CTT Report Hub
3.39K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается кампания по борьбе с киберугрозами, приписываемая связанной с Ираном группе UNC1549, нацеленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока. Исполнители угроз, связанные с КСИР Ирана, используют уникальные лазейки и тактику социальной инженерии, уделяя особое внимание кампании на военную тематику Израиля и Хамаса. В отчете подчеркивается участие UNC1549 в операции, подчеркивается использование нетрадиционной тактики и развертывание пользовательских семейств вредоносных программ, таких как MINIBIKE и MINIBUSUS. Постоянство кампании и появление новых версий вредоносного ПО, а также подключение к инфраструктуре Azure создают значительные риски для целевых организаций и частных лиц в таких регионах, как Израиль, Индия и ОАЭ.
-----

Компания Mandiant раскрыла подозрительную шпионскую деятельность связанной с Ираном террористической группировки UNC1549, нацеленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока.

UNC1549, связанная с компанией Tortoiseshell, связанной с КСИР Ирана, проводит постоянную кампанию, по крайней мере, с июня 2022 года, используя бэкдоры для мини-велосипедов и микроавтобусов, методы уклонения и облачную инфраструктуру Azure.

Примечательным аспектом является наблюдение за военной кампанией Израиля и Хамаса во время обострения напряженности в отношениях с Ираном с использованием нетрадиционных тактик, таких как тематические приманки и более 125 поддоменов Azure C2.

Кампания включает в себя поддельные веб-сайты для вербовки персонала, на которых размещается полезная информация, в том числе поддельное приложение, связанное с Хамасом, и использование .NET-приложений для доставки вредоносного ПО.

Подробно описаны пользовательские семейства вредоносных программ MINIBIKE и MINIBUS, причем MINIBUS - это более сложная платформа, предназначенная для опытных операторов, связанная с конфликтом между Израилем и ХАМАСОМ и нацеленная на несколько стран.

Другой инструмент под названием LIGHTRAIL, связанный с UNC1549, имеет общие инфраструктурные черты с минибайком и микроавтобусом и ориентирован на пересекающиеся среды обитания жертв.

Угроза связана с вредоносной полезной нагрузкой, скрытой в ZIP-архиве с именем bringthemhomenow.zip, включая бэкдор для микроавтобуса, предназначенный для поддержания постоянства с помощью перехвата заказов на поиск и связи C2 с поддоменами Azure и различными доменами, затрагивающими множество стран.

Организациям и частным лицам в целевых регионах, таких как Израиль, Индия, ОАЭ и Албания, рекомендуется усилить меры безопасности, чтобы снизить риски, связанные с этой кампанией по борьбе с киберугрозами.
#ParsedReport #CompletenessHigh
17-05-2024

Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies

https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement

Report completeness: High

Actors/Campaigns:
Volt_typhoon
Unc5291
Unc5221
Unc5266 (motivation: cyber_espionage)
Unc3569 (motivation: cyber_espionage)
Unc5330 (motivation: cyber_espionage)
Unc5337 (motivation: cyber_espionage)
Unc5325

Threats:
Sliver_c2_tool
Warpwire
Terribletea
Smanager
Tonerjam
Spawnsnail
Spawnmole
Spawnnant
Spawnsloth
Crackmapexec_tool
Rootrot
Brickstorm
Dcsync_technique

Victims:
Ivanti, U.s. energy sector, U.s. defense sector, Vmware vcenter servers

Industry:
Healthcare, Energy

Geo:
China, Rwanda

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2019-11539 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- pulsesecure pulse connect secure (8.2r1.1, 8.2r2.0, 8.1r1.0, 8.2r4.0, 8.2r5.0)
- pulsesecure pulse policy secure (5.1r5.0, 5.1r1.1, 5.1r2.0, 5.2r7.0, 5.3r7.0)
- ivanti connect secure (8.2, 8.3, 8.1)

CVE-2020-8218 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- pulsesecure pulse connect secure (le9.0)
- ivanti connect secure (9.1)
- pulsesecure pulse policy secure (le9.0)
- ivanti policy secure (9.1)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1547, T1059, T1105

IOCs:
File: 3
Path: 1
Hash: 20
IP: 7
Domain: 3

Soft:
Ivanti, Microsoft Exchange, SELinux, active directory, Windows Certificate, systemd, curl, outlook, cpanel

Algorithms:
md5, sha256, xxtea, aes, base64

Win API:
PIE

Languages:
perl, python

YARA: Found

Links:
https://github.com/kubo/funchook
https://github.com/gorilla/mux
https://github.com/lonng/nex
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Mandiant отслеживает активность киберугроз, используя уязвимости Ivanti, в частности, связанные с многочисленными шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами. Анализ сосредоточен на выявлении групп злоумышленников, использующих эти уязвимости, их тактике и методах, развертывании семейств вредоносных программ и инструментов, а также на важности специализированного вредоносного ПО в киберкампаниях против передовых устройств.
-----

Mandiant активно отслеживает многочисленные группы киберугроз, использующих уязвимости Ivanti, включая CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.

