#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Zscaler ThreatLabZ обнаружил возобновление активности со стороны продвинутого агента по борьбе с постоянными угрозами BlindEagle, который нацелен на организации и частных лиц в государственном и финансовом секторах Южной Америки, в частности, в Колумбии и Эквадоре. BlindEagle использует фишинговые электронные письма и трояны для удаленного доступа .NET, такие как BlotchyQuasar, для кражи учетных данных у поставщиков банковских услуг, а в последнее время сосредоточился на страховом секторе Колумбии. В анализе освещается тактика BlindEagle и подчеркивается необходимость усиления мер кибербезопасности для противодействия подобным угрозам.
-----

BlindEagle, успешный игрок, нацеленный на правительственный и финансовый секторы в Южной Америке, в частности в Колумбии и Эквадоре, снова проявляет активность.

BlindEagle получает первоначальный доступ через фишинговые электронные письма и использует трояны для удаленного доступа .NET, такие как AsyncRAT и RemcosRAT.

В последнее время особое внимание уделяется страховому сектору Колумбии с помощью фишинговых электронных писем, выдаваемых за налоговые органы.

BlindEagle использует сильно запутанный вариант BlotchyQuasar для атак.

Цепочка атак включает в себя вложение PDF-файла, ведущее к файлу ZIP-архива с исполняемым файлом .NET BlotchyQuasar.

BlotchyQuasar отслеживает взаимодействие с банковскими сервисами с помощью ввода ключевых слов и изучения заголовков окон.

Данные кейлогга сохраняются каждые 15 секунд и шифруются с помощью хэша HMAC SHA256 и вектора инициализации AES.

Домен C2, полученный из Pastebin с помощью зашифрованной строки, расшифрованной с использованием шифрования 3DES.

BlindEagle был идентифицирован с помощью поддельных электронных писем из налоговых органов, перепрофилированных вариантов вредоносного ПО и служб DDNS для доменов C2.

Основное внимание уделяется частным лицам из Колумбии, работающим в сфере страхования, и использованию скомпрометированных маршрутизаторов для инфраструктуры.

Zscaler ThreatLabZ активно отслеживает действия BlindEagle и предупреждает о потенциальных будущих вредоносных кампаниях, подчеркивая важность усиленных мер кибербезопасности.

#ParsedReport #CompletenessMedium
06-09-2024

LummaC2 Malware and Malicious Chrome Extension Delivered via DLL Side-Loading

https://www.esentire.com/blog/lummac2-malware-and-malicious-chrome-extension-delivered-via-dll-side-loading

Report completeness: Medium

Threats:
Dll_sideloading_technique
Lumma_stealer
Cursedchrome_tool

Industry:
Financial

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1218.005, T1574.002, T1059.001, T1119, T1005, T1027

IOCs:
Domain: 5
File: 20
Hash: 22
Coin: 1
Url: 3

Soft:
Chrome, Google Chrome, Outlook, Gmail

Wallets:
coinbase

Crypto:
bitcoin

Algorithms:
base64, md5, zip, xor

Languages:
powershell

Platforms:
x64

Links:
https://github.com/mandatoryprogrammer/CursedChrome/tree/master
https://github.com/esThreatIntelligence/iocs/blob/main/LummaC2/LummaC2%20and%20Malicious%20Chrome%20Extension%20Delivered%20via%20DLL%20Side-Loading.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Подразделение eSentire Threat Response Unit (TRU) играет решающую роль в повышении устойчивости организации за счет проактивного поиска угроз, глобальной проверки угроз и оригинального исследования угроз для эффективной защиты от известных и неизвестных угроз. Недавний инцидент с вредоносной программой LummaC2 stealer подчеркивает важность надежных решений для обеспечения безопасности конечных устройств, комплексных программ обучения безопасности и мониторинга вредоносных расширений браузера для снижения рисков, связанных с появлением новых угроз.
-----

Один из недавних инцидентов был связан с обнаружением вредоносной программы LummaC2 stealer в августе 2024 года. Вредоносная программа была доставлена путем загрузки с компьютера вредоносного ZIP-архива с именем "x64\~x32\~installer___.zip", содержащего файл упаковки приложения MSI. После выполнения MSI-файл связался с сервером C2 по адресу get-license2 . com, чтобы получить пароль, необходимый для извлечения вредоносной библиотеки DLL "rnp.dll" из архива RAR "nijboq.rar." Вредоносная программа использовала легальный исполняемый файл "rnpkeys.exe" из библиотеки RNP с помощью дополнительной загрузки DLL, чтобы избежать обнаружения.

