#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте сообщается об обнаружении нового мультиплатформенного бэкдора под названием KTLVdoor, который использовался Earth Lusca threat group в масштабной кампании по атаке на китайскую торговую компанию. Бэкдор, написанный на Golang, маскируется под системные утилиты и позволяет злоумышленникам манипулировать файлами, выполнять команды и проводить удаленное сканирование портов. Вредоносная программа использует сложные методы шифрования и обфускации, чтобы избежать анализа. Связь между агентом и сервером управления зашифрована и сжата. Весьма вероятно, что связь с Earth Lusca существует, но могут быть задействованы и другие участники угроз, говорящие на китайском языке, что указывает на скоординированные усилия в области киберугроз в Китае. Организациям рекомендуется использовать надежные решения безопасности, такие как Trend Vision One, для эффективной защиты от подобных атак.
-----

Был обнаружен новый мультиплатформенный бэкдор под названием KTLVdoor, который использовался террористической группой Earth Lusca в крупномасштабной атакующей кампании.

Бэкдор написан на Golang и имеет версии как для Microsoft Windows, так и для Linux; он маскируется под системные утилиты и позволяет злоумышленникам манипулировать файлами, выполнять команды и проводить удаленное сканирование портов.

Вредоносная программа использует сложные методы шифрования и обфускации, чтобы избежать анализа и взаимодействовать с более чем 50 серверами управления (C&C), размещенными китайской компанией.

Распространение вредоносного ПО в виде динамической библиотеки дает злоумышленникам полный контроль над скомпрометированной средой, уделяя особое внимание китайским организациям, таким как торговые компании.

Связь между агентом и серверами C&C шифруется с использованием AES-GCM, а сообщения отправляются в формате, сжатом с помощью GZIP, в симплексном или дуплексном режиме.

Несмотря на то, что связь между KTLVdoor и Earth Lusca установлена, не все образцы могут быть однозначно отнесены к субъекту угрозы, что предполагает потенциальный обмен информацией между другими китайскоязычными субъектами угрозы.

Для защиты от подобных атак организациям рекомендуется внедрять надежные технологии безопасности, такие как Trend Vision One, для постоянного выявления объектов атаки и защиты от вредоносных инструментов.

#ParsedReport #CompletenessMedium
08-09-2024

Konni Threat Worldview Expansion Analysis Report

https://www.genians.co.kr/blog/threat_intelligence/konni_universe

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Agent_tesla
Cloud_reverser
Asyncrat

Victims:
Korean government agencies, Russian government agencies, Individuals in north korea, Experts in north korean affairs, Individuals involved in virtual asset transactions

Industry:
Government, Financial

Geo:
Dprk, Gyeonggi-do, Korea, North korean, Russian, Usa, Korean, Russia, North korea, Chinese, Germany, Moscow, The us, German

ChatGPT TTPs:
do not use without manual check
T1566.001, T1202, T1059.001, T1059.005, T1071.002, T1070.004, T1059.003, T1140

IOCs:
Domain: 34
File: 19
IP: 8
Hash: 37
Path: 2
Command: 1

Soft:
Slack, Instagram, task scheduler, Microsoft Excel

Crypto:
bitcoin

Algorithms:
zip, aes-256-ctr, base64, sha256, xor, md5, aes

Functions:
CreateObject, GetFolder, ReadLine, GetSpecialFolder

Win API:
CopyFile

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 3, code: 2, dump: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания Konni threat campaign и связанная с ней группа Kimsuky проводят кибератаки на правительственные учреждения в Корее и России. В рамках кампании используются различные методы, такие как скрытый фишинг, облачные сервисы и FTP-сервисы, а также распространение вредоносных программ для проникновения в системы, уклонения от обнаружения антивирусом и сохранения устойчивости. Злоумышленники постоянно адаптируют свою тактику, чтобы избежать обнаружения, подчеркивая важность упреждающего мониторинга и анализа угроз для повышения уровня кибербезопасности.
-----

Кампания Konni threat, которая, как полагают, связана с группой Kimsuky, расширяет свою деятельность, в частности, за счет использования облачных сервисов и FTP-сервисов в рамках поэтапной цепочки заражения. Кампания была нацелена на правительственные учреждения в Корее и России, и было замечено, что для проведения атак использовались зарубежные веб-хостинговые и доменные сервисы. Центр безопасности Genians (GSC) определил тактику, методы и процедуры Konni group (TTP), включая меры по предотвращению обнаружения антивирусом на начальном этапе проникновения.

