#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается недавнее обнаружение охотниками за угрозами в Huntress долгосрочного взлома компьютера вьетнамского правозащитника, который, как предполагается, связан с злоумышленником APT32/OceanLotus. Вторжение продемонстрировало различные совпадения с тактикой APT32 /OceanLotus и целевой демографией, продемонстрировав изощренность и настойчивость. Злоумышленники использовали передовые методы, такие как стеганография, методы обфускации и обеспечение доступа с помощью нескольких бэкдоров. Подробный анализ подчеркивает необходимость постоянной бдительности и активного поиска угроз в отношении таких продвинутых субъектов, особенно в контексте защиты прав человека и журналистики.
-----

В тексте рассказывается о недавнем обнаружении охотниками за угрозами в Huntress долгосрочного вторжения в компьютер вьетнамского правозащитника, которое, как предполагается, связано с злоумышленником APT32/OceanLotus. Вторжение, продолжавшееся не менее четырех лет, продемонстрировало различные совпадения с тактикой APT32/OceanLotus и целевой демографией. В ходе операций по поиску угроз команда Huntress выявила постоянные точки опоры и аномалии, что позволило отследить вторжение задолго до того, как был задействован их агент.

Дальнейшее расследование выявило сложные детали атаки, включая использование вредоносного файла Java Archive (JAR), загрузку встроенных библиотек DLL и запуск запланированных задач. Злоумышленник использовал различные методы, такие как использование законных двоичных файлов, создание ключей запуска, дополнительная загрузка вредоносных библиотек DLL и попытка повышения привилегий через именованные каналы. Злоумышленники также использовали инструменты и бэкдоры, связанные с Cobalt Strike, что указывает на сложную и упорную кампанию.

Анализ образцов вредоносных программ, связанных с APT32/OceanLotus, выявил передовые методы обфускации, такие как обфускация потока управления и разрешение API для расшифровки и внедрения. Вредоносная программа использовала специальные процедуры стеганографии, чтобы скрыть вредоносный код в файлах формата PNG, и при этом использовала множество бэкдоров для обеспечения доступа. Злоумышленники использовали определенные IP-адреса, домены, маскирующиеся под законные, и задачи DropboxUpdate для обмена данными и поддержания контроля над скомпрометированными системами.

Подозрительная активность включала создание нового сервиса для запуска вредоносных двоичных файлов, попытки кражи файлов cookie Google Chrome и подключения к IP-адресам сервера Cobalt Strike Team, подписанным сертификатами Let's Encrypt. Злоумышленники манипулировали памятью процесса, использовали rundll32 для выполнения DLL-файлов и использовали законные двоичные файлы для вредоносных действий. Целевая отрасль и демографическая группа организации-жертвы соответствовали известным целям APT32/OceanLotus, что указывает на целенаправленную и хорошо спланированную кампанию.

IP-адреса серверов Cobalt Strike Team были обнаружены в системах балансировки нагрузки Cloudflare, которые отображали определенные заголовки ответов, соответствующие взаимодействию с такими серверами. Злоумышленники продемонстрировали тонкое понимание скрытности и постоянства, используя сложные методы, позволяющие избежать обнаружения и сохранять доступ в течение длительного периода времени. Это вторжение продемонстрировало высокий уровень сложности и настойчивости, подчеркнув меняющийся ландшафт киберугроз и важность упреждающего поиска и анализа угроз для обнаружения и смягчения последствий таких вторжений.

Широкое совпадение с известными методами, инфраструктурой и инструментами APT32/OceanLotus подчеркивает необходимость постоянной бдительности и сбора информации об угрозах для борьбы с такими продвинутыми субъектами угроз, нацеленными на уязвимые организации и отдельных лиц, особенно в контексте защиты прав человека и журналистики.

