#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 3, dump: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается недавняя вредоносная кампания хакерской группы APT41, нацеленная на связанный с правительством Тайваня исследовательский институт, в которой использовались сложные вредоносные программы, такие как ShadowPad и Cobalt Strike, передовые методы проникновения, оперативные меры безопасности и тактика уклонения. Кампания подчеркивает меняющийся ландшафт угроз, создаваемых спонсируемыми государством субъектами, а также важность надежной защиты от кибербезопасности и сбора информации об угрозах для эффективного обнаружения и смягчения последствий таких целенаправленных атак.
-----

Cisco Talos раскрыла вредоносную кампанию, направленную против тайваньского правительственного исследовательского института, использующего вредоносное ПО ShadowPad, Cobalt Strike и другие специализированные инструменты.

Атака приписывается хакерской группе APT41 со средней степенью достоверности, основанной на TTP и используемых инструментах.

APT41 использовал уязвимости, такие как CVE-2018-0824, для повышения привилегий и выполнения нестандартных команд PowerShell.

Злоумышленники использовали различные методы проникновения, включая веб-оболочки, обратные оболочки, доступ по протоколу RDP и команды PowerShell, чтобы скомпрометировать среду жертвы.

APT41 продемонстрировал расширенные возможности в области кибершпионажа, включая сбор конфиденциальных данных и использование сложных загрузчиков вредоносных программ.

Злоумышленники поддерживали высокий уровень оперативной безопасности, проводя детальную разведку и используя такие инструменты, как Mimikatz и WebBrowserPassView, для извлечения информации.

Чтобы избежать обнаружения, в GoLang был использован уникальный загрузчик Cobalt Strike, а также стеганография, позволяющая скрыть шеллкод маяка на изображении.

Кампания демонстрирует изощренность APT41 в тактике уклонения и подчеркивает необходимость надежных мер кибербезопасности и анализа угроз для эффективного противодействия таким целенаправленным атакам.

#ParsedReport #CompletenessLow
01-08-2024

Weekly Phishing Email Distribution Cases (2024/07/21\~2024/07/27)

https://asec.ahnlab.com/ko/82126

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1073, T1125, T1203

IOCs:
Hash: 21
Url: 10

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе подтвержденных случаев фишинговых атак на электронную почту, которые произошли в течение определенной недели в 2024 году. В нем содержится подробная информация о тактике, используемой при этих атаках, с акцентом на заголовки электронных писем, вложения, URL-адреса и типы используемых вредоносных программ. В сообщении делается упор на таргетинг электронных писем с вложениями и освещаются аспекты настройки и таргетинга тактики фишинга. Цель состоит в том, чтобы предоставить полезную информацию, которая поможет организациям бороться с этими угрозами.
-----

В сообщении описываются подтвержденные случаи фишинговых атак на электронную почту в течение недели с 21 по 27 июля 2024 года. В нем рассматриваются особенности этих атак, подробно описываются названия электронных писем, вложения и URL-адреса, использованные в атаках. Основное внимание уделяется выявлению типов поддельных страниц входа в систему, известных как FakePage, и различных типов вредоносных программ, используемых в этих фишинговых кампаниях, включая утечки информации, загрузчики, уязвимости и бэкдоры. Примечательно, что фишинговые электронные письма, рассмотренные в примерах рассылки, предназначены исключительно для электронных писем с вложениями.

Одним из ключевых аспектов, на который обращено внимание, является наличие уникальных идентификационных значений в заголовках электронных писем и названиях вложений, что указывает на потенциальную вариативность в зависимости от конкретного получателя электронного письма. Это свидетельствует об уровне индивидуализации и целенаправленности тактики фишинга, применяемой в течение указанного периода времени. Цель публикации - предоставить полезную информацию, которая поможет организациям понять методы и тактику, используемые злоумышленниками при проведении фишинговых атак.

