#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описываются многочисленные кампании вредоносного ПО, использующие NetSupport RAT, и рассказывается о том, как участники угроз используют обфускацию и обновления, чтобы избежать обнаружения. В нем рассматриваются методы распространения, механизмы защиты с использованием таких инструментов, как Snort, а также важность постоянного мониторинга и упреждающих мер защиты от этой постоянной угрозы.
-----

В тексте подробно описывается активное отслеживание Cisco Talos многочисленных вредоносных кампаний, использующих NetSupport RAT для постоянных заражений, что позволяет избежать обнаружения с помощью обфускации и обновлений. В ноябре 2023 года поставщики систем безопасности выявили кампанию с использованием поддельных обновлений браузера для загрузки программы, которая устанавливает агент NetSupport manager с помощью команд PowerShell, а более свежий анализ, проведенный в январе 2024 года, показал изменения в начальной полезной нагрузке и путях установки агента.

NetSupport Manager, доступный с 1989 года для удаленного администрирования устройств, стал оружием злоумышленников, особенно в фишинговых кампаниях и кампаниях по загрузке с помощью мобильных устройств, а также среди других загрузчиков, что заметно возросло во время удаленной рабочей смены в связи с COVID-19. Кампании включают в себя этапы загрузки на JavaScript и PowerShell и обеспечения сохраняемости утилиты NetSupport RAT, при этом в разных версиях используются различные методы обфускации.

Snort выделяется как механизм защиты от этого вредоносного ПО с акцентом на использование файловых правил только для fast_pattern для обнаружения загружаемых этапов. Второй этап включает в себя загрузку полезной нагрузки в память с помощью JavaScript на диске, где PowerShell играет ключевую роль в загрузке агента NetSupport Manager. Обсуждаются стратегии обнаружения с использованием Snort, подчеркивается важность создания правил на основе содержимого скрипта PowerShell и проверки файлов независимо от порта, используемого для размещения вредоносного контента.

Далее в тексте объясняется метод распространения агента NetSupport Manager с помощью ZIP-файлов в кодировке base64 и возможность создания высокоскоростных правил на основе уникальных имен DLL в архиве для обнаружения. Упоминается существующий охват Snort для сетевой активности агента NetSupport Manager, а также увеличение охвата для последней кампании с использованием функции файловых правил Snort. Выделены возможности для создания обнаружения для файлов NetSupport RAT, используя для идентификации метаданные и текстовые строки в байтах Unicode.

Наконец, в заключение в тексте описывается постоянный, но не прогрессирующий характер угрозы NetSupport RAT, подчеркивается важность постоянного мониторинга и защиты от меняющихся тактик, используемых участниками угроз. Текущая кампания служит примером угрозы, требующей бдительности и активных мер защиты.

#ParsedReport #CompletenessHigh
01-08-2024

APT41 likely compromised Taiwanese government-affiliated research institute with ShadowPad and Cobalt Strike. Taiwanese Government-Affiliated Research Institute compromised by Chinese Actor

https://blog.talosintelligence.com/chinese-hacking-group-apt41-compromised-taiwanese-government-affiliated-research-institute-with-shadowpad-and-cobaltstrike-2

Report completeness: High

Actors/Campaigns:
Winnti
Red_delta
Tonto_team

Threats:
Cobalt_strike
Shadowpad
Plugx_rat
Webpass_tool
Mimikatz_tool
Passview_tool
Netstat_tool
Upx_tool
Steganography_technique
Goshell

Victims:
Taiwanese government-affiliated research institute

Industry:
Government

Geo:
Chinese, China, Taiwan, Taiwanese

CVEs:
CVE-2018-0824 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (-, 1607, 1703, 1709, 1803)
- microsoft windows 7 (-)
- microsoft windows 8.1 (-)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2008 (-, r2)
have more...

