Winamp Logo
Uhkametsä Cover
Uhkametsä Profile

Uhkametsä

Finnish, Technology, 1 season, 47 episodes, 2 days, 10 hours, 16 minutes
About
Uhkametsä on ajankohtaisiin kyberuhkiin keskittyvä, teknisesti asioista kertova podcast. Puhujina toimivat Juuso Myllylä ja Jouni Mikkola. Intro ja Outro musiikit ovat Ephmerixin tuotantoa, https://ephmerix.com/. Huikeat grafiikat ovat Panu Palmin tekemät, https://panupalm.fi/.
Episode Artwork

47: Majuri Poikkeama ja eläinystävät

Tällä kertaa metsällä puhutaan ensin Uhkametsän ominta omaa, eli käytänteitä! Fear not, ainakin puhumme sentään ensivasteen, eli Incident Responsen, käytännöistä ja enemmänkin siitä, että millaisia rooleja Majuri Poikkeamassa voi olla. Toki myös muutenkin viitataan käytäteisiin näiden roolien pohjalta. Tästä siirrytään kätevästi sitten huonoihin uutisiin jossa mm hienoa nallea, Lazaruksen rottaa ja myöskin hieman asiaa identiteettiä koskevasta uhkametsästyksestä!Lähteet:https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/https://www.youtube.com/watch?v=0M55onu7mVIhttps://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.htmlhttps://securityaffairs.com/162333/cyber-crime/swedens-liquor-supply-ransomware-attack.htmlhttps://www.scmagazine.com/brief/third-party-ransomware-attack-threatens-swedens-liquor-supplyhttps://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.htmlhttps://blog.qualys.com/vulnerabilities-threat-research/2024/04/24/arcanedoor-unlocked-tackling-state-sponsored-cyber-espionage-in-network-perimetershttps://security.googleblog.com/2024/04/detecting-browser-data-theft-using.htmlhttps://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/hunting-in-azure-subscriptions/ba-p/4125875https://twitter.com/Cryptolaemus1/status/1785423804577034362https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/X: https://twitter.com/uhkametsa
5/5/20242 hours, 25 minutes, 10 seconds
Episode Artwork

46: Meillä on teille huonoja uutisia

Tässä jaksossa käydään vähän rästejä läpi ja käsitellään 12 huonoa uutista! Tämä jakso onkin varmasti kaikille Uhkametsän huonojen uutisten faneille mieleinen! Käydään läpi Sandwormia (kahteen kertaan), uusia lastaajia, haavoittuvuuksia sekä Windowsin tuntemattomampia ominaisuuksia. Tervetuloa kuulolle!Jakson lähdemateriaali enemmän tai vähemmän järjestyksessä:Mandiantin Sandworm raportti: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdfPalo Alto SSL VPN haavoittuvuus: https://unit42.paloaltonetworks.com/cve-2024-3400/#post-133365-_vgezw6a4uezPalo Alto SSL VPN osa 2:  https://www.theregister.com/2024/04/17/researchers_exploit_code_for/ TA544 uutisia: https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta544-targets-geographies-italy-japan-range-malwareWikiLoader IOC: https://github.com/pr0xylife/WikiLoader/blob/main/WikiLoader_17.04.2024.txtTekoälyn kirjoittamaa PowerShelliä: https://www.bleepingcomputer.com/news/security/malicious-powershell-script-pushing-malware-looks-ai-written/Vadelmatipun uudet kujeet: https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html?m=1Taikurikärry: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoorTaikurikärry Darknet Diaries kuuntelusuositus: https://darknetdiaries.com/episode/52/https://sansec.io/research/magento-xml-backdoorLatrodectus lastaaja: https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/#google_vignetteLatrodectus #2: https://www.hackread.com/latrodectus-downloader-malware-icedid-qbot/SVG tiedostot: https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/Kapeka haittaohjelma: https://therecord.media/sandworm-backdoor-malware-eastern-europe-kapeka Windowsin kuidut ja säikeet: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-executionNordVPN typosquatting ja malvertising: https://www.scmagazine.com/news/bing-ad-posing-as-nordvpn-aims-to-spread-sectoprat-malware Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/X: https://twitter.com/uhkametsa
4/21/20241 hour, 49 minutes, 7 seconds
Episode Artwork

45: Seitsemän pientä hakkeria

Tällä kertaa Uhkametsällä puhutaan Kiinan valtion suorittamista kyberoperaatioista muita maita kohtaan. Jaksossa puhutaan siis APT31:n touhuista joka on liipannut läheisesti myös Suomea. Jakson perustana toimii Yhdysvaltain syyte seitsemää henkilöä vastaan jotka ovat syytteen mukaan olleet osallisina Kiinan suorittamissa operaatioissa.Eli kyseessä on Juuson terminologian mukaan jälleenkin Teemajakso! Lähteet:https://www.justice.gov/opa/media/1345141/dl?inlinehttps://home.treasury.gov/news/press-releases/jy2205https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceivedhttps://yle.fi/a/74-20081005https://www.is.fi/digitoday/tietoturva/art-2000010319962.htmlhttps://www.is.fi/digitoday/tietoturva/art-2000007867387.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/X: https://twitter.com/uhkametsa
4/7/20241 hour, 39 minutes, 5 seconds
Episode Artwork

44: Pienet varkaat

Tässä jaksossa käydään vähän kevyemmin viime aikaisia uhkia läpi! Tällä kertaa juontajakaksikkoa puhututtaa TinyTurla sekä Strela infostealer. Käydään näistä läpi tuttuun tapaan hunttaus ideoita sekä päivitellään huonot uutiset. Eräässä suositussa pelissä ollut kenties jotain outoa kesken turnauksen?Tervetuloa kuulolle!Jakson lähdeluettelo:https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/#google_vignettehttps://threathunt.blog/dll-image-loads-from-suspicious-locations-by-regsvr32-exe-rundll32-exe/https://www.bleepingcomputer.com/news/security/apex-legends-players-worried-about-rce-flaw-after-algs-hacks/https://blog.talosintelligence.com/tinyturla-full-kill-chain/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/X: https://twitter.com/uhkametsa
3/24/20241 hour, 1 minute, 1 second
Episode Artwork

