#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Лаборатория Кибл-исследований и разведки обнаружила сложную и целенаправленную кампанию кибератак, направленную на политических деятелей и правительственных чиновников в Малайзии, в ходе которой использовались передовые тактические приемы и вредоносные ISO-файлы для распространения the Babylon RAT для несанкционированного доступа, утечки данных и слежки. Злоумышленник, стоящий за кампанией, ранее уже атаковал малазийские организации, используя Quasar RAT, а использование Babylon RAT подчеркивает необходимость усиления мер безопасности для борьбы с киберугрозами.
-----

Лаборатория кибернетических исследований и разведки (CRIL) раскрыла целенаправленную кампанию кибератак, направленную на политических деятелей и правительственных чиновников Малайзии.

Кампания проводится с июля и демонстрирует передовую тактику, используемую злоумышленниками, нацеленными на известных людей и учреждения.

Вредоносные ISO-файлы, выявленные в ходе кампании, содержат такие компоненты, как файл быстрого доступа (LNK), скрытый сценарий PowerShell, вредоносный исполняемый файл и ложный PDF-файл.

Кампания предоставляет Babylon RAT в качестве финальной полезной нагрузки, позволяющей осуществлять несанкционированный доступ к компьютерам жертв, удаленное выполнение команд, управление системой и вывоз данных.

Компания TA, стоящая за этой кампанией, ранее использовала Quasar RAT против малазийских организаций, используя вводящие в заблуждение элементы в файлах ISO, чтобы обмануть пользователей.

Babylon RAT поддерживает работоспособность благодаря изменениям в реестре, имеет панель управления для управления скомпрометированными системами и оснащен пакетом UPX для шпионажа и кражи данных.

Babylon RAT взаимодействует с командно-контрольными серверами через порт 443 для получения инструкций, сбора данных и долгосрочного наблюдения при целенаправленных кибератаках.

Сложный характер кампании по кибератакам подчеркивает способность TAs получать несанкционированный доступ к управлению и утечке конфиденциальных данных, что требует усиления мер безопасности и бдительности.

#ParsedReport #CompletenessMedium
05-09-2024

The Rise of Head Mare: A Geopolitical and Cybersecurity Analysis

https://cyble.com/blog/the-rise-of-head-mare-a-geopolitical-and-cybersecurity-analysis

Report completeness: Medium

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Threats:
Lockbit
Babuk
Sliver_c2_tool
Mimikatz_tool
Xenarmor_tool

Victims:
Russian organizations, Belarusian organizations

Industry:
Military

Geo:
Russian, Russia, Ukrainian, Belarusian, Ukraine, Moscow, Belarus

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1566, T1486, T1210, T1078, T1573, T1053, T1547, T1036

IOCs:
Hash: 25
IP: 7
Url: 15

Soft:
ESXi

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что главная группа хактивистов Mare проводит изощренные кибератаки, нацеленные на российские и белорусские организации, чтобы повлиять на политическую и экономическую стабильность в этих странах в условиях геополитической напряженности вокруг Украины. Их деятельность носит стратегический характер и направлена на поддержку целей Украины путем усиления давления на Россию и Беларусь, демонстрируя при этом передовые технические возможности и настойчивость в сохранении доступа к скомпрометированным системам. Это подчеркивает сложную взаимосвязь между киберугрозами и геополитикой, подчеркивая необходимость принятия надежных мер кибербезопасности в нынешних глобальных условиях.
-----

Главная группа хактивистов Mare атаковала российские и белорусские организации с помощью изощренных кибератак, увязывая свои действия с геополитической напряженностью вокруг Украины. Используя уязвимости, такие как CVE-2023-38831 в WinRAR, и программы-вымогатели, такие как LockBit и Babuk, Head Mare стремится дестабилизировать ключевые компании в России и Беларуси. Их атаки носят стратегический характер и направлены на то, чтобы повлиять на политическую и экономическую стабильность в этих странах, преследуя при этом свои собственные цели. Кибероперации группировки совпали с российско-украинским конфликтом, в ходе которого они оказывали давление на Россию и Беларусь, чтобы отвлечь внимание от военных действий Украины.

