Claim OwnershipUhkametsä
Subscribed: 23Played: 348
Subscribe
© 2023 Uhkametsä
Description
Uhkametsä on ajankohtaisiin kyberuhkiin keskittyvä, teknisesti asioista kertova podcast. Puhujina toimivat Juuso Myllylä ja Jouni Mikkola. Intro ja Outro musiikit ovat Ephmerixin tuotantoa, https://ephmerix.com/. Huikeat grafiikat ovat Panu Palmin tekemät, https://panupalm.fi/.
31 Episodes
Reverse
Jaksossa puhutaan tällä kertaa kahdesta kasinoryöstöstä, Caesar Entertainmentin ja MGM:n tapauksista.Lähdeluettelo:https://www.securityweek.com/caesars-confirms-ransomware-hack-stolen-loyalty-program-database/ https://cybernews.com/editorial/mgm-caesars-explained-scattered-spider/ https://www.quorumcyber.com/threat-actors/scattered-spider-threat-actor-profile/ https://www.securityweek.com/two-vegas-casinos-fell-victim-to-cyberattacks-shattering-the-image-of-impenetrable-casino-security/ https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware https://www.theseus.fi/handle/10024/806660 https://krebsonsecurity.com/2022/01/who-wrote-the-alphv-blackcat-ransomware-strain/ https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-linked-to-blackmatter-darkside-gangs/ https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/ https://www.reddit.com/r/cybersecurity/comments/16iubsc/alphv_blackcat_just_released_an_annoucement_about/?share_id=93xIENEcArpzHjZZhmQSs&utm_content=1&utm_medium=ios_app&utm_name=ioscss&utm_source=share&utm_term=1 https://github.com/mategol/PySilon-malware https://finance.yahoo.com/news/spycloud-report-infostealer-malware-precursor-100500075.html?guccounter=1 https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/
Tässä jaksossa käsitellään operaatio Duck Huntia, keskustellaan avoimen lähdekoodin infostealerista ja taas arvostellaan eri elintarvikkeita. Tervetuloa metsälle!Lähdeluettelo:https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedownhttps://krebsonsecurity.com/2023/08/u-s-hacks-qakbot-quietly-removes-botnet-infections/https://www.reliaquest.com/blog/the-3-malware-loaders-behind-80-of-incidents/https://success.trendmicro.com/dcx/s/solution/000283381?language=en_UShttps://www.darkreading.com/attacks-breaches/russia-fancy-bear-apt-ukrainian-energy-facilityhttps://www.hackread.com/agent-tesla-variant-excel-exploit-windows-pc/https://www.darkreading.com/threat-intelligence/cybercriminals-team-up-upgrade-sapphirestealer-malwarehttps://thehackernews.com/2023/08/darkgate-malware-activity-spikes-as.htmlhttps://cyble.com/blog/bumblebee-returns-with-new-infection-technique/https://twitter.com/RansomwareNewshttps://lots-project.com/https://lolbas-project.github.io/#
Ransukoira taas irti!Jaksossa käsitellään vuoden 2023 ransutuksia ja alkusyksyn ransu-uutisia. Lähteet:https://www.securityweek.com/rapid7-says-roi-for-ransomware-remains-high-zero-day-usage-expands/ https://socradar.io/threat-actor-profile-bianlian-the-shape-shifting-ransomware-group/ https://www.malwarebytes.com/blog/threat-intelligence/2023/08/ransomware-review-august-2023 https://www.securityweek.com/evidence-suggests-ransomware-group-knew-about-moveit-zero-day-since-2021/ https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-18th-2023-lockbit-on-thin-ice/ https://www.bleepingcomputer.com/news/security/monti-ransomware-targets-vmware-esxi-servers-with-new-linux-locker/ https://www.bleepingcomputer.com/news/security/linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/ https://www.bleepingcomputer.com/news/security/cuba-ransomware-uses-veeam-exploit-against-critical-us-organizations/ https://labs.withsecure.com/publications/fin7-target-veeam-servers https://www.coresecurity.com/core-labs/open-source-tools/impacket https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html https://www.theregister.com/2023/08/21/winrar_vuln_could_allow_code/ https://www.darkreading.com/edge-threat-monitor/citrix-adc-gateways-still-backdoored-even-after-being-patched https://techcommunity.microsoft.com/t5/excel-blog/announcing-python-in-excel-combining-the-power-of-python-and-the/ba-p/3893439 https://securityaffairs.com/149770/malware/akira-ransomware-cisco-vpn.html https://securelist.com/emotet-darkgate-lokibot-crimeware-report/110286/ https://github.com/mandiant/citrix-ioc-scanner-cve-2023-3519