В августе 2022 года произошел примечательный инцидент, связанный с фишинговой атакой с использованием документа-приманки под названием "Пхеньян ведет переговоры с Москвой о доступе к Донбассу" и вредоносного файла с расширением ppam. Последующие атаки, совершенные в ноябре 2023 года и феврале 2024 года, выдавали себя за полицейских следователей и налоговую юридическую фирму, соответственно, используя фишинг для распространения вредоносных файлов. Целью этих атак были эксперты по делам Северной Кореи, политике и операциям с виртуальными активами. Вредоносные программы, участвовавшие в этих атаках, были в основном представлены в форматах исполняемых файлов, причем некоторые из них использовали расширение ppam.

Группа Cony threat, являющаяся частью кампании Konni, использует фишинг-атаки, нацеленные на отдельных лиц в Северной Корее, финансы и виртуальные активы. В своих атаках они используют различные темы, например, выдают себя за Национальную налоговую службу или предлагают стипендии северокорейским перебежчикам. Вредоносные файлы, связанные с Cony, подключаются к серверу управления (C2) в Германии, используя различные варианты вредоносного ПО AsyncRAT. Злоумышленники постоянно адаптируют свою тактику, чтобы избежать обнаружения, что требует активного мониторинга и анализа угроз.

Кампания также включает распространение вредоносных файлов, при этом особое внимание уделяется тем, которые были собраны в период с мая по июль 2024 года. Эти файлы содержат запутанные скрипты и используют различные расширения файлов для проведения атак. Тактика включает в себя использование скриптов VBS, команд PowerShell для обмена данными и потенциальную установку троянских программ удаленного доступа (RAT) по каналам FTP. Злоумышленники демонстрируют высокий уровень технического мастерства в использовании алгоритмов шифрования и методов написания сценариев для проникновения в системы и поддержания их работоспособности.

Более того, вредоносные действия, связанные с группой Cony threat group, демонстрируют опыт обхода антивирусного обнаружения с помощью атак без использования файлов, обфускации и шифрования. Центр безопасности Genians использовал свои возможности обнаружения конечных точек и реагирования на них (EDR) для отслеживания угроз Cony и реагирования на них, подчеркивая важность раннего обнаружения и активных стратегий смягчения последствий. Коммуникации и схемы атак C2 в рамках кампании указывают на скоординированные усилия, направленные на широкий круг жертв, что требует постоянного мониторинга и интеграции информации об угрозах для повышения уровня кибербезопасности.

#ParsedReport #CompletenessHigh
08-09-2024

APT \| Patchwork. APT \| Analysis of recent attack activities of Patchwork organization

https://www.ctfiot.com/204087.html

Report completeness: High

Actors/Campaigns:
Dropping_elephant (motivation: information_theft)

Threats:
Spear-phishing_technique
Remcos_rat
Badnews_rat
Quasar_rat
Asyncrat
Northstar_tool

Victims:
Military, Diplomatic, Educational, Scientific research institutions

Industry:
Military

Geo:
Bangladesh, Pakistan, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1105, T1059.001, T1071.001, T1055.004, T1555.001

IOCs:
Domain: 5
Url: 4
File: 3
Hash: 7
IP: 4

Soft:
WeChat

Algorithms:
aes-256-cbc, aes-128-cbc, md5, base64

Languages:
powershell, golang, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Patchwork organization - это группа злоумышленников, известная своей атакой на военные, дипломатические, образовательные и научно-исследовательские учреждения в таких странах, как Китай, Пакистан и Бангладеш, с помощью фишинговых кампаний с использованием вредоносных вложений, замаскированных под PDF-файлы, в первую очередь LNK-файлов. Они используют различные средства атаки, используют тактику, методы и процедуры (TTP), связанные с вводящими в заблуждение фишинговыми электронными письмами, и предпринимают действия, направленные на получение глубокого контроля над своими объектами с целью кражи критически важных данных. Использование ими различных троянских программ с дистанционным управлением и методов уклонения от атак подчеркивает необходимость принятия надежных мер кибербезопасности для эффективного противодействия их атакам.
-----

Организация Patchwork, известная с 2009 года и публично раскрытая в 2015 году, занимается кражей данных военных, дипломатических, образовательных и научно-исследовательских учреждений в таких странах, как Китай, Пакистан и Бангладеш.