После выполнения был запущен скрипт PowerShell, который привел к установке вредоносного расширения Chrome под названием "Сохранить на Google Диске". Это расширение позволяло вредоносному ПО совершать различные вредоносные действия, включая содействие финансовым транзакциям, утечку данных, манипулирование электронной почтой и изменение поведения в Интернете в соответствии с конкретными URL-адресами. Кроме того, расширение обладало возможностями преобразования скомпрометированных браузеров в HTTP-прокси, а также захвата и передачи скриншотов на сервер C2. Вредоносная программа использовала URL-адреса блокчейна и mempool для извлечения и базового декодирования C2-адресов, связанных с биткойн-адресом.

Этот инцидент подчеркивает важность надежных решений для обеспечения безопасности конечных точек, таких как обнаружение конечных точек и реагирование на них (EDR), а также необходимость в комплексных программах обучения безопасности для информирования пользователей о сложных угрозах. Динамичный характер вредоносного ПО, манипулирующего веб-контентом на популярных платформах электронной почты, таких как Outlook, Gmail и Yahoo Mail, подчеркивает необходимость защиты веб-браузеров и почтовых клиентов. Организациям рекомендуется активно отслеживать вредоносные расширения браузера и применять строгие меры контроля для предотвращения несанкционированного выполнения скриптов.

Злоумышленники, использующие законное программное обеспечение и процессы, такие как rnpkeys.exe из надежных библиотек, подчеркивают важность тщательного мониторинга и защиты этих приложений. Обходя традиционные меры безопасности с помощью такой тактики, злоумышленники могут эффективно проникать в системы и компрометировать их. Поэтому организации должны сохранять бдительность, постоянно оценивать уровень своей безопасности и уделять приоритетное внимание внедрению передовых решений для снижения рисков, связанных с появлением новых угроз, таких как вредоносная программа LummaC2 stealer.

#ParsedReport #CompletenessMedium
05-09-2024

Predator Spyware Infrastructure Returns Following Exposure and Sanctions

https://www.recordedfuture.com/research/predator-spyware-infrastructure-returns-following-exposure-sanctions

Report completeness: Medium

Threats:
Predator_spyware
Intellexa
Chrysaor
Spear-phishing_technique

Victims:
Politicians, Executives, Journalists, Activists

Industry:
Government

Geo:
Congo, Greece, The us, Poland, Angola

TTPs:

IOCs:
Domain: 8
IP: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении шпионского ПО Predator, его усовершенствованной инфраструктуре, предназначенной для предотвращения обнаружения, и его постоянной ориентации на высокопоставленных лиц, что создает значительные риски для конфиденциальности и безопасности. В нем подчеркивается необходимость того, чтобы отдельные лица и организации следовали лучшим практикам в области кибербезопасности для снижения этих рисков, и содержится призыв к глобальным усилиям по регулированию использования программ-шпионов-наемников, таких как Predator, для эффективной борьбы с появляющимися киберугрозами.
-----

Недавние данные Insikt Group свидетельствуют о возобновлении распространения программ-шпионов Predator, которое, как ранее считалось, сократилось после введения санкций со стороны правительства США. Несмотря на первоначальные неудачи, инфраструктура Predator восстановилась с изменениями, направленными на то, чтобы избежать обнаружения и обезличить пользователей. Этот всплеск свидетельствует о продолжающемся использовании Predator клиентами в таких странах, как Демократическая Республика Конго (ДРК) и Ангола, что создает значительные риски для конфиденциальности и безопасности, особенно для высокопоставленных лиц, таких как политики и руководители.