#ParsedReport #CompletenessLow
28-08-2024

Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks

https://www.netskope.com/blog/phishing-in-style-microsoft-sway-abused-to-deliver-quishing-attacks

Report completeness: Low

Threats:
Qshing_technique
Transparent_phishing_technique

Victims:
Users of microsoft 365, Users of microsoft office credentials

Industry:
Financial

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1556.004, T1027

IOCs:
Domain: 5
Url: 15

Soft:
Google Chrome, Burpsuite

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/MicrosoftSway

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, нацеленными на Microsoft Sway, в основном использующими "квишинг" с помощью QR-кодов для обмана пользователей с целью получения доступа к вредоносным веб-сайтам и кражи учетных данных, особенно в Азии и Северной Америке, уделяя особое внимание технологиям, производству и Финансовые секторы. Злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile, чтобы обойти меры безопасности и сохранить репутацию домена. Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам и сохранять бдительность в отношении подобных фишинговых кампаний.
-----

В июле 2024 года лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, использующими Microsoft Sway, при этом трафик на фишинговые страницы увеличился в 2000 раз. В этих кампаниях в основном использовалась форма фишинга, называемая "Квишинг", которая заключалась в том, что пользователи обманом получали доступ к вредоносным веб-сайтам с помощью QR-кодов, встроенных в документы. Жертвы в основном находились в Азии и Северной Америке, особенно в таких секторах, как технологии, производство и финансы.

Злоумышленники инструктировали жертв сканировать QR-коды с помощью мобильных устройств, исходя из предположения, что личные устройства могут иметь более слабые меры безопасности по сравнению с корпоративными, что облегчает неограниченный доступ к фишинговым сайтам. Для повышения эффективности своих кампаний злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile. Благодаря прозрачному фишингу жертвы просматривали контент, идентичный легальным страницам входа в систему, что потенциально позволяло обойти такие меры безопасности, как многофакторная аутентификация. Турникет Cloudflare был использован для сокрытия фишинговой информации от сканеров статического контента, что позволило сохранить репутацию домена.

Фишинговые кампании использовали Microsoft Sway, облачное приложение, предназначенное для обмена креативным контентом, для перенаправления пользователей на фишинговые страницы с помощью QR-кодов. Эти страницы имитировали законные страницы входа в Microsoft 365 для сбора учетных данных пользователей. Используя Google Chrome и QR Code Generator PRO, злоумышленники генерировали QR-коды для перенаправления жертв на вредоносные сайты. Кроме того, в некоторых кампаниях использовался Cloudflare Turnstile для защиты фишинговых данных от онлайн-сканеров, что не позволяло службам фильтрации помечать домен.

После прохождения проверки с помощью CAPTCHA с помощью Turnstile фишинговые страницы использовали прозрачную технологию фишинга, копируя законные страницы входа в систему Microsoft 365 для сбора учетных данных. Этот метод, известный как фишинг "атакующий посередине", не только собирает учетные данные, но и пытается ввести жертвы в систему, захватывая многофакторные коды и токены, которые могут быть использованы злоумышленниками для дальнейшей эксплуатации.

Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам, связанным с влиянием Microsoft. Поскольку злоумышленники постоянно совершенствуют свои методы, защитники должны сохранять бдительность и соответствующим образом обновлять меры безопасности. Лаборатория Netskope Threat Labs взяла на себя обязательства по мониторингу вредоносных действий, направленных против Microsoft Sway, и посоветовала организациям убедиться, что они хорошо подготовлены к обнаружению и предотвращению подобных фишинговых кампаний в будущем.

