#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается изощренная вредоносная кампания, обнаруженная в августе 2024 года, нацеленная на организации с помощью фишинговых страниц, выдающих себя за корпорацию Altice. Вредоносное ПО распространяется через вредоносные файлы DOCX и XLSM, содержащие макросы VBA, которые инициируют цепочку атак, включающую удаление двоичной библиотеки DLL, установление связи с сервером C2, загрузку дополнительных вредоносных файлов и запуск Cobalt Strike beacon для удаленного управления. Злоумышленники использовали методы настойчивости и уклонения, при этом макросы вредоносных документов играли решающую роль в инициировании цепочки атак и выполнении различных задач. EAT библиотеки DLL раскрывает ключевые взаимодействия с макросом, обеспечивая связь с сервером C2, в то время как подробные сведения о протоколе HTTPS, методах запроса HTTP и параметрах конфигурации иллюстрируют расширенные возможности вредоносного ПО.
-----

В тексте описывается изощренная вредоносная кампания, обнаруженная 21 августа 2024 года, которая нацелена на организации с помощью фишинговых страниц, выдающих себя за корпорацию Altice. Вредоносное ПО распространяется через вредоносные файлы DOCX и XLSM, в которые встроены макросы VBA, выполняющие вредоносный код. После выполнения макросы загружают двоичную библиотеку DLL (2-й этап) в систему жертвы, которая затем записывает эту библиотеку DLL на диск и вводит ее в память, инициируя цепочку атак.

Внедренная библиотека DLL устанавливает связь с сервером управления (C2) для загрузки дополнительных вредоносных файлов, включая BAT-файл для установки SSH-бэкдора и закрытый ключ для безопасного обмена данными. Кроме того, библиотека DLL загружает и запускает Cobalt Strike beacon, что облегчает удаленный контроль над взломанной системой. Вредоносная программа маскирует свою деятельность, запуская beacon через законный процесс Windows, werfault.exe чтобы избежать обнаружения.

Злоумышленники использовали сложные методы, чтобы обеспечить устойчивость и избежать обнаружения, а вредоносная кампания включала многоэтапные атаки, направленные на сохранение контроля над скомпрометированными системами. Макросы VBA во вредоносных документах играют решающую роль в инициировании цепочки атак и снижении необходимой нагрузки. Специальные функции в макросах выполняют такие задачи, как создание файлов, изменение каталогов и запуск вредоносной библиотеки DLL.

Таблица адресов экспорта (EAT) из библиотеки DLL показывает основную точку входа, используемую макросом для взаимодействия с библиотекой DLL во время выполнения. Библиотека DLL подключается к серверу C2 для загрузки дополнительных файлов, таких как закрытый ключ, BAT-файл для настройки SSH-бэкдора и маяк CobaltStrike. Эти файлы позволяют злоумышленникам устанавливать постоянный доступ и выполнять команды удаленно, используя скрытность.

Кроме того, подробные сведения о взаимодействии с сервером C2 по протоколу HTTPS через порт 443, использовании различных методов HTTP-запросов и настройках поведения прокси-сервера, файлов cookie и стратегий DNS указывают на сложную конструкцию вредоносного ПО. Эта угроза обладает расширенными возможностями, такими как включение гибких инструкций C2 для манипулирования данными во время обмена данными и использование методов внедрения процессов для скрытных операций.

#ParsedReport #CompletenessHigh
06-09-2024

Spear-Phishing in the Battlefield: Gamaredon s Ongoing Assault on Ukraine s Military

https://cyble.com/blog/gamaredons-spear-phishing-assault-on-ukraines-military

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Ghostwriter
Uac0184

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Xworm_rat

Victims:
Ukrainian military personnel, Ukraine ministry of defence, Ukrainian targets

Industry:
Military, Critical_infrastructure, Government

Geo:
Ukraine, Ukrainian, Russian, Russia

TTPs:
Tactics: 3
Technics: 4

IOCs:
Domain: 1
File: 1
Url: 38
Hash: 80

Soft:
TryCloudflare

Algorithms:
sha256, base64, 7zip

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cyble Research and Intelligence Labs раскрыла продолжающуюся крупномасштабную кампанию Gamaredon, направленную против украинских военнослужащих с помощью фишинговых электронных писем. Кампания включает в себя сложные методы, такие как вредоносные вложения, запутанный код JavaScript и использование функции одноразового туннелирования TryCloudflare для анонимного размещения вредоносных файлов. Это свидетельствует о высоком уровне изощренности и настойчивости участников угроз, которые отслеживают взаимодействие с жертвами, чтобы контролировать эффективность кампании. Связанная с Россией APT-группа Gamaredon известна тем, что занимается кибершпионажем в отношении украинских правительственных учреждений, военных и критически важных инфраструктурных секторов, особенно в периоды повышенной напряженности между Россией и Украиной. Эта продолжающаяся кампания демонстрирует эволюционирующую тактику группировки в отношении украинских военнослужащих в условиях российско-украинского конфликта.
-----