ChatGPT TTPs:
do not use without manual check
T1574.002, T1059.001, T1078, T1018, T1046, T1012, T1027, T1057

IOCs:
IP: 5
File: 12
Command: 1
Domain: 2
Url: 6
Path: 3
Hash: 12

Soft:
Microsoft Office, Windows Defender

Algorithms:
7zip

Win API:
decompress

Win Services:
Webclient

Languages:
powershell, golang

Links:
https://github.com/codewhitesec/UnmarshalPwn/tree/master
https://github.com/Gality369/CS-Loader
https://github.com/Gality369/CS-Loader/blob/master/go%E7%89%88%E6%9C%AC/CS-Loader.go
https://github.com/Cisco-Talos/IOCs/tree/main/2024/08

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 3, dump: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается недавняя вредоносная кампания хакерской группы APT41, нацеленная на связанный с правительством Тайваня исследовательский институт, в которой использовались сложные вредоносные программы, такие как ShadowPad и Cobalt Strike, передовые методы проникновения, оперативные меры безопасности и тактика уклонения. Кампания подчеркивает меняющийся ландшафт угроз, создаваемых спонсируемыми государством субъектами, а также важность надежной защиты от кибербезопасности и сбора информации об угрозах для эффективного обнаружения и смягчения последствий таких целенаправленных атак.
-----

Cisco Talos раскрыла вредоносную кампанию, направленную против тайваньского правительственного исследовательского института, использующего вредоносное ПО ShadowPad, Cobalt Strike и другие специализированные инструменты.

Атака приписывается хакерской группе APT41 со средней степенью достоверности, основанной на TTP и используемых инструментах.

APT41 использовал уязвимости, такие как CVE-2018-0824, для повышения привилегий и выполнения нестандартных команд PowerShell.

Злоумышленники использовали различные методы проникновения, включая веб-оболочки, обратные оболочки, доступ по протоколу RDP и команды PowerShell, чтобы скомпрометировать среду жертвы.

APT41 продемонстрировал расширенные возможности в области кибершпионажа, включая сбор конфиденциальных данных и использование сложных загрузчиков вредоносных программ.

Злоумышленники поддерживали высокий уровень оперативной безопасности, проводя детальную разведку и используя такие инструменты, как Mimikatz и WebBrowserPassView, для извлечения информации.

Чтобы избежать обнаружения, в GoLang был использован уникальный загрузчик Cobalt Strike, а также стеганография, позволяющая скрыть шеллкод маяка на изображении.

Кампания демонстрирует изощренность APT41 в тактике уклонения и подчеркивает необходимость надежных мер кибербезопасности и анализа угроз для эффективного противодействия таким целенаправленным атакам.

#ParsedReport #CompletenessLow
01-08-2024

Weekly Phishing Email Distribution Cases (2024/07/21\~2024/07/27)

https://asec.ahnlab.com/ko/82126

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1073, T1125, T1203

IOCs:
Hash: 21
Url: 10

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе подтвержденных случаев фишинговых атак на электронную почту, которые произошли в течение определенной недели в 2024 году. В нем содержится подробная информация о тактике, используемой при этих атаках, с акцентом на заголовки электронных писем, вложения, URL-адреса и типы используемых вредоносных программ. В сообщении делается упор на таргетинг электронных писем с вложениями и освещаются аспекты настройки и таргетинга тактики фишинга. Цель состоит в том, чтобы предоставить полезную информацию, которая поможет организациям бороться с этими угрозами.
-----

В сообщении описываются подтвержденные случаи фишинговых атак на электронную почту в течение недели с 21 по 27 июля 2024 года. В нем рассматриваются особенности этих атак, подробно описываются названия электронных писем, вложения и URL-адреса, использованные в атаках. Основное внимание уделяется выявлению типов поддельных страниц входа в систему, известных как FakePage, и различных типов вредоносных программ, используемых в этих фишинговых кампаниях, включая утечки информации, загрузчики, уязвимости и бэкдоры. Примечательно, что фишинговые электронные письма, рассмотренные в примерах рассылки, предназначены исключительно для электронных писем с вложениями.

Одним из ключевых аспектов, на который обращено внимание, является наличие уникальных идентификационных значений в заголовках электронных писем и названиях вложений, что указывает на потенциальную вариативность в зависимости от конкретного получателя электронного письма. Это свидетельствует об уровне индивидуализации и целенаправленности тактики фишинга, применяемой в течение указанного периода времени. Цель публикации - предоставить полезную информацию, которая поможет организациям понять методы и тактику, используемые злоумышленниками при проведении фишинговых атак.