43: Metsään meni

Tämän päivän jaksossa puhutaan siitä kun menee metsään, eli ransomware operaattoreista, heidän yleisimmin käytetyistä taktiikoista, tekniikoista ja toimintatavoista. Lisäksi puhutaan siitä, että miten näitä erilaisia tekniikoita voidaan potentiaalisesti metsästää, havaita tai estää. Luvassa uhkiksen toistaiseksi pisin jakso ja paljon keskustelua ransomwaresta.Lähteet:https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/ https://adsecurity.org/?p=3458 https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm https://any.run/malware-trends/exela Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/X: https://twitter.com/uhkametsa
3/10/20242 hours, 7 minutes, 59 seconds
Episode Artwork

42: Laiva on lastattu

Laiva on lastattu tällä kertaa Pokemoneilla ja toimitusjohtajamyrkytyksillä. Tässä jaksossa kertaa Uhkis käsittelee kahta laturia / lastaajaa ja näiden uusia kujeita. Käydään läpi myös konkreettiset ideat miten voidaan huntata sekä havaita ympäristöstä ja annetaan myös suojautumisvinkkejä pohdittavaksi.Tervetuloa kuuntelemaan!Lähteet:Elasticin Pikabot artikkeli: https://www.elastic.co/security-labs/pikabot-i-choose-youZScalerin Pikabot artikkeli: https://www.zscaler.com/blogs/security-research/d-evolution-pikabotCryptlaemuksen twiitti Pikabot kampanjasta: https://twitter.com/Cryptolaemus1/status/1755655639370514595SocGholish artikkeli: https://www.reliaquest.com/blog/new-python-socgholish-infection-chain/FakeUpdates IOC: https://threatfox.abuse.ch/browse/malware/js.fakeupdates/Connectwise Screenconnect haavoittuvuus: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomwareConnectwise Screenconnect exploit / John Hammond: https://www.youtube.com/watch?v=AWGoGO5jnvY&t=5sLockbit uutisartikkeli: https://yle.fi/a/74-20075430 Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/X: https://twitter.com/uhkametsa
2/25/20241 hour, 53 minutes, 49 seconds
Episode Artwork

41: Kiristyskimara ja arvailua tekoälystä

Tämän kertaisessa jaksossa puhellaan ransuttajien rahulioperaatioista vuodelta 2023, sekä arvaillaan tekoälyn tulevaisuutta puolustavalla puolella. Lisäksi jutellaan Kiinalaisista uhkatoimijoista huonojen uutisten muodossa.Lähteet:https://www.chainalysis.com/blog/ransomware-2024/ https://www.paloaltonetworks.com/blog/2024/02/the-power-of-ai-in-cybersecurity/ https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/ https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/X: https://twitter.com/uhkametsa
2/11/20241 hour, 44 minutes, 2 seconds
Episode Artwork

40: Julkinaamainen tietomurtotutkija

Tässä jaksossa keskustellaan Juuson DFIR taipaleesta n. vuoden kohdalla sekä pohditaan public facing vai julkinaamaisten laitteiden turvallisuudesta. Tuttuun tapaa juttua riittää ja tästä tulikin yksi pisimpiä jaksoja Uhkiksen historiassa!Tehdään myös katsaus huonoissa uutisissa Applen tietoturvakontrolleihin ja käydään läpi Akiran viimeisimmät edesottamukset. Tervetuloa kuuntelemaan!Jakson lähdemateriaali:https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/https://support.apple.com/guide/security/protecting-against-malware-sec469d47bd8/webhttps://securityaffairs.com/156951/security/ivanti-critical-epm-flaw.htmlhttps://www.theregister.com/2024/01/22/ivanti_and_juniper_networks_criics_unhappy/https://www.bleepingcomputer.com/news/security/fortra-warns-of-new-critical-goanywhere-mft-auth-bypass-patch-now/
1/28/20241 hour, 54 minutes, 11 seconds
Episode Artwork

39: HopeaRotta

Jaksossa selviää onko HopeaRotta uusi RAP-artisti vaiko jotain muuta. Lisäksi Uhkametsä käy läpi viime vuoden jaksoja ja juontajat esittelevät itsensä ja uratarinansa. Päädyimme kertomaan taustatarinaa itsestämme sikäli jos meillä on uusia kuulijoita jotka eivät ole alkupään jaksoja kuunelleet, jossa mahdollisesti käytiin läpi esittelyjä.Jaksossa myös puidaan, että johtavatko Juuson nykyiset harrastukset rikolliseen uraan.Ainiin, muistakaa Uhkiksen uusi IG:https://www.instagram.com/uhkametsa/Lähteet:https://attack.mitre.org/groups/G0034/https://www.reuters.com/world/europe/russian-hackers-were-inside-ukraine-telecoms-giant-months-cyber-spy-chief-2024-01-04/https://www.reuters.com/technology/cybersecurity/ukraine-says-russian-intelligence-linked-hackers-claim-cyberattack-mobile-2023-12-13/https://en.wikipedia.org/wiki/Kyivstarhttps://twitter.com/TwiyKyivstar/status/1734885428891988191https://www.bleepingcomputer.com/news/security/toronto-zoo-ransomware-attack-had-no-impact-on-animal-wellbeing/https://www.hackread.com/youtube-channels-hacked-lumma-stealer-software/https://thehackernews.com/2024/01/uac-0050-group-using-new-phishing.htmlhttps://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/
1/14/20241 hour, 35 minutes, 29 seconds
Episode Artwork

38: Uudenvuoden spesiaali

Juhlitaan Uhkametsällä uutta vuotta, keskustellaan loadereista ja Akira kiristyshaittaohjelmajengistä. Maistellaan myös koko jakso uuden vuoden herkkuja. Tervetuloa kuuntelemaan!https://blog.sekoia.io/darkgate-internals/https://www.trellix.com/about/newsroom/stories/research/the-continued-evolution-of-the-darkgate-malware-as-a-service/https://d01a.github.io/pikabot/https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-adshttps://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-akirahttps://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023https://www.virustotal.com/gui/file/b7458c63e9a6f60aa0cded69aa55a1d5a2150e271b7696b6aaecb47ffe08b159/detection <- Qakbot Tchk06 sample
12/31/20231 hour, 59 minutes, 29 seconds
Episode Artwork

37: Uhkametsällä

Tällä kertaa mennään aihealueeseen joka on meidän sydäntä lähellä. Käsittelemme uhkametsästystä koko jakson verran ja ammennamme hieman sitä mitä itse olemme tehneet. Luvassa saattaa olla myös hieman ränttäämistä. Sori siitä.Lähteet:https://www.britannica.com/science/scientific-hypothesishttps://www.splunk.com/en_us/blog/security/peak-threat-hunting-framework.html
12/17/20231 hour, 36 minutes, 20 seconds
Episode Artwork

