#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о группе киберугроз APT-C-55, также известной как Kimsuky, и их тактике, нацеленной на южнокорейские организации и распространяющей свои операции на Соединенные Штаты, Россию и Европу для кражи разведывательных данных. Анализ сосредоточен на их атакующих действиях, таких как случайный запрос, использование компонентов RAT с открытым исходным кодом и важность понимания их тактики для предотвращения угроз в будущем. Стратегии смягчения последствий включают обучение сотрудников распознаванию фишинговых сообщений электронной почты, надежные средства защиты электронной почты, мониторинг необычных действий и постоянное информирование о новых киберугрозах для усиления защиты от продвинутых злоумышленников.
-----

APT-C-55, также известный как Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom и другие псевдонимы, был впервые идентифицирован Касперским в 2013 году. Группа в первую очередь нацелена на такие южнокорейские организации, как аналитические центры, правительственные ведомства, средства массовой информации и образовательные учреждения. Недавно Kimsuky расширила свою деятельность, включив в нее Соединенные Штаты, Россию и Европу, сосредоточившись на краже разведывательных данных в политических и военных целях. Детальный анализ, проведенный Институтом перспективных исследований угроз 360, выявил действия группы, известные как RandomQuery, в ходе которых использовались компоненты RAT с открытым исходным кодом. Это позволило глубже понять тактику Kimsuky и имеет важное значение для предотвращения угроз в будущем.

Злоумышленники реализовали свою схему с помощью вредоносных электронных писем, содержащих вложения в виде HTML-скриптов, замаскированных под обычный контент, например уведомления о вознаграждениях. Используя файлы LNK и документы-приманки, они побуждали получателей открывать вложения, что позволяло использовать компоненты RAT для кражи информации. Данные Public threat intelligence показали, что перехваченные образцы вредоносных программ совпадают с предыдущими атаками Kimsuky на RandomQuery, что позволяет предположить их причастность к этому организованному инциденту.

Чтобы смягчить такие угрозы, необходимо принять меры безопасности, включая обучение сотрудников распознаванию фишинговых сообщений электронной почты, надежные средства защиты электронной почты, ограничения на использование файлов из неизвестных источников, регулярное сканирование системы, мониторинг необычных действий, резервное копирование данных и планы реагирования на чрезвычайные ситуации. Кроме того, злоумышленники продемонстрировали продвинутую тактику, внедрив специальные вредоносные скрипты, основанные на URL-суффиксах, которые улучшают маскировку и уклонение. Анализ компонентов атаки выявил сложные функциональные возможности и использование компонентов RAT с открытым исходным кодом, таких как TutRAT и xeno-rat, для удаленного управления и утечки данных.

Кроме того, злоумышленники продемонстрировали свое техническое мастерство, расшифровав компоненты с использованием алгоритма AES, внедрив динамическую адресацию сервера C2 для обеспечения гибкости и изменив TutRAT для выполнения сценариев с помощью запланированных задач. Внедрение новейших средств и методов атаки подчеркивает эволюционный характер киберугроз, исходящих от таких групп, как Kimsuky. Организациям необходимо сохранять бдительность, обновлять свои протоколы безопасности и извлекать уроки из подобных инцидентов, чтобы усилить свою киберзащиту от продвинутых злоумышленников.

#ParsedReport #CompletenessLow
14-06-2024

911 S5. The digital legacy of the botnet 911 S5

https://blog.netlab.360.com/911s5

Report completeness: Low

Threats:
911s5
Residential_proxy_technique

ChatGPT TTPs:
do not use without manual check
T1036, T1078, T1105

IOCs:
Hash: 10
Domain: 37
Url: 5
IP: 34

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в уничтожении "крупнейшего ботнета в истории" 911 S5, управляемого YunHe Wang and associates, который распространял вредоносный код с помощью бесплатных VPN-программ для создания прокси-сервиса. Несмотря на то, что международные правоохранительные органы ликвидировали остатки 911S5, они по-прежнему представляют серьезную угрозу для киберпространства, что подчеркивает необходимость постоянных мер кибербезопасности.
-----

29 мая 2024 года Министерство юстиции США объявило о ликвидации "крупнейшего ботнета в истории" под названием 911 S5. Ботнет управлялся Юньхэ Ваном и его сообщниками, которые распространяли бесплатные VPN-программы, содержащие вредоносный код для заражения пользователей. Затем они продавали доступ к скомпрометированным устройствам с помощью прокси-сервиса, известного как 911 S5. Центр анализа угроз 360 сообщил, что 911S5 начал функционировать в 2014 году, был закрыт в июле 2022 года, вновь появился как CloudRouter в октябре 2023 года и, наконец, был отключен в мае 2024 года международными правоохранительными органами.

