#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается о мошенничестве с квантовым ИИ, которое заключается в использовании поддельных видеороликов общественных деятелей для продвижения инвестиционных схем и фишинговых атак. Мошенники используют рекламу в социальных сетях и поддельные новостные статьи, чтобы перенаправить жертв на мошеннические веб-страницы, запрашивающие контактную информацию. Многочисленные мошеннические кампании с использованием поддельных видеороликов нацелены на жертв по всему миру, на разных языках и в разных странах. Несмотря на использование искусственного интеллекта, традиционные методы расследования эффективны для выявления инфраструктуры хостинга, используемой злоумышленниками. Расширенная фильтрация URL-адресов от Palo Alto Networks помогает обнаруживать и блокировать веб-сайты, распространяющие мошеннические кампании на основе deepfake. Распространение технологии deepfake в вредоносных целях выходит за рамки мошенничества с квантовым ИИ: киберпреступники используют ее для выдачи себя за общественных деятелей и проведения мошеннических и фишинговых атак. Организации должны активно защищаться от атак с использованием deepfake, отслеживая и расследуя такие кампании для защиты от мошенничества и дезинформации.
-----

Мошенничество с квантовым ИИ включает в себя подделку видеороликов общественных деятелей для продвижения инвестиционных схем и фишинговых атак.

Мошенники используют рекламу в социальных сетях и поддельные новостные статьи, чтобы перенаправить жертв на мошеннические веб-сайты.

Многочисленные мошеннические кампании с использованием фальшивых видеороликов на разных языках были нацелены на жертв в таких странах, как Канада, Мексика, Франция, Италия и Турция.

Исследователи выявили сотни доменов, продвигающих эти кампании, к каждому из которых по всему миру обращались в среднем 114 000 раз.

Традиционные методы расследования эффективны при выявлении хостинговой инфраструктуры, используемой участниками угроз.

Кампания Quantum AI привела к обнаружению дополнительных кампаний по глубокой фальсификации, проводимых одной и той же группой участников угроз и использующих различные стратегии таргетинга.

Расширенная фильтрация URL-адресов Palo Alto Networks позволяет обнаруживать и блокировать веб-сайты, распространяющие мошеннические кампании на основе deepfake.

Было обнаружено, что мошеннические веб-сайты, размещающие поддельные видеоролики в качестве приманки, делятся идентичным контентом, что указывает на скоординированные крупные кампании, проводимые одной группой участников угроз.

Киберпреступники используют технологию глубокой подделки, чтобы выдавать себя за таких общественных деятелей, как Илон Маск, Билл Гейтс и Уоррен Баффет, для совершения мошеннических и фишинговых атак.

Организациям необходимо постоянно отслеживать и расследовать мошеннические кампании, основанные на глубокой подделке, для защиты от мошенничества и дезинформации.

#ParsedReport #CompletenessLow
01-09-2024

Ransomware Roundup - Underground

https://www.fortinet.com/blog/threat-research/ransomware-roundup-underground

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Underground_ransomware
Shadow_copies_delete_technique

Industry:
Financial, Healthcare

Geo:
Russia, Germany, Slovakia, Korea, Taiwan, Usa, Spain, Canada, Singapore, France

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20107)
- microsoft windows 10 1607 (<10.0.14393.6167)
- microsoft windows 10 1809 (<10.0.17763.4737)
- microsoft windows 10 21h2 (<10.0.19044.3324)
- microsoft windows 10 22h2 (<10.0.19044.3324)
have more...

ChatGPT TTPs:
do not use without manual check
T1486, T1070.001, T1490, T1070.004, T1071.001, T1566.001

IOCs:
Command: 1
File: 3
Registry: 1
Hash: 6

Soft:
Microsoft Office, MS SQL, Telegram

Win Services:
MSSQLSERVER

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В обзорном отчете FortiGuard Labs о программах-вымогателях освещается появление подпольных программ-вымогателей, подробно описываются их характеристики, тактика, используемая группой, создающей угрозы (RomCom group), и важность мер безопасности, таких как своевременное внесение исправлений, для устранения угроз со стороны программ-вымогателей.
-----

FortiGuard Labs отслеживает варианты программ-вымогателей, которые набирают популярность в своих наборах данных и в сообществе OSINT. В отчете Roundup Ransomware представлена информация об изменяющемся ландшафте программ-вымогателей и представлены решения Fortinet, которые обеспечивают защиту от этих угроз. Недавний выпуск обзора программ-вымогателей посвящен подпольным программам-вымогателям.