36: Lukkoseppä

Uhkametsällä suomennetaan taas termejä oikein urakalla, käydään kuulumisia tuttuun tapaan läpi pari tuntia sekä puhutaan vähän kyberistä. Aiheina tällä kertaa viranomaisyhteistyö, kriittiseen infrastruktuuriin kohdistuvat hyökkäykset ja uravinkkejä! Tervetuloa kuulolle.Lähdeluettelo:https://www.europol.europa.eu/media-press/newsroom/news/international-collaboration-leads-to-dismantlement-of-ransomware-group-in-ukraine-amidst-ongoing-warhttps://cyberpolice.gov.ua/news/ponad--milyardy-gryven-zbytkiv-kiberpolicziya-ta-slidchi-naczpolu-vykryly-xakeriv-yaki-atakuvaly-providni-svitovi-kompaniyi-1780/https://twitter.com/BushidoToken/status/1729467756699857088https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0237https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/05/12075747/KSN-article_Ransomware-in-2018-2020-1.pdfhttps://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/https://success.trendmicro.com/dcx/s/solution/1122802-megacortex-ransomware-information?language=en_US&sfdcIFrameOrigin=nullhttps://www.politico.eu/article/energy-power-europe-grid-is-under-a-cyberattack-deluge-industry-warns/https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technologyhttps://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/https://securityaffairs.com/154785/cyber-crime/rhysida-ransomware-china-energy.html
12/3/20231 hour, 39 minutes, 57 seconds
Episode Artwork

35: Tanskan energiasektori kohteena

Tämän päivän jaksossa jutellaan taannoisesta hyökkäyksestä Tanskan Energiasektoria vastaan. Lisäksi muutama huono uutinen ja toivottavasti viimeistä kertaa vähään aikaan Octo Spiderin kuulumisia.Lähteet:https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-The-attack-against-Danish-critical-infrastructure-TLP-CLEAR.pdf https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/rhysida-ransomware-intrusion.pdf https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/
11/19/20231 hour, 33 minutes, 31 seconds
Episode Artwork

34: Antihalloween jakso ja myrskyisät hämähäkit

Tässä jaksossa Uhkametsällä tarkastellaan uudehkoa uhkatoimijaa Octo Tempest / Scattered Spider / UNC3944. Juontajat käyvät läpi uhkatoimijan kehittymistä sekä heidän käyttämiään taktiikoita, tekniikoita, sekä toimenpiteitä. Jakson lähdeluettelo:https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/ https://www.crowdstrike.com/adversaries/scattered-spider/ https://www.is.fi/digitoday/tietoturva/art-2000009070262.html https://darknetdiaries.com/transcript/112/https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-iosxe-webui-rce-uk8BXcUD.html https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/ https://bazaar.abuse.ch/browse/tag/pikabot/ https://threatfox.abuse.ch/browse/malware/win.pikabot/ https://www.bleepingcomputer.com/news/security/new-cvss-40-vulnerability-severity-rating-standard-released/
11/5/20231 hour, 34 minutes, 50 seconds
Episode Artwork

33: Tekninen Incident Response tutkinta

Tällä kertaa Uhkametsällä puhutaan teknisistä incident response tutkinnan vaiheista. Aihe on pintaraapaisu ja aika ei yhdessä jaksossa riitä käsittelemään kuin melko pintapuolisesti aihealuetta. Tämä on hieman teknisempi jatke jaksolle 26: Poikkeamanhallinta ja tutkinta.Lähteet:https://zeltser.com/security-incident-questionnaire-cheat-sheet/https://www.ietf.org/rfc/rfc3227.txthttps://github.com/ufrisk/MemProcFShttps://github.com/volatilityfoundation/volatility3https://github.com/volatilityfoundation/volatilityhttps://volatility3.readthedocs.io/en/stable/volatility3.plugins.htmlhttps://github.com/VirusTotal/yarahttps://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.pyhttps://www.youtube.com/watch?v=8b6etqiIvb4 <- Christopher Lopez, Will they read my reports? Creating value driven reportshttps://www.youtube.com/watch?v=gqsE2coucjg <- Selena Larson, Threat Intel for Everyone: Writing Like a Jounarlist to produce clear, concise reportshttps://www.youtube.com/watch?v=vwKlNZ6mxak <- Lenny Zeltser, Hack the reader: Writing Effective Threat Reports with Lenny Zeltserhttps://www.sans.org/posters/windows-forensic-analysis/https://ericzimmerman.github.io/#!index.mdhttps://timesketch.org/https://github.com/log2timeline/plasohttps://github.com/WithSecureLabs/chainsawhttps://github.com/Yamato-Security/hayabusahttps://github.com/LDO-CERT/orochihttps://www.fox-it.com/nl-en/dissect/
10/22/20231 hour, 44 minutes, 30 seconds
Episode Artwork

32: Paha palvelin

Tässä jaksossa keskustellaan business email compromise (BEC) ilmiöstä, ihmetellään nimeämiskäytäntöjä uhkatoimijoiden toimesta sekä valitaan ikäkriisiin sopivia hoitokeinoja. Tervetuloa kuuntelemaan!Lähdeluettelo:https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/ https://tietosuoja.fi/office-365https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/responding-to-a-compromised-email-account?view=o365-worldwide https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/ https://securityaffairs.com/151862/breaking-news/exfiltration-infrastructure.html https://serverfault.com/questions/1137030/ftp-error-530-user-cannot-log-in https://www.wiz.io/blog/cve-2023-4863-and-cve-2023-5217-exploited-in-the-wild https://www.bleepingcomputer.com/news/security/evilproxy-uses-indeedcom-open-redirect-for-microsoft-365-phishing/
10/8/20231 hour, 13 minutes, 27 seconds
Episode Artwork

