#ParsedReport #CompletenessLow
04-09-2024

New Android SpyAgent Campaign Steals Crypto Credentials via Image Recognition

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-android-spyagent-campaign-steals-crypto-credentials-via-image-recognition

Report completeness: Low

Threats:
Fakecop
Typosquatting_technique

Industry:
Financial, Government, Media

Geo:
Korea, The uk

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1071.001, T1113, T1185, T1083, T1070, T1503, T1534, T1583.001, have more...

IOCs:
Hash: 20

Soft:
Android

Algorithms:
sha256

Languages:
javascript, python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, windows: 3, dump: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея заключается в том, что исследовательская группа McAfee Mobile Research обнаружила новую мобильную вредоносную программу под названием SpyAgent, которая нацелена на мнемонические ключи, связанные с криптовалютными кошельками на устройствах Android. Вредоносная программа маскируется под поддельные приложения, тайно собирает конфиденциальную информацию, такую как текстовые сообщения и изображения, распространяется с помощью фишинговых кампаний и использует обманную тактику, чтобы избежать обнаружения. Продукты McAfee для обеспечения безопасности мобильных устройств активно отслеживают и защищают от этой угрозы, подчеркивая важность бдительности пользователей и принятия упреждающих мер безопасности для защиты от вредоносных программ для мобильных устройств.
-----

Новая мобильная вредоносная программа под названием SpyAgent нацелена на мнемонические ключи, связанные с криптовалютными кошельками на устройствах Android.

Вредоносное ПО, замаскированное под поддельные приложения, которые собирают и передают текстовые сообщения, контакты и изображения на удаленные серверы.

С января 2024 года в рамках этой схемы было выявлено более 280 поддельных приложений, нацеленных на пользователей в Корее.

Вредоносное ПО в основном распространяется посредством фишинговых кампаний с помощью текстовых сообщений или сообщений в социальных сетях, содержащих вредоносные ссылки.

Вредоносная программа крадет конфиденциальную информацию у пользователей и может получать команды с удаленных серверов.

Вредоносное ПО переключилось на WebSocket-соединения для связи C2 и использует методы обфускации, чтобы избежать обнаружения.

Распространение вредоносного ПО на Великобританию и потенциальное манипулирование личными эмоциями с помощью некрологов.

Использование контактов жертв для усиления фишинговых атак.

Крайне важна бдительность пользователей при установке приложений, управлении разрешениями и обеспечении безопасности данных.

Продукты McAfee для обеспечения безопасности мобильных устройств активно отслеживают эту угрозу и обеспечивают ее защиту.

#ParsedReport #CompletenessLow
04-09-2024

FudModule Rootkit Targets Crypto, Linked to North Korean Citrine Sleet Group

https://cyble.com/blog/fudmodule-rootkit-targets-crypto-linked-to-north-korean-citrine-sleet-group

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Fudmodule_rootkit
Kaolin_rat

Geo:
North korea, North korean

CVEs:
CVE-2024-7971 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)


ChatGPT TTPs:
do not use without manual check
T1105, T1189, T1203, T1068, T1140, T1036.005, T1568.001

IOCs:
Domain: 1

Soft:
Chromium

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские злоумышленники, в частности группа, известная как Citrine Sleet, активно используют уязвимости, в том числе уязвимость нулевого дня в Chromium (CVE-2024-7971), для развертывания сложного руткита FudModule. Их целями в первую очередь являются финансовые учреждения, особенно те, которые занимаются криптовалютой, с целью получения финансовой выгоды. Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от этих злоумышленников, и важность того, чтобы организации, особенно в финансовом секторе, сохраняли бдительность, обновляли свои системы и применяли строгие меры кибербезопасности для защиты от подобных атак.
-----