Операторы Predator усовершенствовали свою инфраструктуру, повысив уровень сложности, чтобы избежать обнаружения. Новая инфраструктура включает в себя дополнительные уровни в системе доставки, что затрудняет отслеживание распространения шпионского ПО исследователями и защитниками кибербезопасности. Хотя режим работы в основном остается прежним, Predator, вероятно, продолжает использовать векторы атак "одним щелчком" и "нулевым щелчком", нацеливаясь на уязвимости в браузерах и сетях для проникновения на устройства.

Одним из тревожных аспектов возвращения Predator является то, что он по-прежнему нацелен на известных людей, включая политиков, руководителей, журналистов и активистов. Дорогостоящее лицензирование Predator предполагает, что операторы используют его только для стратегических, важных целей, что вызывает этические опасения по поводу его широкого применения, особенно против политической оппозиции. Расследования в таких регионах, как Европейский союз, выявили случаи использования шпионских программ против деятелей оппозиции и журналистов, что вызвало вопросы о законности и этичности такой практики слежки.

Чтобы снизить риски, связанные со шпионским ПО Predator, частным лицам и организациям рекомендуется следовать рекомендациям в области кибербезопасности, включая регулярные обновления программного обеспечения, перезагрузку устройств, активацию режима блокировки, внедрение систем управления мобильными устройствами (MDM) и повышение осведомленности о безопасности. Эти меры особенно важны для лиц, занимающих ответственные должности, например, для тех, кто работает в правительстве, гражданском обществе или на руководящих должностях в корпорациях.

Ожидается, что рынок программ-шпионов-наемников будет расти, поэтому глобальные усилия по регулированию использования таких инструментов остаются актуальными. Хотя расследования в таких регионах, как Европейский союз, могут привести к ужесточению правил продажи и использования программ-шпионов, необходимы значительные международные усилия для эффективной борьбы с угрозами, исходящими от таких программ-шпионов, как Predator. Повторное появление шпионских программ Predator служит напоминанием о растущих опасностях в киберпространстве и важности сохранения бдительности и принятия надежных мер кибербезопасности для защиты от сложных киберугроз.

В условиях растущего рынка программ-шпионов правительства и специалисты по кибербезопасности должны оставаться активными в борьбе с этими угрозами посредством публичной отчетности, постоянных исследований и применения более строгих нормативных актов для смягчения воздействия вредоносных программ, таких как Predator.

#ParsedReport #CompletenessHigh
05-09-2024

Tropic Trooper spies on government entities in the Middle East

https://securelist.com/new-tropic-trooper-web-shell-infection/113737

Report completeness: High

Actors/Campaigns:
Pirate_panda (motivation: cyber_espionage)
Famoussparrow

Threats:
Chinachopper
Dllsearchorder_hijacking_technique
Crowdoor
Sparrowdoor
Fscan_tool
Cobalt_strike
Mimikatz_tool
Neo-regeorg_tool
Dll_hijacking_technique

Victims:
Government entity

Industry:
Transport, Healthcare, Government

Geo:
Philippines, Hong kong, China, Malaysia, Middle east, Taiwan, Chinese

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-26360 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe coldfusion (2018, 2021)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1055, T1569, T1070, T1027, T1574.001

IOCs:
File: 2
Hash: 20
Domain: 2
Path: 4
IP: 2

Soft:
Umbraco, ASP.NET, Microsoft Exchange, Adobe ColdFusion, Windows service

Algorithms:
sha1, base64, rc4, exhibit, md5, sha256

Win API:
VerQueryValueW, GetFileVersionInfoW, GetFileVersionInfoSizeW

Languages:
javascript

Platforms:
x64, intel

YARA: Found

Links:
https://github.com/L-codes/Neo-reGeorg/tree/master
https://github.com/shadow1ng/fscan/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что передовая группа по борьбе с постоянными угрозами, известная как Tropic Trooper, ранее занимавшаяся конкретными секторами в Азии, в 2024 году расширила свою деятельность, нацелившись на государственное учреждение на Ближнем Востоке, занимающееся исследованиями в области прав человека. Расследование выявило их изощренные методы, включая использование вредоносных программ для использования уязвимостей в программном обеспечении и манипулирования веб-оболочками для удаленного доступа, что указывает на стратегический сдвиг в их мотивах в сторону целей кибершпионажа, особенно связанных с конфликтом между Израилем и ХАМАСОМ.
-----

