с развитой системой защиты от постоянных угроз (APT), история атак которой восходит к 2007 году. В 2014 году они привлекли к себе внимание всего мира благодаря атаке Sony Pictures, и с тех пор расширили свои цели, включив в них глобальные финансовые учреждения и платформы для торговли виртуальной валютой.

Lazarus проводит фишинговые атаки через поддельные аккаунты в социальных сетях, в частности, нацеливаясь на представителей определенных отраслей, предлагая фиктивные вакансии. Они используют вредоносный JavaScript-код в ZIP-пакетах для развертывания вредоносного ПО, которое крадет конфиденциальную информацию, в основном связанную с виртуальной валютой.

Злоумышленники создают ложные идентификационные данные на таких платформах, как LinkedIn и Upwork, чтобы заманить жертв к запуску предоставленного кода, что приводит к установке вредоносного ПО. Они хранят вредоносный код на таких платформах, как GitHub, GitLab и Bitbucket, чтобы жертвы могли его загрузить.

Злоумышленники нацелились на разработчиков блокчейн-индустрии, похищая криптовалютные кошельки с помощью локальных сервисов. Внедренный вредоносный код часто скрывается, чтобы избежать обнаружения.

Вредоносный JS-код взаимодействует с сервером управления (C2), загружает скрипты на Python для кражи данных из браузеров и развертывает троянские программы для несанкционированного доступа и утечки данных.

Пользователям рекомендуется избегать открытия неизвестных ссылок, вложений электронной почты из подозрительных источников, неизвестных файлов и приложений из неофициальных источников. Они также должны обеспечивать своевременное резервное копирование важных файлов и обновлять программное обеспечение с помощью последних исправлений, чтобы снизить риски, связанные с APT-группами, такими как Lazarus.
Forwarded from sasha
🎉 Долгожданное приглашение на AI CTF! 🎉

📅 Дата и время: с 12:00 (GMT+3) 24 мая до 23:59 (GMT+3) 25 мая
👤 Формат: Индивидуальное (команда из 1 человека)
🌐 Участие: Онлайн

Привет всем! Мы рады наконец-то анонсировать наше традиционное соревнование AI CTF в рамках Positive Hack Days для тех, кому интересна тема безопасности машинного обучения и его применение для информационной безопасности.

Вас ждут десяток заданий разного уровня сложности и 36 часов на их решение.

🎁 Призы: смарт-очки Ray-Ban Meta, VR-гарнитура Quest 3 и переносная консоль Playdate. Победитель выбирает первым!

Если будете на площадке Positive Hack Days, отметьте это в регистрации — три лучших участника получат сувениры!

🌐 Играть тут: aictf.phdays.fun
Вопросы сюда: t.me/aictf1337

Какие задания были в прошлые годы: 2019, 2021, 2022
CTT Report Hub pinned «🎉 Долгожданное приглашение на AI CTF! 🎉 📅 Дата и время: с 12:00 (GMT+3) 24 мая до 23:59 (GMT+3) 25 мая 👤 Формат: Индивидуальное (команда из 1 человека) 🌐 Участие: Онлайн Привет всем! Мы рады наконец-то анонсировать наше традиционное соревнование AI CTF в…»