#ParsedReport #CompletenessMedium
28-08-2024

Technical Analysis of Copybara

https://www.zscaler.com/blogs/security-research/technical-analysis-copybara

Report completeness: Medium

Threats:
Copybara
Credential_stealing_technique

Industry:
Iot

Geo:
Italy, Spain

ChatGPT TTPs:
do not use without manual check
T1071.001, T1202, T1546.008, T1056.001, T1113, T1123

IOCs:
File: 2
Hash: 79
IP: 14
Url: 44

Soft:
Android, Google Chrome

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе нового варианта вредоносного ПО для Android Copybara, которое в основном распространяется с помощью голосовых фишинговых атак и использует протокол MQTT для связи со своим сервером управления. Вредоносная программа способна осуществлять кейлоггинг, аудио- и видеозапись, перехват SMS-сообщений, захват экрана и кражу учетных данных, нацеливаясь на криптовалютные биржи и финансовые учреждения в Италии и Испании.
-----

Zscaler ThreatLabZ недавно проанализировал новый вариант Copybara, семейства вредоносных программ для Android, которое впервые появилось в ноябре 2021 года. Этот новый вариант Copybara, действующий с ноября 2023 года, в основном распространяется посредством голосовых фишинговых атак (вишинга), когда жертвы получают по телефону инструкции по установке вредоносного ПО для Android. Вредоносная программа использует протокол MQTT для связи со своим сервером управления (C2) и злоупотребляет функцией специальных возможностей на устройствах Android для осуществления контроля над зараженным устройством.

Вредоносная программа загружает фишинговые страницы, имитирующие популярные криптовалютные биржи и финансовые учреждения, чтобы обманом заставить жертв ввести свои учетные данные. Последняя версия Copybara включает в себя 59 поддерживаемых команд и способна осуществлять кейлоггинг, аудио- и видеозапись, перехват SMS-сообщений, захват экрана, кражу учетных данных и удаленное управление зараженным устройством. Вредоносная программа часто выдает себя за известные финансовые учреждения в Италии и Испании и использует логотипы и названия приложений этих учреждений, чтобы обмануть жертв.

Заметным дополнением в этом варианте является использование протокола MQTT для обмена данными, предназначенного для эффективной связи между устройствами с ограниченными ресурсами, что обычно используется в контексте Интернета вещей (IoT). Copybara использует платформу B4A, надежный инструмент для создания приложений для Android. После установки вредоносная программа запрашивает у пользователей разрешение службы специальных возможностей в качестве законного запроса, но это разрешение предоставляет вредоносной программе полный контроль над устройством. Если разрешение не предоставлено, вредоносная программа отображает уведомления, чтобы заставить пользователей включить его, и ограничивает доступ к настройкам, чтобы предотвратить удаление.

Сервер C2 отправляет ZIP-файлы, содержащие поддельные страницы входа в систему, для фишинговых операций, имитирующих популярные биржи и финансовые учреждения. В ходе анализа исследователи выявили два действующих сервера C2, которые активно обслуживают эти обманчивые страницы. Copybara устанавливает связь с сервером C2 через сервер MQTT на порту 52997, подписываясь на указанную очередь для получения команд. Вредоносная программа нацелена на кражу конфиденциальной информации путем обмана пользователей, которые вводят свои учетные данные на этих фишинговых страницах.

Основными целями Copybara являются криптовалютные биржи и финансовые учреждения в Италии и Испании, которые используют различные тактики для обмана пользователей и получения несанкционированного доступа к их учетным записям. Хотя основной целью является кража учетных данных, широкие возможности вредоносного ПО делают его серьезной угрозой для злоумышленников, проводящих целенаправленные атаки. Троянец может записывать аудио/ видео, захватывать экраны, перехватывать SMS-сообщения и осуществлять контроль над зараженным устройством, создавая серьезную угрозу конфиденциальности и безопасности пользователей.

#ParsedReport #CompletenessHigh
29-08-2024

The Malware That Must Not Be Named: Suspected Espionage Campaign Delivers "Voldemort"

https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort

Report completeness: High

Threats:
Voldemort
Cobalt_strike
Dll_hijacking_technique
Dumpulator_tool
Dll_sideloading_technique

Industry:
Transport, Education, Government, Financial, Aerospace

Geo:
The uk, India, Italy, France, Japan, The us, Asia, Germany

ChatGPT TTPs:
do not use without manual check
T1071.001, T1027, T1071.003, T1566.001, T1204.002, T1036.005, T1043