Head Mare использует передовые методы сохранения и уклонения от ответственности, используя такие инструменты, как Sliver framework, для эффективного управления скомпрометированными системами. Они также используют такие инструменты, как Mimikatz, для извлечения учетных данных, чтобы усилить свой контроль над целевыми сетями. Тактика группы отражает высокий уровень технической оснащенности и стратегические намерения, направленные на сохранение долгосрочного доступа к скомпрометированным системам, избегая при этом обнаружения.

Геополитические последствия деятельности главы Mare значительны, поскольку выбор целей и методов соответствует более широкому политическому ландшафту. Сосредоточившись на российских и белорусских организациях, группа ведет кибервойну, которая способствует достижению стратегических целей Украины путем усиления давления на Россию и Беларусь. Это особенно важно, учитывая недавние события в конфликте, такие как борьба российских военных после наступления Украины на Курскую дугу и последующая тактика отвлечения внимания, примененная президентом Владимиром Путиным при участии Беларуси.

Развертывание войск президентом Беларуси Александром Лукашенко на границе с Украиной еще раз иллюстрирует сложную взаимосвязь между кибероперациями и геополитической стратегией. В то время как действия Лукашенко могут отражать более широкую программу Москвы по созданию отвлекающих маневров, отсутствие внутренней поддержки полномасштабного белорусского вторжения в Украину наводит на мысль о нюансах геополитического ландшафта. Кибертактика Head Mare, включающая передовые методы фишинга, методы настойчивости и стратегии уклонения, способствует их разрушительному воздействию на целевые сети, демонстрируя меняющийся характер киберугроз и их взаимосвязь с геополитической напряженностью.

Подводя итог, можно сказать, что кибероперации Head Mare представляют собой важный фактор в динамике развития международных отношений и безопасности, а их деятельность служит средством оказания политического давления, формирования представлений и влияния на результаты в контексте российско-украинского конфликта. Технические возможности и стратегические намерения группы подчеркивают сложную взаимосвязь между киберугрозами и геополитикой, подчеркивая важность мер кибербезопасности для снижения таких рисков в современном мире, который становится все более взаимосвязанным.

#ParsedReport #CompletenessHigh
05-09-2024

Russian Military Cyber Actors Target US and Global Critical Infrastructure

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-249a

Report completeness: High

Actors/Campaigns:
Cadet_blizzard
Ruinous_ursa
Ember_bear
Unc2589
Emissary_panda

Threats:
Whispergate
Acunetix_tool
Nmap_tool
Droopescan_tool
Joomscan_tool
Masscan_tool
Netcat_tool
Wpscan_tool
Impacket_tool
Raspberry_robin
Saintbot
Passthehash_technique
Proxychains_tool
Bloodhound_tool
Crackmapexec_tool
Linpeas_tool
Password_spray_technique
Meterpreter_tool
Metasploit_tool
B374k_tool
Wso_webshell
Eternalblue_vuln
Regeorg
Neo-regeorg_tool
Dns_tunneling_technique
Credential_dumping_technique
Supply_chain_technique
Eazfuscator_tool
Advancedrun_tool
Whisperkill

Industry:
Transport, Healthcare, Military, Critical_infrastructure, Software_development, Energy, Government, Iot

Geo:
Czech, Australian, United kingdom, America, Latin america, Canada, Russian, Asia, American, German, Asian, Canadian, Latvian, Netherlands, Ukraine, Ukrainian

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit project polkit (<121)

CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo project sudo (<1.8.32, <1.9.5)

CVE-2022-27666 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.17)

CVE-2021-33044 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2021-33045 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...
CVE-2022-26138 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian questions for confluence (2.7.34, 2.7.35, 3.0.2)


TTPs:
Tactics: 9
Technics: 31

IOCs:
Domain: 2
File: 101
Hash: 185
Url: 7
Path: 2
Command: 1
IP: 23

Soft:
Scripting Engine, Active Directory, Confluence, MySQL, psexec, Microsoft Outlook, Local Security Authority, Discord, Windows Defender

Crypto:
bitcoin

Algorithms:
zip, md5, sha256, rc4, gzip, base64, xor

Win API:
ARC

Languages:
java, powershell, php, perl, visual_basic

Links:
https://github.com/cisagov/Decider/
https://github.com/owasp-amass/amass
https://github.com/jbaines-r7/through\_the\_wire
https://github.com/OWASP/joomscan