Эти эксплойты связаны с предполагаемыми шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами, занимающимися крипто-майнингом.

Компания Mandiant выявила восемь различных кластеров, использующих эти уязвимости, причем пять кластеров, связанных с Китаем, совершают вторжения.

Выделены конкретные группы действующих лиц, представляющих угрозу, включая UNC5291, UNC5221, UNC5330, UNC5337 и UNC5266.

Среди известных действий - UNC5291, нацеленный на энергетический и оборонный секторы США, UNC5221, использующий CVE-2023-46805 и CVE-2024-21887, и UNC5330, использующий сложные методы, такие как WMI, для вторжений.

Семейства вредоносных программ и инструменты, такие как SPAWNSNAIL, SPAWNMOLE, SPAWNANT и SPAWNSLOTH, использовались для создания постоянных бэкдоров на взломанных устройствах Ivanti Connect Secure.

Для несанкционированного доступа и обеспечения сохраняемости были развернуты различные вредоносные программы, включая BRICKSTORM и ROOTROT.

UNC5266 развернул бэкдор под названием TERRIBLETEA, который взаимодействует по протоколу HTTP с использованием шифрования XXTEA и предлагает различные функциональные возможности.

TERRIBLETEA использует скрипт профиля Bash для сохранения и адаптирован для конкретных сред.

Особое внимание уделяется агрессивному использованию уязвимостей нулевого и нулевого дня связанными с Китаем злоумышленниками, нацеленными на передовые устройства.
#ParsedReport #CompletenessHigh
17-05-2024

Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect

https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect

Report completeness: High

Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Dawn_calvary (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)

Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goheavy_tool
Goreverse
Netcat_tool
Fscan_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Dirbuster_tool
Metasploit_tool
Afrog_tool
Credential_dumping_technique

Victims:
U.s. defense contractors, Uk government entities, Institutions in asia, Southeast asian research and education institutions, U.s. research and education institutions, Hong kong businesses, Charities and non-governmental organizations in hong kong, U.s. government organizations, Uk government organizations, Organizations using f5 big-ip appliances, have more...

Industry:
Government, Military, Education, Ngo

Geo:
China, Asia, Chinese, Taiwan, Oceania, Canada, Asian

CVEs:
CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.19.16, 6.0.6, 6.10.1, 7.4.4, 5.3.1)

CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)

CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, 8.3.0, 8.3.1, 8.2.1, 8.3.2)
- atlassian confluence server (<8.3.3, 8.1.0, 8.1.3, 8.2.0, 8.3.1)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.0.6, 13.1.0, 13.1.0.5, 13.1.1.1)

CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel usg flex 100w firmware (<5.30)
- zyxel usg flex 200 firmware (<5.30)
- zyxel usg flex 500 firmware (le5.30)
- zyxel usg flex 700 firmware (<5.30)
- zyxel vpn100 firmware (<5.30)
have more...

TTPs:
Tactics: 11
Technics: 42

IOCs:
IP: 3
Url: 1
Hash: 6

Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, Unix

Algorithms:
xor

Languages:
visual_basic, golang

Links:
https://github.com/Chocapikk/CVE-2023-22515
https://github.com/shadow1ng/fscan
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в отчете о киберугрозах, в котором подробно описывается деятельность группы злоумышленников UNC5174, предположительно базирующейся в Китае и связанной с китайским правительством. В отчете описывается использование уязвимостей группой, профиль участников, использование пользовательских инструментов и фреймворков, целевые операции, рекомендации по устранению последствий, атрибуция, посредничество в доступе и будущий ландшафт угроз.
-----

В отчете cyber threat intelligence подробно описывается серия изощренных кибервзломов и атак, проведенных группой злоумышленников, известной как UNC5174, которая, как полагают, базируется в Китае и связана с Китайской Народной Республикой (КНР). Вот ключевые моменты из отчета:.

**Используемые уязвимости**:.

В конце октября 2023 года UNC5174 воспользовался уязвимостью нулевого дня (CVE-2023-46747), затрагивающей пользовательский интерфейс управления трафиком F5 BIG-IP, что позволило получить несанкционированный доступ к скомпрометированным системам.

