#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что UNC3944 - это финансово мотивированная группа злоумышленников, которая занимается кражей и вымогательством данных, используя сложную тактику, методы социальной инженерии, инструменты облачной синхронизации, злоупотребление правами доступа и методы сохранения данных. Группа постоянно совершенствует свою тактику и нацелена на организации в различных отраслях, демонстрируя их изощренность и адаптивность к кибероперациям. Бдительность и надежные меры безопасности необходимы для снижения рисков, связанных с UNC3944 и аналогичными группами угроз.
-----

UNC3944 - это финансово мотивированная группа по борьбе с угрозами, действующая как минимум с мая 2022 года.

Он значительно пересекается с другими группами угроз, такими как "0ktapus," "Octo Tempest," "Scatter Swine," и "Scattered Spider".

Группа переключилась в основном на кражу данных и вымогательство без использования программ-вымогателей.

UNC3944 использует методы социальной инженерии, SMS-фишинговые кампании и атаки на колл-центры, нацеленные на корпоративные службы поддержки.

Они получают внутренний доступ к приложениям Microsoft, таким как SharePoint, и используют сторонние инструменты для удаленного доступа.

Группа использует злоупотребление правами доступа Okta и создает новые виртуальные машины в vSphere и Azure для обеспечения сохраняемости.

UNC3944 предназначен для клиентских SaaS-приложений, таких как vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS и GCP.

Они используют средства обнаружения конечных точек и реагирования на них и используют для доступа федеративные службы Active Directory (ADFS).

UNC3944 использует такие инструменты, как Airbyte и Fivetran, для фильтрации данных и использует приложения Microsoft 365, такие как Delve, для разведки и интеллектуального анализа данных.

Группа по борьбе с угрозами постоянно совершенствует тактику и фокусируется на вымогательстве данных, подчеркивая ее изощренность и адаптивность.

#ParsedReport #CompletenessMedium
14-06-2024

SolarMarker Impersonates Job Employment Website, Indeed, with a Team Building-themed Lure

https://www.esentire.com/blog/solarmarker-impersonates-job-employment-website-indeed-with-a-team-building-themed-lure

Report completeness: Medium

Threats:
Solarmarker
Stellarinjector
Solarphantom
Hvnc_tool
Saturn
Seo_poisoning_technique

ChatGPT TTPs:
do not use without manual check
T1204.002, T1071, T1055.001, T1083

IOCs:
IP: 3
Hash: 3
File: 2
Url: 3

Algorithms:
crc-32, aes, xor, md5

Win Services:
bits

Platforms:
x86

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SolarMarker/iocs\_5-31-2024.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации путем активного обнаружения и устранения киберугроз, таких как инцидент с вредоносным ПО SolarMarker. Команда экспертов TRU сотрудничает с клиентами, проводит глобальную проверку угроз и подчеркивает важность осторожности, проверки подлинности и надежных механизмов защиты для эффективной борьбы с появляющимися киберугрозами.
-----

Заметный инцидент был связан с вредоносной программой SolarMarker, которая распространялась путем скачивания с мошеннического сайта, выдаваемого за Indeed. Полезная нагрузка SolarMarker включала такие вредоносные компоненты, как StellarInjector и SolarPhantom. SolarMarker внедрил бэкдоры в зашифрованные AES файлы ресурсов, подключаясь к серверам управления (C2) по определенным IP-адресам. Полезная нагрузка StellarInjector облегчила внедрение SolarPhantom в процесс SearchIndexer.exe, включив функции кражи информации и hVNC. SolarPhantom поместил данные о просмотре в определенную папку в %TEMP%, используя операции исключения для извлечения данных. Кроме того, SolarMarker использовал различные сертификаты для первоначальной полезной нагрузки.

Злоумышленники использовали StellarInjector и SolarPhantom для улучшения своих возможностей по компрометации систем и утечке данных. SolarMarker использовал методы поисковой оптимизации (SEO), чтобы повлиять на результаты поиска и повысить видимость ложных ссылок. Эта тактика подчеркивает важность осторожности при работе с результатами поисковой системы, даже если они кажутся законными. Инцидент выявил риски, связанные с вредоносными сайтами, имитирующими авторитетные платформы, такие как Indeed, в частности, нацеленные на корпоративных пользователей с помощью определенных ключевых слов и олицетворения бренда. Пользователям рекомендуется проверять подлинность веб-сайта перед загрузкой любого контента и внимательно изучать цифровые сертификаты от таких организаций, как DigiCert и GlobalSign. Постоянная бдительность, интеграция анализа угроз, регулярные обновления системы безопасности и обучение сотрудников методам выявления угроз и реагирования на них имеют решающее значение для снижения таких рисков.