Северокорейские злоумышленники, в частности группа, известная как Citrine Sleet, а также под другими псевдонимами, такими как AppleJeus, Labyrinth Chollima, UNC4736 и Hidden Cobra, активно использовали уязвимости для развертывания руткита FudModule. Citrine Sleet, связанная с бюро 121 Главного разведывательного управления Северной Кореи, нацелена на финансовые учреждения, особенно те, которые занимаются криптовалютой, с целью получения финансовой выгоды. Эта группа злоумышленников недавно воспользовалась уязвимостью нулевого дня в Chromium, идентифицированной как CVE-2024-7971, для удаленного выполнения кода (RCE). Воспользовавшись этой уязвимостью, им удалось выполнить вредоносный код в изолированном процессе рендеринга Chromium.

Цепочка атак, наблюдавшаяся в этом инциденте, началась с того, что пользователи были перенаправлены на домен, контролируемый Citrine Sleet, с помощью тактики социальной инженерии. При подключении был активирован эксплойт RCE нулевого дня для CVE-2024-7971, позволяющий злоумышленникам внедрить шелл-код в память. Этот шеллкод включал в себя эксплойт для выхода из изолированной среды Windows и руткит FudModule, сложную вредоносную программу, предназначенную для доступа к ядру, избегая обнаружения. Руткит FudModule, предназначенный только для обработки данных, использовался злоумышленниками для получения доступа администратора к ядру в системах Windows, что позволяет им выполнять примитивные операции чтения/записи и прямое манипулирование объектами ядра (DKOM).

Кроме того, исследование показало, что FudModule эволюционировал в вариант, известный как "FudModule 2.0", что было замечено в аналогичной цепочке атак Avast. Этот обновленный вариант включает в себя вредоносные загрузчики и троянскую программу удаленного доступа поздней стадии разработки (RAT) под названием Kaolin RAT, ответственную за развертывание руткита FudModule на целевых устройствах. С тех пор Google выпустила исправление для уязвимости CVE-2024-7971, используемой Citrine Sleet, и пользователям настоятельно рекомендуется обновить свой браузер Chromium до последней версии, чтобы снизить риск подобных атак.

Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от северокорейских злоумышленников, особенно в сфере финансовых киберпреступлений и криптовалют. Использование ими уязвимостей нулевого дня в сочетании с продвинутыми вредоносными программами, такими как руткит FudModule, демонстрирует изощренность и настойчивость этих групп участников угроз. Для организаций, особенно в финансовом секторе, крайне важно сохранять бдительность в отношении подобных угроз, постоянно обновлять свои системы с помощью последних исправлений и внедрять надежные меры кибербезопасности для защиты от потенциальных эксплойтов и атак со стороны таких групп, как Citrine Sleet и связанных с ними субъектов.

#ParsedReport #CompletenessLow
04-09-2024

BMOF (Binary Managed Object File) distributing XMRig coin miner (MDS product detection)

https://asec.ahnlab.com/ko/82900

Report completeness: Low

Threats:
Xmrig_miner
Stuxnet
Bondnet
Coinminer
Trojan/bat.runner.sc203192
Trojan/win.proxy.r661576

Industry:
Nuclear_power

Geo:
Iran

ChatGPT TTPs:
do not use without manual check
T1546.014, T1078.002, T1070.004, T1071.001, T1136

IOCs:
File: 2
Hash: 5
Domain: 4

Algorithms:
md5

Languages:
jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В блоге обсуждается концепция BMOF (двоичный управляемый объектный файл) и ссылка на дистрибутив XMRig coin miner. BMOF, скомпилированная версия MOF, используемая в WMI, используется злоумышленниками в вредоносных целях благодаря своей способности выполнять скрипты. В тексте подробно описывается история атак на основе BMOF, их связь со Stuxnet и их текущее использование вредоносными программами, такими как BondNet, для распространения XMRig. Процесс выполнения BMOF приводит к различным вредоносным действиям, таким как модификация системы и майнинг криптовалют, со значительными привилегиями, что создает серьезные риски для безопасности.
-----

