#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Abyss Locker представляет собой серьезную угрозу кибербезопасности, нацеленную как на системы Windows, так и на Linux в различных отраслях промышленности, использующую передовые методы шифрования, агрессивную тактику и стратегии множественного вымогательства. Группа программ-вымогателей ведет свое происхождение от программы-вымогателя HelloKitty и демонстрирует особое внимание к Соединенным Штатам, применяя изощренную тактику для достижения максимального эффекта. Организациям рекомендуется принимать упреждающие меры кибербезопасности для борьбы с угрозой, исходящей от программы-вымогателя Abyss Locker.
-----

Программа-вымогатель Abyss Locker - это серьезная угроза кибербезопасности, нацеленная на системы Windows и Linux в различных отраслях, таких как финансы, производство, здравоохранение и технологии.

Группа программ-вымогателей, известная как Abyss Ransomware, приобрела дурную славу благодаря своей агрессивной тактике, передовым методам шифрования и стратегиям множественного вымогательства.

Программа-вымогатель Abyss произошла от программы-вымогателя HelloKitty, использующей ее исходный код для улучшения работы.

Группа расширила свою деятельность, ориентируясь на среды Linux, особенно на виртуализированные платформы VMware ESXi, со специализированным Linux-шифровальщиком, разработанным для критически важных виртуальных сред.

Тактика включает в себя горизонтальное перемещение внутри сетей, прекращение работы критически важных служб/процессов и передовые методы шифрования.

Программа-вымогатель Abyss работает как многопрофильная группа вымогателей, шифрующая файлы и извлекающая конфиденциальные данные для использования в переговорах о выкупе.

Программа-вымогатель использует алгоритм шифрования salsa_20 и занимается утечкой данных, чтобы оказать давление на жертв.

Основными направлениями деятельности группы являются Соединенные Штаты, где она ориентируется на медицинские учреждения, производственные компании и технологические фирмы.

Первоначальный доступ осуществляется с помощью фишинговых писем, слабых конфигураций SSH или известных уязвимостей в незащищенных серверах.

Упреждающие меры, такие как обновление системы, надежная аутентификация, планирование резервного копирования и непрерывный мониторинг, имеют решающее значение в борьбе с программами-вымогателями Abyss Locker.

Понимание тактики, методов и процедур, связанных с программой-вымогателем Abyss Locker, необходимо для разработки эффективных стратегий защиты, согласованных с платформой MITRE ATT&CK.

#ParsedReport #CompletenessMedium
02-09-2024

Iranian State-Sponsored Hackers Have Become Access Brokers for Ransomware Gangsca

https://cyble.com/blog/iranian-state-sponsored-hackers-have-become-access-brokers-for-ransomware-gangsca

Report completeness: Medium

Actors/Campaigns:
Fox_kitten

Threats:
Blackcat
Noescape
Pay2key
Ligolo
Dll_sideloading_technique
Anydesk_tool
Meshcentral_tool
Ligolo-ng

Industry:
E-commerce, Government, Healthcare, Education, Critical_infrastructure, Financial

Geo:
Iranian, Iran, Israel, Israeli, Azerbaijan

CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum security gateway firmware (r80.40)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...

TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 1
IP: 12
Domain: 5
Coin: 14

Soft:
gatekeepers, PAN-OS, BIG-IP, PanOS, Windows service, Windows PowerShell

Crypto:
bitcoin

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участники киберугроз из Ирана, действующие под различными псевдонимами, все больше внимания уделяют критически важной инфраструктуре, выступая в качестве посредников для филиалов программ-вымогателей и занимаясь шпионажем в интересах иранского правительства. Группа угроз демонстрирует адаптивность, использует известные уязвимости и представляет постоянную и серьезную угрозу для организаций США во всех критически важных секторах. Организациям США рекомендуется усилить свою защиту от этих развивающихся угроз и сохранять бдительность в отношении несанкционированных установок и подозрительного сетевого трафика.
-----

Иранские злоумышленники, действующие под псевдонимами, такими как "Pioneer Kitten", стали выступать в качестве посредников для филиалов программ-вымогателей, нацеленных на сектора критической инфраструктуры, имеющие решающее значение для США и их союзников.