В основном они используют фишинговые кампании с использованием вредоносных LNK-файлов, замаскированных под PDF-файлы, для запуска скриптовых команд для загрузки дополнительной полезной информации с удаленных серверов управления.

Patchwork использует различные инструменты атаки, такие как BADNEWS, QuasarRat, AsyncRat, Remcos RAT и NorthStarC2, а TTP включают использование вводящих в заблуждение строк темы в фишинговых письмах для распространения вредоносных файлов LNK.

Недавние действия показывают, что "Пэчворк" загружает несколько троянских программ с удаленным управлением, чтобы получить полный контроль над целями, используя такие методы, как загрузка памяти, выполнение зашифрованного шеллкода и захват локальных библиотек DLL, чтобы избежать обнаружения и украсть важные данные.

Специальные инструменты и методы, такие как троянец BADNEWS, внедряющий шеллкод в процессы, и троянец Quasar, расшифровывающий шеллкод в кодировке base64, демонстрируют их сложные методы.

Группа использует инструменты для кражи ключей браузера и троянские программы удаленного управления, такие как Protego client, для поддержания соединений с внешними серверами C2 для скрытных операций и утечки конфиденциальной информации.

Передовые кампании The Patchwork group по борьбе с атаками подчеркивают необходимость принятия надежных мер кибербезопасности для эффективного обнаружения и устранения этих целенаправленных угроз организациям в чувствительных секторах.

#ParsedReport #CompletenessLow
08-09-2024

New Harry Potter-named malware strikes, revealing global espionage campaign

https://www.proofpoint.com/us/newsroom/news/new-harry-potter-named-malware-strikes-revealing-global-espionage-campaign

Report completeness: Low

Threats:
Voldemort

Victims:
Individuals

Industry:
E-commerce, Government, Financial

Geo:
Italy, France, India, Germany, Japan

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1059.006, T1566.001, T1566.003, T1036.005

Soft:
Instagram

Algorithms:
des, zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового вида вредоносного ПО под названием "Voldemort", которое нацелено на отдельных лиц, выдавая себя за государственные налоговые органы и осуществляя шпионаж с целью кражи личных данных и паролей. Вредоносная программа использует Google Sheets для скрытной работы, и организациям рекомендуется совершенствовать протоколы кибербезопасности для защиты от таких киберугроз.
-----

В тексте описывается новый вид вредоносного ПО под названием "Voldemort", который был обнаружен исследователями в области безопасности и подозревается в шпионаже. Хакеры, стоящие за Voldemort, заражают устройства, выдавая себя за государственные учреждения, в частности налоговые службы, такие как IRS, для сбора личных данных, паролей и другой конфиденциальной информации. Как только вредоносная программа оказывается на компьютере, она может загрузить дополнительное вредоносное программное обеспечение и загрузить данные на сервер хакера, используя при этом Google Sheets, чтобы избежать обнаружения и сохранить украденные данные.

Кибератака начинается с адресных электронных писем, которые, как представляется, поступают от государственных налоговых органов различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию. Эти электронные письма настраиваются в соответствии со страной проживания цели на основе общедоступной информации, что иногда приводит к путанице из-за общих имен или ссылок на определенные страны в открытых источниках. Хакеры также используют адреса электронной почты, имитирующие адреса государственных учреждений, чтобы придать сообщению видимость законности.

Жертвам предлагается переходить по ссылкам в этих поддельных электронных письмах, которые ведут на целевые страницы со скрытыми вредоносными скриптами. При открытии файла вредоносная программа активируется, собирает системную информацию и профилирует цель, при этом отображается как поддельный PDF-файл, чтобы скрыть свою активность. После заражения вредоносная программа использует Google Sheets в качестве командного центра, получая инструкции и сохраняя украденные данные в определенных ячейках, используя API Google для передачи данных незамеченными.