IOCs:
Domain: 9
File: 13
Url: 18
Path: 1
Hash: 5

Soft:
InfinityFree, Windows Explorer, TryCloudflare, Windows Search, Microsoft search, OpenWRT

Algorithms:
xor, des, rc4, sha256, zip, base64

Functions:
within

Languages:
python, javascript, powershell

Platforms:
x86, x64

Links:
https://github.com/mrexodia
https://github.com/mrexodia/dumpulator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея заключается в том, что исследователи в области кибербезопасности выявили сложную вредоносную программу под названием "Волдеморт", которая осуществляет шпионскую деятельность, выдавая себя за налоговые органы разных стран по всему миру. Злоумышленники использовали уникальную тактику, такую как использование Google Sheets для управления, нацеливание на различные организации в разных отраслях, использование уязвимостей при боковой загрузке библиотек DLL и использование туннелей Cloudflare и скриптов Python для вредоносных действий. Сложность кампании и ее специфическая направленность затрудняют отнесение атак к конкретному субъекту угрозы, что подчеркивает необходимость усиления организациями своих мер безопасности против развивающихся киберугроз.
-----

Исследователи Proofpoint обнаружили сложную вредоносную программу под названием "Voldemort", направленную на ведение шпионской деятельности путем выдачи себя за налоговые органы различных стран Европы, Азии и США. Кампания была нацелена на десятки организаций по всему миру, используя необычные тактические приемы, такие как использование Google Sheets для управления (C2) и внешнего общего доступа для сохраненные файлы поиска. Злоумышленники внедрили пользовательский бэкдор под названием Voldemort, написанный на C, позволяющий собирать информацию и предоставлять дополнительные полезные данные, такие как Cobalt Strike.

Вредоносная активность началась в августе 2024 года и затронула более 70 организаций с помощью сообщений, выдававших себя за налоговые органы, такие как IRS, HM Revenue & Customs и другие. Злоумышленник адаптировал приманки к стране проживания получателей, нацеливаясь на такие вертикали, как страховые компании, аэрокосмическая отрасль, транспорт и университеты. В цепочке атак использовались новые методы для C2, в том числе использование туннелей Cloudflare и скриптов Python для сбора компьютерной информации и выполнения вредоносных действий.

Злоумышленники использовали уязвимости при загрузке библиотек DLL в исполняемых файлах, таких как CiscoCollabHost.exe и Shuaruta.exe, чтобы внедрить маяки Cobalt Strike для дальнейших вредоносных действий. Для обмена данными и эксфильтрации данных Волдеморт использовал инфраструктуру Google Sheets, считывая команды из определенных мест в Sheet и записывая обратно информацию о хосте. Детальный анализ вредоносной программы выявил ее возможности по сбору данных, загрузке полезной нагрузки и участию в шпионской деятельности.

Несмотря на то, что характеристики кампании соответствуют деятельности киберпреступников и шпионов, Proofpoint не смог отнести ее к конкретному субъекту угрозы. Уникальное сочетание интеллектуальных возможностей и базовых функциональных возможностей усложняет оценку уровня знаний субъекта угрозы и конечных целей кампании. Сложность кампании в сочетании со специфическим таргетингом указывает на необычный и потенциально меняющийся ландшафт угроз.

Рекомендации по защите от таких угроз включают ограничение доступа к внешним файлообменным сервисам, мониторинг сетевых подключений для выявления подозрительных действий и оповещение о потенциальных угрозах. Результаты исследования подчеркивают необходимость того, чтобы организации сохраняли бдительность и адаптировали меры безопасности для борьбы с изощренными киберугрозами, такими как Волдеморт.