#ParsedReport #CompletenessLow
01-08-2024

There is no real fix to the security issues recently found in GitHub and other similar software. Top security headlines of the week

https://blog.talosintelligence.com/threat-source-newsletter-aug-1-2024

Report completeness: Low

Actors/Campaigns:
Andariel (motivation: cyber_espionage)
Winnti (motivation: financially_motivated, cyber_espionage)

Threats:
Mandrake
Cobalt_strike
Shadowpad
Plugx_rat
Coinminer
Scar

Victims:
Major tech company, U.s. weapon systems, Taiwanese government affiliated research institute, American hospitals

Industry:
Government, Healthcare

Geo:
North korean, Poland, North korea, Chinese, Taiwanese, Usa, American

CVEs:
CVE-2018-0824 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (-, 1607, 1703, 1709, 1803)
- microsoft windows 7 (-)
- microsoft windows 8.1 (-)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2008 (-, r2)
have more...

ChatGPT TTPs:
do not use without manual check
T1078, T1498, T1203

IOCs:
Hash: 10
File: 5

Soft:
Microsoft Outlook, Android, Microsoft COM, KMSAuto

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - краткий обзор недавних инцидентов и угроз в области кибербезопасности, включая проблемы с удаленными форками на GitHub, приводящими к потенциальным уязвимостям в системе безопасности, DDoS-атаку на сервисы Microsoft, распространение шпионского ПО Mandrake для Android, представляющего опасность из-за отслеживания местоположения и сбора данных, северокорейскую группу угроз Andariel, нацеленную на системы вооружения США благодаря шпионским кампаниям и обнаружению вредоносной кампании китайской хакерской группы APT41, нацеленной на связанный с тайваньским правительством исследовательский институт с использованием вредоносного ПО ShadowPad. В тексте также подчеркивается важность обновления систем для устранения уязвимостей и использования средств безопасности для обнаружения и устранения этих угроз.
-----

Исследователи в области безопасности недавно обратили внимание на проблему, связанную с удаленными форками в GitHub, что вызвало опасения по поводу потенциальных уязвимостей в системе безопасности. Это открытие было вызвано недавним инцидентом, когда крупная технологическая компания случайно передала секретный ключ для учетной записи сотрудника GitHub, что позволило злоумышленникам получить потенциальный доступ даже после удаления репозитория. Несмотря на это, некоторые пользователи отметили, что такое поведение не было совершенно новым, поскольку дизайн GitHub всегда допускал такой доступ к удаленным форкам.

В другом инциденте сбой в работе Microsoft был связан с распределенной атакой типа "отказ в обслуживании" (DDoS), затронувшей различные сервисы, такие как Outlook, Minecraft, Azure и Microsoft 365. Шпионское ПО Mandrake для Android, распространяемое через поддельные приложения в Google Play Store, было загружено более 32 000 раз с 2022 года и представляет угрозу, поскольку позволяет отслеживать местоположение, собирать данные и удалять данные с устройства. Кроме того, северокорейская террористическая группировка Andariel нацелилась на американские системы вооружения, проводя шпионские кампании против медицинских работников, оборонных подрядчиков и ядерных объектов. Правительство США также предъявило обвинение гражданину Северной Кореи в кибератаках на американские больницы, предложив вознаграждение за его арест.

Cisco Talos раскрыла вредоносную кампанию, направленную против исследовательского института, связанного с правительством Тайваня, с июля 2023 года, в ходе которой китайская хакерская группа APT41 использовала вредоносное ПО ShadowPad и другие специализированные инструменты. ShadowPad, считающийся преемником PlugX, представляет собой модульный троян с удаленным доступом (RAT), который в основном используется китайскими хакерскими группами, расширяя их возможности для шпионажа и посткомпрометационной деятельности. APT41, известный под псевдонимами Amoeba и Bronze Atlas, занимается спонсируемым государством шпионажем и киберпреступлениями на финансовой основе, используя уязвимости, такие как CVE-2018-0824, для повышения локальных привилегий. Чтобы смягчить эту угрозу, пользователям рекомендуется обновить системы Windows, чтобы устранить известные уязвимости, и использовать такие средства безопасности, как сигнатуры ClamAV и правила Snort, предоставляемые Talos для обнаружения вредоносных программ и маяков APT41.