В феврале 2024 года UNC5174 использовал уязвимость Connectwise ScreenConnect CVE-2024-1709 для взлома сотен учреждений в США и Канаде.

**Профиль актера**:.

UNC5174, использующий псевдоним "Uteus", идентифицирован как бывший член китайских коллективов хактивистов, который в настоящее время работает подрядчиком в Министерстве государственной безопасности Китая (МГБ), занимаясь операциями доступа и, возможно, посредничеством в получении доступа к скомпрометированным средам.

**Инструменты и фреймворк**:.

В UNC5174 использовались пользовательские инструменты и платформа SUPERSHELL, демонстрирующие уникальный и целенаправленный подход, связанный с PRC threat actor, UNC5174.

Актер использовал различные инструменты, такие как SNOWLIGHT, GOHEAVY, GOREVERSE и другие, чтобы облегчить разведку сети, боковое перемещение и установление каналов связи с серверами C2.

**Цели и операции**:.

UNC5174 был агрессивно нацелен на исследовательские институты, предприятия, государственные учреждения и НПО в Юго-Восточной Азии, США, Великобритании и других регионах.

Mandiant выявил UNC5174, пытавшийся продать доступ оборонным подрядчикам США и правительственным структурам Великобритании после успешного использования уязвимостей.

**Меры по смягчению последствий и рекомендации**:.

Компания Mandiant рекомендовала применять сценарии устранения неполадок, предоставляемые поставщиками, для защиты уязвимых систем, поиска признаков компрометации и мониторинга действий по доступу, особенно связанных с выявленными уязвимостями.

В отчете подчеркивается сохраняющаяся угроза, которую представляет UNC5174 для организаций академического, неправительственного и государственного секторов в конкретных регионах.

**Методы и атрибуция**:.

Систематическое использование уязвимостей в широко распространенном оборудовании edge в документе UNC5174 подчеркивает целенаправленный подход к получению доступа к стратегическим целям, отвечающим интересам КНР.

**Посреднический доступ**:.

UNC5174 определен в качестве начального посредника доступа для MSS, сотрудничающего с другими участниками угроз, такими как UNC302, и демонстрирующего общие эксплойты и операционные приоритеты.

**Ландшафт будущих угроз**:.

Mandiant прогнозирует продолжение угроз со стороны UNC5174, нацеленных на конкретные секторы и регионы, представляющие интерес для КНР, что подчеркивает эволюционирующий и постоянный характер киберугроз, исходящих от субъектов, спонсируемых государством.
#ParsedReport #CompletenessHigh
17-05-2024

APT29 Uses WINELOADER to Target German Political Parties

https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Wineloader
Envyscout
Burntbatter
Muskybeat
Beatdrop_loader
Password_spray_technique
Donut
Daveshell
Dll_sideloading_technique
Process_injection_technique

Victims:
German political parties

Industry:
Government

Geo:
Russian, Russia, German, Peru, Moscow, Czechia, India, Italy, Ukraine, Germany, Latvia

TTPs:
Tactics: 2
Technics: 10

IOCs:
Url: 3
File: 7
Hash: 8

Soft:
Jenkins, WordPress, outlook, LibreOffice, Windows Service

Algorithms:
md5, rc4, zip

Languages:
javascript, php

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 APT29 Uses WINELOADER to Target German Political Parties https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties Report completeness: High Actors/Campaigns: Duke (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в конце февраля 2024 года группа APT29, связанная с российской службой внешней разведки, атаковала немецкие политические партии, используя новый вариант бэкдора под названием WINELOADER. Это свидетельствует о смещении акцента APT29 в сторону политических партий и отходе от дипломатических миссий, а также свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. В тексте также подчеркивается, что в будущем операции APT29 могут распространиться на западные политические образования за пределами Германии.
-----

В конце февраля 2024 года APT29, террористическая группа, связанная со Службой внешней разведки России (СВР), атаковала немецкие политические партии с помощью нового бэкдора под названием WINELOADER. Это знаменует собой смещение акцента APT29 в сторону политических партий, отказ от типичной для него ориентации на дипломатические миссии. В ходе фишинговой кампании были отправлены электронные письма, выдаваемые за приглашения на мероприятие Христианско-демократического союза (ХДС), содержащие вредоносные вложения, которые привели к развертыванию WINELOADER через взломанный веб-сайт.

Вредоносная программа ROOTSAW, использовавшаяся в качестве начальной точки доступа, была постоянным инструментом в операциях APT29, направленных на сбор внешнеполитической разведданных. Ее использование в качестве мишени для политических партий Германии свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. Перевод документов на немецкий язык, что является отличием от предыдущих операций, предполагает переход к внутриполитическим структурам.