Таким образом, eSentire TRU выступает в качестве важного партнера в области обороны, предлагая проактивные стратегии снижения угроз для противодействия развивающимся угрозам, таким как инцидент с SolarMarker. Уделяя особое внимание всесторонней видимости, постоянной бдительности и сотрудничеству с подразделениями безопасности клиентов, TRU стремится защитить организации от известных и возникающих угроз. Случай с SolarMarker подчеркивает важность осторожного поведения в Сети, проверки подлинности и надежных механизмов защиты для эффективной борьбы со сложными киберугрозами.

#ParsedReport #CompletenessLow
16-06-2024

Noodle RAT: Reviewing the Backdoor Used by Chinese-Speaking Groups

https://www.trendmicro.com/en_us/research/24/f/noodle-rat-reviewing-the-new-backdoor-used-by-chinese-speaking-g.html

Report completeness: Low

Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Cloud_snooper (motivation: cyber_espionage)
Calypso (motivation: cyber_espionage)
Apt31

Threats:
Nood_rat
Gh0st_rat
Rekoobe_rootkit
Multidrop
Microload
Cringe_rat
Hiddengh0st
Gh0sttimes
Tinyshell

Geo:
Japan, Asia-pacific, Thailand, Malaysia, Chinese, China, Taiwan, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1573, T1036, T1553

IOCs:
File: 5
Registry: 1
Hash: 49

Algorithms:
rc4, aes-128-cbc, sha1, aes, hmac-sha1, xor

Links:
https://github.com/creaktive/tsh

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 4, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ бэкдора Noodle RAT, его истории, возможностей, развертывания различными группами злоумышленников, использования в шпионской и киберпреступной деятельности, неправильной классификации, потенциальной связи с другими семействами вредоносных программ и значимости для систем Windows и Linux/Unix.
-----

Запись в блоге содержит анализ бэкдора Noodle RAT, который, как подозревается, используется несколькими китайскоязычными группами, занимающимися шпионажем и киберпреступностью. Бэкдор Noodle RAT имеет версии как для Windows (Win.NOODLERAT), так и для Linux (Linux.NOODLERAT). Он имеет долгую историю, с такими версиями, как v1.0.0 для Win.NOODLERAT, выпущенными в июле 2016 года, и v1.0.1 для Linux.NOODLERAT, выпущенными в декабре 2016 года, что предполагает непрерывную разработку и развертывание. Несмотря на то, что Noodle RAT был активен с 2016 года, его изначально неправильно классифицировали и путали с другими семействами вредоносных программ, такими как Gh0st RAT и Rekoobe, вплоть до недавних разоблачений.

Для версии Windows (Win.NOODLERAT) это модульный бэкдор в памяти, созданный на основе шеллкода и используемый в шпионских кампаниях такими группами, как Iron Tiger и Calypso APT. Используются различные загрузчики, такие как MULTIDROP и MICROLOAD, с уникальным дизайном для загрузки и расшифровки полезной нагрузки. C&C communication поддерживает шифрование по протоколам TCP, SSL и HTTP с использованием алгоритмов, таких как RC4, и пользовательских методов с использованием команд XOR и AND. Существуют различные типы Win.NOODLERAT, с различными реализациями команд различными группами участников угроз.

С другой стороны, версия Linux (Linux.NOODLERAT) представляет собой бэкдор ELF, используемый несколькими группами для различных целей, включая получение финансовой выгоды и шпионаж. Он часто используется в качестве дополнительной полезной нагрузки после использования общедоступных приложений. Бэкдор использует различные алгоритмы шифрования для выполнения коммуникационных задач и взаимодействует с C&C серверами по протоколам TCP и HTTP. Кластеры Linux.NOODLERAT основаны на идентификаторах команд бэкдора, причем различные типы, такие как тип 0x03A2 и тип 0x23F8, используются различными группами участников угроз.