#ParsedReport #CompletenessMedium
29-08-2024

Peach Sandstorm deploys new custom Tickler malware in long-running intelligence gathering operations

https://www.microsoft.com/en-us/security/blog/2024/08/28/peach-sandstorm-deploys-new-custom-tickler-malware-in-long-running-intelligence-gathering-operations

Report completeness: Medium

Actors/Campaigns:
Apt33
Irgc

Threats:
Tickler
Password_spray_technique
Dll_sideloading_technique
Smokeloader
Anydesk_tool
Ad_explorer_tool

Victims:
Organizations, Educational sector, Higher education sector, Defense sector, Government sector, Space sector, Communications equipment sector, Oil and gas sector, Federal government sector, State government sector, have more...

Industry:
Government, Education, Healthcare, Petroleum, Telco

Geo:
Iranian, United arab emirates, Middle east, Australia, The us, Iran, Arab emirates

ChatGPT TTPs:
do not use without manual check
T1110.003, T1071.001, T1078, T1021.002, T1560

IOCs:
Hash: 9
File: 12
Domain: 16

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Active Directory, Microsoft Outlook, Microsoft Teams, Azure App Service

Algorithms:
zip, sha256

Win API:
LoadLibraryA

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft наблюдала за спонсируемым иранским государством злоумышленником Peach Sandstorm, участвующим в кибероперациях с помощью нового пользовательского многоступенчатого бэкдора под названием Tickler. "Персиковая песчаная буря" была нацелена на различные секторы, такие как спутниковая связь, оборудование для связи, нефть и газ, а также государственные учреждения в Соединенных Штатах и Объединенных Арабских Эмиратах, что соответствовало их постоянным целям сбора разведывательной информации. Корпорация Майкрософт активно отслеживает действия Peach Sandstorm, пресекает вредоносные операции и обращает внимание на эволюционирующую тактику злоумышленников, направленную на повышение осведомленности и усиление защиты от них и подобных злоумышленников.
-----

В период с апреля по июль 2024 года было замечено, что иранский государственный агент Peach Sandstorm проводит кибероперации, используя новый пользовательский многоступенчатый бэкдор под названием Tickler.

Tickler использовался для проведения атак, нацеленных на такие сектора, как спутниковая связь, оборудование связи, нефть и газ, а также федеральные учреждения и органы управления штатов в Соединенных Штатах и Объединенных Арабских Эмиратах.

Peach Sandstorm продолжала проводить атаки с использованием паролей в различных секторах, включая образование, спутниковую, правительственную и оборонную промышленность, для сбора разведданных.

Peach Sandstorm действует от имени иранского корпуса стражей исламской революции (КСИР) с целью содействия сбору разведывательных данных в поддержку государственных интересов Ирана.

Злоумышленник использовал инфраструктуру Azure для целей управления (C2), используя поддельные подписки, контролируемые злоумышленником.

Peach Sandstorm продемонстрировала отличные возможности бокового перемещения и использовала такие методы, как боковое перемещение малого и среднего бизнеса в скомпрометированных сетях.

Аналитические материалы Microsoft threat intelligence направлены на повышение осведомленности и оказание помощи организациям в усилении их защиты от Peach Sandstorm и аналогичных угроз.

#ParsedReport #CompletenessMedium
30-08-2024

State-backed attackers and commercial surveillance vendors repeatedly use the same exploits

https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: government_sponsored)

Threats:
Intellexa
Watering_hole_technique
Validvictor
Cookiesnatch
Androsnatch

Victims:
Mongolian government websites, Cabinet.gov.mn, Mfa.gov.mn

Industry:
Government

Geo:
Mongolian, Russian

CVEs:
CVE-2024-5274 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.112)

CVE-2023-41993 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<17.0.1)
- apple iphone os (<17.0.1)
- apple macos (<14.0)

CVE-2024-4671 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<124.0.6367.201)

CVE-2021-1879 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<14.4.2)
- apple iphone os (<12.5.2, <14.4.2)
- apple watchos (<7.3.3)

CVE-2021-37973 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<94.0.4606.61)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1189, T1555.003, T1574.002