Эти злоумышленники демонстрируют высокую адаптивность, постоянно совершенствуя тактику использования уязвимостей в широко используемых сетевых устройствах и предлагая группам программ-вымогателей контроль над доменами, что сигнализирует о переходе к информационной войне.

Группа точно использует незащищенные уязвимости, создавая постоянную угрозу для организаций США в ключевых секторах, таких как образование, финансы, здравоохранение и оборона, с признаками государственного спонсорства из-за демонстрируемой сложности и целей, соответствующих национальным интересам Ирана.

Группа по борьбе с угрозами сотрудничает с такими группами программ-вымогателей, как ALPHV и NoEscape, используя известные уязвимости и тактику, описанные в платформе MITRE ATT&CK, такие как использование CVE-2024-3400 в Palo Alto Networks PAN-OS, а также бэкдоры и методы маскировки для обеспечения длительного доступа.

ФБР, CISA и DC3 выпустили рекомендации, содержащие индикаторы компрометации (IOCS) и предложения по устранению последствий, подчеркивающие критическую важность исправления уязвимостей, мониторинга сетевого трафика на предмет подозрительного поведения и усиления защиты от этих развивающихся киберугроз, включая программы-вымогатели, шпионаж и информационную войну.

#ParsedReport #CompletenessLow
03-09-2024

Advanced Cyberchef Techniques - Defeating Nanocore Obfuscation With Math and Flow Control

https://www.embeeresearch.io/advanced-cyberchef-techniques-defeating-nanocore-obfuscation-with-math-and-flow-control

Report completeness: Low

Threats:
Nanocore_rat

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1036.004

IOCs:
Hash: 1

Algorithms:
sha256

Languages:
powershell, visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте объясняется использование Cyberchef, инструмента анализа, для деобфускации загрузчика .vbs, связанного с вредоносным ПО Nanocore. В нем подробно рассказывается о том, как управление потоком и математические операции в Cyberchef помогают раскрыть методы обфускации, и подчеркивается важность четкого представления логики в Python для понимания процесса деобфускации. Кроме того, в комментариях к скрипту упоминается обнаружение скрытой полезной нагрузки Nanocore и приводится подробная информация о доступности образца вредоносного ПО для дальнейшего изучения на Malware Bazaar. Для эффективного анализа особое внимание уделяется преобразованию кода Visual Basic в формат, совместимый с Cyberchef, и различению шестнадцатеричных и десятичных чисел.
-----

В тексте обсуждается использование Cyberchef, инструмента с мощными, но недокументированными функциями, для деобфускации загрузчика .vbs для вредоносного ПО Nanocore. Аналитик исследует применение управления потоком данных и математических операторов для выявления методов обфускации, использованных в образце вредоносного ПО.

В начале статьи подчеркивается важность Cyberchef в оказании помощи аналитикам в деобфускации вредоносных программ, а также упоминается, что основное внимание уделяется изучению его возможностей для преодоления обфускации недавнего загрузчика .vbs, связанного с вредоносным ПО Nanocore. В тексте подчеркивается ясность логики, представленной на языке Python, на примере выражения, соответствующего символу "D", что еще больше улучшает понимание процесса деобфускации.

Работа по деобфускации продолжается по мере того, как аналитик успешно расшифровывает строку 2 исходного сценария, который впоследствии выполняет команду PowerShell, ответственную за запуск полезной нагрузки Nanocore. Заслуживает внимания тот факт, что полезная нагрузка Nanocore скрыта в комментариях к исходному сценарию, что подчеркивает тонкость методов обфускации, используемых злоумышленниками, чтобы избежать обнаружения.

Кроме того, содержится ссылка на доступность образца вредоносного ПО на Malware Bazaar, с указанием его хэша SHA256 и ссылки для дальнейшего анализа и исследований. Подчеркивается необходимость преобразования исходного кода Visual Basic в формат, понятный для Cyberchef, при этом подчеркивается важность различения шестнадцатеричных и десятичных чисел для эффективной деобфускации.