Tropic Trooper, также известная как KeyBoy и Pirate Panda, является передовой группой по борьбе с постоянными угрозами (APT), которая действует с 2011 года, в основном нацеливаясь на такие секторы, как правительство, здравоохранение, транспорт и высокотехнологичные отрасли на Тайване, Филиппинах и Гонконге. Однако недавнее расследование, проведенное в 2024 году, показало, что начиная с июня 2023 года они проводили постоянные кампании, направленные против государственного учреждения на Ближнем Востоке. Этот стратегический переход в важнейшие государственные структуры, занимающиеся исследованиями в области прав человека на Ближнем Востоке, открывает новые возможности для участников угроз и позволяет понять их мотивы.

Первоначальное обнаружение в июне 2024 года произошло, когда телеметрия показала повторяющиеся предупреждения о новом варианте веб-оболочки China Chopper на общедоступном веб-сервере, на котором размещена Umbraco, система управления контентом с открытым исходным кодом, написанная на C#. В ходе последующего расследования было обнаружено множество наборов вредоносных программ, в том числе инструменты для последующей эксплуатации, использованные при вторжении, и новые DLL-программы для перехвата запросов, предназначенные для загрузки загрузчика Crowdoor. Злоумышленники попытались обойти меры безопасности, переключившись на новый вариант загрузчика Crowdoor.

С высокой степенью уверенности можно отнести эту активность к китаеязычному исполнителю угроз Tropic Trooper, результаты исследования выявили совпадения в методах, использованных в предыдущих кампаниях, и высокую корреляцию с образцами, связанными с Tropic Trooper. Семейства вредоносных программ, выявленные в ходе этого вторжения, включали инструменты для сканирования уязвимостей, тестирования на проникновение, обхода средств контроля безопасности и обфускации веб-оболочек. Злоумышленники использовали незащищенные уязвимости в таких программах, как Microsoft Exchange и Adobe ColdFusion, для удаления веб-оболочек для удаленного доступа и управления.

Вредоносные программы, обнаруженные на взломанном сервере, позволяли обфускацию и динамическое выполнение команд в Umbraco CMS. Злоумышленники пытались загрузить вредоносные библиотеки DLL, используя легальные исполняемые файлы, уязвимые для перехвата в порядке поиска DLL, в конечном итоге преследуя цели кибершпионажа. Данные телеметрии показали использование команд rundll32 и пакетных сценариев для загрузки вредоносного ПО, что указывает на изощренный подход злоумышленников.

В ходе расследования была выявлена изменяющаяся последовательность загрузки, используемая злоумышленниками, чтобы избежать обнаружения, и были обнаружены новые варианты с незначительными функциональными различиями. Кроме того, связи с известной группой Sparrow были пересмотрены на основе выявленных TTP и сходства кода в образцах вредоносного ПО. Примечательно, что мотив этого вторжения, по-видимому, был нацелен на платформу управления контентом, занимающуюся исследованиями в области прав человека на Ближнем Востоке, что подчеркивало преднамеренный интерес к конкретному контенту, связанному с конфликтом между Израилем и ХАМАСОМ.