#ParsedReport #CompletenessMedium
01-08-2024

Quartet of Trouble: XWorm, AsyncRAT, VenomRAT, and PureLogs Stealer Leverage TryCloudflare

https://www.esentire.com/blog/quartet-of-trouble-xworm-asyncrat-venomrat-and-purelogs-stealer-leverage-trycloudflare

Report completeness: Medium

Threats:
Xworm_rat
Asyncrat
Venomrat
Purelogs
Donut

Victims:
Government sector customer

Industry:
Government, Education

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1059.001, T1059.006, T1027, T1620, T1562.001, T1105

IOCs:
File: 11
Hash: 23
Domain: 12
Url: 1

Soft:
TryCloudflare

Algorithms:
xor, aes, chaskey, md5, zip, rc4, base64

Win API:
VirtualProtect, NtClose, NtAllocateVirtualMemory, NtQuerySystemInformation, NtWriteVirtualMemory, NtResumeThread, NtProtectVirtualMemory, NtDelayExecution, NtQueueApcThread

Win Services:
bits

Languages:
python, powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/Quartet%20of%20Trouble%3A%20XWorm%2C%20AsyncRAT%2C%20VenomRAT%2C%20and%20PureLogs%20Stealer%20leveraging%20WebDAV/iocs-7-21-2024.txt
https://github.com/hutorny/chaskey?tab=readme-ov-file#chaskey-cipher
https://github.com/TheWover/donut

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе инцидента с вредоносным ПО, нацеленного на заказчика из государственного сектора, с освещением тактики, методов и процедур, используемых участниками угроз, чтобы избежать обнаружения и внедрить несколько типов вредоносного ПО через сервер WebDAV. Этот инцидент подчеркивает важность упреждающего поиска угроз, сотрудничества между командами безопасности, надежной фильтрации электронной почты, обучения пользователей и необходимость в сложных решениях безопасности для защиты от неизвестных угроз.
-----

В ходе недавнего инцидента, произошедшего в июле 2024 года, вредоносная программа была нацелена на клиента государственного сектора и включала в себя несколько типов вредоносных программ, таких как XWorm, VenomRAT, PureLogs Stealer и AsyncRAT. В ходе атаки использовался WebDAV-сервер, размещенный на TryCloudflare, а первоначальным способом доступа было фишинговое электронное письмо, содержащее ZIP-архив, который вел на сервер через файл быстрого доступа. Злоумышленники использовали поддельные PDF-файлы, загружали дополнительную полезную информацию через PowerShell, изменяли атрибуты файлов и запускали вредоносные скрипты на Python. Эти скрипты были зашифрованы с использованием шифрования RC4 и выполнялись в памяти после расшифровки. Полезной нагрузкой в шеллкоде был загрузчик Donut, использующий для расшифровки реализацию шифра Chaskey. Были извлечены окончательные конфигурации для XWorm, VenomRAT и AsyncRAT, в которых злоумышленники использовали обфускированные пакетные файлы и зашифрованные файлы на Python для доставки троянских программ удаленного доступа (RATs) таким образом, чтобы избежать обнаружения, например, используя прямые системные вызовы и расшифровывая уровни шелл-кода.

Распространение вредоносных программ XWorm, VenomRAT, PureLogs Stealer и AsyncRAT через сервер WebDAV, проксируемый по ссылкам TryCloudflare, иллюстрирует, как злоумышленники используют законные протоколы управления файлами и веб-службы для своей вредоносной деятельности. Цепочка атак, инициированная фишинговым электронным письмом, подчеркивает устойчивость фишинга как эффективного исходного средства атаки, подчеркивая важность надежной фильтрации электронной почты и обучения пользователей. Развернув несколько сценариев для выполнения таких действий, как запуск ложных документов, загрузка дополнительной полезной нагрузки и изменение атрибутов файлов, чтобы избежать обнаружения, злоумышленники продемонстрировали многоуровневый подход к развертыванию вредоносного ПО. Более того, использование ими прямых системных вызовов для обхода систем обнаружения конечных точек и реагирования на них демонстрирует сложные методы, используемые для предотвращения обнаружения, подчеркивая необходимость решений для обеспечения безопасности, которые осуществляют мониторинг на уровне ядра или системных вызовов.