Кроме того, организациям настоятельно рекомендуется совершенствовать протоколы кибербезопасности и внедрять меры по защите отдельных лиц от атак вредоносных программ, учитывая растущую сложность и масштабы киберугроз. В заключение читателям предлагается поделиться своими соображениями о дополнительных мерах защиты, связавшись с нами по адресу Cyberguy.com.

#ParsedReport #CompletenessHigh
08-09-2024

Threat Actors Exploit GeoServer Vulnerability CVE-2024-36401

https://www.fortinet.com/blog/threat-research/threat-actors-exploit-geoserver-vulnerability-cve-2024-36401

Report completeness: High

Actors/Campaigns:
Winnti
Cutting_kitten
Fox_kitten
Volt_typhoon

Threats:
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Upx_tool
Tcpflood_technique
Udpflood_technique
Xmrig_miner

Victims:
It service providers, Technology companies, Government entities, Telecommunications companies

Industry:
Telco, Government

Geo:
Asia, India, America, Indonesian, Belgium, Thailand, Chinese, Brazil

CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


ChatGPT TTPs:
do not use without manual check
T1210, T1071.001, T1498, T1059.004, T1203, T1071.002, T1057, T1570, T1566.003, T1036.005, have more...

IOCs:
Url: 32
IP: 9
Domain: 7
File: 4
Coin: 2
Hash: 55

Soft:
Aegis, crontab

Algorithms:
chacha20, xor, base64, md5

Languages:
java

Platforms:
m68k, mips, arm, mpsl, x86

Links:
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
https://github.com/fatedier/frp
https://github.com/geoserver/geoserver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается недавняя уязвимость высокой степени серьезности (CVE-2024-36401), обнаруженная в GeoServer, программном сервере с открытым исходным кодом, используемом для обмена геопространственными данными, что приводит к удаленному выполнению кода. Уязвимость активно используется различными участниками угроз, включая APT41, для таких вредоносных действий, как распространение вредоносных программ, атаки ботнетов, создание бэкдоров и криптоджекинг. Исследователи в области безопасности выявили конкретные вредоносные инструменты, бэкдоры, прокси-серверы и майнеры монет, использовавшиеся в этих атаках, причем некоторые из них указывают на китайскую принадлежность. Кроме того, злоумышленники используют такие тактические приемы, как команды в кодировке base64 и вводящие в заблуждение загрузки с веб-сайтов, чтобы внедрять вредоносное ПО и поддерживать операции незаконного майнинга на скомпрометированных системах.
-----

GeoServer, программный сервер с открытым исходным кодом, написанный на Java, используется для обмена и редактирования геопространственных данных и является эталонной реализацией стандартов OGC WFS и WCS. Недавно на GeoServer была обнаружена уязвимость CVE-2024-36401 с высоким показателем CVSS - 9,8. Эта уязвимость делает возможным удаленное выполнение кода пользователями, не прошедшими проверку подлинности, путем определенных манипуляций с вводимыми данными при установке GeoServer по умолчанию из-за небезопасной оценки имен свойств в виде выражений XPath.

Разработчики проекта устранили эту уязвимость в версиях 2.23.6, 2.24.4 и 2.25.2. После обнаружения CISA добавила этот недостаток в свой каталог KEV, сигнализируя об активной эксплуатации. FortiGuard Labs быстро добавила IP-сигнатуру, наблюдая за многочисленными кампаниями, направленными на выявление уязвимости для распространения вредоносного ПО. Примечательно, что семейства ботнетов и группы майнеров быстро начали атаки. Одной из особо выделенных вредоносных программ является "GOREVERSE", обратный прокси-сервер, используемый для незаконного доступа к системе.

Было обнаружено, что злоумышленники, связанные с APT41, пытались использовать эту уязвимость для различных целей по всему миру, включая поставщиков ИТ-услуг в Индии, технологические фирмы США, государственные учреждения в Бельгии и телекоммуникационные компании в Таиланде и Бразилии. Кроме того, в ходе этих атак была обнаружена сложная вредоносная программа-бэкдор для Linux под названием "SideWalk", часто используемая APT41. Это вредоносное ПО разработано для архитектур ARM, MIPS и X86, при этом связь устанавливается через сервер C2 с использованием алгоритма шифрования ChaCha20.