Сеть 911S5, охватывающая 19 миллионов IP-адресов во многих странах, продемонстрировала значительную и постоянную вредоносную активность. Несмотря на то, что правоохранительные органы успешно ликвидировали ботнет, его цифровые остатки продолжают представлять серьезную угрозу для киберпространства.

Работа 911S5 включала заражение миллионов устройств вредоносным кодом с помощью бесплатных VPN-программ, таких как ProxyGate, MaskVPN, DewVPN и ShineVPN. Эти программы устанавливали бэкдоры на устройствах жертв, позволяя предоставлять прокси-сервисы клиентам 911S5. После отключения 911S5 в июле 2022 года его операторы в феврале 2023 года оперативно запустили его преемника под названием CloudRouter, который воспроизводил аналогичные вредоносные действия с использованием PaladinVPN и Shield VPN.

Анализ популярности доменных имен, связанных с 911S5, показал, что такие домены, как 911.re и 911s5.com, пользуются большим спросом, а их пиковые значения популярности близки к 6. Кроме того, в ходе расследования были обнаружены инфраструктурные связи между 911S5 и различными бесплатными VPN-сервисами, о чем свидетельствуют разрешения домена на один и тот же IP-адрес сервера - 173.244.211.96. Эта общая инфраструктура предполагает наличие общего оператора между 911S5 и конкретными программами VPN.

Удаление 911 S5 представляет собой значительное достижение в борьбе с киберпреступностью, в частности, в уничтожении крупной ботнет-сети, ответственной за многочисленные вредоносные действия. Однако постоянный характер киберугроз подчеркивает постоянную необходимость принятия упреждающих мер кибербезопасности для защиты от аналогичных угроз в будущем.

#ParsedReport #CompletenessLow
13-06-2024

UNC3944 Targets SaaS Applications

https://cloud.google.com/blog/topics/threat-intelligence/unc3944-targets-saas-applications

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: financially_motivated, information_theft)

Threats:
Mimikatz_tool
Adrecon
Impacket_tool
Blackcat
Golden_saml_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1566, T1098, T1021, T1556.004, T1070.004, T1213, T1552, T1606.002, T1083, have more...

IOCs:
File: 1

Soft:
Telegram, Microsoft Defender, RSOCX, ESXI, adfs, Active Directory, Microsoft Office

Languages:
python, powershell

Links:
https://github.com/massgravel/Microsoft-Activation-Scripts
https://gist.github.com/rounk-ctrl/e76cc8c969747b605a5f2c9769bf9a5b

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что UNC3944 - это финансово мотивированная группа злоумышленников, которая занимается кражей и вымогательством данных, используя сложную тактику, методы социальной инженерии, инструменты облачной синхронизации, злоупотребление правами доступа и методы сохранения данных. Группа постоянно совершенствует свою тактику и нацелена на организации в различных отраслях, демонстрируя их изощренность и адаптивность к кибероперациям. Бдительность и надежные меры безопасности необходимы для снижения рисков, связанных с UNC3944 и аналогичными группами угроз.
-----

UNC3944 - это финансово мотивированная группа по борьбе с угрозами, действующая как минимум с мая 2022 года.

Он значительно пересекается с другими группами угроз, такими как "0ktapus," "Octo Tempest," "Scatter Swine," и "Scattered Spider".

Группа переключилась в основном на кражу данных и вымогательство без использования программ-вымогателей.

UNC3944 использует методы социальной инженерии, SMS-фишинговые кампании и атаки на колл-центры, нацеленные на корпоративные службы поддержки.

Они получают внутренний доступ к приложениям Microsoft, таким как SharePoint, и используют сторонние инструменты для удаленного доступа.

Группа использует злоупотребление правами доступа Okta и создает новые виртуальные машины в vSphere и Azure для обеспечения сохраняемости.