Cyble Research and Intelligence Labs (CRIL) выявила продолжающуюся кампанию Gamaredon, направленную против украинских военнослужащих с помощью фишинговых электронных писем. В кампании используются вредоносные вложения XHTML, которые при открытии выполняют запутанный код JavaScript, что приводит к загрузке вредоносного архива, содержащего файл быстрого доступа Windows. При запуске этот файл быстрого доступа запускает удаленное выполнение .архив tar, размещенный на TryCloudflare.com через mshta.exe. Злоумышленники используют функцию одноразового туннелирования TryCloudflare для анонимного размещения вредоносных файлов и удаленного доступа к ресурсам без обнаружения.

Кампания, судя по всему, была крупномасштабной и скоординированной, с широким распространением аналогичных файлов, что свидетельствует о продолжающейся деятельности, основанной на объеме и сроках обнаружения образцов. Примечательно, что использование удаленного изображения размером 1 пиксель указывает на то, что злоумышленники отслеживают взаимодействие жертвы с вредоносными файлами, чтобы контролировать эффективность кампании. Это свидетельствует о высоком уровне изощренности и настойчивости злоумышленников.

Gamaredon, также известная как Primitive Bear или Armageddon, - это связанная с Россией группировка Advanced Persistent Threat (APT), которая действует как минимум с 2013 года. Известный своей деятельностью в области кибершпионажа, Gamaredon в первую очередь нацелен на украинские правительственные учреждения, вооруженные силы и сектора критической инфраструктуры. Несмотря на использование относительно простых инструментов, Gamaredon добился успеха благодаря своей постоянной сосредоточенности на конкретных геополитических целях, особенно в периоды повышенной напряженности между Россией и Украиной.

Продолжающаяся кампания Gamaredon APT демонстрирует эволюционирующую тактику группировки в отношении украинских военнослужащих. Используя фишинговые электронные письма, вредоносные вложения, запутанный JavaScript и функцию одноразового туннелирования TryCloudflare, злоумышленники могут доставлять вредоносную полезную нагрузку и поддерживать удаленный доступ незамеченными. Масштаб и периодичность кампании указывают на хорошо скоординированные усилия, направленные на уязвимые украинские организации. Такая повышенная активность подчеркивает растущий характер киберугроз в условиях российско-украинского конфликта.

#ParsedReport #CompletenessLow
04-09-2024

Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk

https://jfrog.com/blog/revival-hijack-pypi-hijack-technique-exploited-22k-packages-at-risk

Report completeness: Low

Threats:
Revival_hijack_technique
Supply_chain_technique
Typosquatting_technique

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1195.002, T1140, T1059.007

IOCs:
Email: 1

Soft:
Jenkins

Algorithms:
base64

Languages:
python

Links:
https://github.com/kiki7000/discord.py-components
https://github.com/zerometal/gingerit
https://web.archive.org/web/20200914040637/https://github.com/cheney-yan/pingdom-py-api-v3
https://github.com/pypi/warehouse/blob/e8195e40986d63f9b72926a67eb6acfd43b36932/warehouse/packaging/services.py#L445
https://github.com/pypi/warehouse/blob/e8195e40986d63f9b72926a67eb6acfd43b36932/warehouse/migrations/versions/d18d443f89f0\_ultranormalize\_name\_function.py#L29

#ParsedReport #ExtractedSchema

Classified images:
code: 3, schema: 1, windows: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа JFrog по безопасности выявила серьезную угрозу в виде метода атаки на цепочку поставок PyPI под названием "Revival Hijack", который позволяет злоумышленникам перехватывать удаленные пакеты и заменять их вредоносным кодом. Этот метод атаки потенциально может привести к перехвату тысяч существующих пакетов PyPI, что представляет серьезную угрозу для безопасности экосистем программного обеспечения с открытым исходным кодом. Усилия по защите уязвимых пакетов и предложению мер защиты подчеркивают необходимость усиления мер безопасности в борьбе с появляющимися киберугрозами в цепочках поставок программного обеспечения.
-----

Исследовательская группа JFrog по безопасности выявила серьезную угрозу в виде метода атаки на цепочку поставок PyPI под названием "Revival Hijack", который позволяет злоумышленникам перехватывать удаленные пакеты и заменять их вредоносным кодом. Используя лазейку в политике PyPI, которая делает имена пакетов доступными для перерегистрации сразу после удаления, злоумышленники могут манипулировать существующими пакетами для распространения вредоносного ПО. Исследователи обнаружили, что этот метод атаки потенциально может привести к перехвату 22 000 существующих пакетов PyPI, что приведет к сотням тысяч вредоносных загрузок.