Noodle RAT считается новым семейством вредоносных программ, но некоторые производители предполагают, что это может быть вариант существующих вредоносных программ, таких как Gh0st RAT или Rekoobe. В Linux.NOODLERAT было обнаружено сходство кода с Rekoobe v2018, что указывает на возможное копирование кода, хотя также присутствуют уникальные функции. Были обнаружены панель управления и конструктор для Noodle RAT, что указывает на существующую экосистему вредоносного ПО с возможными отношениями между разработчиком и клиентом, лежащими в основе его работы.

В анализе подчеркивается необходимость надлежащей оценки инцидентов, связанных с Noodle RAT, поскольку в течение многих лет ее недооценивали и неправильно классифицировали. Данные телеметрии показали, что Noodle RAT используется в шпионских кампаниях, нацеленных на такие страны, как Таиланд, Индия, Япония, Малайзия и Тайвань, начиная с 2020 года. Наличие образцов Noodle RAT, загруженных на VirusTotal в 2024 году, свидетельствует о его продолжающемся использовании, что указывает на его значимость для злоумышленников, нацеленных на системы Linux/Unix.

#ParsedReport #CompletenessLow
16-06-2024

'Nuking the Duke': Silent Push uncovers control panel infrastructure for 24 different DukeEugene Android malware variants, including ERMAC and HOOKBOT

https://www.silentpush.com/blog/dukeeugene

Report completeness: Low

Actors/Campaigns:
Dukeeugene
Gxc_team

Threats:
Ermac
Hookbot
Chrysaor
Blackrock
Azazel
Haxor
Scarab
Zeus

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1056.004, T1141

IOCs:
Url: 2
IP: 10

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики киберугроз использовали различные методы для выявления и мониторинга индикаторов панели управления, связанных с вариантами DukeEugene, нацеленными на пользователей Android для кражи конфиденциальной информации. Особое внимание уделяется непрерывному мониторингу с акцентом на обнаружение и раскрытие активных панелей, а также доступу к подробным отчетам и каналам IOFA, которые помогают в усилиях по обнаружению угроз, связанных с DukeEugene.
-----

Аналитики Silent Push использовали сканирование нечетких хэшей и запросы на сходство контента, чтобы идентифицировать 24 индикатора будущих атак на панели управления (IOFA), связанных с такими вариантами DukeEugene, как ERMAC, Hook, Loot и Pegasus, которые нацелены на пользователей определенных сервисов. Российская компания DukeEugene известна своими троянскими программами для Android, предназначенными для кражи учетных данных для входа в систему, финансовой информации и конфиденциальных данных. Эти трояны используют различные векторы атак, включая оверлейные атаки, при которых вредоносное ПО перехватывает взаимодействие с законными приложениями.

Связанные с DukeEugene платформы MaaS, такие как ERMAC, Hookbot, Loot, Blackrock и Pegasus, имеют схожую архитектуру и были доступны для продажи на подпольных форумах. Вредоносная инфраструктура DukeEugene для Android была отслежена и проанализирована, при этом некоторые ключевые типы данных были опущены по соображениям безопасности. Пользователи Silent Push Enterprise имеют доступ к подробным отчетам и каналам IOFA, связанным с деятельностью DukeEugene.

В ходе исследования подозрительного российского ASN с использованием веб-сканера Silent Push была обнаружена инфраструктура, связанная с панелью управления ERMAC. С помощью запроса веб-сканера и хэширования содержимого аналитики идентифицировали связанные панели управления DukeEugene в Интернете с порогом сходства 75%. С помощью расширенных запросов к данным было обнаружено в общей сложности 24 панели управления, связанные с DukeEugene.

Особое внимание уделяется непрерывному мониторингу, при этом обнаружение и раскрытие активных панелей с использованием новых HTML-заголовков находится в центре внимания вредоносных программ для Android, предоставляемых Silent Push. Подписчикам Silent Push Enterprise доступны конкретные IOFA, связанные с исследованиями DukeEugene, в том числе данные о доменах и IP-адресах, через специальные каналы вредоносных программ для Android, что помогает в обнаружении угроз. Эта информация публикуется для того, чтобы помочь читателям расширить свои возможности обнаружения угроз, связанных с DukeEugene.