Программа-вымогатель Underground была впервые обнаружена в начале июля 2023 года на общедоступном сайте для сканирования файлов. Примерно в то же время, 13 июля 2023 года, была опубликована первая утечка данных о жертве. Эта программа-вымогатель, как и ее типичные варианты, шифрует файлы в системах Windows и требует выкуп за расшифровку с помощью отправленных сообщений о выкупе.

Согласно сообщениям, подпольная программа-вымогатель внедряется группой компаний RomCom, также известной как Storm-0978, базирующейся в России. Эта группа угроз использует CVE-2023-36884 (уязвимость Microsoft Office и Windows HTML RCE) в качестве потенциального источника заражения для программ-вымогателей. 13 июля 2024 года лаборатория FortiGuard выпустила предупреждение о вспышке CVE-2023-36884.

После запуска программа-вымогатель Underground удаляет теневые копии и изменяет максимальное время активности для сеансов удаленного рабочего стола/терминального сервера. Она также генерирует уведомление о требовании с именем "!!readme!!!.txt" и выполняет различные задачи, такие как шифрование файлов без изменения расширений, выполнение temp.cmd для определенных действий и удаление журналов событий Windows.

Программа-вымогатель Underground использует сайт для утечки данных, где публикуется информация о жертвах, включая украденные данные. На момент публикации отчета в списке было 16 жертв, последняя публикация была опубликована 3 июля 2024 года. Жертвами становятся представители различных отраслей, а на сайте утечки данных представлен список отраслей, на которые нацелена группа вымогателей. Кроме того, у группы есть канал в Telegram, созданный 21 марта 2024 года, с помощью которого они предоставляют доступ к украденным данным в облачном сервисе хранения Mega.

Подводя итог, можно сказать, что программа-вымогатель Underground представляет собой серьезную угрозу, поскольку известно об использовании уязвимостей, активных утечках данных и склонности нацеливаться на жертв в различных отраслях. Организациям настоятельно рекомендуется сохранять бдительность и принимать надежные меры безопасности для снижения рисков, связанных с атаками программ-вымогателей.

Отчет проливает свет на тактику и методы, используемые группой RomCom для развертывания программы-вымогателя Underground, подчеркивает важность своевременного исправления для предотвращения использования уязвимостей, подобных CVE-2023-36884, и подчеркивает необходимость принятия упреждающих мер безопасности для защиты от появляющихся угроз со стороны программ-вымогателей.

#ParsedReport #CompletenessLow
01-09-2024

Malware disguised as an invoice for the construction of the expressway No. 29 between Sejong and Anseong by Kimsuky - Dox Enterprise 20240610 invoice.bmp.lnk (2024.7.30)

https://wezard4u.tistory.com/429261

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Pantera
Powecod
Quickheal
Artemis

Victims:
Dox enterprise, Doyang enterprise

Industry:
Military

ChatGPT TTPs:
do not use without manual check
T1105, T1059.001, T1027, T1053.005, T1070.004

IOCs:
File: 3
Hash: 5

Soft:
chrome

Algorithms:
sha1, md5, sha256

Functions:
GetTempPath

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается вредоносная кампания, замаскированная под поддельные счета-фактуры, связанные со строительным проектом, использующая такие методы, как код PowerShell и расшифровка base64, для использования уязвимостей в системе безопасности и кражи конфиденциальной информации у субподрядчиков.
-----

В тексте обсуждается вредоносная кампания, связанная со счетом-фактурой на строительство участка Седжонг-Ансонг Национального шоссе № 29, предположительно от компании Kimsuky - Dox Enterprise. Вредоносное ПО замаскировано под BMP-файл, но на самом деле является файлом lnk. Сжатый файл называется 1.zip размером 6,14 КБ и хэш-значениями MD5: 4ac2192b01fce9e793f544d09877d16b, SHA-1: d83f47dfe20c38ccec3b9869f644fd4c128a94d0 и SHA-256: 3d3cc980ccf97cde5f3272fdc4c88569b77afe3f88e2e62186861daae99644d0. Соответствующий вредоносный файл с именем Doyang Enterprise 20240610 Invoice Gapji.bmp.lnk имеет размер 310 КБАЙТ и содержит хэш-значения MD5: 09b1213c8a336541a4849d65b937293f, SHA-1: 9e6e4ecaea18171e2266899f1bffda5de1091a2f и SHA-256: 44ff60d352169f280801cf2075295aab0a6151ff8f77b66d16c82776efce7fea.