Чтобы проверить эффективность атаки Revival Hijack, команда провела эксперименты и успешно перехватила заброшенные пакеты. Они обнаружили тревожное поведение в том, как PyPI обрабатывает удаленные пакеты, демонстрируя потенциальные риски, связанные с этим направлением атаки. Несмотря на принятые PyPI меры предосторожности против выдачи себя за кого-либо, сценарий "Захвата с целью возрождения" не был эффективно предотвращен, что подчеркивает необходимость принятия более комплексных мер безопасности.

Проанализировав уязвимые пакеты, исследователи защитили наиболее загружаемые заброшенные пакеты, заменив их пустыми пакетами, используя зарезервированную учетную запись под названием "security_holding". Удивительно, но они наблюдали тысячи загрузок этих "безопасно захваченных" пакетов, что указывает на сохраняющиеся риски, связанные с ошибочной загрузкой пользователями этих пакетов или устаревшими скриптами, которые все еще ищут их.

Вредоносная полезная нагрузка, обнаруженная в пакете PyPI под названием "pingdomv3", иллюстрирует, как злоумышленники используют типичные методы вредоносного по Python, такие как динамическое выполнение строк в кодировке Base64, для компрометации систем. Полученные результаты подчеркивают реальное воздействие атак на цепочки поставок, таких как Revival Hijack, и необходимость усиления мер безопасности для защиты экосистем программного обеспечения с открытым исходным кодом.

Усилия исследователей по превентивной защите уязвимых пакетов подчеркивают важность упреждающих мер безопасности в борьбе с появляющимися киберугрозами. Их действия не только способствуют защите сообщества PyPI, но и демонстрируют критическую роль непрерывного мониторинга и идентификации угроз в поддержании безопасности цепочки поставок программного обеспечения.

Исследование проливает свет на проблемы, с которыми сталкиваются хранилища программного обеспечения с открытым исходным кодом, такие как PyPI, при защите своих платформ от сложных атак на цепочки поставок. Выявляя уязвимости, такие как Revival Hijack, и предлагая меры защиты, исследовательская группа стремится повысить уровень безопасности сред разработки и развертывания программного обеспечения с открытым исходным кодом.

#ParsedReport #CompletenessMedium
07-09-2024

Fog Ransomware Now Targeting the Financial Sector; Adlumin Thwarts Attack

https://adlumin.com/post/fog-ransomware-now-targeting-the-financial-sector

Report completeness: Medium

Threats:
Fog_ransomware
Credential_harvesting_technique
Djvu_ransomware
Passthehash_technique
Nltest_tool
Shadow_copies_delete_technique

Victims:
Financial services customer, Mid-sized financial business

Industry:
Education, Healthcare

Geo:
Russia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1550.002, T1562, T1486, T1059.001

IOCs:
File: 7
Command: 1
Path: 1
IP: 3

Soft:
Google Chrome

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в эволюции и тактике группы программ-вымогателей Fog, нацеленных на различные сектора, включая недавнюю экспансию в сектор финансовых услуг. В нем рассказывается об ответе Adlumin на атаку программы-вымогателя на клиента финансовых услуг, который приписывает ее Fog, основываясь на предыдущих методах. В тексте также рассматриваются характеристики программы-вымогателя Fog, ее происхождение как разновидности семейства STOP/DJVU и ее тактика использования скомпрометированных учетных данных VPN для взлома сетей. Кроме того, в нем упоминается важность функции предотвращения программ-вымогателей Adlumin для смягчения последствий атаки и восстановления поврежденных систем.
-----

Группа программ-вымогателей Fog расширила свои цели, выйдя за рамки сферы образования и развлечений, и теперь включает в себя сектор финансовых услуг. В августе 2024 года Adlumin отреагировала на атаку программ-вымогателей на клиента финансовых услуг, приписав эту активность Fog, основываясь на предыдущих методах, используемых группой. Атака была быстро локализована и не привела к существенному шифрованию или краже данных. Признаки компрометации показали, что IP-адреса были получены из России, но идентификация, основанная только на этом, не является достоверной из-за потенциальной маскировки местоположения злоумышленниками.