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что связанные с российским ГРУ киберпреступники из подразделения 29155 проводят глобальные кибероперации, направленные на шпионаж, саботаж и нанесение ущерба репутации, нацеленные на различные страны, с недавним акцентом на срыв усилий по оказанию помощи Украине. Злоумышленники используют передовые вредоносные программы, такие как WhisperGate, инструменты для сканирования и эксплуатации, а также различные методы, нацеленные на критическую инфраструктуру и ключевые сектора. Рекомендации по защите включают исправление уязвимостей, сегментацию сети и использование надежных протоколов шифрования.
-----

Связанные с российским ГРУ киберпреступники из подразделения 29155 участвуют в глобальных компьютерных сетевых операциях, направленных на шпионаж, саботаж и нанесение ущерба репутации, по меньшей мере, с 2020 года. В частности, эти злоумышленники используют вредоносное ПО WhisperGate для украинских организаций с 13 января 2022 года. Рекомендации для организаций по защите от таких угроз включают определение приоритетов обновлений системы, исправление известных уязвимостей, сегментацию сети и использование многофакторной аутентификации, устойчивой к фишингу.

Киберпреступники подразделения 29155 атаковали не только Украину, но и членов НАТО в Европе и Северной Америке, а также страны Европы, Латинской Америки и Центральной Азии. Их деятельность варьируется от взлома веб-сайтов до утечки данных и продажи или публичного обнародования скомпрометированных данных. Судя по всему, в последнее время эти киберпреступники в основном нацелены на срыв усилий по оказанию помощи Украине.

Киберпреступники из подразделения 29155 используют различные инструменты для сканирования, разведки и эксплуатации, такие как Acunetix, Nmap и Impacket. Было замечено, что они используют такие методы, как VPN для анонимизации, используют CVE в уязвимых системах и используют специальные вредоносные программы, такие как GOST и Raspberry Robin, для атаки на сети и использования уязвимостей. Известно, что злоумышленники нацелены на критическую инфраструктуру и ключевые секторы в разных странах.

Для противодействия этим угрозам организациям рекомендуется исправлять известные уязвимости, регулярно проводить проверку на наличие уязвимостей, ограничивать использование сервисов на ресурсах, подключенных к Интернету, внедрять сегментацию сети и использовать надежные протоколы шифрования, такие как SSL/TLS. Кроме того, организациям рекомендуется тестировать и подтверждать соответствие своих программ безопасности методам MITRE ATT&CK, связанным с участниками угроз, а также постоянно оценивать и улучшать уровень своей безопасности.

Технический анализ вредоносной программы WhisperGate показывает, что она включает в себя два этапа, stage1.exe и stage2.exe, причем последний является более разрушительным. Злоумышленники использовали несколько учетных записей Discord для распространения вредоносного ПО и контроля за ним, и вредоносное ПО предназначено для повреждения основных загрузочных записей систем, отображения поддельных уведомлений о требовании выкупа и шифрования файлов. Различные кластеры в Discord были определены как промежуточные среды для развертывания вредоносного ПО.

Дальнейшие исследования показали, что злоумышленники могут использовать jump-хосты для получения несанкционированного доступа к защищенным сетям, используя такие домены, как interlinks.top и ngrok.com. Эти домены использовались для настройки функциональности создания jump-хостов, что подчеркивает сложность и адаптивность киберпреступников.

Таким образом, организациям необходимо сохранять бдительность в отношении киберугроз, исходящих от подразделения 29155 и аналогичных участников угроз, путем внедрения надежных мер кибербезопасности, постоянного мониторинга и тестирования средств контроля безопасности для защиты своих сетей и данных от изощренных кибератак.