#ParsedReport #CompletenessMedium
05-09-2024

The best and worst ways to get users to improve their account security. Top security headlines of the week

https://blog.talosintelligence.com/threat-source-newsletter-sept-5-2024

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Watering_hole_technique
Intellexa
Predator_spyware
Chrysaor
Brc4_tool
Havoc
Phantomcore
Macropack_tool
Scar
Pykspa

Industry:
Military, Financial, Government

Geo:
North korea, Israeli, North korean, Russia, Ireland, Mongolian

CVEs:
CVE-2024-7971 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)


ChatGPT TTPs:
do not use without manual check
T1059

IOCs:
Hash: 10
File: 6

Soft:
Google Chrome, Android, Windows kernel, Microsoft Office, KMSAuto

Algorithms:
md5

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается целый ряд угроз и инцидентов в области кибербезопасности, подчеркивается важность бдительности в отношении всех учетных записей, независимо от их предполагаемой важности. В нем освещаются действия злоумышленников, использующих уязвимости в программном обеспечении, осуществляющих кибершпионаж и нацеленных на финансовые учреждения, а также развивающиеся методы, такие как создание новых полезных программных продуктов. Отмечается постоянство угроз, связанных с макросами VBA, а также важность обновлений программного обеспечения и надежных мер безопасности. Кроме того, упоминаются решения для обеспечения безопасности, предлагаемые компанией Talos, в которых особое внимание уделяется активному обмену информацией для повышения осведомленности о кибербезопасности и эффективного противодействия возникающим угрозам. В конечном счете, в тексте подчеркивается динамичный характер киберугроз и необходимость постоянной бдительности и упреждающих стратегий защиты.
-----

Важно учитывать безопасность всех учетных записей, даже, казалось бы, менее важных, таких как личные развлекательные аккаунты.

Злоумышленники, такие как APT29, Citrine Sleet и спонсируемые государством Северной Кореи организации, нацелены на уязвимости в Apple iOS WebKit, Google Chrome и используют уязвимости нулевого дня для кибершпионажа, кражи криптовалют и нападения на финансовые учреждения.

ФБР предупреждает о том, что северокорейские субъекты планируют кибератаки на организации со значительными запасами криптовалют.

Эволюционирующие методы участников угроз, включая использование традиционных методов для создания новых вредоносных программ, реализуемых с помощью разнообразных кампаний с различными характеристиками, основанными на языке и географии.

Угрозы, связанные с макросами VBA, сохраняются, несмотря на усилия Microsoft по их устранению, что подчеркивает важность обновлений программного обеспечения и надежных мер безопасности.

Использование таких инструментов, как MacroPack, для создания полезной нагрузки в обход традиционных методов обнаружения.

Решения для обеспечения безопасности, предоставленные компанией Talos, включая новые наборы правил Snort и сигнатуры ClamAV для обнаружения и блокировки вредоносных файлов, проанализированные в ходе их исследования.

Особое внимание уделяется обмену информацией о темах, используемых участниками угроз в вредоносных документах, для повышения осведомленности о кибербезопасности.

#ParsedReport #CompletenessMedium
06-09-2024

Unveiling a Target and Multi-Stage Malware Attack. Key points

https://seguranca-informatica.pt/unveiling-a-target-and-multi-stage-malware-attack

Report completeness: Medium

Threats:
Cobalt_strike
Macropack_tool
Netstat_tool

Victims:
Altice corporation

Geo:
Portuguese

ChatGPT TTPs:
do not use without manual check
T1204.002, T1059.005, T1055.001, T1071.001, T1562.001, T1105, T1203, T1027, T1059.003

IOCs:
File: 12
Domain: 3
Hash: 5
Coin: 1
IP: 2
Path: 1
Email: 1
Url: 2

Soft:
Microsoft Word

Algorithms:
md5, base64

Functions:
AutoOpen, WriteToFile, unlink

Win API:
NtMapViewOfSection, LoadLibraryA, NtQueueApcThread, NtQueueApcThread-s, RtlCreateUserThread, SetThreadContext