В блоге представлена концепция BMOF (двоичный управляемый объектный файл) и ее связь с дистрибутивом XMRig coin miner. BMOF - это, по сути, скомпилированная версия MOF (Управляемый объектный файл), используемая для определения и управления информацией, относящейся к WMI (инструментарию управления Windows). Хотя файлы BMOF сами по себе не являются вредоносными и находятся в каталоге "C:\Windows\System32\wbem" по умолчанию, они способны выполнять JScript и VBScript, что делает их привлекательными для злоумышленников в качестве вредоносных программ. Злоумышленники часто используют файлы BMOF в сочетании с "Постоянной подпиской на события", чтобы обеспечить сохранение вредоносного ПО в скомпрометированных системах.

Истоки атак на основе BMOF восходят к атаке Stuxnet на иранскую атомную электростанцию в 2010 году и продолжают развиваться с момента их первого появления в 2017 году. Было обнаружено, что вредоносная программа BondNet использует BMOF для распространения майнера монет XMRig. Первоначальный метод проникновения заключается в использовании уязвимостей или проведении атак методом перебора против учетных записей SQL server SA. После успешного проникновения злоумышленник создает и запускает вредоносный BMOF-файл. Из-за особенностей выполнения файлы BMOF обычно запускаются с помощью встроенной утилиты Windows "mofcomp.exe".

После запуска BMOF он инициирует ряд вредоносных действий, включая удаление файла "hosts", создание гостевой учетной записи, загрузку дополнительных файлов VBE, настройку подключения RDP (протокол удаленного рабочего стола) для высокопроизводительных систем и, наконец, развертывание и запуск майнера XMRig coin в системе. "C:\Windows\Temp " каталог. Важно отметить повышение привилегий, связанное с выполнением BMOF, поскольку оно выполняется с системными привилегиями, что может привести к потенциально разрушительным последствиям при использовании для запуска вредоносного ПО.

Дерево процессов, связанное с выполнением BMOF, включает в себя последовательность действий, ведущих к развертыванию и работе майнера монет XMRig. Это включает в себя такие задачи, как удаление файлов, создание учетной записи пользователя, загрузка дополнительных файлов, настройка RDP и, в конечном счете, майнинг криптовалюты XMRig по определенному подпути в системном каталоге. Иллюстрация в блоге демонстрирует взаимосвязь между запущенными приложениями, такими как калькулятор, и встроенными программами Windows, такими как "scrcons.exe", подчеркивая потенциальные риски запуска вредоносных программ в таких привилегированных средах.

#ParsedReport #CompletenessHigh
04-09-2024

The Intricate Babylon RAT Campaign Targets Malaysian Politicians, Government

https://cyble.com/blog/the-intricate-babylon-rat-campaign-targets-malaysian-politicians-government

Report completeness: High

Threats:
Babylon_rat
Quasar_rat
Upx_tool
Smuggling_technique

Victims:
Political figures, Government officials

Industry:
Government

Geo:
Malaysia, Malaysian

TTPs:
Tactics: 8
Technics: 10

IOCs:
Registry: 1
IP: 2
Hash: 11

Algorithms:
aes-256, sha256

Functions:
SetWindowsHookEx

Win API:
GetProcAddress, CryptDeriveKey, CryptDecrypt, CreateThread

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Лаборатория Кибл-исследований и разведки обнаружила сложную и целенаправленную кампанию кибератак, направленную на политических деятелей и правительственных чиновников в Малайзии, в ходе которой использовались передовые тактические приемы и вредоносные ISO-файлы для распространения the Babylon RAT для несанкционированного доступа, утечки данных и слежки. Злоумышленник, стоящий за кампанией, ранее уже атаковал малазийские организации, используя Quasar RAT, а использование Babylon RAT подчеркивает необходимость усиления мер безопасности для борьбы с киберугрозами.
-----

Лаборатория кибернетических исследований и разведки (CRIL) раскрыла целенаправленную кампанию кибератак, направленную на политических деятелей и правительственных чиновников Малайзии.