#ParsedReport #CompletenessLow
01-08-2024

There is no real fix to the security issues recently found in GitHub and other similar software. Top security headlines of the week

https://blog.talosintelligence.com/threat-source-newsletter-aug-1-2024

Report completeness: Low

Actors/Campaigns:
Andariel (motivation: cyber_espionage)
Winnti (motivation: financially_motivated, cyber_espionage)

Threats:
Mandrake
Cobalt_strike
Shadowpad
Plugx_rat
Coinminer
Scar

Victims:
Major tech company, U.s. weapon systems, Taiwanese government affiliated research institute, American hospitals

Industry:
Government, Healthcare

Geo:
North korean, Poland, North korea, Chinese, Taiwanese, Usa, American

CVEs:
CVE-2018-0824 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (-, 1607, 1703, 1709, 1803)
- microsoft windows 7 (-)
- microsoft windows 8.1 (-)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2008 (-, r2)
have more...

ChatGPT TTPs:
do not use without manual check
T1078, T1498, T1203

IOCs:
Hash: 10
File: 5

Soft:
Microsoft Outlook, Android, Microsoft COM, KMSAuto

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - краткий обзор недавних инцидентов и угроз в области кибербезопасности, включая проблемы с удаленными форками на GitHub, приводящими к потенциальным уязвимостям в системе безопасности, DDoS-атаку на сервисы Microsoft, распространение шпионского ПО Mandrake для Android, представляющего опасность из-за отслеживания местоположения и сбора данных, северокорейскую группу угроз Andariel, нацеленную на системы вооружения США благодаря шпионским кампаниям и обнаружению вредоносной кампании китайской хакерской группы APT41, нацеленной на связанный с тайваньским правительством исследовательский институт с использованием вредоносного ПО ShadowPad. В тексте также подчеркивается важность обновления систем для устранения уязвимостей и использования средств безопасности для обнаружения и устранения этих угроз.
-----

Исследователи в области безопасности недавно обратили внимание на проблему, связанную с удаленными форками в GitHub, что вызвало опасения по поводу потенциальных уязвимостей в системе безопасности. Это открытие было вызвано недавним инцидентом, когда крупная технологическая компания случайно передала секретный ключ для учетной записи сотрудника GitHub, что позволило злоумышленникам получить потенциальный доступ даже после удаления репозитория. Несмотря на это, некоторые пользователи отметили, что такое поведение не было совершенно новым, поскольку дизайн GitHub всегда допускал такой доступ к удаленным форкам.

В другом инциденте сбой в работе Microsoft был связан с распределенной атакой типа "отказ в обслуживании" (DDoS), затронувшей различные сервисы, такие как Outlook, Minecraft, Azure и Microsoft 365. Шпионское ПО Mandrake для Android, распространяемое через поддельные приложения в Google Play Store, было загружено более 32 000 раз с 2022 года и представляет угрозу, поскольку позволяет отслеживать местоположение, собирать данные и удалять данные с устройства. Кроме того, северокорейская террористическая группировка Andariel нацелилась на американские системы вооружения, проводя шпионские кампании против медицинских работников, оборонных подрядчиков и ядерных объектов. Правительство США также предъявило обвинение гражданину Северной Кореи в кибератаках на американские больницы, предложив вознаграждение за его арест.

Cisco Talos раскрыла вредоносную кампанию, направленную против исследовательского института, связанного с правительством Тайваня, с июля 2023 года, в ходе которой китайская хакерская группа APT41 использовала вредоносное ПО ShadowPad и другие специализированные инструменты. ShadowPad, считающийся преемником PlugX, представляет собой модульный троян с удаленным доступом (RAT), который в основном используется китайскими хакерскими группами, расширяя их возможности для шпионажа и посткомпрометационной деятельности. APT41, известный под псевдонимами Amoeba и Bronze Atlas, занимается спонсируемым государством шпионажем и киберпреступлениями на финансовой основе, используя уязвимости, такие как CVE-2018-0824, для повышения локальных привилегий. Чтобы смягчить эту угрозу, пользователям рекомендуется обновить системы Windows, чтобы устранить известные уязвимости, и использовать такие средства безопасности, как сигнатуры ClamAV и правила Snort, предоставляемые Talos для обнаружения вредоносных программ и маяков APT41.