#ParsedReport #CompletenessHigh
03-09-2024

DarkCracks, GLPI, WORDPRESS&. DarkCracks, an advanced malicious payload & upgrade framework using hacked GLPI and WORDPRESS sites as relays

https://blog.xlab.qianxin.com/uncovering_darkcracks_payload_delivery_framework_cn

Report completeness: High

Threats:
Darkcracks
Quasar_rat

Industry:
Critical_infrastructure, Government, Transport

Geo:
China, Netherlands, Germany, Korea, Korean, Finland, United kingdom, Poland, Japan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1566.001, T1027, T1090, T1573

IOCs:
Hash: 12
IP: 3
File: 10
Url: 15
Domain: 20

Soft:
WORDPRESS, crontab

Algorithms:
xor, base64, md5, aes, cbc

Languages:
javascript, php

Platforms:
x64, x86, arm, mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложного вредоносного фреймворка под названием DarkCracks, освещении его методологий работы, целевых объектов, компонентов, механизмов шифрования, стабильности архитектуры и потенциальных рисков для сетевой безопасности. Платформа использует взломанные сайты GLPI и WORDPRESS для сбора конфиденциальной информации, обеспечения доступа к скомпрометированным устройствам и управления системами в различных секторах и странах. В тексте подчеркивается необходимость постоянного сотрудничества между исследователями в области безопасности для углубления понимания темных взломов и связанных с ними угроз.
-----

В тексте описывается обнаружение сложного вредоносного фреймворка под названием DarkCracks, который обладает высокой стойкостью, скрытностью и качественными функциями обновления. Платформа использует взломанные сайты GLPI и WORDPRESS в качестве загрузчиков и C2 для сбора конфиденциальной информации, обеспечения доступа к скомпрометированным устройствам и управления другими системами с использованием сети скомпрометированной инфраструктуры. DarkCracks нацелен на такие объекты, как школьные веб-сайты, системы общественного транспорта и финансовые учреждения в разных странах.

Платформа состоит из таких компонентов, как Runners и Clients, которые были идентифицированы с нулевым уровнем обнаружения в VirusTotal. DarkCracks назначает различные роли скомпрометированным устройствам в зависимости от их производительности: мощные устройства, такие как C2 и загрузчики, выступают в качестве компонентов инфраструктуры, а более слабые - в качестве бизнес-узлов ботов. Фреймворк использует системы World Press и GLPI для своих атак, стремясь использовать их для управления ИТ-активами и сервисами в организациях.

График действий DarkCracks показывает, что для выполнения различных функций используются разные серверы и компоненты, в том числе для распространения троянской программы удаленного управления QuasarRAT. Платформа использует трехуровневый механизм опроса URL-адресов и зашифрованную доставку компонентов для повышения устойчивости и защиты основных функций. Однако некоторые уязвимости, такие как зависимость от обратимых алгоритмов защиты и потенциальное манипулирование протоколами, создают риски для безопасности сети.

Подробный анализ компонентов DarkCracks, включая средства запуска, клиентов и панель управления C2, раскрывает методологии работы платформы и механизмы шифрования. Клиент передает конфиденциальную информацию об устройстве в C2 для выполнения задач с поддержкой протоколов шифрования https и информации о платформе, встроенной в формат JSON. Осторожный подход фреймворка к обновлению функций и поддержке архитектуры указывает на методичный процесс разработки.

В тексте также упоминается об обнаружении файла панели управления C2, в котором подробно описывается ее функциональность в ответ на запросы от мастеров ботов и ботов для управления конфигурацией. Внимание DarkCracks к улучшению своих возможностей и стабильности архитектуры проявляется в разработке таких версий, как SUC 2.0, для различных архитектур. Полученные результаты подчеркивают необходимость продолжения анализа и сотрудничества между исследователями в области безопасности для улучшения понимания работы DarkCracks.

В то время как текст намекает на существование других загадок, связанных с DarkCracks, и его потенциальную ориентацию на корейскую группу пользователей, он призывает к совместным исследовательским усилиям, направленным на раскрытие новых идей. Кроме того, ссылки на другие существующие аналитические статьи, посвященные связанным угрозам, таким как троян QuasarRAT remote control, предлагают более широкий контекст для понимания меняющегося ландшафта кибербезопасности.