Кампания проводится с июля и демонстрирует передовую тактику, используемую злоумышленниками, нацеленными на известных людей и учреждения.

Вредоносные ISO-файлы, выявленные в ходе кампании, содержат такие компоненты, как файл быстрого доступа (LNK), скрытый сценарий PowerShell, вредоносный исполняемый файл и ложный PDF-файл.

Кампания предоставляет Babylon RAT в качестве финальной полезной нагрузки, позволяющей осуществлять несанкционированный доступ к компьютерам жертв, удаленное выполнение команд, управление системой и вывоз данных.

Компания TA, стоящая за этой кампанией, ранее использовала Quasar RAT против малазийских организаций, используя вводящие в заблуждение элементы в файлах ISO, чтобы обмануть пользователей.

Babylon RAT поддерживает работоспособность благодаря изменениям в реестре, имеет панель управления для управления скомпрометированными системами и оснащен пакетом UPX для шпионажа и кражи данных.

Babylon RAT взаимодействует с командно-контрольными серверами через порт 443 для получения инструкций, сбора данных и долгосрочного наблюдения при целенаправленных кибератаках.

Сложный характер кампании по кибератакам подчеркивает способность TAs получать несанкционированный доступ к управлению и утечке конфиденциальных данных, что требует усиления мер безопасности и бдительности.

#ParsedReport #CompletenessMedium
05-09-2024

The Rise of Head Mare: A Geopolitical and Cybersecurity Analysis

https://cyble.com/blog/the-rise-of-head-mare-a-geopolitical-and-cybersecurity-analysis

Report completeness: Medium

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Threats:
Lockbit
Babuk
Sliver_c2_tool
Mimikatz_tool
Xenarmor_tool

Victims:
Russian organizations, Belarusian organizations

Industry:
Military

Geo:
Russian, Russia, Ukrainian, Belarusian, Ukraine, Moscow, Belarus

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1566, T1486, T1210, T1078, T1573, T1053, T1547, T1036

IOCs:
Hash: 25
IP: 7
Url: 15

Soft:
ESXi

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что главная группа хактивистов Mare проводит изощренные кибератаки, нацеленные на российские и белорусские организации, чтобы повлиять на политическую и экономическую стабильность в этих странах в условиях геополитической напряженности вокруг Украины. Их деятельность носит стратегический характер и направлена на поддержку целей Украины путем усиления давления на Россию и Беларусь, демонстрируя при этом передовые технические возможности и настойчивость в сохранении доступа к скомпрометированным системам. Это подчеркивает сложную взаимосвязь между киберугрозами и геополитикой, подчеркивая необходимость принятия надежных мер кибербезопасности в нынешних глобальных условиях.
-----

Главная группа хактивистов Mare атаковала российские и белорусские организации с помощью изощренных кибератак, увязывая свои действия с геополитической напряженностью вокруг Украины. Используя уязвимости, такие как CVE-2023-38831 в WinRAR, и программы-вымогатели, такие как LockBit и Babuk, Head Mare стремится дестабилизировать ключевые компании в России и Беларуси. Их атаки носят стратегический характер и направлены на то, чтобы повлиять на политическую и экономическую стабильность в этих странах, преследуя при этом свои собственные цели. Кибероперации группировки совпали с российско-украинским конфликтом, в ходе которого они оказывали давление на Россию и Беларусь, чтобы отвлечь внимание от военных действий Украины.

Head Mare использует передовые методы сохранения и уклонения от ответственности, используя такие инструменты, как Sliver framework, для эффективного управления скомпрометированными системами. Они также используют такие инструменты, как Mimikatz, для извлечения учетных данных, чтобы усилить свой контроль над целевыми сетями. Тактика группы отражает высокий уровень технической оснащенности и стратегические намерения, направленные на сохранение долгосрочного доступа к скомпрометированным системам, избегая при этом обнаружения.

