Uhkamets‪ä‬ Jouni Mikkola & Juuso Myllylä

Tämän päivän jaksossa jutellaan taannoisesta hyökkäyksestä Tanskan Energiasektoria vastaan. Lisäksi muutama huono uutinen ja toivottavasti viimeistä kertaa vähään aikaan Octo Spiderin kuulumisia.

Lähteet:
https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-The-attack-against-Danish-critical-infrastructure-TLP-CLEAR.pdf
https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/rhysida-ransomware-intrusion.pdf
https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/

Tässä jaksossa Uhkametsällä tarkastellaan uudehkoa uhkatoimijaa Octo Tempest / Scattered Spider / UNC3944. Juontajat käyvät läpi uhkatoimijan kehittymistä sekä heidän käyttämiään taktiikoita, tekniikoita, sekä toimenpiteitä. 

Jakson lähdeluettelo:
https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/
https://www.crowdstrike.com/adversaries/scattered-spider/
https://www.is.fi/digitoday/tietoturva/art-2000009070262.html
https://darknetdiaries.com/transcript/112/
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-iosxe-webui-rce-uk8BXcUD.html
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
https://bazaar.abuse.ch/browse/tag/pikabot/
https://threatfox.abuse.ch/browse/malware/win.pikabot/
https://www.bleepingcomputer.com/news/security/new-cvss-40-vulnerability-severity-rating-standard-released/

Tällä kertaa Uhkametsällä puhutaan teknisistä incident response tutkinnan vaiheista. Aihe on pintaraapaisu ja aika ei yhdessä jaksossa riitä käsittelemään kuin melko pintapuolisesti aihealuetta. Tämä on hieman teknisempi jatke jaksolle 26: Poikkeamanhallinta ja tutkinta.

Lähteet:
https://zeltser.com/security-incident-questionnaire-cheat-sheet/
https://www.ietf.org/rfc/rfc3227.txt
https://github.com/ufrisk/MemProcFS
https://github.com/volatilityfoundation/volatility3
https://github.com/volatilityfoundation/volatility
https://volatility3.readthedocs.io/en/stable/volatility3.plugins.html
https://github.com/VirusTotal/yara
https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
https://www.youtube.com/watch?v=8b6etqiIvb4 - Christopher Lopez, Will they read my reports? Creating value driven reports
https://www.youtube.com/watch?v=gqsE2coucjg - Selena Larson, Threat Intel for Everyone: Writing Like a Jounarlist to produce clear, concise reports
https://www.youtube.com/watch?v=vwKlNZ6mxak - Lenny Zeltser, Hack the reader: Writing Effective Threat Reports with Lenny Zeltser
https://www.sans.org/posters/windows-forensic-analysis/
https://ericzimmerman.github.io/#!index.md
https://timesketch.org/
https://github.com/log2timeline/plaso
https://github.com/WithSecureLabs/chainsaw
https://github.com/Yamato-Security/hayabusa
https://github.com/LDO-CERT/orochi
https://www.fox-it.com/nl-en/dissect/

Tässä jaksossa keskustellaan business email compromise (BEC) ilmiöstä, ihmetellään nimeämiskäytäntöjä uhkatoimijoiden toimesta sekä valitaan ikäkriisiin sopivia hoitokeinoja. Tervetuloa kuuntelemaan!

Lähdeluettelo:

https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/
https://tietosuoja.fi/office-365
https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/responding-to-a-compromised-email-account?view=o365-worldwide
https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/
https://securityaffairs.com/151862/breaking-news/exfiltration-infrastructure.html
https://serverfault.com/questions/1137030/ftp-error-530-user-cannot-log-in
https://www.wiz.io/blog/cve-2023-4863-and-cve-2023-5217-exploited-in-the-wild
https://www.bleepingcomputer.com/news/security/evilproxy-uses-indeedcom-open-redirect-for-microsoft-365-phishing/

Jaksossa puhutaan tällä kertaa kahdesta kasinoryöstöstä, Caesar Entertainmentin ja MGM:n tapauksista.

Lähdeluettelo:
https://www.securityweek.com/caesars-confirms-ransomware-hack-stolen-loyalty-program-database/
https://cybernews.com/editorial/mgm-caesars-explained-scattered-spider/
https://www.quorumcyber.com/threat-actors/scattered-spider-threat-actor-profile/
https://www.securityweek.com/two-vegas-casinos-fell-victim-to-cyberattacks-shattering-the-image-of-impenetrable-casino-security/
https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware
https://www.theseus.fi/handle/10024/806660
https://krebsonsecurity.com/2022/01/who-wrote-the-alphv-blackcat-ransomware-strain/
https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-linked-to-blackmatter-darkside-gangs/
https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/
https://www.reddit.com/r/cybersecurity/comments/16iubsc/alphv_blackcat_just_released_an_annoucement_about/?share_id=93xIENEcArpzHjZZhmQSs&utm_content=1&utm_medium=ios_app&utm_name=ioscss&utm_source=share&utm_term=1
https://github.com/mategol/PySilon-malware
https://finance.yahoo.com/news/spycloud-report-infostealer-malware-precursor-100500075.html?guccounter=1
https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/

Tässä jaksossa käsitellään operaatio Duck Huntia, keskustellaan avoimen lähdekoodin infostealerista ja taas arvostellaan eri elintarvikkeita. Tervetuloa metsälle!

Lähdeluettelo:
https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedown
https://krebsonsecurity.com/2023/08/u-s-hacks-qakbot-quietly-removes-botnet-infections/
https://www.reliaquest.com/blog/the-3-malware-loaders-behind-80-of-incidents/
https://success.trendmicro.com/dcx/s/solution/000283381?language=en_US
https://www.darkreading.com/attacks-breaches/russia-fancy-bear-apt-ukrainian-energy-facility
https://www.hackread.com/agent-tesla-variant-excel-exploit-windows-pc/
https://www.darkreading.com/threat-intelligence/cybercriminals-team-up-upgrade-sapphirestealer-malware
https://thehackernews.com/2023/08/darkgate-malware-activity-spikes-as.html
https://cyble.com/blog/bumblebee-returns-with-new-infection-technique/
https://twitter.com/RansomwareNews
https://lots-project.com/
https://lolbas-project.github.io/#