WINELOADER, который используется с января 2024 года, обладает общими функциями с другими семействами вредоносных программ APT29, такими как BURNTBATTER и MUSKYBEAT, что указывает на общего разработчика. Вредоносная программа использует уникальные методы взаимодействия со своим сервером управления (C2), используя такие методы, как расшифровка RC4, проверка процессов и загрузка DLL на стороне пользователя. ZScaler получил инструкции по поддержанию работоспособности WINELOADER путем настройки ключа запуска.

В дальнейшем интерес APT29 к политическим партиям выходит за пределы Германии, и западные политические организации из различных слоев общества могут стать потенциальными мишенями для будущих действий в области кибершпионажа. Ожидается, что деятельность группы будет развиваться в соответствии с геополитическими интересами России, потенциально фокусируясь на понимании динамики, связанной с Украиной, и других ключевых внешнеполитических вопросах. Как показала тактика фишинга, APT29 может использовать альтернативные методы, такие как облачная аутентификация subversion, для получения первоначального доступа.
#ParsedReport #CompletenessMedium
18-05-2024

Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation

https://www.ctfiot.com/182141.html

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Anydesk_tool
Beavertail
Invisibleferret

Victims:
Developers in the blockchain industry

Industry:
Financial, Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1059, T1557, T1553, T1105, T1110

IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4

Soft:
macOS, Chrome, Opera, , Android, WeChat

Algorithms:
md5, zip, base64

Languages:
python, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 18-05-2024 Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation https://www.ctfiot.com/182141.html Report completeness: Medium Actors/Campaigns: Lazarus Cont…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о группе Lazarus group, организации с развитой системой защиты от постоянных угроз (APT), происходящей из Северо-Восточной Азии, известной различными кибератаками, направленными против правительственных учреждений, финансовых институтов и частных лиц в таких отраслях, как блокчейн. Недавние действия включают использование поддельных аккаунтов в социальных сетях для фишинговых атак, использование вредоносного кода JavaScript в почтовых пакетах и поиск разработчиков с помощью поддельных вакансий для развертывания вредоносного ПО и кражи информации, особенно связанной с виртуальной валютой. В целях усиления мер безопасности пользователям рекомендуется проявлять осторожность в отношении неизвестных ссылок, вложений электронной почты и загрузок программного обеспечения из неофициальных источников, чтобы снизить риски, исходящие от таких групп, как Lazarus.
-----

Группа Lazarus, предположительно имеющая корни в Северо-Восточной Азии, является организацией с развитой системой защиты от постоянных угроз (APT), история атак которой восходит к 2007 году. В 2014 году они привлекли к себе внимание всего мира благодаря атаке Sony Pictures, и с тех пор расширили свои цели, включив в них глобальные финансовые учреждения и платформы для торговли виртуальной валютой.

Lazarus проводит фишинговые атаки через поддельные аккаунты в социальных сетях, в частности, нацеливаясь на представителей определенных отраслей, предлагая фиктивные вакансии. Они используют вредоносный JavaScript-код в ZIP-пакетах для развертывания вредоносного ПО, которое крадет конфиденциальную информацию, в основном связанную с виртуальной валютой.

Злоумышленники создают ложные идентификационные данные на таких платформах, как LinkedIn и Upwork, чтобы заманить жертв к запуску предоставленного кода, что приводит к установке вредоносного ПО. Они хранят вредоносный код на таких платформах, как GitHub, GitLab и Bitbucket, чтобы жертвы могли его загрузить.

Злоумышленники нацелились на разработчиков блокчейн-индустрии, похищая криптовалютные кошельки с помощью локальных сервисов. Внедренный вредоносный код часто скрывается, чтобы избежать обнаружения.

Вредоносный JS-код взаимодействует с сервером управления (C2), загружает скрипты на Python для кражи данных из браузеров и развертывает троянские программы для несанкционированного доступа и утечки данных.

Пользователям рекомендуется избегать открытия неизвестных ссылок, вложений электронной почты из подозрительных источников, неизвестных файлов и приложений из неофициальных источников. Они также должны обеспечивать своевременное резервное копирование важных файлов и обновлять программное обеспечение с помощью последних исправлений, чтобы снизить риски, связанные с APT-группами, такими как Lazarus.
Forwarded from sasha
🎉 Долгожданное приглашение на AI CTF! 🎉

📅 Дата и время: с 12:00 (GMT+3) 24 мая до 23:59 (GMT+3) 25 мая
👤 Формат: Индивидуальное (команда из 1 человека)
🌐 Участие: Онлайн

Привет всем! Мы рады наконец-то анонсировать наше традиционное соревнование AI CTF в рамках Positive Hack Days для тех, кому интересна тема безопасности машинного обучения и его применение для информационной безопасности.