#ParsedReport #CompletenessHigh
05-09-2024

BlindEagle Targets Colombian Insurance Sector with BlotchyQuasar

https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-insurance-sector-blotchyquasar

Report completeness: High

Actors/Campaigns:
Blindeagle

Threats:
Blotchyquasar
Asyncrat
Remcos_rat
Quasar_rat
Deepsea_obfuscator_tool
Confuserex_tool
Njrat
Revenge_rat
Spear-phishing_technique
Runkeys_technique
Steganography_technique
Motw_bypass_technique
Shadow_copies_delete_technique
Vssadmin_tool

Industry:
Government, Telco, Financial

Geo:
America, Colombian, Colombia, Ecuador

TTPs:

IOCs:
IP: 1
File: 6
Url: 1
Domain: 469
Hash: 22

Soft:
Gmail, Chrome, Chromium, Internet Explorer, Firefox, Opera, WinSCP, PrivateVPN

Algorithms:
cbc, aes, base64, sha1, md5, hmac, zip, 3des, exhibit, xor, sha256, gzip

Languages:
python

Links:
https://github.com/ThreatLabz/iocs/blob/main/blindeagle/blindeagle\_domains.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, dump: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Zscaler ThreatLabZ обнаружил возобновление активности со стороны продвинутого агента по борьбе с постоянными угрозами BlindEagle, который нацелен на организации и частных лиц в государственном и финансовом секторах Южной Америки, в частности, в Колумбии и Эквадоре. BlindEagle использует фишинговые электронные письма и трояны для удаленного доступа .NET, такие как BlotchyQuasar, для кражи учетных данных у поставщиков банковских услуг, а в последнее время сосредоточился на страховом секторе Колумбии. В анализе освещается тактика BlindEagle и подчеркивается необходимость усиления мер кибербезопасности для противодействия подобным угрозам.
-----

BlindEagle, успешный игрок, нацеленный на правительственный и финансовый секторы в Южной Америке, в частности в Колумбии и Эквадоре, снова проявляет активность.

BlindEagle получает первоначальный доступ через фишинговые электронные письма и использует трояны для удаленного доступа .NET, такие как AsyncRAT и RemcosRAT.

В последнее время особое внимание уделяется страховому сектору Колумбии с помощью фишинговых электронных писем, выдаваемых за налоговые органы.

BlindEagle использует сильно запутанный вариант BlotchyQuasar для атак.

Цепочка атак включает в себя вложение PDF-файла, ведущее к файлу ZIP-архива с исполняемым файлом .NET BlotchyQuasar.

BlotchyQuasar отслеживает взаимодействие с банковскими сервисами с помощью ввода ключевых слов и изучения заголовков окон.

Данные кейлогга сохраняются каждые 15 секунд и шифруются с помощью хэша HMAC SHA256 и вектора инициализации AES.

Домен C2, полученный из Pastebin с помощью зашифрованной строки, расшифрованной с использованием шифрования 3DES.

BlindEagle был идентифицирован с помощью поддельных электронных писем из налоговых органов, перепрофилированных вариантов вредоносного ПО и служб DDNS для доменов C2.

Основное внимание уделяется частным лицам из Колумбии, работающим в сфере страхования, и использованию скомпрометированных маршрутизаторов для инфраструктуры.

Zscaler ThreatLabZ активно отслеживает действия BlindEagle и предупреждает о потенциальных будущих вредоносных кампаниях, подчеркивая важность усиленных мер кибербезопасности.

#ParsedReport #CompletenessMedium
06-09-2024

LummaC2 Malware and Malicious Chrome Extension Delivered via DLL Side-Loading

https://www.esentire.com/blog/lummac2-malware-and-malicious-chrome-extension-delivered-via-dll-side-loading

Report completeness: Medium

Threats:
Dll_sideloading_technique
Lumma_stealer
Cursedchrome_tool

Industry:
Financial

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1218.005, T1574.002, T1059.001, T1119, T1005, T1027

IOCs:
Domain: 5
File: 20
Hash: 22
Coin: 1
Url: 3

Soft:
Chrome, Google Chrome, Outlook, Gmail

Wallets:
coinbase

Crypto:
bitcoin

Algorithms:
base64, md5, zip, xor

Languages:
powershell

Platforms:
x64

Links:
https://github.com/mandatoryprogrammer/CursedChrome/tree/master
https://github.com/esThreatIntelligence/iocs/blob/main/LummaC2/LummaC2%20and%20Malicious%20Chrome%20Extension%20Delivered%20via%20DLL%20Side-Loading.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Подразделение eSentire Threat Response Unit (TRU) играет решающую роль в повышении устойчивости организации за счет проактивного поиска угроз, глобальной проверки угроз и оригинального исследования угроз для эффективной защиты от известных и неизвестных угроз. Недавний инцидент с вредоносной программой LummaC2 stealer подчеркивает важность надежных решений для обеспечения безопасности конечных устройств, комплексных программ обучения безопасности и мониторинга вредоносных расширений браузера для снижения рисков, связанных с появлением новых угроз.
-----