Tässä jaksossa käsitellään uhkatoimijoiden aktiivisesti käyttämää EvilProxya ja perehdytään GRU kyberoperaatioiden disruptiiviseen toimintaan. Uhkametsä täyttää myös 1 vuoden ja haluamme kiittää kaikkia kuuntelijoita jotka ovat olleet matkalla mukana!Lähdeluettelo:https://www.mandiant.com/resources/blog/gru-disruptive-playbookhttps://supo.fi/en/apt-operationshttps://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/create-a-group-policy-objecthttps://www.standard.co.uk/tech/who-are-anonymous-sudan-hacker-group-behind-microsoft-outage-b1088879.htmlhttps://www.scmagazine.com/news/gootloader-seo-watering-hole-malware-targets-law-firmshttps://securityaffairs.com/149405/hacking/statc-stealer-info-stealer.htmlhttps://www.bleepingcomputer.com/news/security/new-evilproxy-service-lets-all-hackers-use-advanced-phishing-tactics/https://securityaffairs.com/135318/cyber-crime/evilproxy-phishing-as-a-service.html?amp=1https://securityaffairs.com/149348/hacking/cloud-account-takeover-scheme-evilproxy.html?amp=1https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-levelhttps://securelist.com/focus-on-droxidat-systembc/110302/https://lolbas-project.github.io/
Uhkametsän historian toinen haastattelujakso! Tällä kertaa haastateltavina ovat kyberalalla jo pitkään toimineet Antti Kurittu ja Niklas Särökaari. Antti ja Niklas ovat tuttuja mm. edellisestä Disobeysta jossa molemmat pitivät loistavat puheenvuorot. Uhkametsä haluaakin antaa erityiskiitoksen molemmille haastateltaville osallistumisesta!
Tässä jaksossa keskustellaan siitä, mitä kaikkea kuuluu tyypilliseen incident response tutkintaan. Juontajat lisäävät myös omia kokemuksiaan tuomaan käytännön läheisiä esimerkkejä tutkinnan elinkaaren eri vaiheissa. Tervetuloa metsälle!Jaksolle seuraava osa julkaistaan myöhemmin syksyllä 2023.Lähteet:https://www.sans.org/white-papers/1516/https://twitter.com/ido_cohen2/status/1678431236912455682https://www.trendmicro.com/en_us/research/23/c/emotet-returns-now-adopts-binary-padding-for-evasion.html
Histamiinia mukaillen, Klip Cl0p Klip Cl0P hevo-i-nen on pop! Uhkiksella jutustelua MoveIt haavoittuvuuden myötä vahvasti julkisuuteen nousseesta Cl0p kiristyshaittaohjelmasta. Lisäksi muutama ajankohtainen uhka.Lähteet:https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability/ https://blogs.blackberry.com/en/2023/06/clop-ransomware-and-moveit-cyberattack https://therecord.media/shell-impacted-in-clop-ransomware-attack https://www.theregister.com/2023/06/15/clop_broke_into_the_doe/ https://thecyberexpress.com/cl0p-lists-more-moveit-hack-victims/ https://cybernews.com/security/clop-victims-pwc-ernst-young-sony-moveit-hack/ https://blogs.infoblox.com/security/clop-ransomware-demands-20-million-ransom/ https://www.trendmicro.com/vinfo/tr/security/news/cybercrime-and-digital-threats/ransomware-double-extortion-and-beyond-revil-clop-and-conti https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2022/06/23093553/Common-TTPs-of-the-modern-ransomware_low-res.pdf https://research.splunk.com/endpoint/07e08a12-870c-11eb-b5f9-acde48001122/ https://www.cybereason.com/blog/research/cybereason-vs.-clop-ransomware https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/ https://www.securityweek.com/siemens-energy-schneider-electric-targeted-by-ransomware-group-in-moveit-attack/ https://www.bleepingcomputer.com/news/security/new-pindos-javascript-dropper-deploys-bumblebee-icedid-malware/ https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/ https://securityaffairs.com/147887/hacking/mockingjay-process-injection-technique.html