Вредоносная программа использует код PowerShell и расшифровку base64 в вредоносных файлах для своих операций. Он распространяется в виде поддельного BMP-файла с именем Doyang Enterprise 20240608 Invoice Gapji(.)bmp, полученного по ссылке из Dropbox и запускаемого при загрузке. Вредоносная программа включает в себя вредоносный скрипт под названием chrome(.)ps, замаскированный под связанный с браузером Chrome, который настроен на запуск каждые 30 минут с помощью запланированной задачи под названием ChromeUpdateCoreTaskMachineKOR в скрытом режиме. Кроме того, другой вредоносный скрипт с именем system_first(.)ps1 загружается, запускается и быстро удаляется, чтобы избежать обнаружения, маскируясь под транзакционный отчет. Основная цель вредоносного ПО - использовать уязвимости в системах безопасности субподрядчиков для кражи конфиденциальной информации.

Таким образом, вредоносная кампания включает распространение вредоносных файлов, замаскированных под законные счета-фактуры, связанные со строительным проектом. Файлы выглядят как изображения в формате BMP, но на самом деле являются файлами lnk, содержащими вредоносное ПО. Вредоносное ПО использует различные методы, такие как код PowerShell и декодирование base64 для своих операций. Он предназначен для периодического выполнения с помощью вводящих в заблуждение скриптов с именами chrome(.)ps и system_first(.)ps1, целью которых является утечка конфиденциальных данных путем использования слабых мест в мерах безопасности субподрядчиков.

#ParsedReport #CompletenessMedium
01-09-2024

Kimsuky VBS RAT Malware Analysis Report

https://m.blog.naver.com/nurilab1/223556640169

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Babyshark
Spear-phishing_technique
Qshing_technique

Victims:
Korean university faculty, University professors

Industry:
Education

Geo:
North korean, Korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1070.004, T1059.005, T1027

IOCs:
File: 7
IP: 1
Hash: 7
Path: 1

Soft:
Gmail

Algorithms:
md5, sha1, sha256, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе скрипта VBS RAT, связанного с вредоносным ПО BabyShark, и его использовании в кибератаке на преподавателей Корейского университета группой разработчиков угроз Kimsuky. В нем рассказывается о методологии атаки, включающей в себя фишинговые электронные письма, вводящие в заблуждение ссылки, передачу данных на сервер командно-диспетчерского управления, а также о возможностях скрипта RAT для кражи данных и выполнения дополнительных вредоносных программ. В тексте также подчеркивается важность надежных мер кибербезопасности и постоянного обновления системы безопасности для эффективного противодействия возникающим киберугрозам, особенно для таких важных секторов, как научные круги.
-----

В отчете Nurilab Tech по анализу вредоносного ПО Kimsuky VBS RAT, опубликованном в отчете Nurilab Tech по анализу вредоносного ПО Kimsuky VBS RAT, обнаружен скрипт VBS RAT, предположительно связанный с вредоносным ПО BabyShark, который был использован в недавней атаке на преподавателей Корейского университета группой разработчиков угроз Kimsuky 31 июля. Методология атаки заключалась в рассылке фишинговых электронных писем с использованием инструмента SendMail, модифицированного PHPMailer, на почтовые аккаунты Gmail и Daum. Эти электронные письма содержали обманчивую ссылку, замаскированную под логин Naver или университетский портал. Получателям, которые переходили по ссылке, предлагалось открыть PDF-файл, что запускало выполнение вредоносной программы BabyShark и загружало текущий образец в целевую систему. Впоследствии вредоносная программа устанавливала соединения с сервером управления (C2) для сбора данных. Скрипт VBS установил ранее проанализированный RAT на взломанную систему, предоставив ей возможность считывать и передавать все файлы и диски, что позволило осуществить кражу данных. Кроме того, скрипт RAT включал функции загрузки и выполнения, облегчающие передачу и выполнение дополнительных вредоносных программ или скриптов. Кроме того, скрипт обладал функцией удаления, позволяющей удалять файлы после выполнения, чтобы скрыть нарушение от жертв.