Программа-вымогатель Fog, разновидность семейства STOP/DJVU, впервые была обнаружена в 2021 году и использует скомпрометированные учетные данные VPN для взлома сетей. Она нацелена на такие сферы, как образование и отдых, используя передовые методы, такие как атаки с использованием хэша, для повышения привилегий. Попав в сеть, Fog отключает меры безопасности, шифрует критически важные файлы, такие как диски виртуальных машин (VMDK), и удаляет резервные копии данных, чтобы заставить жертв заплатить выкуп, помеченный файлами с расширениями .FOG или .FLOCKED.

Несмотря на отсутствие прямой связи с установленными группами APT, считается, что программа-вымогатель Fog была создана опытным злоумышленником. Adlumin отследил недавнее проникновение в незащищенную систему, когда злоумышленники использовали две скомпрометированные учетные записи служб и доверительные отношения с доменами. Распространение программы-вымогателя включало использование инструмента под названием locker.exe для шифрования файлов с последующим размещением уведомления о требовании выкупа и удалением теневых копий системы с помощью команд WMIC и PowerShell.

Функция защиты от программ-вымогателей Adlumin, представленная в апреле 2024 года, сыграла решающую роль в изоляции уязвимых компьютеров, блокировании злоумышленников и предотвращении кражи данных во время атаки. Эта функция использует файлы-приманки на защищенных конечных точках, которые запускают оповещения при обнаружении вредоносной активности. Если программа-вымогатель попытается зашифровать эти файлы, система автоматически удалит уязвимые устройства из сети, тем самым предотвратив угрозу и сведя ущерб к минимуму. Уязвимые системы были тщательно оценены и восстановлены для обеспечения устойчивости к будущим атакам.

#ParsedReport #CompletenessMedium
07-09-2024

Chinese APT Abuses VSCode to Target Government in Asia

https://unit42.paloaltonetworks.com/stately-taurus-abuses-vscode-southeast-asian-espionage

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Mimikatz_tool
Shadowpad
Toneshell
Proxyshell_vuln
Proxylogon_exploit
Sharpnbtscan_tool
Tscan_tool
Lazagne_tool
Fscan_tool
Password_spray_technique
Ad_explorer_tool
Frpc_tool
Uac_bypass_technique
Jadtre
Credential_harvesting_technique
Shadow_copies_delete_technique
Vssadmin_tool

Victims:
Government entities, Religious organizations, Nongovernmental organizations

Industry:
Government

Geo:
Asia, Chinese, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1073, T1203, T1105, T1041, T1027, T1036, T1059, T1018, T1003, T1083, have more...

IOCs:
File: 20
Hash: 15
IP: 2

Soft:
VSCode, Microsoft Visual Studio, Visual Studio Code, OpenSSH, curl, Active Directory, PsExec

Links:
https://github.com/shadow1ng/fscan
https://github.com/BronzeTicket/SharpNBTScan

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе новых тактик, методов и процедур (TTP), используемых Stately Taurus cluster, китайской передовой группой по борьбе с постоянными угрозами, при проведении кибершпионажных атак на правительственные учреждения в Юго-Восточной Азии. В тексте обсуждается злоупотребление группой законными процедурами, инновационные методы уклонения от ответственности, использование различных технологий безопасности, методы сохранения и эксфильтрации, связь с деятельностью ShadowPad, использование ShadowPad и других инструментов, информация об исполнителе угроз и рекомендации по защитным стратегиям от таких угроз.
-----

В тексте описываются новые тактики, методы и процедуры (TTP), связанные с кластером Stately Taurus, китайской передовой группой по борьбе с постоянными угрозами, известной своими кибершпионажными атаками на правительственные учреждения в Юго-Восточной Азии. Вот ключевые моменты из текста:.

**Злоупотребление законными процессами**: Stately Taurus использовал законный процесс imecmnt.exe с помощью дополнительной загрузки библиотеки DLL для загрузки модуля ShadowPad (imjp14k.dll), демонстрируя сложный подход к уклонению от обнаружения.