#ParsedReport #CompletenessHigh
02-08-2024

You're fighting in the wrong place: Gambling Zealot group has added an Incident Response tool to its arsenal

https://rt-solar.ru/solar-4rays/blog/4559

Report completeness: High

Actors/Campaigns:
Blackjack (motivation: hacktivism)
C0met
Shedding_zmiy

Threats:
Facefish
Lockbit
Anydesk_tool
Viper
Powerview
Adrecon
Impacket_tool
Nmap_tool
Powersploit
Xenarmor_tool
Ntdsutil_tool
Netstat_tool
Credential_dumping_technique

Victims:
Company in the resource supply sector

Industry:
Entertainment, Critical_infrastructure, Telco

Geo:
Ukraine, Russia, Russian, Ukrainian

CVEs:
CVE-2023-3278 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 8
Technics: 36

IOCs:
Path: 16
File: 15
Hash: 21
Command: 3
Url: 2
IP: 5

Soft:
Velociraptor, Telegram, task scheduler, psexec, KeePass, Sysinternals, Active Directory, Windows Service

Algorithms:
md5, sha1, sha256

Languages:
powershell, python

Platforms:
x64

Links:
https://github.com/Velocidex/velociraptor/blob/master/config/default.yaml
https://github.com/tennc/webshell/blob/master/php/wso/wso-4.2.5.php
https://github.com/Velocidex/velociraptor
https://github.com/Velocidex/velociraptor/releases/download/v0.7.0/velociraptor-v0.7.0-2-windows-amd64.exe
https://github.com/Velocidex/velociraptor/commit/82f2cadab55376a076ecdc13a69c9e5fd83fff4a
https://github.com/Velocidex/velociraptor/blob/27740f902d0934d52cac15a14fa2940311cbb865/services/writeback/storage.go#L110
https://github.com/Velocidex/velociraptor/actions/runs/6137985901
https://github.com/Velocidex/velociraptor/blob/master/config/offline.sh
https://github.com/Velocidex/velociraptor/blob/68302bf92e38f9e5f6a6f668c1d9f0eac3d7c476/crypto/ca.go#L55

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кибератаки, проведенной проукраинской группировкой BlackJack, также известной как Gambling Zealot, с подробным описанием их тактики, инструментов, связей с другими группами и потенциальных связей с украинскими спецслужбами. Злоумышленники использовали различные методы, такие как использование уязвимостей в программном обеспечении для управления паролями, использование пользовательских скриптов для сбора данных, развертывание веб-оболочек и протокола RDP для горизонтального перемещения, а также перепрофилирование программного обеспечения для реагирования на инциденты в качестве троянца удаленного доступа для осуществления своих вредоносных действий. Группа атаковала российские объекты критической инфраструктуры, телекоммуникационные компании и оборонные предприятия, демонстрируя изощренность и адаптивность своих методов атаки.
-----

Компания Solar 4RAYS, занимающаяся кибербезопасностью, расследовала атаку проукраинской группировки BlackJack, также известной как Gambling Zealot.

Факты свидетельствуют о небольшом совпадении между Блэкджеком и хактивистской группой Twelve.

BlackJack использовал пользовательский скрипт powershell для сбора данных из мессенджера Telegram, связанного с группой Shadow/C0met.

"Лаборатория Касперского" сообщила, что BlackJack использовал руткит FaceFish и поделился методиками с Shedding Zmiy, Shadow/C0met/DARKSTAR и Twelve.

Предположение о потенциальной связи между блэкджеком и Twelve возникло из-за сходства названия с карточной игрой казино Twenty-one.

Украинские СМИ предположили о связях между Блэкджеком и украинскими спецслужбами или кибердепартаментом СБУ.