В контексте этой кибератаки северокорейская группа кибершпионажа Kimsuky предположительно была ответственна за нападение на университетских профессоров. В отчете The Hacker News указывалось на использование бэкдоров PowerShell, ранее обнаруженных в вредоносном ПО DropBox, в рамках кампании BabyShark, проводимой группой Kimsuky. Инструмент AskURL от Nurilab сыграл важную роль в быстром обнаружении и анализе фишингового сайта, выдающего себя за Naver. Функциональность AskURL включает в себя обнаружение различных киберугроз в режиме реального времени, включая фишинг, smishing и qshing, на таких платформах, как веб-почта, SMS и приложения для обмена сообщениями.

Обнаружение этого скрипта VBS RAT проливает свет на сложные методы, используемые злоумышленниками, такими как Kimsuky, для проведения целенаправленных кибератак. Сложная цепочка атак, включающая в себя фишинговые электронные письма, перенаправление вредоносных ссылок и сложные вредоносные программы, подчеркивает важность надежных мер кибербезопасности, таких как фильтрация электронной почты, повышение осведомленности пользователей и защита конечных точек, для снижения рисков, связанных с такими угрозами. Организациям, особенно работающим в академических кругах или других отраслях с высокой добавленной стоимостью, следует сохранять бдительность в отношении таких угроз и постоянно обновлять свои средства защиты, чтобы эффективно противостоять возникающим киберугрозам.

#ParsedReport #CompletenessLow
31-08-2024

ManticoraLoader: New Loader Announced from the Developers of AresLoader

https://cyble.com/blog/manticoraloader-new-loader-announced-from-the-developers-of-aresloader

Report completeness: Low

Actors/Campaigns:
Phantom_dev

Threats:
Manticora_loader
Aresloader
Aidlocker

IOCs:
Hash: 1
Url: 5

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой киберугрозы, известной как ManticoraLoader, - вредоносного ПО как услуги, разработанного участниками угроз DeadXInject, которые также ответственны за вредоносное ПО AresLoader. ManticoraLoader предназначен для сбора конфиденциальной информации с зараженных устройств и поддержания контроля над скомпрометированными системами и обладает передовыми методами обфускации и возможностями сохранения. Появление ManticoraLoader наряду с AresLoader указывает на стратегический шаг злоумышленников, направленный на максимизацию их прибыли. Эта новая угроза создает проблемы для специалистов по безопасности из-за ее расширенных функциональных возможностей, потенциально усложняя усилия по обнаружению и устранению последствий.
-----

Cyble Research & Intelligence Labs (CRIL) обнаружила новую угрозу в киберпространстве - ManticoraLoader, вредоносное ПО как услуга, предлагаемое теми же участниками, которые ответственны за печально известный AresLoader. Эти злоумышленники, известные как DeadXInject, начали продвигать ManticoraLoader на подпольных форумах и в своем Telegram-канале 8 августа 2024 года. У этой группы есть опыт создания мощных вредоносных программ, о чем свидетельствуют их предыдущие разработки, такие как AresLoader и AiDLocker ransomware.

ManticoraLoader может похвастаться передовыми методами обфускации и предназначен для работы в широком спектре систем Windows, включая Windows 7 и более поздние версии, а также Windows Server. Его основная функция заключается в сборе подробной информации с зараженных устройств, такой как IP-адреса, имена пользователей, системные языковые настройки, установленное антивирусное программное обеспечение, UUID и временные метки. Затем эти данные отправляются обратно на центральную панель управления, предоставляя злоумышленникам средства для составления профиля жертв, планирования дальнейших атак и поддержания контроля над скомпрометированными системами.

