TI Reports

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Основная идея текста заключается в том, что многочисленные киберугрозы нацелены на отдельных лиц и организации в различных секторах, начиная от фишинговых атак, выдающих себя за программы E-ZPass, и заканчивая угрозами безопасности, связанными с новой функцией искусственного интеллекта Microsoft "Отзыв" в Windows 11, а также уязвимостями в промышленных системах управления, таких как линейка P3 от AutomationDirect. Процессорные модули. Эти киберугрозы имеют серьезные последствия, такие как сбои в работе сети в больницах после атак программ-вымогателей и потенциальный несанкционированный доступ к конфиденциальным данным с помощью программ-шпионов. Подчеркивается важность оперативного устранения недостатков безопасности в системах критически важной инфраструктуры для предотвращения киберугроз и атак. Кроме того, упоминаются предстоящие выступления экспертов Talos по кибербезопасности в Cisco Live. ----- Мошенники рассылают поддельные текстовые сообщения, выдавая себя за программы E-ZPass, в нескольких штатах США, чтобы получить платежную информацию с помощью убедительных фишинговых веб-сайтов. Новая функция искусственного интеллекта Microsoft "Отзыв" в Windows 11 вызвала опасения по поводу безопасности из-за ее способности хранить конфиденциальные данные локально и включать возможности кейлоггинга. Шпионское приложение pcTattletale было закрыто из-за утечки данных, которая потенциально могла привести к несанкционированному доступу к снятым скриншотам с компьютеров в отелях Wyndham. Больницы Ascension в США более трех недель сталкивались с перебоями в работе сети после атаки программы-вымогателя BlackBasta, что повлияло на обслуживание пациентов и доступ к медицинским записям в режиме онлайн. Спикеры Talos из Cisco выступят с докладами по кибербезопасности на Cisco Live, охватывающими различные темы, в том числе выступления по lightning, посвященные Talos IR. В процессорных модулях линейки AutomationDirect P3, в частности в P3-550E, были обнаружены уязвимости в системе безопасности, которые могут привести к удаленному выполнению кода и потенциально повлиять на промышленные системы управления.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessLow 30-05-2024 Attackers are impersonating a road toll payment processor across the U.S. in phishing attacks. Top security headlines of the week https://blog.talosintelligence.com/threat-source-newsletter-may-30-2024 Report completeness: Low Threats: Blackbasta Scar Kmsauto_tool Victims: E-zpass drivers, Wyndham hotels, Ascension hospitals, Automationdirect Industry: Financial, Transport, Government, Healthcare Geo: Switzerland, Russia, Pacific, Georgia, California CVEs: CVE-2024-21785 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2024-23601 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2024-24963 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2024-24962 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown ChatGPT TTPs: do not use without manual check T1566, T1598, T1204, T1565, T1486, T1190 IOCs: Hash: 10 File: 4 Soft: Android, Kmsauto Algorithms: md5

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Основная идея:. RedLine stealer - это очень сложная вредоносная программа, написанная на C#, которая представляет серьезную угрозу, поскольку нацелена на широкий спектр конфиденциальных данных частных лиц и организаций. Его возможности включают извлечение информации из различных приложений, использование методов обхода и шифрования для предотвращения обратного проектирования, что подчеркивает необходимость принятия упреждающих мер кибербезопасности для эффективной борьбы с такими угрозами. ----- RedLine stealer - это сложная программа для кражи информации, написанная на C#, которая представляет серьезную угрозу, поскольку нацелена на получение широкого спектра конфиденциальной информации от своих жертв. Первоначально появившаяся на российских подпольных форумах, эта вредоносная программа быстро эволюционировала, нацелившись на различные веб-браузеры, криптовалютные кошельки и различные учетные данные. Он нацелен на кражу регистрационной информации, данных автозаполнения, паролей, реквизитов криптовалютного кошелька, токенов Discord, учетных данных VPN и FTP, а также игровых аккаунтов. Такой широкий спектр целевых данных делает RedLine серьезной угрозой как для частных лиц, так и для организаций. Вредоносная программа способна извлекать данные из чатов Telegram, Steam и нескольких VPN-сервисов, включая NordVPN, OpenVPN и ProtonVPN. Ее совместимость со всеми браузерами на базе Chromium и Gecko еще больше расширяет сферу ее действия и потенциал для причинения вреда. В этом анализе используется статическая точка зрения для анализа RedLine stealer, изучения его возможностей и влияния на жертв. Одной из ключевых особенностей RedLine является его способность собирать конкретную информацию из различных приложений, установленных на компьютере жертвы. Например, он нацелен на информацию, связанную с Discord, с определенными расположениями