#ParsedReport #CompletenessMedium
01-08-2024

Quartet of Trouble: XWorm, AsyncRAT, VenomRAT, and PureLogs Stealer Leverage TryCloudflare

https://www.esentire.com/blog/quartet-of-trouble-xworm-asyncrat-venomrat-and-purelogs-stealer-leverage-trycloudflare

Report completeness: Medium

Threats:
Xworm_rat
Asyncrat
Venomrat
Purelogs
Donut

Victims:
Government sector customer

Industry:
Government, Education

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1059.001, T1059.006, T1027, T1620, T1562.001, T1105

IOCs:
File: 11
Hash: 23
Domain: 12
Url: 1

Soft:
TryCloudflare

Algorithms:
xor, aes, chaskey, md5, zip, rc4, base64

Win API:
VirtualProtect, NtClose, NtAllocateVirtualMemory, NtQuerySystemInformation, NtWriteVirtualMemory, NtResumeThread, NtProtectVirtualMemory, NtDelayExecution, NtQueueApcThread

Win Services:
bits

Languages:
python, powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/Quartet%20of%20Trouble%3A%20XWorm%2C%20AsyncRAT%2C%20VenomRAT%2C%20and%20PureLogs%20Stealer%20leveraging%20WebDAV/iocs-7-21-2024.txt
https://github.com/hutorny/chaskey?tab=readme-ov-file#chaskey-cipher
https://github.com/TheWover/donut

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе инцидента с вредоносным ПО, нацеленного на заказчика из государственного сектора, с освещением тактики, методов и процедур, используемых участниками угроз, чтобы избежать обнаружения и внедрить несколько типов вредоносного ПО через сервер WebDAV. Этот инцидент подчеркивает важность упреждающего поиска угроз, сотрудничества между командами безопасности, надежной фильтрации электронной почты, обучения пользователей и необходимость в сложных решениях безопасности для защиты от неизвестных угроз.
-----

В ходе недавнего инцидента, произошедшего в июле 2024 года, вредоносная программа была нацелена на клиента государственного сектора и включала в себя несколько типов вредоносных программ, таких как XWorm, VenomRAT, PureLogs Stealer и AsyncRAT. В ходе атаки использовался WebDAV-сервер, размещенный на TryCloudflare, а первоначальным способом доступа было фишинговое электронное письмо, содержащее ZIP-архив, который вел на сервер через файл быстрого доступа. Злоумышленники использовали поддельные PDF-файлы, загружали дополнительную полезную информацию через PowerShell, изменяли атрибуты файлов и запускали вредоносные скрипты на Python. Эти скрипты были зашифрованы с использованием шифрования RC4 и выполнялись в памяти после расшифровки. Полезной нагрузкой в шеллкоде был загрузчик Donut, использующий для расшифровки реализацию шифра Chaskey. Были извлечены окончательные конфигурации для XWorm, VenomRAT и AsyncRAT, в которых злоумышленники использовали обфускированные пакетные файлы и зашифрованные файлы на Python для доставки троянских программ удаленного доступа (RATs) таким образом, чтобы избежать обнаружения, например, используя прямые системные вызовы и расшифровывая уровни шелл-кода.

Распространение вредоносных программ XWorm, VenomRAT, PureLogs Stealer и AsyncRAT через сервер WebDAV, проксируемый по ссылкам TryCloudflare, иллюстрирует, как злоумышленники используют законные протоколы управления файлами и веб-службы для своей вредоносной деятельности. Цепочка атак, инициированная фишинговым электронным письмом, подчеркивает устойчивость фишинга как эффективного исходного средства атаки, подчеркивая важность надежной фильтрации электронной почты и обучения пользователей. Развернув несколько сценариев для выполнения таких действий, как запуск ложных документов, загрузка дополнительной полезной нагрузки и изменение атрибутов файлов, чтобы избежать обнаружения, злоумышленники продемонстрировали многоуровневый подход к развертыванию вредоносного ПО. Более того, использование ими прямых системных вызовов для обхода систем обнаружения конечных точек и реагирования на них демонстрирует сложные методы, используемые для предотвращения обнаружения, подчеркивая необходимость решений для обеспечения безопасности, которые осуществляют мониторинг на уровне ядра или системных вызовов.