Вас ждут десяток заданий разного уровня сложности и 36 часов на их решение.

🎁 Призы: смарт-очки Ray-Ban Meta, VR-гарнитура Quest 3 и переносная консоль Playdate. Победитель выбирает первым!

Если будете на площадке Positive Hack Days, отметьте это в регистрации — три лучших участника получат сувениры!

🌐 Играть тут: aictf.phdays.fun
Вопросы сюда: t.me/aictf1337

Какие задания были в прошлые годы: 2019, 2021, 2022
CTT Report Hub pinned «🎉 Долгожданное приглашение на AI CTF! 🎉 📅 Дата и время: с 12:00 (GMT+3) 24 мая до 23:59 (GMT+3) 25 мая 👤 Формат: Индивидуальное (команда из 1 человека) 🌐 Участие: Онлайн Привет всем! Мы рады наконец-то анонсировать наше традиционное соревнование AI CTF в…»
#ParsedReport #CompletenessLow
18-05-2024

Positive Technologies experts discovered a series of attacks via Microsoft Exchange Server

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ehksperty-positive-technologies-obnaruzhili-seriyu-atak-cherez-microsoft-exchange-server

Report completeness: Low

Threats:
Proxyshell_vuln

Victims:
Government agencies, Banks, It companies, Educational institutions

Industry:
Government, Financial

Geo:
Kuwait, Lebanon, Mauritius, African, Ethiopia, Niger, Oman, Jordan, Russia, Nigeria

ChatGPT TTPs:
do not use without manual check
T1566.001, T1056.001, T1560.001

IOCs:
File: 2

Soft:
Microsoft Exchange Server

Functions:
clkLgn
CTT Report Hub
#ParsedReport #CompletenessLow 18-05-2024 Positive Technologies experts discovered a series of attacks via Microsoft Exchange Server https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ehksperty-positive-technologies-obnaruzhili-seriyu-atak…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте рассказывается о кибератаке с использованием кейлоггера, встроенного в сервер Microsoft Exchange, жертвами которой стали более 30 человек, в основном из правительственных учреждений в Африке и на Ближнем Востоке. Хакеры использовали известные уязвимости в серверах Exchange для внедрения кейлоггера и кражи данных учетной записи. Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важную инфраструктуру и организации по всему миру, что подчеркивает важность упреждающих мер безопасности и протоколов реагирования на инциденты.
-----

Группа реагирования на инциденты Экспертного центра безопасности Positive Technologies недавно обнаружила ранее неизвестный кейлоггер, встроенный в главную страницу Microsoft Exchange Server одного из их клиентов. Этот кейлоггер собирал данные учетной записи и сохранял их в файле, доступном по определенным путям в Интернете. После этого обнаружения группа по анализу угроз в PT ESC провела тщательный анализ и выявила более 30 жертв, пострадавших от этой атаки, в основном из правительственных учреждений в разных странах. Эти атаки были совершены в 2021 году, при этом большинство жертв приходилось на регионы Африки и Ближнего Востока.

Хакеры использовали известные уязвимости в серверах Exchange, в частности эксплойт ProxyShell, для внедрения кейлоггера на главную страницу. Кроме того, они вставили код в файл logon.aspx, позволяющий передавать украденные данные учетной записи во внешний файл для удаленного доступа.

Число жертв этой атаки превысило 30 человек, включая правительственные учреждения, банки, IT-компании и образовательные учреждения. Среди пострадавших были такие страны, как Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания и Ливан. Positive Technologies оперативно уведомила всех жертв о компрометации и посоветовала необходимые меры по исправлению положения.

Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важные объекты инфраструктуры и организации в различных секторах и географических регионах. Определение причин этих атак остается сложной задачей из-за отсутствия точных данных, хотя основное внимание, по-видимому, уделяется организациям в Африке и на Ближнем Востоке. Усилия по разведке киберугроз играют решающую роль в обнаружении и смягчении таких угроз, подчеркивая важность упреждающих мер безопасности и протоколов реагирования на инциденты.
#ParsedReport #CompletenessLow
18-05-2024

Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform

https://www.ctfiot.com/182126.html

Report completeness: Low

Actors/Campaigns:
Bitter
Operation_monsoon

Threats:
Harpoon_technique

Victims:
Governments, Military industries, Universities, Overseas institutions

Industry:
Education, Military, Government

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1566, T1547, T1552

IOCs:
File: 4

Soft:
WeChat

Languages:
php