Злоумышленники взломали компьютер системного администратора с помощью уязвимого менеджера паролей KeePass, получив мастер-пароль из дампов оперативной памяти.

Злоумышленники использовали веб-оболочку, протокол RDP и программное обеспечение для реагирования на инциденты Velociraptor в качестве средства для бокового перемещения.

"Блэкджек" нацеливался на российские объекты критической инфраструктуры, телекоммуникационные компании и оборонные предприятия, проводя тщательную разведку и используя общие с другими группами инструменты.

Любители азартных игр использовали такие инструменты, как PowerView.ps1 и ADRecon, для поиска в Active Directory, а также легальные утилиты для удаленного выполнения и доступа.

#ParsedReport #CompletenessLow
02-08-2024

Grandoreiro Malware: Spear Phishing, Outlook Exploits, and More

https://flashpoint.io/blog/grandoreiro-malware-exploits

Report completeness: Low

Threats:
Spear-phishing_technique
Grandoreiro
Bloat_technique

Industry:
Education, Financial

Geo:
Brazil, America, Africa, Asia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1083, T1140, T1105, T1204.002, T1622

IOCs:
Path: 1

Soft:
Outlook, Microsoft Outlook

Algorithms:
rc4, zip

Languages:
delphi

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что банковский троян Grandoreiro, ранее считавшийся несуществующим, вновь появился и теперь нацелен на жертв по всему миру с целью кражи финансовой информации и осуществления несанкционированных денежных переводов. Вредоносное ПО распространяется с помощью фишинга, использует методы антианализа и позволяет злоумышленникам совершать различные вредоносные действия. Его возрождение свидетельствует о продолжающемся развитии киберпреступности, подчеркивая важность получения информации и принятия строгих мер безопасности для защиты от таких угроз.
-----

Банковский троян Grandoreiro malware, который ранее считался закрытым, вновь появился и теперь нацелен на жертв по всему миру. Эта вредоносная программа предназначена для кражи финансовой информации, учетных данных и осуществления несанкционированных денежных переводов. В основном он распространяется путем скрытого фишинга с помощью вредоносных ссылок или вложений электронной почты и использует уникальный модуль для дальнейшего распространения, используя локальные установки Microsoft Outlook.

После заражения системы Grandoreiro использует пользовательский загрузчик, написанный на Borland Delphi, размер которого превышает 100 МБ, чтобы избежать обнаружения антивирусом. Загрузчик запускает антианалитические проверки, чтобы избежать использования изолированных сред, и собирает информацию о системе жертвы, такую как IP-адрес, местоположение, установленное программное обеспечение и многое другое. Затем эти данные отправляются на сервер управления (C2) для получения дальнейших инструкций.

Основная полезная нагрузка Grandoreiro, также написанная на Borland Delphi, продолжает атаку, ища файл .cfg, содержащий включенные функции, и шифруя все собранные данные. Злоумышленники могут взаимодействовать с этим вредоносным ПО для выполнения различных вредоносных действий, включая отключение ввода с помощью мыши, установление удаленного контроля, кражу учетных данных и загрузку дополнительного вредоносного ПО.

Возрождение Grandoreiro служит напоминанием о постоянно меняющемся характере киберпреступности, когда участники угроз адаптируются и расширяют сферу своего влияния. Оставаясь в курсе событий и применяя надежные меры безопасности, организации могут лучше защитить себя от угроз, исходящих от вредоносных программ, подобных Grandoreiro.

#ParsedReport #CompletenessLow
02-08-2024

Fighting Ursa Luring Targets With Car for Sale

https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Duke

Threats:
Headlace

Victims:
Diplomats, Diplomatic missions

Geo:
America, Romania, Japanese, Emea, Japan, Apac, Russian, Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1071.001, T1070.004, T1204.002

IOCs:
Hash: 6
Domain: 1
File: 7
Url: 3

Soft:
Microsoft Edge

Algorithms:
base64, zip

Functions:
click

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4