31: Kasinot kurimuksessa

Jaksossa puhutaan tällä kertaa kahdesta kasinoryöstöstä, Caesar Entertainmentin ja MGM:n tapauksista.Lähdeluettelo:https://www.securityweek.com/caesars-confirms-ransomware-hack-stolen-loyalty-program-database/ https://cybernews.com/editorial/mgm-caesars-explained-scattered-spider/ https://www.quorumcyber.com/threat-actors/scattered-spider-threat-actor-profile/ https://www.securityweek.com/two-vegas-casinos-fell-victim-to-cyberattacks-shattering-the-image-of-impenetrable-casino-security/ https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware https://www.theseus.fi/handle/10024/806660 https://krebsonsecurity.com/2022/01/who-wrote-the-alphv-blackcat-ransomware-strain/ https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-linked-to-blackmatter-darkside-gangs/ https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/ https://www.reddit.com/r/cybersecurity/comments/16iubsc/alphv_blackcat_just_released_an_annoucement_about/?share_id=93xIENEcArpzHjZZhmQSs&utm_content=1&utm_medium=ios_app&utm_name=ioscss&utm_source=share&utm_term=1 https://github.com/mategol/PySilon-malware https://finance.yahoo.com/news/spycloud-report-infostealer-malware-precursor-100500075.html?guccounter=1 https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/
9/24/20231 hour, 11 minutes, 59 seconds
Episode Artwork

30: Ankan metsästys sekä jalokivivarkaat

Tässä jaksossa käsitellään operaatio Duck Huntia, keskustellaan avoimen lähdekoodin infostealerista ja taas arvostellaan eri elintarvikkeita. Tervetuloa metsälle!Lähdeluettelo:https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedownhttps://krebsonsecurity.com/2023/08/u-s-hacks-qakbot-quietly-removes-botnet-infections/https://www.reliaquest.com/blog/the-3-malware-loaders-behind-80-of-incidents/https://success.trendmicro.com/dcx/s/solution/000283381?language=en_UShttps://www.darkreading.com/attacks-breaches/russia-fancy-bear-apt-ukrainian-energy-facilityhttps://www.hackread.com/agent-tesla-variant-excel-exploit-windows-pc/https://www.darkreading.com/threat-intelligence/cybercriminals-team-up-upgrade-sapphirestealer-malwarehttps://thehackernews.com/2023/08/darkgate-malware-activity-spikes-as.htmlhttps://cyble.com/blog/bumblebee-returns-with-new-infection-technique/https://twitter.com/RansomwareNewshttps://lots-project.com/https://lolbas-project.github.io/#
9/10/20231 hour, 15 minutes, 3 seconds
Episode Artwork

29: Alkusyksyn ransu-uutiset

Ransukoira taas irti!Jaksossa käsitellään vuoden 2023 ransutuksia ja alkusyksyn ransu-uutisia. Lähteet:https://www.securityweek.com/rapid7-says-roi-for-ransomware-remains-high-zero-day-usage-expands/ https://socradar.io/threat-actor-profile-bianlian-the-shape-shifting-ransomware-group/ https://www.malwarebytes.com/blog/threat-intelligence/2023/08/ransomware-review-august-2023 https://www.securityweek.com/evidence-suggests-ransomware-group-knew-about-moveit-zero-day-since-2021/ https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-18th-2023-lockbit-on-thin-ice/ https://www.bleepingcomputer.com/news/security/monti-ransomware-targets-vmware-esxi-servers-with-new-linux-locker/ https://www.bleepingcomputer.com/news/security/linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/ https://www.bleepingcomputer.com/news/security/cuba-ransomware-uses-veeam-exploit-against-critical-us-organizations/ https://labs.withsecure.com/publications/fin7-target-veeam-servers https://www.coresecurity.com/core-labs/open-source-tools/impacket https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html https://www.theregister.com/2023/08/21/winrar_vuln_could_allow_code/ https://www.darkreading.com/edge-threat-monitor/citrix-adc-gateways-still-backdoored-even-after-being-patched https://techcommunity.microsoft.com/t5/excel-blog/announcing-python-in-excel-combining-the-power-of-python-and-the/ba-p/3893439 https://securityaffairs.com/149770/malware/akira-ransomware-cisco-vpn.html https://securelist.com/emotet-darkgate-lokibot-crimeware-report/110286/ https://github.com/mandiant/citrix-ioc-scanner-cve-2023-3519
8/27/20231 hour, 14 minutes, 46 seconds
Episode Artwork

28: GRU & Minions

Tässä jaksossa käsitellään uhkatoimijoiden aktiivisesti käyttämää EvilProxya ja perehdytään GRU kyberoperaatioiden disruptiiviseen toimintaan. Uhkametsä täyttää myös 1 vuoden ja haluamme kiittää kaikkia kuuntelijoita jotka ovat olleet matkalla mukana!Lähdeluettelo:https://www.mandiant.com/resources/blog/gru-disruptive-playbookhttps://supo.fi/en/apt-operationshttps://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/create-a-group-policy-objecthttps://www.standard.co.uk/tech/who-are-anonymous-sudan-hacker-group-behind-microsoft-outage-b1088879.htmlhttps://www.scmagazine.com/news/gootloader-seo-watering-hole-malware-targets-law-firmshttps://securityaffairs.com/149405/hacking/statc-stealer-info-stealer.htmlhttps://www.bleepingcomputer.com/news/security/new-evilproxy-service-lets-all-hackers-use-advanced-phishing-tactics/https://securityaffairs.com/135318/cyber-crime/evilproxy-phishing-as-a-service.html?amp=1https://securityaffairs.com/149348/hacking/cloud-account-takeover-scheme-evilproxy.html?amp=1https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-levelhttps://securelist.com/focus-on-droxidat-systembc/110302/https://lolbas-project.github.io/
8/13/20231 hour, 9 minutes, 40 seconds
Episode Artwork

27: Vieraita metsällä

Uhkametsän historian toinen haastattelujakso! Tällä kertaa haastateltavina ovat kyberalalla jo pitkään toimineet Antti Kurittu ja Niklas Särökaari. Antti ja Niklas ovat tuttuja mm. edellisestä Disobeysta jossa molemmat pitivät loistavat puheenvuorot. Uhkametsä haluaakin antaa erityiskiitoksen molemmille haastateltaville osallistumisesta!
7/30/20231 hour, 48 minutes, 36 seconds
Episode Artwork

26: Poikkeamanhallinta ja tutkinta

Tässä jaksossa keskustellaan siitä, mitä kaikkea kuuluu tyypilliseen incident response tutkintaan. Juontajat lisäävät myös omia kokemuksiaan tuomaan käytännön läheisiä esimerkkejä tutkinnan elinkaaren eri vaiheissa. Tervetuloa metsälle!Jaksolle seuraava osa julkaistaan myöhemmin syksyllä 2023.Lähteet:https://www.sans.org/white-papers/1516/https://twitter.com/ido_cohen2/status/1678431236912455682https://www.trendmicro.com/en_us/research/23/c/emotet-returns-now-adopts-binary-padding-for-evasion.html
7/16/20231 hour, 49 minutes, 14 seconds
Episode Artwork