Win Services:
InfoPath

Links:
https://github.com/sevagas/macro\_pack

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается изощренная вредоносная кампания, обнаруженная в августе 2024 года, нацеленная на организации с помощью фишинговых страниц, выдающих себя за корпорацию Altice. Вредоносное ПО распространяется через вредоносные файлы DOCX и XLSM, содержащие макросы VBA, которые инициируют цепочку атак, включающую удаление двоичной библиотеки DLL, установление связи с сервером C2, загрузку дополнительных вредоносных файлов и запуск Cobalt Strike beacon для удаленного управления. Злоумышленники использовали методы настойчивости и уклонения, при этом макросы вредоносных документов играли решающую роль в инициировании цепочки атак и выполнении различных задач. EAT библиотеки DLL раскрывает ключевые взаимодействия с макросом, обеспечивая связь с сервером C2, в то время как подробные сведения о протоколе HTTPS, методах запроса HTTP и параметрах конфигурации иллюстрируют расширенные возможности вредоносного ПО.
-----

В тексте описывается изощренная вредоносная кампания, обнаруженная 21 августа 2024 года, которая нацелена на организации с помощью фишинговых страниц, выдающих себя за корпорацию Altice. Вредоносное ПО распространяется через вредоносные файлы DOCX и XLSM, в которые встроены макросы VBA, выполняющие вредоносный код. После выполнения макросы загружают двоичную библиотеку DLL (2-й этап) в систему жертвы, которая затем записывает эту библиотеку DLL на диск и вводит ее в память, инициируя цепочку атак.

Внедренная библиотека DLL устанавливает связь с сервером управления (C2) для загрузки дополнительных вредоносных файлов, включая BAT-файл для установки SSH-бэкдора и закрытый ключ для безопасного обмена данными. Кроме того, библиотека DLL загружает и запускает Cobalt Strike beacon, что облегчает удаленный контроль над взломанной системой. Вредоносная программа маскирует свою деятельность, запуская beacon через законный процесс Windows, werfault.exe чтобы избежать обнаружения.

Злоумышленники использовали сложные методы, чтобы обеспечить устойчивость и избежать обнаружения, а вредоносная кампания включала многоэтапные атаки, направленные на сохранение контроля над скомпрометированными системами. Макросы VBA во вредоносных документах играют решающую роль в инициировании цепочки атак и снижении необходимой нагрузки. Специальные функции в макросах выполняют такие задачи, как создание файлов, изменение каталогов и запуск вредоносной библиотеки DLL.

Таблица адресов экспорта (EAT) из библиотеки DLL показывает основную точку входа, используемую макросом для взаимодействия с библиотекой DLL во время выполнения. Библиотека DLL подключается к серверу C2 для загрузки дополнительных файлов, таких как закрытый ключ, BAT-файл для настройки SSH-бэкдора и маяк CobaltStrike. Эти файлы позволяют злоумышленникам устанавливать постоянный доступ и выполнять команды удаленно, используя скрытность.

Кроме того, подробные сведения о взаимодействии с сервером C2 по протоколу HTTPS через порт 443, использовании различных методов HTTP-запросов и настройках поведения прокси-сервера, файлов cookie и стратегий DNS указывают на сложную конструкцию вредоносного ПО. Эта угроза обладает расширенными возможностями, такими как включение гибких инструкций C2 для манипулирования данными во время обмена данными и использование методов внедрения процессов для скрытных операций.

#ParsedReport #CompletenessHigh
06-09-2024

Spear-Phishing in the Battlefield: Gamaredon s Ongoing Assault on Ukraine s Military

https://cyble.com/blog/gamaredons-spear-phishing-assault-on-ukraines-military

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Ghostwriter
Uac0184

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Xworm_rat

Victims:
Ukrainian military personnel, Ukraine ministry of defence, Ukrainian targets