Один из недавних инцидентов был связан с обнаружением вредоносной программы LummaC2 stealer в августе 2024 года. Вредоносная программа была доставлена путем загрузки с компьютера вредоносного ZIP-архива с именем "x64\~x32\~installer___.zip", содержащего файл упаковки приложения MSI. После выполнения MSI-файл связался с сервером C2 по адресу get-license2 . com, чтобы получить пароль, необходимый для извлечения вредоносной библиотеки DLL "rnp.dll" из архива RAR "nijboq.rar." Вредоносная программа использовала легальный исполняемый файл "rnpkeys.exe" из библиотеки RNP с помощью дополнительной загрузки DLL, чтобы избежать обнаружения.

После выполнения был запущен скрипт PowerShell, который привел к установке вредоносного расширения Chrome под названием "Сохранить на Google Диске". Это расширение позволяло вредоносному ПО совершать различные вредоносные действия, включая содействие финансовым транзакциям, утечку данных, манипулирование электронной почтой и изменение поведения в Интернете в соответствии с конкретными URL-адресами. Кроме того, расширение обладало возможностями преобразования скомпрометированных браузеров в HTTP-прокси, а также захвата и передачи скриншотов на сервер C2. Вредоносная программа использовала URL-адреса блокчейна и mempool для извлечения и базового декодирования C2-адресов, связанных с биткойн-адресом.

Этот инцидент подчеркивает важность надежных решений для обеспечения безопасности конечных точек, таких как обнаружение конечных точек и реагирование на них (EDR), а также необходимость в комплексных программах обучения безопасности для информирования пользователей о сложных угрозах. Динамичный характер вредоносного ПО, манипулирующего веб-контентом на популярных платформах электронной почты, таких как Outlook, Gmail и Yahoo Mail, подчеркивает необходимость защиты веб-браузеров и почтовых клиентов. Организациям рекомендуется активно отслеживать вредоносные расширения браузера и применять строгие меры контроля для предотвращения несанкционированного выполнения скриптов.

Злоумышленники, использующие законное программное обеспечение и процессы, такие как rnpkeys.exe из надежных библиотек, подчеркивают важность тщательного мониторинга и защиты этих приложений. Обходя традиционные меры безопасности с помощью такой тактики, злоумышленники могут эффективно проникать в системы и компрометировать их. Поэтому организации должны сохранять бдительность, постоянно оценивать уровень своей безопасности и уделять приоритетное внимание внедрению передовых решений для снижения рисков, связанных с появлением новых угроз, таких как вредоносная программа LummaC2 stealer.

#ParsedReport #CompletenessMedium
05-09-2024

Predator Spyware Infrastructure Returns Following Exposure and Sanctions

https://www.recordedfuture.com/research/predator-spyware-infrastructure-returns-following-exposure-sanctions

Report completeness: Medium

Threats:
Predator_spyware
Intellexa
Chrysaor
Spear-phishing_technique

Victims:
Politicians, Executives, Journalists, Activists

Industry:
Government

Geo:
Congo, Greece, The us, Poland, Angola

TTPs:

IOCs:
Domain: 8
IP: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении шпионского ПО Predator, его усовершенствованной инфраструктуре, предназначенной для предотвращения обнаружения, и его постоянной ориентации на высокопоставленных лиц, что создает значительные риски для конфиденциальности и безопасности. В нем подчеркивается необходимость того, чтобы отдельные лица и организации следовали лучшим практикам в области кибербезопасности для снижения этих рисков, и содержится призыв к глобальным усилиям по регулированию использования программ-шпионов-наемников, таких как Predator, для эффективной борьбы с появляющимися киберугрозами.
-----

Недавние данные Insikt Group свидетельствуют о возобновлении распространения программ-шпионов Predator, которое, как ранее считалось, сократилось после введения санкций со стороны правительства США. Несмотря на первоначальные неудачи, инфраструктура Predator восстановилась с изменениями, направленными на то, чтобы избежать обнаружения и обезличить пользователей. Этот всплеск свидетельствует о продолжающемся использовании Predator клиентами в таких странах, как Демократическая Республика Конго (ДРК) и Ангола, что создает значительные риски для конфиденциальности и безопасности, особенно для высокопоставленных лиц, таких как политики и руководители.