Чтобы получить полный список вредоносных программ IOFA, связанных с исследованиями DukeEugene, пользователи могут воспользоваться корпоративной подпиской Silent Push, предоставляющей доступ к четырем выделенным каналам вредоносных программ для Android. Используя передовые методы сканирования и инструменты мониторинга, аналитики могут отслеживать и выявлять потенциальные угрозы, связанные с вредоносными действиями DukeEugene, направленными против пользователей Android и их конфиденциальных данных.

#ParsedReport #CompletenessMedium
15-06-2024

Arid Viper poisons Android apps with AridSpy

https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy

Report completeness: Medium

Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Kora442

Threats:
Aridspy
Nortirchat
Lapizachat
Reblychat
Typosquatting_technique

Geo:
Egypt, Qatar, Usa, Palestine, Ukraine, Palestinian

TTPs:
Tactics: 7
Technics: 16

IOCs:
File: 21
Domain: 25
IP: 9

Soft:
Android, Microsoft Defender, WhatsApp, Chrome

Wallets:
harmony_wallet

Algorithms:
zip, aes

Languages:
javascript

Links:
https://github.com/eset/malware-ioc/tree/master/aridspy

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET выявили шпионские кампании, проводимые группой Arid Viper Advanced Persistent Threat (APT), нацеленные на пользователей Android в Египте и Палестине. Кампании включают распространение троянских приложений, содержащих многоступенчатое шпионское ПО для Android под названием AridSpy, которое со средней степенью достоверности относится к группе Arid Viper APT. Вредоносное ПО выполняет различные вредоносные действия, включая шпионаж за данными, кейлоггинг и отключение связи. Механизм распространения заключается в убеждении пользователей устанавливать поддельные, но функциональные приложения со специальных веб-сайтов, а устойчивость вредоносного ПО подтверждается постоянным обслуживанием и обновлениями его функциональных возможностей.
-----

Исследователи ESET выявили шпионские кампании, проводимые группой Arid Viper Advanced Persistent Threat (APT), нацеленные на пользователей Android в Египте и Палестине. Эти кампании включают распространение троянских приложений, содержащих многоступенчатое шпионское ПО для Android под названием AridSpy, которое используется для шпионажа за пользовательскими данными. Вредоносное ПО распространяется через специальные веб-сайты, выдающие себя за законные приложения, такие как приложения для обмена сообщениями, приложения для поиска работы и приложение для регистрации актов гражданского состояния в Палестине. Вредоносная программа AridSpy была развернута в пяти кампаниях, начиная с 2022 года, и по крайней мере три из них все еще активны на момент публикации.

AridSpy со средней степенью достоверности относится к группе Arid Viper APT, занимающейся кибершпионажем, которая действует как минимум с 2013 года и известна тем, что нацелена на страны Ближнего Востока с помощью широкого спектра вредоносных программ для платформ Android, iOS и Windows. Исследователи связали различные кампании, распространяющие AridSpy, с группой Arid Viper на основе использования уникального вредоносного файла JavaScript с именем myScript.js. Этот файл отвечает за загрузку вредоносного приложения для Android в рамках различных кампаний и ранее был связан с деятельностью группы во время таких мероприятий, как Чемпионат мира по футболу в Катаре.

Механизм распространения этих кампаний заключается в убеждении пользователей устанавливать поддельные, но функциональные приложения со специальных веб-сайтов. myScript.js Файл запускается для облегчения загрузки вредоносного приложения AridSpy путем создания правильного пути к файлу для загрузки. После установки вредоносная программа AridSpy выполняет различные вредоносные действия, включая фотосъемку с помощью фронтальной камеры, сбор данных о жертвах, таких как местоположение устройства, списки контактов, журналы вызовов и текстовые сообщения, ведение кейлоггинга в таких приложениях, как Facebook Messenger и WhatsApp, и многое другое. Вредоносная программа также имеет возможность отключать связь, переключая домен exfiltration C&C, чтобы избежать обнаружения.

Анализ кампаний по распространению показывает, что троянские приложения содержат аналогичный вредоносный код, который загружает полезную информацию первого и второго этапов с сервера C&C. Полезная информация второго этапа предназначена для извлечения данных жертв в целях шпионажа. У AridSpy разные внутренние номера версий в разных выявленных кампаниях, что говорит о постоянном обслуживании и потенциальных обновлениях его функциональных возможностей. Устойчивость вредоносной программы также подтверждается ее способностью работать независимо, даже если первоначальное троянское приложение было удалено жертвой.