25: Cl0p

Histamiinia mukaillen, Klip Cl0p Klip Cl0P hevo-i-nen on pop! Uhkiksella jutustelua MoveIt haavoittuvuuden myötä vahvasti julkisuuteen nousseesta Cl0p kiristyshaittaohjelmasta. Lisäksi muutama ajankohtainen uhka.Lähteet:https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability/ https://blogs.blackberry.com/en/2023/06/clop-ransomware-and-moveit-cyberattack https://therecord.media/shell-impacted-in-clop-ransomware-attack https://www.theregister.com/2023/06/15/clop_broke_into_the_doe/ https://thecyberexpress.com/cl0p-lists-more-moveit-hack-victims/ https://cybernews.com/security/clop-victims-pwc-ernst-young-sony-moveit-hack/ https://blogs.infoblox.com/security/clop-ransomware-demands-20-million-ransom/ https://www.trendmicro.com/vinfo/tr/security/news/cybercrime-and-digital-threats/ransomware-double-extortion-and-beyond-revil-clop-and-conti https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2022/06/23093553/Common-TTPs-of-the-modern-ransomware_low-res.pdf https://research.splunk.com/endpoint/07e08a12-870c-11eb-b5f9-acde48001122/ https://www.cybereason.com/blog/research/cybereason-vs.-clop-ransomware https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/ https://www.securityweek.com/siemens-energy-schneider-electric-targeted-by-ransomware-group-in-moveit-attack/ https://www.bleepingcomputer.com/news/security/new-pindos-javascript-dropper-deploys-bumblebee-icedid-malware/ https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/ https://securityaffairs.com/147887/hacking/mockingjay-process-injection-technique.html
7/2/20231 hour, 24 minutes, 23 seconds
Episode Artwork

24: Tietoturvavalvomo

Uhkametsällä keskustellaan hieman erilaisesta aiheesta, tietoturvavalvomosta. Juontajat pohtivat miten koko homma toimii ja miltä Jounin tekemä SOC näyttäisi. Tervetuloa kuuntelemaan!Lähteet:https://www.mitre.org/news-insights/publication/11-strategies-world-class-cybersecurity-operations-center
6/18/20231 hour, 32 minutes, 19 seconds
Episode Artwork

23: Black Basta ja Iranilaisten uudet kujeet

Uhkametsällä palataan kiristyshaittaohjelmien pariin Black Bastan muodossa ja lisäksi jutustellaan Iranilaisten uusimmista kujeista.Lähteet:https://www.trendmicro.com/vinfo/gb/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta https://www.cybereason.com/blog/cybereason-vs.-black-basta-ransomware https://www.coindesk.com/tech/2023/02/23/ransomware-group-conti-has-re-surfaced-under-a-new-name-trm-labs/ https://thehackernews.com/2023/03/the-prolificacy-of-lockbit-ransomware.html https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/ https://www.kroll.com/en/insights/publications/cyber/black-basta-technical-analysis https://labs.withsecure.com/publications/prelude-to-ransomware-systembc https://securityaffairs.com/146690/apt/powerexchange-backdoor-iran.html https://www.bleepingcomputer.com/news/security/iranian-hackers-use-new-moneybird-ransomware-to-attack-israeli-orgs/ https://www.securityweek.com/iranian-hackers-target-middle-east-entities-with-new-windows-kernel-driver/ https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
6/4/20231 hour, 26 minutes, 41 seconds
Episode Artwork

22: Turla

Uhkametsällä perehdytään pahamaineiseen Turla APT ryhmään perusteellisesti. Jaksossa käsitellään Turlan historiaa nykypäivään asti. Tarkastetaan myös lopuksi viimeaikaiset trendit haittaohjelmissa.Lähteet:https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-russian-apt-group-turla-has-hit-45-countries-since-2004/https://attack.mitre.org/groups/G0010/https://securelist.com/the-epic-turla-operation/65545/https://exatrack.com/public/Tricephalic_Hellkeeper.pdfhttps://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdfhttps://www.cfr.org/cyber-operations/agentbtzhttps://www.latimes.com/archives/la-xpm-2008-nov-28-na-cyberattack28-story.htmlhttps://paper.bobylive.com/Security/APT_Report/A_Threat_Actor_Encyclopedia.pdfhttps://www.kaspersky.com/blog/moonlight-maze-the-lessons/6713/https://dmfrsecurity.com/2022/01/15/100-days-of-yara-day-27-loki2/http://phrack.org/issues/49/6.htmlhttp://phrack.org/issues/51/6.htmlhttps://securelist.com/penquins-moonlit-maze/77883/https://securelist.com/agent-btz-a-source-of-inspiration/58551/http://blog.threatexpert.com/2008/11/agentbtz-threat-that-hit-pentagon.htmlhttps://www.mtvuutiset.fi/artikkeli/mtv3-suomen-ulkoministerio-laajan-verkkovakoilun-kohteena-vuosia/2369718https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2014/08/20082353/GData_Uroburos_RedPaper_EN_v1.pdfhttps://www.govcert.ch/downloads/whitepapers/Report_Ruag-Espionage-Case.pdfhttps://www.telsy.com/following-the-turlas-skipper-over-the-ocean-of-cyber-operations/https://yle.fi/a/3-8591548https://www.welivesecurity.com/2017/03/30/carbon-paper-peering-turlas-second-stage-backdoor/https://cyberscoop.com/gazer-backdoor-turla-eset-2017/https://blogs.blackberry.com/en/2017/06/this-week-in-security-6-09-2017https://www.proofpoint.com/us/threat-insight/post/turla-apt-actor-refreshes-kopiluwak-javascript-backdoor-use-g20-themed-attackhttps://www.welivesecurity.com/2018/05/22/turla-mosquito-shift-towards-generic-tools/https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/https://www.theregister.com/2019/10/21/british_spies_russia_faking_iranian_hack/https://www.mandiant.com/resources/blog/turla-galaxy-opportunityhttps://techcrunch.com/2023/05/10/turla-snake-malware-network-russia-fsb/https://securelist.com/sunburst-backdoor-kazuar/99981/  
5/21/20231 hour, 19 minutes, 29 seconds
Episode Artwork