Геополитические последствия деятельности главы Mare значительны, поскольку выбор целей и методов соответствует более широкому политическому ландшафту. Сосредоточившись на российских и белорусских организациях, группа ведет кибервойну, которая способствует достижению стратегических целей Украины путем усиления давления на Россию и Беларусь. Это особенно важно, учитывая недавние события в конфликте, такие как борьба российских военных после наступления Украины на Курскую дугу и последующая тактика отвлечения внимания, примененная президентом Владимиром Путиным при участии Беларуси.

Развертывание войск президентом Беларуси Александром Лукашенко на границе с Украиной еще раз иллюстрирует сложную взаимосвязь между кибероперациями и геополитической стратегией. В то время как действия Лукашенко могут отражать более широкую программу Москвы по созданию отвлекающих маневров, отсутствие внутренней поддержки полномасштабного белорусского вторжения в Украину наводит на мысль о нюансах геополитического ландшафта. Кибертактика Head Mare, включающая передовые методы фишинга, методы настойчивости и стратегии уклонения, способствует их разрушительному воздействию на целевые сети, демонстрируя меняющийся характер киберугроз и их взаимосвязь с геополитической напряженностью.

Подводя итог, можно сказать, что кибероперации Head Mare представляют собой важный фактор в динамике развития международных отношений и безопасности, а их деятельность служит средством оказания политического давления, формирования представлений и влияния на результаты в контексте российско-украинского конфликта. Технические возможности и стратегические намерения группы подчеркивают сложную взаимосвязь между киберугрозами и геополитикой, подчеркивая важность мер кибербезопасности для снижения таких рисков в современном мире, который становится все более взаимосвязанным.

#ParsedReport #CompletenessHigh
05-09-2024

Russian Military Cyber Actors Target US and Global Critical Infrastructure

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-249a

Report completeness: High

Actors/Campaigns:
Cadet_blizzard
Ruinous_ursa
Ember_bear
Unc2589
Emissary_panda

Threats:
Whispergate
Acunetix_tool
Nmap_tool
Droopescan_tool
Joomscan_tool
Masscan_tool
Netcat_tool
Wpscan_tool
Impacket_tool
Raspberry_robin
Saintbot
Passthehash_technique
Proxychains_tool
Bloodhound_tool
Crackmapexec_tool
Linpeas_tool
Password_spray_technique
Meterpreter_tool
Metasploit_tool
B374k_tool
Wso_webshell
Eternalblue_vuln
Regeorg
Neo-regeorg_tool
Dns_tunneling_technique
Credential_dumping_technique
Supply_chain_technique
Eazfuscator_tool
Advancedrun_tool
Whisperkill

Industry:
Transport, Healthcare, Military, Critical_infrastructure, Software_development, Energy, Government, Iot

Geo:
Czech, Australian, United kingdom, America, Latin america, Canada, Russian, Asia, American, German, Asian, Canadian, Latvian, Netherlands, Ukraine, Ukrainian

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit project polkit (<121)

CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo project sudo (<1.8.32, <1.9.5)

CVE-2022-27666 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.17)

CVE-2021-33044 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2021-33045 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...
CVE-2022-26138 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian questions for confluence (2.7.34, 2.7.35, 3.0.2)


TTPs:
Tactics: 9
Technics: 31

IOCs:
Domain: 2
File: 101
Hash: 185
Url: 7
Path: 2
Command: 1
IP: 23

Soft:
Scripting Engine, Active Directory, Confluence, MySQL, psexec, Microsoft Outlook, Local Security Authority, Discord, Windows Defender