Uhkametsällä keskustellaan hieman erilaisesta aiheesta, tietoturvavalvomosta. Juontajat pohtivat miten koko homma toimii ja miltä Jounin tekemä SOC näyttäisi. Tervetuloa kuuntelemaan!Lähteet:https://www.mitre.org/news-insights/publication/11-strategies-world-class-cybersecurity-operations-center
Uhkametsällä palataan kiristyshaittaohjelmien pariin Black Bastan muodossa ja lisäksi jutustellaan Iranilaisten uusimmista kujeista.Lähteet:https://www.trendmicro.com/vinfo/gb/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta https://www.cybereason.com/blog/cybereason-vs.-black-basta-ransomware https://www.coindesk.com/tech/2023/02/23/ransomware-group-conti-has-re-surfaced-under-a-new-name-trm-labs/ https://thehackernews.com/2023/03/the-prolificacy-of-lockbit-ransomware.html https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/ https://www.kroll.com/en/insights/publications/cyber/black-basta-technical-analysis https://labs.withsecure.com/publications/prelude-to-ransomware-systembc https://securityaffairs.com/146690/apt/powerexchange-backdoor-iran.html https://www.bleepingcomputer.com/news/security/iranian-hackers-use-new-moneybird-ransomware-to-attack-israeli-orgs/ https://www.securityweek.com/iranian-hackers-target-middle-east-entities-with-new-windows-kernel-driver/ https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
Uhkametsällä perehdytään pahamaineiseen Turla APT ryhmään perusteellisesti. Jaksossa käsitellään Turlan historiaa nykypäivään asti. Tarkastetaan myös lopuksi viimeaikaiset trendit haittaohjelmissa.Lähteet:https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-russian-apt-group-turla-has-hit-45-countries-since-2004/https://attack.mitre.org/groups/G0010/https://securelist.com/the-epic-turla-operation/65545/https://exatrack.com/public/Tricephalic_Hellkeeper.pdfhttps://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdfhttps://www.cfr.org/cyber-operations/agentbtzhttps://www.latimes.com/archives/la-xpm-2008-nov-28-na-cyberattack28-story.htmlhttps://paper.bobylive.com/Security/APT_Report/A_Threat_Actor_Encyclopedia.pdfhttps://www.kaspersky.com/blog/moonlight-maze-the-lessons/6713/https://dmfrsecurity.com/2022/01/15/100-days-of-yara-day-27-loki2/http://phrack.org/issues/49/6.htmlhttp://phrack.org/issues/51/6.htmlhttps://securelist.com/penquins-moonlit-maze/77883/https://securelist.com/agent-btz-a-source-of-inspiration/58551/http://blog.threatexpert.com/2008/11/agentbtz-threat-that-hit-pentagon.htmlhttps://www.mtvuutiset.fi/artikkeli/mtv3-suomen-ulkoministerio-laajan-verkkovakoilun-kohteena-vuosia/2369718https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2014/08/20082353/GData_Uroburos_RedPaper_EN_v1.pdfhttps://www.govcert.ch/downloads/whitepapers/Report_Ruag-Espionage-Case.pdfhttps://www.telsy.com/following-the-turlas-skipper-over-the-ocean-of-cyber-operations/https://yle.fi/a/3-8591548https://www.welivesecurity.com/2017/03/30/carbon-paper-peering-turlas-second-stage-backdoor/https://cyberscoop.com/gazer-backdoor-turla-eset-2017/https://blogs.blackberry.com/en/2017/06/this-week-in-security-6-09-2017https://www.proofpoint.com/us/threat-insight/post/turla-apt-actor-refreshes-kopiluwak-javascript-backdoor-use-g20-themed-attackhttps://www.welivesecurity.com/2018/05/22/turla-mosquito-shift-towards-generic-tools/https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/https://www.theregister.com/2019/10/21/british_spies_russia_faking_iranian_hack/https://www.mandiant.com/resources/blog/turla-galaxy-opportunityhttps://techcrunch.com/2023/05/10/turla-snake-malware-network-russia-fsb/https://securelist.com/sunburst-backdoor-kazuar/99981/