21: Kohopallolaukaus & Paperihaava

Tänään metsällä jutustellaan Kohopallolaukausesta ja paperihaavassa olevasta haavasta (haavaception!). Lisäksi kokeillaan jotain uutta.Lähteet:https://www.elastic.co/security-labs/elastic-security-labs-discovers-lobshot-malwarehttps://www.trendmicro.com/en_us/research/23/d/update-now-papercut-vulnerability-cve-2023-27350-under-active-ex.htmlhttps://www.helpnetsecurity.com/2023/04/25/cve-2023-27350-poc/https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software
5/7/20231 hour, 13 minutes, 17 seconds
Episode Artwork

20: Hiekkamyrsky

Uhkametsällä perehdytään alati muuttuvaan initial access loader kentään (ei tule varmaan kenellekkään yllätyksenä), ihmetellään Ben & Jerry jäätelömakuista valtiollista toimijaa, unohtamatta Jounin grillikauden avausta!Jakson lähteet:Qakbot: https://www.malwarebytes.com/blog/news/2023/04/qbot-changes-tactic-remains-a-menace-to-business-networksBumbleBee: https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloadsInfostealer ecosystem Sekoia: https://blog.sekoia.io/overview-of-the-russian-speaking-infostealer-ecosystem-the-distribution/AuKill: https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/Mint Sandstorm: https://www.microsoft.com/en-us/security/blog/2023/04/18/nation-state-threat-actor-mint-sandstorm-refines-tradecraft-to-attack-high-value-targets/Microsoft taksonomia: https://www.microsoft.com/en-us/security/blog/2023/04/18/microsoft-shifts-to-a-new-threat-actor-naming-taxonomy/
4/23/202351 minutes, 9 seconds
Episode Artwork

19: Ransukoirat ja itsepurkautuva arkisto

Metsällä pitkästä aikaa juttua ransuhauvasta, unohtamatta 3CX toimitusketju-murtoa ja itsepurkautuvia arkistoja. Miten muuten lausutaan Rorschach?Lähteet:https://www.huntress.com/blog/3cx-voip-software-compromise-supply-chain-threatshttps://twitter.com/fr0gger_/status/1641668394155151366/photo/1https://securityaffairs.com/144425/cyber-crime/rorschach-ransomware-fast-encryption.htmlhttps://therecord.media/cobalt-strike-abuse-microsoft-fortra-health-isachttps://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/
4/9/202348 minutes, 28 seconds
Episode Artwork

18: Nimetön hanhi

Uhkametsällä käsitellään tällä erää uusia työkaluja, arvioidaan miten kinettisiä uhkia voi metsästää sekä katsaus uusimpiin uhkiin joita Red Canary on raportissaan maininnut. Fiilistellään myös tietokonepelejä!Lähteet:https://threathunt.blog/analysis-of-the-current-malware-icedid/https://arstechnica.com/gadgets/2023/03/journalist-plugs-in-unknown-usb-drive-mailed-to-him-it-exploded-in-his-face/https://www.bleepingcomputer.com/news/security/emotet-malware-now-distributed-in-microsoft-onenote-files-to-evade-defenses/https://twitter.com/DTCERT/status/1639281735593590784https://www.cisa.gov/news-events/alerts/2023/03/23/untitled-goose-tool-aids-hunt-and-incident-response-azure-azure-active-directory-and-microsoft-365https://www.github.com/cisagov/untitledgoosetoolhttps://www.kqlsearch.comhttps://resource.redcanary.com/rs/003-YRU-314/images/2023_ThreatDetectionReport_RedCanary.pdf
3/26/202347 minutes, 12 seconds
Episode Artwork

17: Mustaa jokapuolella

Uhkametsällä on musta päivä, mustan lotuksen ja mustan mamban myötä. Lisäksi puhutaan muutama sana AI:sta, Jounin uusimmasta blogipostauksesta sekä muista kuulumisista.Lähteet:https://www.darkrelay.com/post/windows-11-s-secure-boot-defeated-by-blacklotus-malware-cve-2022-21894https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-securityhttps://www.bleepingcomputer.com/news/security/emotet-malware-attacks-return-after-three-month-break/https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/
3/12/202350 minutes, 29 seconds
Episode Artwork

16: Havaitsemisinsinöörin kovat lantit

Uhkametsällä paljastetaan, kuinka Disobeyssa nähty Threat Hunting Basics workshopin data tuotettiin, keskustellaan hieman urapoluista blue teamissa ja käsitellään ajankohtaisia haittaohjelmia. Juontajat hämmästelevät myös uhkatoimijoiden kekseliäisyyttä EVTX tiedostojen kanssa!Lähteet:- https://kostas-ts.medium.com/threat-hunting-series-detection-engineering-vs-threat-hunting-f12f3a72185f- https://techcommunity.microsoft.com/t5/exchange-team-blog/update-on-the-exchange-server-antivirus-exclusions/ba-p/3751464- https://www.bleepingcomputer.com/news/security/hardbit-ransomware-wants-insurance-details-to-set-the-perfect-price/- https://www.reliaquest.com/blog/socgholish-fakeupdates/- https://github.com/tsale/Sigma_rules/blob/main/Threat%20Hunting%20Queries/exec_script_from_zip.yml- https://www.bleepingcomputer.com/news/security/new-stealc-malware-emerges-with-a-wide-set-of-stealing-capabilities/
2/26/202351 minutes, 16 seconds
Episode Artwork

15: Lataajien kavalkaadi

Metsällä tänään taas kerran loaderien paljoutta qakbotista gootkittiin. Lisäksi jutellaan hieman maailmaa ravisuttaneesta ESXiArg(h)sta ja Juuson iltalukemisista. Lähteet:https://twitter.com/MaD_c4t/status/1623414579681435648https://urlhaus.abuse.ch/browse/tag/qakbot/https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/https://www.darkreading.com/vulnerabilities-threats/cisa-releases-recovery-script-for-victims-of-esxiargs-ransomwarehttps://thehackernews.com/2023/02/gootkit-malware-adopts-new-tactics-to.html
2/12/202348 minutes, 3 seconds
Episode Artwork