#ParsedReport #CompletenessMedium
04-09-2024

AZORult Malware: Technical Analysis

https://any.run/cybersecurity-blog/azorult-malware-analysis

Report completeness: Medium

Threats:
Azorult
Chthonic
Ramnit
Dll_sideloading_technique
Process_injection_technique
Timestomp_technique
Credential_dumping_technique

TTPs:
Tactics: 8
Technics: 42

IOCs:
Hash: 2
Path: 1
File: 1
Registry: 7
Domain: 6
IP: 10

Soft:
Windows registry

Algorithms:
md5, sha256

Functions:
Windows

Win API:
AdjustTokenPrivileges, GetUserDefaultUILanguage, SHGetFolderPathW, GetTempPathW, GetTickCount, CreateFileW, WriteFile, ReadFile, SeShutdownPrivilege, GetProcAddress, have more...

Languages:
powershell, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это углубленный анализ вредоносной программы AZORult с акцентом на ее эволюцию, поведение, возможности и тактику работы, направленный на то, чтобы дать представление об эффективных контрмерах. В нем также упоминается сотрудничество с Chthonic и внедрение Ramnit, освещаются ключевые аспекты AZORult, такие как удаление файлов, коммуникационные возможности, модификация реестра, методы защиты от отладки и настройка привилегий во избежание обнаружения. Кроме того, в нем упоминается использование ANY.RUN, платформы, помогающей специалистам по кибербезопасности в анализе вредоносных программ.
-----

Текст представляет собой подробный отчет об анализе вредоносных программ, автором которого является Мостафа Эльшейми, специалист по анализу вредоносных программ и аналитику по анализу угроз. Отчет посвящен анализу AZORult, сложного средства для кражи учетных данных и информации о платежных картах, которое также может выполнять функцию загрузчика различных семейств вредоносных программ. Рассматривается эволюция AZORult, в частности, его переход с Delphi на C++ и введение поддержки доменов .bit в версии 2, что расширило его возможности.

Было замечено, что AZORult работает параллельно с Chthonic и внедрен Ramnit. Первоначально разработанная на Delphi, вредоносная программа была портирована на C++ в 2019 году, продемонстрировав свою эволюцию и возросшую сложность. Анализ включает в себя поведение, методы уклонения и оперативную тактику AZORult, направленные на то, чтобы лучше понять его функциональность и принять эффективные контрмеры.

В отчете освещаются ключевые аспекты поведения AZORult, включая удаление файлов, связанных с семейством вредоносных программ, и использование команд PowerShell для выполнения сценариев в скрытых окнах. Обнаружен основной файл полезной нагрузки AZORult с именем Declinometer235.exe. Вредоносная программа пытается связаться с различными IP-адресами и вредоносным доменом, демонстрируя свои коммуникационные возможности.

AZORult активно изменяет реестр Windows, пытаясь удалить данные и используя методы защиты от отладки, чтобы избежать обнаружения. Он использует API GetTickCount для обнаружения попыток отладки и использует возможности защиты от отладки для выявления аномалий во времени выполнения программы, что является распространенным показателем активности отладки.

Вредоносная программа создает, записывает и считывает новые файлы, определяет языковой идентификатор пользовательского интерфейса системы для целей локализации и использует такие привилегии, как SeShutdownPrivilege, для перезагрузки системы. Используя такие функции, как GetDiskFreeSpaceExW, AZORult проверяет наличие достаточного места на диске перед установкой, чтобы избежать обнаружения в случае почти полного заполнения диска.

Кроме того, AZORult использует LookupPrivilegeValueW для настройки привилегий токена, что позволяет избежать обнаружения программ безопасности и получить доступ к конфиденциальным операциям, требующим повышенных привилегий. Адаптация поведения в зависимости от языка системы помогает вредоносному ПО избежать обнаружения и выглядеть более локализованным, повышая его скрытность.

Отчет дополняется упоминанием ANY.RUN - платформы, которая помогает специалистам по кибербезопасности в анализе вредоносных программ с помощью интерактивной "песочницы" для систем Windows и Linux. Продукты ANY.RUN для анализа угроз, такие как TI Lookup, YARA Search и Feeds, помогают пользователям эффективно идентифицировать IOCS, файлы и реагировать на инциденты безопасности.