#ParsedReport #CompletenessMedium
15-06-2024

Ransomware Roundup - Shinra and Limpopo Ransomware

https://www.fortinet.com/blog/threat-research/ransomware-roundup-shinra-and-limpopo-ransomware

Report completeness: Medium

Threats:
Limpopo_ransomware
Shinra_ransomware
Shadow_copies_delete_technique
Socotra_ransomware

Geo:
America, Asia, Thailand, Asian, Spain, Israel, Peru, Vietnam, Honduras, Chile, Mexico, Guatemala, Russia, India, Italy, Poland

CVEs:
CVE-2024-22252 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-22253 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1490, T1112, T1547.001, T1059.001

IOCs:
Hash: 6
File: 10
Path: 1
Registry: 3
Url: 1

Soft:
ESXi, Defwatch, internet explorer, Windows defender, Windows security, Windows journal, bcdedit

Algorithms:
sha2

Win Services:
wxServerView, GDscan, QBDBMgrN, ccEvtMgr, ccSetMgr, SavRoam, Sqlservr, sqlagent, SQLADHLP, Culserver, have more...

Languages:
java

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - обзор отчета FortiGuard Labs о борьбе с вирусами-вымогателями, в котором подробно описываются штаммы программ-вымогателей Shinra и Limpopo, их действия, потенциальные варианты, влияние в разных регионах и важность превентивных мер защиты с помощью решений Fortinet.
-----

В обзоре программ-вымогателей, подготовленном FortiGuard Labs, представлена информация о меняющемся ландшафте программ-вымогателей и решениях Fortinet для защиты от различных разновидностей программ-вымогателей. В последнем выпуске рассматриваются программы-вымогатели Shinra и Limpopo.

Программа-вымогатель Shinra, впервые обнаруженная в апреле 2024 года, предусматривает кражу данных жертвы перед шифрованием файлов. Она также удаляет теневые копии томов, что затрудняет восстановление системы. Хотя предполагалось, что название "Shinra" произошло от названия компании, занимающейся видеоиграми, никаких доказательств в пользу этого нет. Источник заражения Shinra остается неизвестным, но ожидается, что он связан с другими группами программ-вымогателей.

С другой стороны, вирус-вымогатель Limpopo также неизвестен. В отчетах указывается, что вирус затронул такие регионы, как Латинская Америка и Таиланд, возможно, распространяясь через троянское программное обеспечение или используя уязвимости. Сообщения с требованием выкупа, связанные с "Лимпопо", были обнаружены в таких странах, как Чили, Гватемала, Индия, Испания и Соединенные Штаты, что свидетельствует о широком охвате.

Программа-вымогатель Shinra выполняет такие действия, как копирование в папки автозагрузки, изменение обоев рабочего стола, удаление теневых копий и изменение политик состояния загрузки. Она использует различные расширения файлов и намекает на потенциальное развитие в будущем. Программа-вымогатель Limpopo шифрует файлы с определенными расширениями и имеет такие потенциальные варианты, как Akgum, Aktakyr и Formosa. Программа-вымогатель Socotra, предположительно использующая уязвимости в продуктах VMware, имеет сходство с Limpopo и стала объектом расследования правоохранительных органов Азии.

Ранее FortiGuard Labs получала запросы о распространении программы-вымогателя Socotra в Азии. Несмотря на то, что реальных образцов с Сокотры обнаружено не было, было установлено, что программа-вымогатель Limpopo нацелена на среды ESXi и отправлена на проверку в феврале 2024 года.

Таким образом, отчет Roundup о программах-вымогателях проливает свет на программы-вымогатели Shinra и Limpopo, их поведение, возможные варианты и влияние в различных регионах. Анализ подчеркивает важность превентивных мер защиты и выделяет решения Fortinet для борьбы с появляющимися угрозами со стороны программ-вымогателей.

#ParsedReport #CompletenessLow
16-06-2024

Search & Spoof: Abuse of Windows Search to Redirect to Malware

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/search-spoof-abuse-of-windows-search-to-redirect-to-malware

Report completeness: Low

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1071.001, T1185, T1566.001, T1204.002

IOCs:
Registry: 2
Hash: 3

Soft:
Windows Search, Windows Explorer

Algorithms:
sha256, sha1, zip, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4