14: Lepakkolastaaja

Uhkametsällä tänään käsittelyssä ennätysmäärä haittaohjelmia ja näiden kuulumisia. Haittaohjelmien lisäksi spekuloidaan myös Hive ransomware operaation "hackbackia". Juontajat myös ottavat kantaa kuntapolitiikkaan pohtiessaan kuntaliitoksia.Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsaLähteet:Batloader ja malvertising:https://www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.htmlPY#RATION malware:https://www.bleepingcomputer.com/news/security/new-stealthy-python-rat-malware-targets-windows-in-attacks/Initial Access Loader keskustelun Twitter linkit:https://twitter.com/pr0xylife/status/1617952306049486848https://twitter.com/Cryptolaemus1/status/1618028608249036801 https://twitter.com/Unit42_Intel/status/1590002190298804225USB malware '08:https://www.bleepingcomputer.com/news/security/plugx-malware-hides-on-usb-devices-to-infect-new-windows-hosts/Hive Hackback:https://www.washingtonpost.com/politics/2023/01/27/we-hacked-hackers-law-enforcement-disrupts-hive-gang/
1/29/202349 minutes, 54 seconds
Episode Artwork

13: Pimeä vaaleanpunainen pantteri

Tällä kertaa metsällä taas hieman teknisempää asiaa. Metsällä keskustelua kolmannen kerran uudistuneesta Rapsberry Robinista, Lorenz groupista, Microsoftin epäonnenpäivästä sekä Dark Pink APT ryhmästä.Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsaLähteet:Raspberry robin:https://www.securityjoes.com/post/raspberry-robin-detected-itw-targeting-insurance-financial-institutes-in-europeLorenz group:https://www.bleepingcomputer.com/news/security/lorenz-ransomware-gang-plants-backdoors-to-use-months-later/Microsoft murheet:https://www.reddit.com/r/sysadmin/comments/10ar1vb/multiple_users_reporting_microsoft_apps_have/Dark pink:https://www.bleepingcomputer.com/news/security/new-dark-pink-apt-group-targets-govt-and-military-with-custom-malware/
1/15/202348 minutes, 10 seconds
Episode Artwork

12: Muisteloita ja kulkulupia

Jouluruuat on sulateltu ja juontajat kertaavat mieleenpainuvimpia tutkintoja kuluneelta vuodelta, keskustelevat Uhkametsän tulevaisuuden suunnitelmista ja puhuvat vähän jopa kyberiä!Jakson lähteet:Dfir.fi memory dump haaste: https://files.dfir.fi/challenge/Google Ads haittaohjelmanäyte: https://twitter.com/malware_traffic/status/1608673979132436481LastPass artikkeli: https://www.theregister.com/2022/12/23/lastpass_attack_update/CrowdStrike ProxyNotShell: https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/Moloch (nähtävästi nimi vaihtunut Arkimeksi): https://arkime.com/Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsa
1/1/202344 minutes, 29 seconds
Episode Artwork

11: Joulun erikoinen

Uhkametsän jouluerikoinen! Tällä kertaa puhutaan vähemmän kyberiä - metsällä haastatellaan Jens Säynäjärveä ja Antti Rössiä.
12/24/202241 minutes, 26 seconds
Episode Artwork

10: Kvanttisalakuljettaja

Tässä jaksossa ihmetellään salakuljettamista, kvanttihommia, verkkokuoria ja kaaosta? Metsäläiset myös antavat omat arvauksensa vuoden 2022 jouluiseen kriittiseen haavoittuvuuteen.Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsJakson lähteet:Quantum ransomware: https://www.avertium.com/resources/threat-reports/an-in-depth-look-at-quantum-ransomwareQuantum ransomware DFIRReport: https://thedfirreport.com/2022/11/28/emotet-strikes-again-lnk-file-leads-to-domain-wide-ransomware/Quantum ransomware: https://thedfirreport.com/2022/04/25/quantum-ransomware/HTML smuggling: https://blog.talosintelligence.com/html-smugglers-turn-to-svg-images/Nixu GitHub: https://www.nixu.com/blog/memory-forensics-against-citrix-adcNixu Blog: https://www.nixu.com/blog/vulnerabilities-citrixnetscaler-appliances-exploited-activelyNixu GitHub: https://github.com/nixu-corp/citrix-checkChaosRAT: https://www.theregister.com/2022/12/13/cryptoming_chaos_rat_targets_linux/IIS webshellit: https://www.microsoft.com/en-us/security/blog/2022/12/12/iis-modules-the-evolution-of-web-shells-and-how-to-detect-themIntro & Outro music by Ephmerix @ https://ephmerix.com/Graphics by Panu Palm @ https://panupalm.fi/ 
12/18/202239 minutes, 15 seconds
Episode Artwork

9: Ankan häntä ja Yöhaukka

Tänään metsällä käydään muutama erilainen enemmän tai vähemmän haitallinen sovellus läpi. Metsäläiset saattavat olla hieman kuutamolla kun puhutaan ankkojen hännistä, mutta se kuuluu välillä asiaan.  Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:- Twitter: https://twitter.com/uhkametsa- https://fi.linkedin.com/company/uhkametsaLähteet:- ProxyNotShell: https://securezoo.com/2022/11/proxynotshell-poc-exploit-code-released/- ProxyNotShell: https://cxsecurity.com/issue/WLB-2022120006- USB: https://securityaffairs.co/wordpress/139097/apt/unc4191-used-usb-devices.html- Ankan häntä: https://securityaffairs.co/wordpress/138894/cyber-crime/ducktail-information-stealer-evolution.html- Ankan häntä: https://thehackernews.com/2022/11/ducktail-malware-operation-evolves-with.html- Ankan häntä: https://www.bleepingcomputer.com/news/security/ducktail-hackers-now-use-whatsapp-to-phish-for-facebook-ad-accounts/- Yöhaukka: https://thehackernews.com/2022/11/nighthawk-likely-to-become-hackers-new.html- Revontulien varastaja: https://securityaffairs.co/wordpress/138851/malware/aurora-stealer-malware.html- Revontulien varastaja: https://blog.sekoia.io/aurora-a-rising-stealer-flying-under-the-radar/
12/4/202242 minutes, 31 seconds
Episode Artwork

8: Metripetri

Aihena uhkametsällä kotilabrat, Qakbotin uudet metkut (sekä myös Qakbotin lyhyt historia) sekä aikajanojen käyttö DFIR raporteissa. Ihmetellään myös kuka on Metri Petri ja miten tämä liittyy tietomurtoon. Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:- Twitter: https://twitter.com/uhkametsa- https://fi.linkedin.com/company/uhkametsaLähteet:- Jounin blogi postaus kotilabrasta: https://threathunt.blog/my-version-of-a-home-lab/- Detection Lab: https://detectionlab.network/- Unraid: https://unraid.net/- Microsoft Security Immersion Workshop: Into the breach: https://mktoevents.com/Microsoft+Event/371427/157-GQE-382- Qakbotin uudet metkut: https://www.bleepingcomputer.com/news/security/qbot-phishing-abuses-windows-control-panel-exe-to-infect-devices/- Dropbox API yhteydet / verkkodata: https://thehackernews.com/2022/11/worok-hackers-abuse-dropbox-api-to.html- TheDFIRReport: https://thedfirreport.com/2022/11/14/bumblebee-zeros-in-on-meterpreter/
11/20/202248 minutes, 24 seconds
Episode Artwork