#ParsedReport #CompletenessMedium
03-09-2024

DeFied Expectations - Examining Web3 Heists

https://cloud.google.com/blog/topics/threat-intelligence/examining-web3-heists

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Covertcatch
Rustbucket
Supply_chain_technique

Victims:
Sky mavis, Dmm bitcoin, Euler finance

Industry:
Financial, E-commerce, Healthcare

Geo:
Japanese, Dprk, North korea, Bangladesh

ChatGPT TTPs:
do not use without manual check
T1566, T1055, T1053, T1574, T1110, T1027, T1562, T1588

IOCs:
Domain: 1
Url: 1
File: 13

Soft:
macOS

Wallets:
tron

Crypto:
bitcoin, ethereum, solana, algorand

Algorithms:
zip

Functions:
Transfer, emergencyStop

Languages:
python, rust

Platforms:
apple

Links:
https://github.com/iphelix/euler-exploit-poc/blob/main/pocs/EulerHack.sol

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что растущий уровень угроз в пространстве Web3, особенно в секторе децентрализованных финансов (DeFi), открыл новые возможности для киберпреступников, что привело к росту числа ограблений и киберпреступлений, которые превосходят традиционные нарушения в финансовом секторе. В тексте обсуждаются тактики, используемые киберпреступниками в пространстве Web3, уязвимости смарт-контрактов, атаки на управление децентрализованными автономными организациями и важность понимания прошлых компромиссов для улучшения системы безопасности.
-----

В тексте описывается растущий уровень угроз в пространстве Web3, особенно в секторе децентрализованного финансирования (DeFi). В нем подчеркивается, что стремительный рост Web3 предоставил новые возможности для участников угроз, что привело к резкому росту числа краж и киберпреступлений, превзошедших традиционные нарушения в финансовом секторе.

Известная фирма по кибербезопасности Mandiant имеет опыт расследования крупных банковских ограблений, включая печально известный случай в Банке Бангладеш в 2016 году, связанный с северокорейской компанией APT38, которая похитила 81 миллион долларов. Однако количество ограблений Web3 в настоящее время превзошло подобные инциденты, а крупнейшее ограбление DeFi в 2022 году привело к значительной потере цифровых активов.

В статье рассматриваются различные тактики, используемые киберпреступниками в пространстве Web3, включая социальную инженерию, крипто-слив, мошенничество с использованием мошеннических схем. В нем подчеркивается, что наиболее значимые инциденты, как правило, связаны с кражей ключей крипто-кошелька, эксплойтами смарт-контрактов и атаками на цепочки поставок.

Криптобиржи выделяются в качестве основных целей для киберпреступников, поскольку в последние годы произошло несколько громких ограблений и атак. Эти атаки часто следуют схеме, которая соответствует жизненному циклу целевой атаки, включая социальную инженерию разработчиков, атаки на цепочки поставок и использование менеджера паролей.

Смарт-контракты, основной компонент технологии блокчейн, уязвимы для использования при выявлении недостатков в логике кода. Для использования смарт-контрактов не требуются традиционные методы, такие как кража учетных данных или вредоносное ПО, что делает их прибыльной мишенью для киберпреступников.

В тексте также рассматриваются атаки на децентрализованные автономные организации (DAO), которые используют голосование без разрешения для принятия управленческих решений. Эти атаки направлены на манипулирование правом голоса для контроля над проектом, что потенциально может привести к сбоям в работе и финансовым потерям.

В статье приводятся конкретные примеры прошлых краж, включая использование смарт-контрактов и атаки на управление, демонстрирующие, как киберпреступники адаптируются к использованию уязвимостей в меняющемся ландшафте Web3. В статье подчеркивается важность понимания прошлых компрометаций и новых угроз для улучшения системы безопасности и предотвращения будущих атак.