Crypto:
bitcoin

Algorithms:
zip, md5, sha256, rc4, gzip, base64, xor

Win API:
ARC

Languages:
java, powershell, php, perl, visual_basic

Links:
https://github.com/cisagov/Decider/
https://github.com/owasp-amass/amass
https://github.com/jbaines-r7/through\_the\_wire
https://github.com/OWASP/joomscan

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что связанные с российским ГРУ киберпреступники из подразделения 29155 проводят глобальные кибероперации, направленные на шпионаж, саботаж и нанесение ущерба репутации, нацеленные на различные страны, с недавним акцентом на срыв усилий по оказанию помощи Украине. Злоумышленники используют передовые вредоносные программы, такие как WhisperGate, инструменты для сканирования и эксплуатации, а также различные методы, нацеленные на критическую инфраструктуру и ключевые сектора. Рекомендации по защите включают исправление уязвимостей, сегментацию сети и использование надежных протоколов шифрования.
-----

Связанные с российским ГРУ киберпреступники из подразделения 29155 участвуют в глобальных компьютерных сетевых операциях, направленных на шпионаж, саботаж и нанесение ущерба репутации, по меньшей мере, с 2020 года. В частности, эти злоумышленники используют вредоносное ПО WhisperGate для украинских организаций с 13 января 2022 года. Рекомендации для организаций по защите от таких угроз включают определение приоритетов обновлений системы, исправление известных уязвимостей, сегментацию сети и использование многофакторной аутентификации, устойчивой к фишингу.

Киберпреступники подразделения 29155 атаковали не только Украину, но и членов НАТО в Европе и Северной Америке, а также страны Европы, Латинской Америки и Центральной Азии. Их деятельность варьируется от взлома веб-сайтов до утечки данных и продажи или публичного обнародования скомпрометированных данных. Судя по всему, в последнее время эти киберпреступники в основном нацелены на срыв усилий по оказанию помощи Украине.

Киберпреступники из подразделения 29155 используют различные инструменты для сканирования, разведки и эксплуатации, такие как Acunetix, Nmap и Impacket. Было замечено, что они используют такие методы, как VPN для анонимизации, используют CVE в уязвимых системах и используют специальные вредоносные программы, такие как GOST и Raspberry Robin, для атаки на сети и использования уязвимостей. Известно, что злоумышленники нацелены на критическую инфраструктуру и ключевые секторы в разных странах.

Для противодействия этим угрозам организациям рекомендуется исправлять известные уязвимости, регулярно проводить проверку на наличие уязвимостей, ограничивать использование сервисов на ресурсах, подключенных к Интернету, внедрять сегментацию сети и использовать надежные протоколы шифрования, такие как SSL/TLS. Кроме того, организациям рекомендуется тестировать и подтверждать соответствие своих программ безопасности методам MITRE ATT&CK, связанным с участниками угроз, а также постоянно оценивать и улучшать уровень своей безопасности.

Технический анализ вредоносной программы WhisperGate показывает, что она включает в себя два этапа, stage1.exe и stage2.exe, причем последний является более разрушительным. Злоумышленники использовали несколько учетных записей Discord для распространения вредоносного ПО и контроля за ним, и вредоносное ПО предназначено для повреждения основных загрузочных записей систем, отображения поддельных уведомлений о требовании выкупа и шифрования файлов. Различные кластеры в Discord были определены как промежуточные среды для развертывания вредоносного ПО.

Дальнейшие исследования показали, что злоумышленники могут использовать jump-хосты для получения несанкционированного доступа к защищенным сетям, используя такие домены, как interlinks.top и ngrok.com. Эти домены использовались для настройки функциональности создания jump-хостов, что подчеркивает сложность и адаптивность киберпреступников.

Таким образом, организациям необходимо сохранять бдительность в отношении киберугроз, исходящих от подразделения 29155 и аналогичных участников угроз, путем внедрения надежных мер кибербезопасности, постоянного мониторинга и тестирования средств контроля безопасности для защиты своих сетей и данных от изощренных кибератак.