7: Tikulla silmään, joka vanhoja muistelee

Jaksossa käsitellään tällä kertaa vanhoja tuttuja, Emotetia ja Raspberry Robinia. Lisäksi jutustellaan OpenSSL haavasta, LAPS:sta ja Black Basta nimisestä ransusta. Tervetuloa metsälle!Lähteet:[Raspberry Robin] - https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/[OpenSSL haava] - https://www.malwaretech.com/2022/11/everything-you-need-to-know-about-the-openssl-3-0-7-patch.html.[Black Basta SentinelOne] - https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/[Black Basta Trend] - https://www.trendmicro.com/en_ca/research/22/j/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba.htmlIntro & Outro music by Ephmerix @ https://ephmerix.com/Graphics by Panu Palm @ https://panupalm.fi/    
11/6/202245 minutes, 52 seconds
Episode Artwork

6: Ransu on koira

Tässä jaksossa paljon puhetta kiristyshaittaohjelmista ja toimijoista näiden takana. Ihmetellään myös Jounin esiintymistä Ilta-Sanomien artikkelissa.Kiristyshaittaohjelmien osalta mietitään niiden toimintaa, ransomwaren metsästystä ja tutkintaa ja kuinka näiltä voidaan välttyä.Ilta-Sanomien artikkeli:https://www.is.fi/digitoday/art-2000008990569.htmlWindows forensiset artifaktit:https://www.sans.org/posters/windows-forensic-analysis/Ransomware uhkatoimijat:https://www.csoonline.com/article/3677488/with-conti-gone-lockbit-takes-lead-of-the-ransomware-threat-landscape.htmlRansomware tutkinta:https://www.microsoft.com/en-us/security/blog/2022/10/18/defenders-beware-a-case-for-post-ransomware-investigations/Ransomware as a service:https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/https://www.csoonline.com/article/3669256/black-basta-new-ransomware-threat-aiming-for-the-big-league.htmlIntro & Outro music by Ephmerix @ https://ephmerix.com/Graphics by Panu Palm @ https://panupalm.fi/
10/23/202249 minutes, 54 seconds
Episode Artwork

5: Agentti mäyrä

Päivän agendalla helikopteri ja mäyrä, eli Exchange RCE, Brute Ratel ja muutama sana MFA:n kiertämisestä.MFA Fatigue & Chromium Application Mode:https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/defend-your-users-from-mfa-fatigue-attacks/ba-p/2365677https://mrd0x.com/phishing-with-chromium-application-mode/Exchange RCE:https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9https://twitter.com/gossithedog/status/1578415137031352320?s=46&t=KeVQW4u6YTNTnCmlBUSlKwBrute Ratel:https://www.splunk.com/en_us/blog/security/deliver-a-strike-by-reversing-a-badger-brute-ratel-detection-and-analysis.htmlhttps://research.splunk.com/stories/brute_ratel_c4/Intro & Outro music by Ephmerix @ https://ephmerix.com/Graphics by Panu Palm @ https://panupalm.fi/   
10/9/202246 minutes, 11 seconds
Episode Artwork

4: Peruna on paha

Suomalaisen suosikkiartisti Kuhan sanoituksia myötäillen: Peruna on paha. Tänään siis aiheena peruna ja muutama muu iljetys.Linkit episodista:[Giving Juicy Potato a second chance] - https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/[Potatoes Windows Privesc] - https://jlajara.gitlab.io/Potatoes_Windows_Privesc[User Rights Assignment] - https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-rights-assignment[Teams Gifshell] - https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7[OpenDIR Tweet] - https://twitter.com/1ZRR4H/status/1555094224525197313[Domain Shadowing] - https://unit42.paloaltonetworks.com/domain-shadowing/[LOTS project] - https://lots-project.com/Intro & Outro music by Ephmerix @ https://ephmerix.com/Graphics by Panu Palm @ https://panupalm.fi/  
9/25/202246 minutes, 15 seconds
Episode Artwork

3: Vadelmatipu

Tällä kertaa uhkametsällä puhutaan Mitre ATT&CK:sta, raspberry robinista ja muutama sana Jounin Shodan to MDE query skriptistä. Tervetuloa kuulemaan!Linkit episodista:[Mitre Att&ck] - https://attack.mitre.org/[Atomic Red Team] - https://atomicredteam.io/[Mitre Caldera] - https://caldera.mitre.org/[Mitre Engenuity] - https://mitre-engenuity.org/[Cyber Kill Chain] - https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html[Raspberry Robin] - https://redcanary.com/blog/raspberry-robin/[Deutche Telekom cert] - https://nitter.it/DTCERT/status/1565664874633564162#m[Jounin Shodan to MDE kikkare] - https://threathunt.blog/from-shodan-to-mde-queries/ - https://github.com/JouniMi/Threathunt.blog/blob/main/shodan_to_mde.py Intro & Outro music by Ephmerix @ https://ephmerix.com/Graphics by Panu Palm @ https://panupalm.fi/ 
9/11/202245 minutes, 12 seconds
Episode Artwork

2: Nallemetsällä

Toisessa jaksossa keskustellaan Threat Huntingista yleisesti, Sysmonin viimeisimmästä päivityksestä, Bumblebee loaderista, Cozy Bearin viimeisimmistä kujeista - sekä Sliver nimisestä työkalusta. Tervetuloa kuuntelemaan!Linkit episodista: [APT 29 targets M365 - Mandiant] -  https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft [Sysmon 14 - Olaf Hartong] - https://medium.com/@olafhartong/sysmon-14-0-fileblockexecutable-13d7ba3dff3e[Pyramid of pain] -  http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html [Sliver - Microsoft] -  https://www.microsoft.com/security/blog/2022/08/24/looking-for-the-sliver-lining-hunting-for-emerging-command-and-control-frameworks/ [Sliver - GitHub] -  https://github.com/BishopFox/sliver Intro & Outro music by Ephmerix @ https://ephmerix.com/Graphics by Panu Palm @ https://panupalm.fi/ 
8/28/202243 minutes, 34 seconds