UNC3944 предназначен для клиентских SaaS-приложений, таких как vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS и GCP.

Они используют средства обнаружения конечных точек и реагирования на них и используют для доступа федеративные службы Active Directory (ADFS).

UNC3944 использует такие инструменты, как Airbyte и Fivetran, для фильтрации данных и использует приложения Microsoft 365, такие как Delve, для разведки и интеллектуального анализа данных.

Группа по борьбе с угрозами постоянно совершенствует тактику и фокусируется на вымогательстве данных, подчеркивая ее изощренность и адаптивность.

#ParsedReport #CompletenessMedium
14-06-2024

SolarMarker Impersonates Job Employment Website, Indeed, with a Team Building-themed Lure

https://www.esentire.com/blog/solarmarker-impersonates-job-employment-website-indeed-with-a-team-building-themed-lure

Report completeness: Medium

Threats:
Solarmarker
Stellarinjector
Solarphantom
Hvnc_tool
Saturn
Seo_poisoning_technique

ChatGPT TTPs:
do not use without manual check
T1204.002, T1071, T1055.001, T1083

IOCs:
IP: 3
Hash: 3
File: 2
Url: 3

Algorithms:
crc-32, aes, xor, md5

Win Services:
bits

Platforms:
x86

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SolarMarker/iocs\_5-31-2024.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации путем активного обнаружения и устранения киберугроз, таких как инцидент с вредоносным ПО SolarMarker. Команда экспертов TRU сотрудничает с клиентами, проводит глобальную проверку угроз и подчеркивает важность осторожности, проверки подлинности и надежных механизмов защиты для эффективной борьбы с появляющимися киберугрозами.
-----

Заметный инцидент был связан с вредоносной программой SolarMarker, которая распространялась путем скачивания с мошеннического сайта, выдаваемого за Indeed. Полезная нагрузка SolarMarker включала такие вредоносные компоненты, как StellarInjector и SolarPhantom. SolarMarker внедрил бэкдоры в зашифрованные AES файлы ресурсов, подключаясь к серверам управления (C2) по определенным IP-адресам. Полезная нагрузка StellarInjector облегчила внедрение SolarPhantom в процесс SearchIndexer.exe, включив функции кражи информации и hVNC. SolarPhantom поместил данные о просмотре в определенную папку в %TEMP%, используя операции исключения для извлечения данных. Кроме того, SolarMarker использовал различные сертификаты для первоначальной полезной нагрузки.

Злоумышленники использовали StellarInjector и SolarPhantom для улучшения своих возможностей по компрометации систем и утечке данных. SolarMarker использовал методы поисковой оптимизации (SEO), чтобы повлиять на результаты поиска и повысить видимость ложных ссылок. Эта тактика подчеркивает важность осторожности при работе с результатами поисковой системы, даже если они кажутся законными. Инцидент выявил риски, связанные с вредоносными сайтами, имитирующими авторитетные платформы, такие как Indeed, в частности, нацеленные на корпоративных пользователей с помощью определенных ключевых слов и олицетворения бренда. Пользователям рекомендуется проверять подлинность веб-сайта перед загрузкой любого контента и внимательно изучать цифровые сертификаты от таких организаций, как DigiCert и GlobalSign. Постоянная бдительность, интеграция анализа угроз, регулярные обновления системы безопасности и обучение сотрудников методам выявления угроз и реагирования на них имеют решающее значение для снижения таких рисков.

Таким образом, eSentire TRU выступает в качестве важного партнера в области обороны, предлагая проактивные стратегии снижения угроз для противодействия развивающимся угрозам, таким как инцидент с SolarMarker. Уделяя особое внимание всесторонней видимости, постоянной бдительности и сотрудничеству с подразделениями безопасности клиентов, TRU стремится защитить организации от известных и возникающих угроз. Случай с SolarMarker подчеркивает важность осторожного поведения в Сети, проверки подлинности и надежных механизмов защиты для эффективной борьбы со сложными киберугрозами.