Кроме того, ManticoraLoader предлагает возможности для обеспечения сохранности в скомпрометированных системах путем размещения файлов в местах автоматического запуска и может быть настроен с помощью модульной конструкции в соответствии с различными целями злоумышленников. Вредоносная программа использует сложные методы обфускации, чтобы избежать обнаружения, и доступна для аренды за ежемесячную плату в размере 500 долларов США. Злоумышленники, стоящие за ManticoraLoader, установили строгие условия его использования, ограничив число клиентов до 10 и используя для транзакций услуги условного депонирования на форумах или прямое общение через Telegram или TOX.

Несмотря на появление ManticoraLoader, CRIL отмечает, что AresLoader продолжает активно использоваться злоумышленниками. Внедрение ManticoraLoader наряду с AresLoader предполагает стратегию, позволяющую извлечь максимальную выгоду из их нынешнего успеха. Однако остается неясным, почему злоумышленники оставались неактивными более года, прежде чем запустить ManticoraLoader, особенно учитывая их прошлые достижения с программами-вымогателями AiDLocker и AresLoader.

Несмотря на то, что рекламируемые функции ManticoraLoader изначально кажутся похожими на его предшественника, если заявления о расширенных функциональных возможностях верны, это может создать проблемы для специалистов по безопасности при обнаружении и устранении заражений. Потенциальные улучшения в ManticoraLoader могут усложнить идентификацию действий злоумышленников и ботнетов, как это наблюдалось в предыдущих кампаниях AresLoader.

#ParsedReport #CompletenessLow
01-09-2024

Rocinante: The trojan horse that wanted to fly

https://www.threatfabric.com/blogs/the-trojan-horse-that-wanted-to-fly-rocinante

Report completeness: Low

Threats:
Rocinante
Chrysaor
Ermac
Cerberus

Industry:
Financial

Geo:
Brasil, Brazilian, Latam, Brazil

ChatGPT TTPs:
do not use without manual check
T1556.001, T1513, T1071.001, T1078.003, T1560, T1202

IOCs:
Hash: 4

Soft:
Telegram

Algorithms:
gzip, base64, deflate, des

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и развитии угрозы, исходящей от нового вида вредоносного ПО для мобильных устройств под названием Rocinante, которое происходит из Бразилии и нацелено на бразильские банковские учреждения с такими ключевыми функциями, как кейлоггинг, фишинговые атаки и возможность захвата устройств. Вредоносная программа использует различные коммуникационные протоколы для своих операций и представляет серьезную угрозу для банковских клиентов, потенциально компрометируя конфиденциальные финансовые данные и делая возможными несанкционированные переводы.
-----

В последние годы рынок мобильных вредоносных программ стремительно развивается, привлекая новых участников в связи с широким использованием мобильных устройств для транзакций. Был обнаружен новый вид вредоносного ПО под названием Rocinante, который происходит из Бразилии и обладает такими ключевыми функциями, как кейлоггинг, фишинговые атаки и возможность захвата устройств. Эта вредоносная программа нацелена на бразильские банковские учреждения и использует для своих операций различные коммуникационные протоколы, такие как Firebase messaging, HTTP-трафик, WebSocket-трафик и Telegram API.

Участники, стоящие за Rocinante, называют его "Pegasus", что может привести к путанице с другим печально известным семейством шпионских программ, разработанных NSO Group. Однако Rocinante отличается своей направленностью и возможностями, ориентированными на финансовую выгоду, а не на слежку. Чтобы избежать путаницы, аналитики решили назвать эту вредоносную программу Rocinante в честь коня Дон Кихота.

Rocinante использует Firebase messaging для регистрации установок, взаимодействует с несколькими серверами C2 и использует привилегии службы специальных возможностей для ведения кейлоггинга и удаленных действий. Вредоносная программа извлекает личную информацию с помощью фишинговых экранов, выдавая себя за банковские учреждения, и отправляет ее боту Telegram, контролируемому злоумышленниками. Он может имитировать нажатия и жесты на зараженном устройстве для инициирования несанкционированных транзакций.

Со временем вредоносная программа претерпела значительные изменения в коде, включив элементы из семейства вредоносных программ Ermac. Такая гибридизация с внешними источниками свидетельствует о растущем интересе латиноамериканских киберпреступников к использованию технологий, не относящихся к их региону. Rocinante представляет серьезную угрозу для банковских клиентов, потенциально подвергая риску конфиденциальные финансовые данные и делая возможными несанкционированные переводы.