#ParsedReport #CompletenessLow
03-09-2024

ToneShell Backdoor Used to Target Attendees of the IISS Defence Summit

https://hunt.io/blog/toneshell-backdoor-used-to-target-attendees-of-the-iiss-defence-summit

Report completeness: Low

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Golden_eyed_dog
Dragon_breath

Threats:
Toneshell
Pubload
Gh0st_rat
Dll_sideloading_technique

Victims:
Government organizations, Attendees of the 2024 international institute for strategic studies (iiss) defence summit

Industry:
Military, Government

Geo:
Dutch, Asia, Hong kong, China

ChatGPT TTPs:
do not use without manual check
T1566, T1132.002, T1553.002, T1073

IOCs:
File: 1
Path: 1
Command: 2
IP: 8
Hash: 4

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 2, code: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении вредоносного ПО ToneShell backdoor, приписываемого группе разработчиков угроз Mustang Panda, в целях кибершпионажа, нацеленного на правительственные организации, в частности на участников оборонного саммита Международного института стратегических исследований в Праге в 2024 году. Цель этой киберкампании - проникнуть в конфиденциальные обсуждения по вопросам безопасности и обороны, чтобы получить стратегические преимущества в условиях глобальных конфликтов, демонстрируя взаимосвязь кибершпионажа и международной стратегии. Злоумышленники использовали сложные тактические приемы, такие как подделка PDF-документов и дополнительная загрузка DLL-файлов, для выполнения своих вредоносных операций и уклонения от обнаружения. Конечная цель злоумышленников после взлома остается неизвестной, но, вероятно, заключается в сборе информации о планах защиты и политике крупных глобальных игроков. Рекомендации по устранению последствий включают повышение осведомленности о фишинге, проверку отправителей электронной почты и внедрение решений для обнаружения конечных точек и реагирования на них.
-----

Бэкдор ToneShell, связанный с группой Mustang Panda threat actor group, используется в кибершпионаже, направленном против правительственных организаций в Юго-Восточной и Восточной Азии.

Наблюдается возрождение вредоносной программы ToneShell, и есть признаки того, что она может быть нацелена на участников оборонного саммита IISS 2024 года в Праге.

Целенаправленное проведение таких громких мероприятий, как оборонный саммит IISS, указывает на пересечение кибершпионажа и международной стратегии с акцентом на получение информации о планах и политике в области обороны.

Злоумышленники использовали поддельные PDF-документы, имитирующие законные материалы IISS, чтобы снизить подозрения и повысить эффективность проникновения.

Злоумышленники использовали PIF-файлы в качестве отправителей вредоносного кода и использовали метод дополнительной загрузки DLL для установления сетевого соединения с сервером C2, имитируя трафик TLS по протоколу TCP для обхода.

Сервер C2, идентифицированный в результате атаки, размещен в ASN в Гонконге и кратко представил самозаверяющий сертификат RDP, указывающий на уровень осведомленности об операционной безопасности.

Атака предполагает координацию и оперативный контроль со стороны одного субъекта угрозы или группы лиц.

Конкретные цели участников угроз после достижения компромисса остаются неизвестными, но цель саммита по обороне подразумевает стратегическое намерение собрать разведданные о деликатных дискуссиях.

Рекомендации по устранению последствий включают проведение регулярных мероприятий по информированию о фишинге, проверку отправителей электронной почты и доменов, а также внедрение решений для обнаружения конечных точек и реагирования на них.

#ParsedReport #CompletenessMedium
03-09-2024

Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads

https://blog.talosintelligence.com/threat-actors-using-macropack

Report completeness: Medium

Actors/Campaigns:
Ghostwriter
Head_mare (motivation: hacktivism, cyber_espionage)

Threats:
Brc4_tool
Macropack_tool
Havoc
Phantomcore
Cobalt_strike
Garble_tool
Process_hacker_tool
Procmon_tool
Windbg_tool

Industry:
Government, Military

Geo:
Chinese, French, Pakistan, Taiwan, Russia, Russian, China, Pakistani, Ukrainian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1574.002, T1497.003, T1027, T1568

IOCs:
Domain: 5
Url: 16
File: 1
Hash: 8

Soft:
Microsoft Office, Microsoft Word

Algorithms:
base64, rc4

Languages:
golang, autoit