#ParsedReport #CompletenessHigh
02-08-2024

You're fighting in the wrong place: Gambling Zealot group has added an Incident Response tool to its arsenal

https://rt-solar.ru/solar-4rays/blog/4559

Report completeness: High

Actors/Campaigns:
Blackjack (motivation: hacktivism)
C0met
Shedding_zmiy

Threats:
Facefish
Lockbit
Anydesk_tool
Viper
Powerview
Adrecon
Impacket_tool
Nmap_tool
Powersploit
Xenarmor_tool
Ntdsutil_tool
Netstat_tool
Credential_dumping_technique

Victims:
Company in the resource supply sector

Industry:
Entertainment, Critical_infrastructure, Telco

Geo:
Ukraine, Russia, Russian, Ukrainian

CVEs:
CVE-2023-3278 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 8
Technics: 36

IOCs:
Path: 16
File: 15
Hash: 21
Command: 3
Url: 2
IP: 5

Soft:
Velociraptor, Telegram, task scheduler, psexec, KeePass, Sysinternals, Active Directory, Windows Service

Algorithms:
md5, sha1, sha256

Languages:
powershell, python

Platforms:
x64

Links:
https://github.com/Velocidex/velociraptor/blob/master/config/default.yaml
https://github.com/tennc/webshell/blob/master/php/wso/wso-4.2.5.php
https://github.com/Velocidex/velociraptor
https://github.com/Velocidex/velociraptor/releases/download/v0.7.0/velociraptor-v0.7.0-2-windows-amd64.exe
https://github.com/Velocidex/velociraptor/commit/82f2cadab55376a076ecdc13a69c9e5fd83fff4a
https://github.com/Velocidex/velociraptor/blob/27740f902d0934d52cac15a14fa2940311cbb865/services/writeback/storage.go#L110
https://github.com/Velocidex/velociraptor/actions/runs/6137985901
https://github.com/Velocidex/velociraptor/blob/master/config/offline.sh
https://github.com/Velocidex/velociraptor/blob/68302bf92e38f9e5f6a6f668c1d9f0eac3d7c476/crypto/ca.go#L55

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кибератаки, проведенной проукраинской группировкой BlackJack, также известной как Gambling Zealot, с подробным описанием их тактики, инструментов, связей с другими группами и потенциальных связей с украинскими спецслужбами. Злоумышленники использовали различные методы, такие как использование уязвимостей в программном обеспечении для управления паролями, использование пользовательских скриптов для сбора данных, развертывание веб-оболочек и протокола RDP для горизонтального перемещения, а также перепрофилирование программного обеспечения для реагирования на инциденты в качестве троянца удаленного доступа для осуществления своих вредоносных действий. Группа атаковала российские объекты критической инфраструктуры, телекоммуникационные компании и оборонные предприятия, демонстрируя изощренность и адаптивность своих методов атаки.
-----

Компания Solar 4RAYS, занимающаяся кибербезопасностью, расследовала атаку проукраинской группировки BlackJack, также известной как Gambling Zealot.

Факты свидетельствуют о небольшом совпадении между Блэкджеком и хактивистской группой Twelve.

BlackJack использовал пользовательский скрипт powershell для сбора данных из мессенджера Telegram, связанного с группой Shadow/C0met.

"Лаборатория Касперского" сообщила, что BlackJack использовал руткит FaceFish и поделился методиками с Shedding Zmiy, Shadow/C0met/DARKSTAR и Twelve.

Предположение о потенциальной связи между блэкджеком и Twelve возникло из-за сходства названия с карточной игрой казино Twenty-one.

Украинские СМИ предположили о связях между Блэкджеком и украинскими спецслужбами или кибердепартаментом СБУ.

Злоумышленники взломали компьютер системного администратора с помощью уязвимого менеджера паролей KeePass, получив мастер-пароль из дампов оперативной памяти.

Злоумышленники использовали веб-оболочку, протокол RDP и программное обеспечение для реагирования на инциденты Velociraptor в качестве средства для бокового перемещения.

"Блэкджек" нацеливался на российские объекты критической инфраструктуры, телекоммуникационные компании и оборонные предприятия, проводя тщательную разведку и используя общие с другими группами инструменты.

Любители азартных игр использовали такие инструменты, как PowerView.ps1 и ADRecon, для поиска в Active Directory, а также легальные утилиты для удаленного выполнения и доступа.

#ParsedReport #CompletenessLow
02-08-2024

Grandoreiro Malware: Spear Phishing, Outlook Exploits, and More

https://flashpoint.io/blog/grandoreiro-malware-exploits

Report completeness: Low

Threats:
Spear-phishing_technique
Grandoreiro
Bloat_technique

Industry:
Education, Financial

Geo:
Brazil, America, Africa, Asia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1083, T1140, T1105, T1204.002, T1622

IOCs:
Path: 1

Soft:
Outlook, Microsoft Outlook

Algorithms:
rc4, zip

Languages:
delphi

Platforms:
intel