Tänään metsällä jutustellaan Kohopallolaukausesta ja paperihaavassa olevasta haavasta (haavaception!). Lisäksi kokeillaan jotain uutta.Lähteet:https://www.elastic.co/security-labs/elastic-security-labs-discovers-lobshot-malwarehttps://www.trendmicro.com/en_us/research/23/d/update-now-papercut-vulnerability-cve-2023-27350-under-active-ex.htmlhttps://www.helpnetsecurity.com/2023/04/25/cve-2023-27350-poc/https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software
Uhkametsällä perehdytään alati muuttuvaan initial access loader kentään (ei tule varmaan kenellekkään yllätyksenä), ihmetellään Ben & Jerry jäätelömakuista valtiollista toimijaa, unohtamatta Jounin grillikauden avausta!Jakson lähteet:Qakbot: https://www.malwarebytes.com/blog/news/2023/04/qbot-changes-tactic-remains-a-menace-to-business-networksBumbleBee: https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloadsInfostealer ecosystem Sekoia: https://blog.sekoia.io/overview-of-the-russian-speaking-infostealer-ecosystem-the-distribution/AuKill: https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/Mint Sandstorm: https://www.microsoft.com/en-us/security/blog/2023/04/18/nation-state-threat-actor-mint-sandstorm-refines-tradecraft-to-attack-high-value-targets/Microsoft taksonomia: https://www.microsoft.com/en-us/security/blog/2023/04/18/microsoft-shifts-to-a-new-threat-actor-naming-taxonomy/
Metsällä pitkästä aikaa juttua ransuhauvasta, unohtamatta 3CX toimitusketju-murtoa ja itsepurkautuvia arkistoja. Miten muuten lausutaan Rorschach?Lähteet:https://www.huntress.com/blog/3cx-voip-software-compromise-supply-chain-threatshttps://twitter.com/fr0gger_/status/1641668394155151366/photo/1https://securityaffairs.com/144425/cyber-crime/rorschach-ransomware-fast-encryption.htmlhttps://therecord.media/cobalt-strike-abuse-microsoft-fortra-health-isachttps://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/
Uhkametsällä käsitellään tällä erää uusia työkaluja, arvioidaan miten kinettisiä uhkia voi metsästää sekä katsaus uusimpiin uhkiin joita Red Canary on raportissaan maininnut. Fiilistellään myös tietokonepelejä!Lähteet:https://threathunt.blog/analysis-of-the-current-malware-icedid/https://arstechnica.com/gadgets/2023/03/journalist-plugs-in-unknown-usb-drive-mailed-to-him-it-exploded-in-his-face/https://www.bleepingcomputer.com/news/security/emotet-malware-now-distributed-in-microsoft-onenote-files-to-evade-defenses/https://twitter.com/DTCERT/status/1639281735593590784https://www.cisa.gov/news-events/alerts/2023/03/23/untitled-goose-tool-aids-hunt-and-incident-response-azure-azure-active-directory-and-microsoft-365https://www.github.com/cisagov/untitledgoosetoolhttps://www.kqlsearch.comhttps://resource.redcanary.com/rs/003-YRU-314/images/2023_ThreatDetectionReport_RedCanary.pdf
Uhkametsällä on musta päivä, mustan lotuksen ja mustan mamban myötä. Lisäksi puhutaan muutama sana AI:sta, Jounin uusimmasta blogipostauksesta sekä muista kuulumisista.Lähteet:https://www.darkrelay.com/post/windows-11-s-secure-boot-defeated-by-blacklotus-malware-cve-2022-21894https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-securityhttps://www.bleepingcomputer.com/news/security/emotet-malware-attacks-return-after-three-month-break/https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/