#ParsedReport #CompletenessLow
01-09-2024

Malware targeting aerospace engineering and related people created by Kimsuky - Lecture request form (2024.8.29)

https://wezard4u.tistory.com/429266

Report completeness: Low

Actors/Campaigns:
Kimsuky

Victims:
Professor bang hyo-chung

Industry:
Education, Aerospace

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1204.002, T1059.007

IOCs:
File: 1
Hash: 3
Url: 2

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ кампании вредоносного ПО, нацеленной на специалистов в области аэрокосмической техники, с особым упором на инцидент с участием профессора Банг Хе Чунга из KAIST. Вредоносная программа под названием Lecture Request Form (2024.8.29) принадлежит группе разработчиков угроз Kimsuky, и ее ключевые данные указаны в целях идентификации. Электронное письмо, использованное при атаке, выглядит как законное приглашение на лекцию, чтобы обманом заставить получателей открыть вредоносное вложение. В тексте также обсуждаются средства обнаружения вредоносных программ, подчеркивающие, что вредоносное ПО классифицируется как общая угроза, связанная с Kimsuky, с высокой степенью достоверности. Кроме того, в нем содержится информация о потенциальной троянской природе вредоносного ПО, его формате файла с расширением msc и рекомендации по его анализу для извлечения важной информации и понимания его поведения.
-----

В тексте обсуждается кампания вредоносного ПО, нацеленная на специалистов в области аэрокосмической техники, в частности, на инцидент с участием профессора Банг Хе Чунга из департамента аэрокосмической техники в KAIST. Вредоносная программа, о которой идет речь, называется Lecture Request Form (2024.8.29) и принадлежит группе разработчиков угроз Kimsuky. Электронное письмо, использованное при атаке, было оформлено как приглашение на лекцию от профессора Банг Хе Чунга.

Основные сведения о вредоносном ПО включают имя файла, размер и хэш-значения для целей идентификации:.

Имя файла: Форма запроса на лекцию.msc.

Размер: 142 КБ.

MD5: ef8947d291107256cb5883ac3bc163d0.

SHA-1: cf8555a2d9fc8081ba8c8e29f7905dd926655df1.

SHA-256: 8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4.

Текст также содержит образец содержимого вредоносной программы, имитирующий форму запроса на лекцию, отправляемую жертве. В сообщении указывается принимающая организация, информация о лекторе (профессор Банг Хе Чунг), тема лекции, дата, время, местоположение, целевая аудитория, стоимость лекции и другие технические детали. На первый взгляд содержание кажется законным и направлено на то, чтобы обманом заставить получателя открыть вредоносное вложение.

Кроме того, в тексте содержится информация об обнаружении вредоносного ПО различными средствами безопасности, в том числе с помощью ALYac, Arcabit, BitDefender, Emsisoft, eScan, GData, Ikarus, Kaspersky, MAX, Trellix (HX), VIPRE, VirIT и ZoneAlarm от Check Point. Результаты обнаружения свидетельствуют о том, что вредоносное ПО идентифицировано как общая угроза, связанная с группой Kimsuky, с высокой степенью достоверности - 99%.

В тексте содержится намек на то, что вредоносная программа может быть трояном, предназначенным для выполнения вредоносных сценариев или действий в зараженной системе. Формат файла с расширением msc выделен, что указывает на то, что вредоносная программа может использовать этот формат для уклонения от обнаружения или выполнения определенных функций. Кроме того, есть упоминания об анализе вредоносного ПО в Notepad++ для извлечения важной информации и понимания его поведения.

#ParsedReport #CompletenessMedium
01-09-2024

Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool. Summary and introduction

https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Interactsh_tool

Industry:
Critical_infrastructure

Geo:
Emirates, Middle east

ChatGPT TTPs:
do not use without manual check
T1071.004, T1566.002, T1059.001, T1140, T1105, T1005, T1071.001

IOCs:
File: 4
Domain: 4
Url: 2
Hash: 2
IP: 1

Algorithms:
base64, aes

Languages:
powershell

Links:
https://github.com/projectdiscovery/interactsh