**Технологии обнаружения и защиты**: Различные технологии безопасности, такие как расширенная облачная служба анализа вредоносных программ WildFire, расширенная фильтрация URL-адресов, расширенная защита DNS, Cortex XDR и XSIAM, используются для предотвращения и обнаружения известных и неизвестных вредоносных действий, включая сбор учетных данных, использование веб-оболочки и отправку сообщений-эксплуатировать действия.

**Новые технологии **: Stately Taurus использовала встроенную функцию обратной оболочки Visual Studio Code для выполнения произвольного кода, доставки вредоносных программ и поддержания постоянного доступа в зараженных средах, демонстрируя инновационную тактику обхода средств защиты.

** Методы сохранения и эксфильтрации**: Злоумышленник установил сохранение с помощью запланированных задач и выполненных операций по архивированию и эксфильтрации конфиденциальных данных, используя такие инструменты, как rar.exe через SMB и Listeners.bat.

**Связь с деятельностью ShadowPad**: В тексте подчеркивается связь между деятельностью Stately Taurus и вторым кластером, использующим бэкдор ShadowPad в той же среде, что потенциально указывает на скоординированные усилия или наличие нескольких участников угроз, действующих в целевой зоне.

**Использование ShadowPad и других инструментов**: Дополнительные инструменты, такие как SharpNBTScan, Tscan, ADExplorer64.exe и In-Swor, использовались для сканирования, ввода пароля, выполнения команд, запроса Active Directory и выполнения Mimikatz для сбора учетных данных.

** История создания угроз **: Величественный Таурус, также известный как Мустанг Панда, БРОНЗОВЫЙ ПРЕЗИДЕНТ и другие псевдонимы, ведет активную деятельность как минимум с 2012 года, проводя кампании кибершпионажа против различных организаций по всей Европе и Азии.

**Рекомендации**: Исследователи рекомендуют организациям использовать полученные результаты для совершенствования стратегий защиты от угроз, исходящих от Статных Тельцов и подобных им групп APT.

#ParsedReport #CompletenessMedium
07-09-2024

Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant

https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader

Report completeness: Medium

Threats:
Wikiloader
Dll_sideloading_technique
Emotet
Seo_poisoning_technique
Danabot
Gozi
Typosquatting_technique
Motw_bypass_technique

Industry:
Transport, Education, Iot

Geo:
Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1189, T1071.001, T1036.005, T1055.012, T1090, T1027, T1012, T1497.001, T1204.001, T1105, have more...

IOCs:
File: 10
Path: 1
Url: 8
Hash: 39

Soft:
WordPress, Chrome, Sysinternals

Algorithms:
sha256, zip

Functions:
GetBingMapsFactory

Win API:
CryptUnprotectData

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в методах, используемых WikiLeader в кампаниях, имитирующих GlobalProtect, с акцентом на антианализ и методы уклонения от защиты, которые были определены командой Unit 42 Managed Threat Hunting. В нем обсуждается эволюция вредоносного ПО, методы доставки, такие как SEO-отравление, используемые методы уклонения, такие как опечатывание и дополнительная загрузка, а также потенциальное воздействие на различные сектора. Кроме того, в нем рассказывается об уникальных приемах, используемых WikiLoader, и подчеркивается важность поиска угроз в конечных точках для обнаружения и устранения вредоносных программ, несмотря на их тактику уклонения.
-----

WikiLoader распространяется с помощью SEO-оптимизации и подмены программного обеспечения GlobalProtect VPN.

Вредоносная программа использует различные методы уклонения, такие как поиск опечаток, дополнительная загрузка законно подписанных двоичных файлов и шифрование шелл-кода.

Недавние кампании, нацеленные на высшее образование и транспортный сектор США, расширили круг жертв WikiLeaks.

WikiLoader устанавливает постоянство, вводя шелл-код в explorer.exe и создавая запланированные задачи для выполнения.

Вредоносная программа выводит поддельные сообщения об ошибках после заражения, чтобы не вызывать подозрений.

Финансово мотивированные злоумышленники, скорее всего, продолжат использовать WikiLoader для скрытных кампаний по загрузке Windows.

Организации могут использовать распространенные методы поиска угроз для конечных точек для выявления и устранения вредоносных программ.

#ParsedReport #CompletenessLow
07-09-2024

Dissecting the Cicada

https://www.truesec.com/hub/blog/dissecting-the-cicada

Report completeness: Low

Actors/Campaigns:
Blackcat

Threats:
Cicada_ransomware
Blackcat
Screenconnect_tool
Brutus

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001

IOCs:
File: 2
IP: 1

Soft:
ESXi, esxcli

Algorithms:
base64, chacha20

Languages:
rust

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4