файлов, такими как %APPDATA%\discord\Local Storage\leveldb, которые содержат важные данные. Вредоносная программа содержит классы, предназначенные для извлечения конфиденциальных данных из различных приложений, и использует процедуры замены строк, чтобы избежать статического обнаружения. С точки зрения технической эксплуатации RedLine stealer использует специальные классы и методы для управления сетевым взаимодействием со своим сервером управления (C2). Класс EnvironmentChecker проверяет настройки системной среды и информацию о культурном регионе, чтобы определить, следует ли приостановить выполнение вредоносного ПО. С другой стороны, класс ConnectionProvider обрабатывает сетевое взаимодействие с использованием Windows Communication Foundation (WCF) для установления и поддержания соединений с сервером C2. Вредоносная программа использует класс Arguments для настройки и хранит критически важные данные, такие как зашифрованные IP-адреса и ключи. Для обеспечения безопасности данных применяются методы шифрования и обфускации, которые затрудняют обратное проектирование. Класс Program расшифровывает эти конфигурационные данные, необходимые для выполнения различных операций, включая подключение к серверам C2 и отображение сообщений. Класс StringDecrypt играет решающую роль в расшифровке конфиденциальной информации, обеспечивая ее доступность в предполагаемом виде только во время выполнения. RedLine stealer демонстрирует высокий уровень изощренности в своей работе и методах обхода, создавая значительную угрозу кибербезопасности. Анализ технических особенностей этого вредоносного ПО позволяет получить представление о его способах работы, тактике обхода и потенциальном воздействии на жертв. Способность RedLine работать с широким спектром приложений и конфиденциальных данных подчеркивает важность упреждающих мер кибербезопасности для эффективного обнаружения, предотвращения и смягчения таких угроз.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessLow 31-05-2024 Unmasking RedLine Stealer - Static Analysis https://vireniumk.net/2024/05/30/unmasking-redline-stealer-static-analysis Report completeness: Low Threats: Redline_stealer Industry: Entertainment Geo: Russian ChatGPT TTPs: do not use without manual check T1003, T1114, T1505, T1570, T1082, T1027, T1574, T1606, T1041, T1055, have more... IOCs: File: 1 IP: 1 Path: 1 Hash: 3 Soft: Discord, Telegram, Chromium Algorithms: sha256, md5, sha1 Functions: WriteLine

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Основная идея: Cybereason опубликовал предупреждения об угрозах в отношении сложного бэкдора, обнаруженного в библиотеке сжатия XZ Utils с открытым исходным кодом для операционных систем Linux, который нацелен на целостность Secure Shell (SSH). Эта уязвимость, отслеживаемая как CVE-2024-3094, позволяет злоумышленникам взломать зашифрованные каналы связи и завладеть компьютерами. Бэкдор был внедрен злоумышленником с помощью атаки на цепочку поставок и включает в себя сложные методы антианализа. Пользователи могут обнаружить этот бэкдор, используя определенные имена модулей и хэш-сигнатуры SHA256, предоставляемые Cybereason. ----- Компания Cybereason выпустила предупреждения об угрозах, чтобы уведомлять клиентов о возникающих угрозах и критических уязвимостях. В этих предупреждениях содержится краткое описание угроз, а также практические рекомендации по защите. Одно из недавних предупреждений касается сложного бэкдора, обнаруженного в библиотеке сжатия XZ Utils с открытым исходным кодом версий 5.6.0 и 5.6.1 для операционных систем Linux. Бэкдор в XZ Utils нацелен на целостность Secure Shell (SSH), криптографического сетевого протокола, используемого для удаленного выполнения команд по незащищенным сетям. Эта уязвимость, отслеживаемая как CVE-2024-3094 и имеющая оценку CVSS 10 из 10, является серьезной, поскольку может нарушить целостность зашифрованного канала связи SSH, позволяя злоумышленнику получить доступ к компьютерам с уязвимой библиотекой. Атаки на цепочки поставок, подобные этой, направлены на то, чтобы скомпрометировать организации, используя надежные программные компоненты сторонних производителей в их ИТ-инфраструктуре. Cybereason уже рассказывал об этих атаках ранее, и ярким примером является компрометация цепочки поставок SolarWinds. 29 марта 2024 года был обнаружен бэкдор в XZ Utils, позволяющий злоумышленнику запускать команды от имени пользователя root, используя зашифрованный закрытый ключ. Злоумышленник под псевдонимом "JiaT75" внедрил этот бэкдор в версии библиотеки 5.6.0 и 5.6.1 в ходе двухлетней атаки на цепочку поставок. Бэкдор, скрытый в проекте с помощью тестовых файлов и модифицированного скрипта m4, является сложным и использует методы антианализа, чтобы избежать обнаружения. Он включает в себя несколько этапов в процессе сборки и использует такие механизмы, как перехватчики аудита и ifunc для удаленного выполнения кода перед аутентификацией. При подключении с использованием SSH-сертификата запускается бэкдор, позволяющий выполнять удаленную команду от имени пользователя root при проверке злоумышленника. Обнаружение бэкдора является сложной задачей из-за механизмов, которые восстанавливают нормальную функциональность, если сертификат не проверен. Бэкдор предназначен для интеграции в Secure Shell Daemon (sshd) на уязвимых системах, предоставляя удаленным злоумышленникам возможность выполнять произвольный код с правами суперпользователя в системах со скомпрометированным пакетом XZ Utils и незащищенным SSH. Чтобы определить наличие этого бэкдора, пользователи могут обратиться к названиям конкретных модулей, связанных с ним. Cybereason собрал более 60 хэш-сигнатур SHA256, связанных с этой уязвимостью, которые постоянно обновляются по мере продвижения исследований.