Industry:
Military, Critical_infrastructure, Government

Geo:
Ukraine, Ukrainian, Russian, Russia

TTPs:
Tactics: 3
Technics: 4

IOCs:
Domain: 1
File: 1
Url: 38
Hash: 80

Soft:
TryCloudflare

Algorithms:
sha256, base64, 7zip

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cyble Research and Intelligence Labs раскрыла продолжающуюся крупномасштабную кампанию Gamaredon, направленную против украинских военнослужащих с помощью фишинговых электронных писем. Кампания включает в себя сложные методы, такие как вредоносные вложения, запутанный код JavaScript и использование функции одноразового туннелирования TryCloudflare для анонимного размещения вредоносных файлов. Это свидетельствует о высоком уровне изощренности и настойчивости участников угроз, которые отслеживают взаимодействие с жертвами, чтобы контролировать эффективность кампании. Связанная с Россией APT-группа Gamaredon известна тем, что занимается кибершпионажем в отношении украинских правительственных учреждений, военных и критически важных инфраструктурных секторов, особенно в периоды повышенной напряженности между Россией и Украиной. Эта продолжающаяся кампания демонстрирует эволюционирующую тактику группировки в отношении украинских военнослужащих в условиях российско-украинского конфликта.
-----

Cyble Research and Intelligence Labs (CRIL) выявила продолжающуюся кампанию Gamaredon, направленную против украинских военнослужащих с помощью фишинговых электронных писем. В кампании используются вредоносные вложения XHTML, которые при открытии выполняют запутанный код JavaScript, что приводит к загрузке вредоносного архива, содержащего файл быстрого доступа Windows. При запуске этот файл быстрого доступа запускает удаленное выполнение .архив tar, размещенный на TryCloudflare.com через mshta.exe. Злоумышленники используют функцию одноразового туннелирования TryCloudflare для анонимного размещения вредоносных файлов и удаленного доступа к ресурсам без обнаружения.

Кампания, судя по всему, была крупномасштабной и скоординированной, с широким распространением аналогичных файлов, что свидетельствует о продолжающейся деятельности, основанной на объеме и сроках обнаружения образцов. Примечательно, что использование удаленного изображения размером 1 пиксель указывает на то, что злоумышленники отслеживают взаимодействие жертвы с вредоносными файлами, чтобы контролировать эффективность кампании. Это свидетельствует о высоком уровне изощренности и настойчивости злоумышленников.

Gamaredon, также известная как Primitive Bear или Armageddon, - это связанная с Россией группировка Advanced Persistent Threat (APT), которая действует как минимум с 2013 года. Известный своей деятельностью в области кибершпионажа, Gamaredon в первую очередь нацелен на украинские правительственные учреждения, вооруженные силы и сектора критической инфраструктуры. Несмотря на использование относительно простых инструментов, Gamaredon добился успеха благодаря своей постоянной сосредоточенности на конкретных геополитических целях, особенно в периоды повышенной напряженности между Россией и Украиной.

Продолжающаяся кампания Gamaredon APT демонстрирует эволюционирующую тактику группировки в отношении украинских военнослужащих. Используя фишинговые электронные письма, вредоносные вложения, запутанный JavaScript и функцию одноразового туннелирования TryCloudflare, злоумышленники могут доставлять вредоносную полезную нагрузку и поддерживать удаленный доступ незамеченными. Масштаб и периодичность кампании указывают на хорошо скоординированные усилия, направленные на уязвимые украинские организации. Такая повышенная активность подчеркивает растущий характер киберугроз в условиях российско-украинского конфликта.

#ParsedReport #CompletenessLow
04-09-2024

Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk

https://jfrog.com/blog/revival-hijack-pypi-hijack-technique-exploited-22k-packages-at-risk

Report completeness: Low

Threats:
Revival_hijack_technique
Supply_chain_technique
Typosquatting_technique

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1195.002, T1140, T1059.007

IOCs:
Email: 1

Soft:
Jenkins

Algorithms:
base64

Languages:
python

Links:
https://github.com/kiki7000/discord.py-components
https://github.com/zerometal/gingerit
https://web.archive.org/web/20200914040637/https://github.com/cheney-yan/pingdom-py-api-v3
https://github.com/pypi/warehouse/blob/e8195e40986d63f9b72926a67eb6acfd43b36932/warehouse/packaging/services.py#L445
https://github.com/pypi/warehouse/blob/e8195e40986d63f9b72926a67eb6acfd43b36932/warehouse/migrations/versions/d18d443f89f0\_ultranormalize\_name\_function.py#L29