Операторы Predator усовершенствовали свою инфраструктуру, повысив уровень сложности, чтобы избежать обнаружения. Новая инфраструктура включает в себя дополнительные уровни в системе доставки, что затрудняет отслеживание распространения шпионского ПО исследователями и защитниками кибербезопасности. Хотя режим работы в основном остается прежним, Predator, вероятно, продолжает использовать векторы атак "одним щелчком" и "нулевым щелчком", нацеливаясь на уязвимости в браузерах и сетях для проникновения на устройства.

Одним из тревожных аспектов возвращения Predator является то, что он по-прежнему нацелен на известных людей, включая политиков, руководителей, журналистов и активистов. Дорогостоящее лицензирование Predator предполагает, что операторы используют его только для стратегических, важных целей, что вызывает этические опасения по поводу его широкого применения, особенно против политической оппозиции. Расследования в таких регионах, как Европейский союз, выявили случаи использования шпионских программ против деятелей оппозиции и журналистов, что вызвало вопросы о законности и этичности такой практики слежки.

Чтобы снизить риски, связанные со шпионским ПО Predator, частным лицам и организациям рекомендуется следовать рекомендациям в области кибербезопасности, включая регулярные обновления программного обеспечения, перезагрузку устройств, активацию режима блокировки, внедрение систем управления мобильными устройствами (MDM) и повышение осведомленности о безопасности. Эти меры особенно важны для лиц, занимающих ответственные должности, например, для тех, кто работает в правительстве, гражданском обществе или на руководящих должностях в корпорациях.

Ожидается, что рынок программ-шпионов-наемников будет расти, поэтому глобальные усилия по регулированию использования таких инструментов остаются актуальными. Хотя расследования в таких регионах, как Европейский союз, могут привести к ужесточению правил продажи и использования программ-шпионов, необходимы значительные международные усилия для эффективной борьбы с угрозами, исходящими от таких программ-шпионов, как Predator. Повторное появление шпионских программ Predator служит напоминанием о растущих опасностях в киберпространстве и важности сохранения бдительности и принятия надежных мер кибербезопасности для защиты от сложных киберугроз.

В условиях растущего рынка программ-шпионов правительства и специалисты по кибербезопасности должны оставаться активными в борьбе с этими угрозами посредством публичной отчетности, постоянных исследований и применения более строгих нормативных актов для смягчения воздействия вредоносных программ, таких как Predator.

#ParsedReport #CompletenessHigh
05-09-2024

Tropic Trooper spies on government entities in the Middle East

https://securelist.com/new-tropic-trooper-web-shell-infection/113737

Report completeness: High

Actors/Campaigns:
Pirate_panda (motivation: cyber_espionage)
Famoussparrow

Threats:
Chinachopper
Dllsearchorder_hijacking_technique
Crowdoor
Sparrowdoor
Fscan_tool
Cobalt_strike
Mimikatz_tool
Neo-regeorg_tool
Dll_hijacking_technique

Victims:
Government entity

Industry:
Transport, Healthcare, Government

Geo:
Philippines, Hong kong, China, Malaysia, Middle east, Taiwan, Chinese

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-26360 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe coldfusion (2018, 2021)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1055, T1569, T1070, T1027, T1574.001

IOCs:
File: 2
Hash: 20
Domain: 2
Path: 4
IP: 2

Soft:
Umbraco, ASP.NET, Microsoft Exchange, Adobe ColdFusion, Windows service

Algorithms:
sha1, base64, rc4, exhibit, md5, sha256

Win API:
VerQueryValueW, GetFileVersionInfoW, GetFileVersionInfoSizeW

Languages:
javascript

Platforms:
x64, intel

YARA: Found

Links:
https://github.com/L-codes/Neo-reGeorg/tree/master
https://github.com/shadow1ng/fscan/