Исследователи ИТ-безопасности выявили различные вредоносные инструменты, такие как "Linux2.4" и "taskhost.exe", которые действуют как ботнеты и агенты черного хода, а также прокси-сервер GOREVERSE. Эти инструменты обладают возможностями DDoS-атак и бэкдоров, устанавливая соединения с удаленными серверами для вредоносных операций.

Также были обнаружены атаки Coin miner с использованием скриптов, собирающих информацию о хостинге и нацеленных на сервисы облачной платформы, причем конкретные случаи указывали на китайскую принадлежность на основе комментариев к скрипту. Было обнаружено, что различные майнеры монет, такие как "sshd", "linuxsys" и "h4", занимались криптоджекингом. Майнеры монет использовали такие инструменты, как XMRig, и устанавливали URL-адреса пулов для извлечения криптовалюты из зараженных систем.

Дополнительная тактика включала команды в кодировке base64 для загрузки вредоносных скриптов, таких как "linux.sh " или "cron.sh " с обманчивых веб-сайтов, имитирующих законные платформы. Эти скрипты были разработаны для развертывания майнеров монет и создания постоянных процессов в скомпрометированных системах для продолжения незаконной деятельности по добыче полезных ископаемых.

#ParsedReport #CompletenessMedium
08-09-2024

Everything is a ghost: new mailings of cyber spies PhantomCore to Russian companies using PhantomCore.KscDL_trim

https://habr.com/ru/companies/f_a_c_c_t/articles/841348

Report completeness: Medium

Actors/Campaigns:
Phantomcore (motivation: cyber_espionage)

Threats:
Phantomcore
Phantomrat
Upx_tool

Victims:
Russian it company, Company organizing business trips, Design bureau, Manufacturer of wireless communication systems and high-tech equipment

Industry:
Energy

Geo:
Russian

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.001, T1105, T1203, T1106

IOCs:
File: 9
IP: 2
Hash: 9
Url: 6

Algorithms:
sha256, md5, sha1

Functions:
runRequester

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: специалисты F.A.C.C.T. обнаружили кампании по электронной почте, проводимые группой кибершпионажа PhantomCore, нацеленные на различные организации в России, в основном на промышленные компании, использующие вредоносные вложения, замаскированные под важные документы, для использования известной уязвимости (CVE-2023-38831) для выполнения полезной нагрузки и командно-контрольных действий посредством вариант загрузчика на C++ с именем PhantomCore.KscDL_trim.
-----

F.A.C.C.T. обнаружила несколько рассылок по электронной почте от PhantomCore group, нацеленных на различные организации, включая российскую IT-компанию, организацию деловых поездок, конструкторское бюро и производителя систем беспроводной связи.

В рассылке по электронной почте содержалось вредоносное вложение, замаскированное под форму договора поставки, в котором использовалась обычная тактика злоумышленников.

PhantomCore воспользовался известной уязвимостью CVE-2023-38831, чтобы запустить свой вредоносный код, используя вариант PhantomCore с именем PhantomCore.KscDL_trim.

PhantomCore.KscDL_trim общался по протоколу HTTP и демонстрировал такие возможности, как загрузка и запуск файлов с сервера C2 и выполнение команд в командном интерпретаторе Windows.

Конкретные команды вредоносной программы включали профилирование жертв, манипулирование файлами и выполнение команд в скомпрометированной системе.

#ParsedReport #CompletenessHigh
08-09-2024

APT Lazarus: Eager Crypto Beavers, Video calls and Games

https://www.group-ib.com/blog/apt-lazarus-python-scripts

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Contagious_interview
Dalbit

Threats:
Civetq
Beavertail
Invisibleferret
Anydesk_tool
Talisman
Casper

Victims:
Developers, Job-seekers, Blockchain professionals

Industry:
Entertainment, Financial

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 7
Hash: 50
Url: 8
Domain: 5
Coin: 12
Path: 1
IP: 30

Soft:
Node.js, macOS, Telegram, Proxifier, Windows Installer, Unix, Chrome, Chromium, Opera, Vivaldi, have more...

Wallets:
rabby, exodus_wallet, metamask, coinbase, tronlink, coin98, safepal, solflare, braavos_wallet, ronin_wallet, have more...

Crypto:
multiversx, ethereum, tezos, binance, casper

Algorithms:
xor, zip

Functions:
Video, eval

Languages:
python, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4