#ParsedReport #CompletenessLow
16-06-2024

Noodle RAT: Reviewing the Backdoor Used by Chinese-Speaking Groups

https://www.trendmicro.com/en_us/research/24/f/noodle-rat-reviewing-the-new-backdoor-used-by-chinese-speaking-g.html

Report completeness: Low

Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Cloud_snooper (motivation: cyber_espionage)
Calypso (motivation: cyber_espionage)
Apt31

Threats:
Nood_rat
Gh0st_rat
Rekoobe_rootkit
Multidrop
Microload
Cringe_rat
Hiddengh0st
Gh0sttimes
Tinyshell

Geo:
Japan, Asia-pacific, Thailand, Malaysia, Chinese, China, Taiwan, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1573, T1036, T1553

IOCs:
File: 5
Registry: 1
Hash: 49

Algorithms:
rc4, aes-128-cbc, sha1, aes, hmac-sha1, xor

Links:
https://github.com/creaktive/tsh

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 4, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ бэкдора Noodle RAT, его истории, возможностей, развертывания различными группами злоумышленников, использования в шпионской и киберпреступной деятельности, неправильной классификации, потенциальной связи с другими семействами вредоносных программ и значимости для систем Windows и Linux/Unix.
-----

Запись в блоге содержит анализ бэкдора Noodle RAT, который, как подозревается, используется несколькими китайскоязычными группами, занимающимися шпионажем и киберпреступностью. Бэкдор Noodle RAT имеет версии как для Windows (Win.NOODLERAT), так и для Linux (Linux.NOODLERAT). Он имеет долгую историю, с такими версиями, как v1.0.0 для Win.NOODLERAT, выпущенными в июле 2016 года, и v1.0.1 для Linux.NOODLERAT, выпущенными в декабре 2016 года, что предполагает непрерывную разработку и развертывание. Несмотря на то, что Noodle RAT был активен с 2016 года, его изначально неправильно классифицировали и путали с другими семействами вредоносных программ, такими как Gh0st RAT и Rekoobe, вплоть до недавних разоблачений.

Для версии Windows (Win.NOODLERAT) это модульный бэкдор в памяти, созданный на основе шеллкода и используемый в шпионских кампаниях такими группами, как Iron Tiger и Calypso APT. Используются различные загрузчики, такие как MULTIDROP и MICROLOAD, с уникальным дизайном для загрузки и расшифровки полезной нагрузки. C&C communication поддерживает шифрование по протоколам TCP, SSL и HTTP с использованием алгоритмов, таких как RC4, и пользовательских методов с использованием команд XOR и AND. Существуют различные типы Win.NOODLERAT, с различными реализациями команд различными группами участников угроз.

С другой стороны, версия Linux (Linux.NOODLERAT) представляет собой бэкдор ELF, используемый несколькими группами для различных целей, включая получение финансовой выгоды и шпионаж. Он часто используется в качестве дополнительной полезной нагрузки после использования общедоступных приложений. Бэкдор использует различные алгоритмы шифрования для выполнения коммуникационных задач и взаимодействует с C&C серверами по протоколам TCP и HTTP. Кластеры Linux.NOODLERAT основаны на идентификаторах команд бэкдора, причем различные типы, такие как тип 0x03A2 и тип 0x23F8, используются различными группами участников угроз.

Noodle RAT считается новым семейством вредоносных программ, но некоторые производители предполагают, что это может быть вариант существующих вредоносных программ, таких как Gh0st RAT или Rekoobe. В Linux.NOODLERAT было обнаружено сходство кода с Rekoobe v2018, что указывает на возможное копирование кода, хотя также присутствуют уникальные функции. Были обнаружены панель управления и конструктор для Noodle RAT, что указывает на существующую экосистему вредоносного ПО с возможными отношениями между разработчиком и клиентом, лежащими в основе его работы.

В анализе подчеркивается необходимость надлежащей оценки инцидентов, связанных с Noodle RAT, поскольку в течение многих лет ее недооценивали и неправильно классифицировали. Данные телеметрии показали, что Noodle RAT используется в шпионских кампаниях, нацеленных на такие страны, как Таиланд, Индия, Япония, Малайзия и Тайвань, начиная с 2020 года. Наличие образцов Noodle RAT, загруженных на VirusTotal в 2024 году, свидетельствует о его продолжающемся использовании, что указывает на его значимость для злоумышленников, нацеленных на системы Linux/Unix.