Uhkametsällä paljastetaan, kuinka Disobeyssa nähty Threat Hunting Basics workshopin data tuotettiin, keskustellaan hieman urapoluista blue teamissa ja käsitellään ajankohtaisia haittaohjelmia. Juontajat hämmästelevät myös uhkatoimijoiden kekseliäisyyttä EVTX tiedostojen kanssa!Lähteet:- https://kostas-ts.medium.com/threat-hunting-series-detection-engineering-vs-threat-hunting-f12f3a72185f- https://techcommunity.microsoft.com/t5/exchange-team-blog/update-on-the-exchange-server-antivirus-exclusions/ba-p/3751464- https://www.bleepingcomputer.com/news/security/hardbit-ransomware-wants-insurance-details-to-set-the-perfect-price/- https://www.reliaquest.com/blog/socgholish-fakeupdates/- https://github.com/tsale/Sigma_rules/blob/main/Threat%20Hunting%20Queries/exec_script_from_zip.yml- https://www.bleepingcomputer.com/news/security/new-stealc-malware-emerges-with-a-wide-set-of-stealing-capabilities/
Metsällä tänään taas kerran loaderien paljoutta qakbotista gootkittiin. Lisäksi jutellaan hieman maailmaa ravisuttaneesta ESXiArg(h)sta ja Juuson iltalukemisista. Lähteet:https://twitter.com/MaD_c4t/status/1623414579681435648https://urlhaus.abuse.ch/browse/tag/qakbot/https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/https://www.darkreading.com/vulnerabilities-threats/cisa-releases-recovery-script-for-victims-of-esxiargs-ransomwarehttps://thehackernews.com/2023/02/gootkit-malware-adopts-new-tactics-to.html
Uhkametsällä tänään käsittelyssä ennätysmäärä haittaohjelmia ja näiden kuulumisia. Haittaohjelmien lisäksi spekuloidaan myös Hive ransomware operaation "hackbackia". Juontajat myös ottavat kantaa kuntapolitiikkaan pohtiessaan kuntaliitoksia.Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsaLähteet:Batloader ja malvertising:https://www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.htmlPY#RATION malware:https://www.bleepingcomputer.com/news/security/new-stealthy-python-rat-malware-targets-windows-in-attacks/Initial Access Loader keskustelun Twitter linkit:https://twitter.com/pr0xylife/status/1617952306049486848https://twitter.com/Cryptolaemus1/status/1618028608249036801 https://twitter.com/Unit42_Intel/status/1590002190298804225USB malware '08:https://www.bleepingcomputer.com/news/security/plugx-malware-hides-on-usb-devices-to-infect-new-windows-hosts/Hive Hackback:https://www.washingtonpost.com/politics/2023/01/27/we-hacked-hackers-law-enforcement-disrupts-hive-gang/
1Tällä kertaa metsällä taas hieman teknisempää asiaa. Metsällä keskustelua kolmannen kerran uudistuneesta Rapsberry Robinista, Lorenz groupista, Microsoftin epäonnenpäivästä sekä Dark Pink APT ryhmästä.Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsaLähteet:Raspberry robin:https://www.securityjoes.com/post/raspberry-robin-detected-itw-targeting-insurance-financial-institutes-in-europeLorenz group:https://www.bleepingcomputer.com/news/security/lorenz-ransomware-gang-plants-backdoors-to-use-months-later/Microsoft murheet:https://www.reddit.com/r/sysadmin/comments/10ar1vb/multiple_users_reporting_microsoft_apps_have/Dark pink:https://www.bleepingcomputer.com/news/security/new-dark-pink-apt-group-targets-govt-and-military-with-custom-malware/
Jouluruuat on sulateltu ja juontajat kertaavat mieleenpainuvimpia tutkintoja kuluneelta vuodelta, keskustelevat Uhkametsän tulevaisuuden suunnitelmista ja puhuvat vähän jopa kyberiä!Jakson lähteet:Dfir.fi memory dump haaste: https://files.dfir.fi/challenge/Google Ads haittaohjelmanäyte: https://twitter.com/malware_traffic/status/1608673979132436481LastPass artikkeli: https://www.theregister.com/2022/12/23/lastpass_attack_update/CrowdStrike ProxyNotShell: https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/Moloch (nähtävästi nimi vaihtunut Arkimeksi): https://arkime.com/Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsa
Comments
Download from Google Play
Download from App Store
United States