IOCs:
Domain: 2
Url: 3
File: 1
Hash: 4

Soft:
Chrome, Android, Google Chrome, Gmail, outlook, Jenkins

Algorithms:
aes, ecdh

Languages:
javascript

Platforms:
apple

Links:
https://github.com/WebKit/WebKit/blob/88278b55563e5ccdc0b3419c6c391c3becc19e40/Source/WebCore/dom/Document.h#L1728

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке на правительственные веб-сайты Монголии, приписываемой поддерживаемой Россией группе APT29, с использованием эксплойтов, нацеленных на уязвимости iOS WebKit и Chrome. Эти атаки были связаны с использованием уязвимостей, схожих с эксплойтами, используемыми Intellexa и NSO, и продемонстрировали высокий уровень координации и технического мастерства. Для защиты от подобных угроз необходимы эффективные стратегии противодействия, такие как оперативное внесение исправлений и усиленные меры безопасности.
-----

В последнем отчете об эксплойтах за последний день сообщается о кибератаке на правительственные веб-сайты Монголии, которую приписывают поддерживаемой Россией APT29, и которая имеет сходство с эксплойтами, используемыми Intellexa и NSO. Группа анализа угроз Google (TAG) в период с ноября 2023 по июль 2024 года выявила многочисленные кампании по использованию уязвимостей, которые были связаны с хакерской атакой на правительственные веб-сайты Монголии. Целью атак были уязвимости iOS WebKit и Chrome, которые использовались для использования устройств с устаревшими версиями программного обеспечения. Несмотря на наличие исправлений, незащищенные устройства оставались уязвимыми. С умеренной степенью уверенности можно предположить, что эти кампании связаны с APT29, и злоумышленники использовали эксплойты, аналогичные тем, которые используются коммерческими поставщиками систем видеонаблюдения.

Атака watering hole затронула такие веб-сайты, как cabinet.gov.mn и mfa.gov.mn, загрузив скрытые iframe-файлы с доменов, контролируемых злоумышленниками, таких как track-adv.com. Уязвимости были нацелены на пользователей iPhone с версиями iOS старше 16.6.1 и пользователей Android с определенными версиями Chrome. Злоумышленники использовали фреймворк для кражи файлов cookie для извлечения данных из браузера и использовали разведывательную полезную нагрузку для точной идентификации целевых устройств.

Эксплойты для iOS, обнаруженные APT29, напоминали предыдущие атаки, которые были зафиксированы Google TAG, что указывает на постоянную угрозу, использующую известные уязвимости для вредоносных действий. Злоумышленники использовали сложные методы для сбора информации об устройстве и утечки конфиденциальных данных. Кампании продемонстрировали высокий уровень координации и технического мастерства, продемонстрировав эволюционирующую тактику участников угроз по использованию уязвимостей нулевого дня.

Хотя точный источник этих эксплойтов остается неясным, использование известных уязвимостей, первоначально обнаруженных коммерческими поставщиками систем видеонаблюдения, подчеркивает риски, связанные с распространением продвинутых эксплойтов для злоумышленников. Атаки, подобные тем, что наблюдались в этом инциденте, подчеркивают постоянную угрозу, исходящую от изощренных киберкампаний, нацеленных на государственные учреждения и другие важные объекты. Эффективные стратегии смягчения последствий, включая оперативное исправление и усиленные меры безопасности, имеют решающее значение для защиты от таких угроз.

#ParsedReport #CompletenessHigh
30-08-2024

Stone Wolf Attacks Russian Companies with Meduza Stealer

https://bi.zone/expertise/blog/stone-wolf-atakuet-rossiyskie-kompanii-stilerom-meduza

Report completeness: High

Actors/Campaigns:
Stone_wolf (motivation: cyber_criminal)

Threats:
Meduza
In2al5d_p3in4er
Spear-phishing_technique

Geo:
Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
Registry: 1
File: 4
Url: 2
Hash: 36
IP: 2

Soft:
Outlook, Chrome, Telegram, Discord, 1Password, SMB server

Wallets:
coinomi, exodus_wallet

Crypto:
ethereum

Algorithms:
aes

Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4