#ParsedReport #CompletenessLow
16-06-2024

'Nuking the Duke': Silent Push uncovers control panel infrastructure for 24 different DukeEugene Android malware variants, including ERMAC and HOOKBOT

https://www.silentpush.com/blog/dukeeugene

Report completeness: Low

Actors/Campaigns:
Dukeeugene
Gxc_team

Threats:
Ermac
Hookbot
Chrysaor
Blackrock
Azazel
Haxor
Scarab
Zeus

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1056.004, T1141

IOCs:
Url: 2
IP: 10

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики киберугроз использовали различные методы для выявления и мониторинга индикаторов панели управления, связанных с вариантами DukeEugene, нацеленными на пользователей Android для кражи конфиденциальной информации. Особое внимание уделяется непрерывному мониторингу с акцентом на обнаружение и раскрытие активных панелей, а также доступу к подробным отчетам и каналам IOFA, которые помогают в усилиях по обнаружению угроз, связанных с DukeEugene.
-----

Аналитики Silent Push использовали сканирование нечетких хэшей и запросы на сходство контента, чтобы идентифицировать 24 индикатора будущих атак на панели управления (IOFA), связанных с такими вариантами DukeEugene, как ERMAC, Hook, Loot и Pegasus, которые нацелены на пользователей определенных сервисов. Российская компания DukeEugene известна своими троянскими программами для Android, предназначенными для кражи учетных данных для входа в систему, финансовой информации и конфиденциальных данных. Эти трояны используют различные векторы атак, включая оверлейные атаки, при которых вредоносное ПО перехватывает взаимодействие с законными приложениями.

Связанные с DukeEugene платформы MaaS, такие как ERMAC, Hookbot, Loot, Blackrock и Pegasus, имеют схожую архитектуру и были доступны для продажи на подпольных форумах. Вредоносная инфраструктура DukeEugene для Android была отслежена и проанализирована, при этом некоторые ключевые типы данных были опущены по соображениям безопасности. Пользователи Silent Push Enterprise имеют доступ к подробным отчетам и каналам IOFA, связанным с деятельностью DukeEugene.

В ходе исследования подозрительного российского ASN с использованием веб-сканера Silent Push была обнаружена инфраструктура, связанная с панелью управления ERMAC. С помощью запроса веб-сканера и хэширования содержимого аналитики идентифицировали связанные панели управления DukeEugene в Интернете с порогом сходства 75%. С помощью расширенных запросов к данным было обнаружено в общей сложности 24 панели управления, связанные с DukeEugene.

Особое внимание уделяется непрерывному мониторингу, при этом обнаружение и раскрытие активных панелей с использованием новых HTML-заголовков находится в центре внимания вредоносных программ для Android, предоставляемых Silent Push. Подписчикам Silent Push Enterprise доступны конкретные IOFA, связанные с исследованиями DukeEugene, в том числе данные о доменах и IP-адресах, через специальные каналы вредоносных программ для Android, что помогает в обнаружении угроз. Эта информация публикуется для того, чтобы помочь читателям расширить свои возможности обнаружения угроз, связанных с DukeEugene.

Чтобы получить полный список вредоносных программ IOFA, связанных с исследованиями DukeEugene, пользователи могут воспользоваться корпоративной подпиской Silent Push, предоставляющей доступ к четырем выделенным каналам вредоносных программ для Android. Используя передовые методы сканирования и инструменты мониторинга, аналитики могут отслеживать и выявлять потенциальные угрозы, связанные с вредоносными действиями DukeEugene, направленными против пользователей Android и их конфиденциальных данных.

#ParsedReport #CompletenessMedium
15-06-2024

Arid Viper poisons Android apps with AridSpy

https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy

Report completeness: Medium

Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Kora442

Threats:
Aridspy
Nortirchat
Lapizachat
Reblychat
Typosquatting_technique

Geo:
Egypt, Qatar, Usa, Palestine, Ukraine, Palestinian

TTPs:
Tactics: 7
Technics: 16

IOCs:
File: 21
Domain: 25
IP: 9

Soft:
Android, Microsoft Defender, WhatsApp, Chrome

Wallets:
harmony_wallet

Algorithms:
zip, aes

Languages:
javascript

Links:
https://github.com/eset/malware-ioc/tree/master/aridspy