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessLow 30-05-2024 THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH https://www.cybereason.com/blog/threat-alert-the-xz-backdoor Report completeness: Low Threats: Xz_backdoor Supply_chain_technique Jiat75_actor CVEs: CVE-2024-3094 [Vulners] CVSS V3.1: 10.0, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown Soft: - tukaani xz (5.6.0, 5.6.1) TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1195, T1547.001, T1027, T1071, T1059, T1068 IOCs: File: 2 Hash: 62 Soft: Fedora, Debian, xz-utils, Alpine, Unix, PostgreSQL, liblzma Algorithms: sha256, lzma Functions: system Links: https://github.com/smx-smx/xzre https://github.com/tukaani-project/xz https://github.com/google/oss-fuzz/issues/11760

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Основная идея текста заключается в том, что группа угроз Water Sigbin, также известная как банда 8220, активно использует уязвимости в серверах Oracle WebLogic для развертывания майнеров криптовалют, используя сложные методы обфускации и методы выполнения без файлов. Их развивающаяся тактика, такая как использование сценариев PowerShell, использование обфускации и интеграция использования уязвимостей, создает проблемы для защитников при обнаружении и предотвращении их вредоносных действий, подчеркивая необходимость сохранения бдительности организациями и принятия упреждающих мер кибербезопасности. ----- Water Sigbin, также известный как 8220 Gang, воспользовался уязвимостями в серверах Oracle WebLogic для развертывания майнера криптовалют с помощью сценария PowerShell. Группа использовала методы обфускации, такие как шестнадцатеричное кодирование URL-адресов и использование HTTP через порт 443, чтобы обеспечить скрытую доставку полезной нагрузки. Сценарий PowerShell и полученный в результате пакетный файл содержали сложную кодировку, включая использование переменных окружения для сокрытия вредоносного кода внутри, казалось бы, безобидных компонентов сценария. В Water Sigbin использовалось выполнение без использования файлов .Методы сетевого отражения в скриптах PowerShell позволяют вредоносному коду запускаться исключительно в памяти и обходить механизмы обнаружения на диске. Группа Water Sigbin, базирующаяся в Китае, активно работает как минимум с 2017 года, сосредоточившись на внедрении вредоносных программ для майнинга криптовалют в облачных средах и на серверах Linux. Группа использует уязвимости в своей тактике, постоянно совершенствуясь, чтобы перехитрить защитников. Недавние наблюдения показывают, что Water Sigbin применил новые методы для сокрытия своей деятельности, что усложняет защиту от его атак. Используя уязвимости CVE-2017-3506 и CVE-2023-21839, Water Sigbin запустил майнер криптовалюты с помощью скрипта PowerShell с именем bin.ps1, скрыв вредоносный код в, казалось бы, невинных скриптах. Вредоносные программы группы были нацелены как на компьютеры с Linux, так и на Windows, используя сценарии оболочки в Linux и PowerShell в Windows. Метод обфускации Water Sigbin включал использование HTTP через порт 443 для скрытой связи, демонстрируя усилия группы по совершенствованию своей тактики уклонения. Сложные методы обфускации, используемые Water Sigbin, такие как шестнадцатеричное кодирование, сложное кодирование в PowerShell и пакетных сценариях, использование переменных среды и многоуровневая обфускация, затрудняют обнаружение и предотвращение действий группы безопасности. Эта развивающаяся тактика подчеркивает необходимость того, чтобы организации сохраняли бдительность и применяли упреждающие меры кибербезопасности, включая регулярное внесение исправлений, обучение сотрудников и планы реагирования на инциденты. Дальнейший анализ тактики Water Sigbin выявляет сложный код PowerShell, который расшифровывает строки base64, выполняет расшифровку и запускает вредоносный код, используя отражение DotNet в памяти. Использование группой методов PowerShell для обработки двоичного кода подчеркивает их техническую изощренность в предотвращении обнаружения. Постоянное развитие Water Sigbin в области использования уязвимостей и сокрытия своей деятельности подчеркивает способность современных участников угроз к адаптации. Использование ими сложных методов обфускации требует постоянной бдительности и активных мер кибербезопасности для снижения рисков, связанных с изощренными угрозами.