#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Knowsec 404 Advanced Threat Intelligence обнаружила целенаправленную кампанию кибератак, приписываемую группе APT-K-UN3, которая была направлена против лиц, говорящих на китайском языке, вовлеченных в азартные игры и мошенничество. Злоумышленники использовали сложные методы, такие как атаки на водопои, фишинговые кампании и распространение в социальных сетях, для распространения своей вредоносной информации, включая модифицированную версию gh0st RAT. APT-K-UN3 продемонстрировал высокий уровень владения китайским языком и использовал различные методы, чтобы избежать обнаружения, включая использование домена законной отечественной технологической компании для вредоносных действий и шифрование шелл-кода для загрузки полезных данных.
-----

Команда Knowsec 404 Advanced Threat Intelligence обнаружила целенаправленные атаки на китайскоязычных пользователей с использованием модифицированной версии gh0st RAT.

Первоначально его приписывали группе APT GoldenEyeDog/Dragon Death, но дальнейший анализ выявил нового участника угроз под названием APT-K-UN3 с уникальными характеристиками и стратегиями.

APT-K-UN3 был нацелен на лиц, вовлеченных в азартные игры и мошенничество в китайскоязычном сообществе, уделяя особое внимание профессионалам низкого уровня в этих отраслях.

Злоумышленники использовали VPN-сервис KuaiLian для атак, нацеленных в первую очередь на китайских пользователей, а также такие инструменты, как toDesk, SunloginClient и sogoupinyin.

APT-K-UN3 продемонстрировал владение китайским языком и знакомство с целевым сообществом, главным образом с теми, кто занимается незаконными азартными играми и мошенничеством.

Используемые методы распространения информации включали в себя подпольные атаки, фишинговые кампании и распространение в социальных сетях, при этом злоумышленники использовали по меньшей мере 50 различных троянских файлов.

Последней полезной нагрузкой был модифицированный троянец gh0st, обладающий продвинутыми навыками кодирования и такими возможностями, как ведение кейлогга и функции дистанционного управления.

Вариант Mgh0st предназначался для установления связи с сервером управления, при этом выбор сервера C2 был указан в главном программном файле.

APT-K-UN3 использовал домен, зарегистрированный на законную отечественную технологическую компанию, для осуществления вредоносных действий, хранил полезную информацию в облачной инфраструктуре компании, чтобы избежать обнаружения, и использовал зашифрованный шеллкод для загрузки полезной информации.

Чтобы повысить видимость в поисковых системах, злоумышленники выдавали себя за VPN-сервис KuaiLian на веб-сайтах, где можно было отдохнуть.

#ParsedReport #CompletenessLow
09-09-2024

APT attack disguised as a paper on Russia-North Korea partnership (Kimsuky)

https://asec.ahnlab.com/ko/83026

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Runkeys_technique

Victims:
Domestic users

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1204, T1059, T1564, T1082

IOCs:
File: 4
Hash: 3

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе атаки advanced persistent threat (APT), нацеленной на отечественных пользователей, которая предполагает использование репозитория Github для распространения вредоносных скриптов и файлов-приманок. Злоумышленник использует многогранный подход, сочетающий технические приемы и элементы социальной инженерии, для компрометации систем и кражи конфиденциальной информации. Изощренность методологии атаки, включая использование Runkey для сохранения данных и манипулирования свойствами файлов, демонстрирует намерение злоумышленника сохранить доступ и избежать обнаружения. Подчеркивается важность упреждающего анализа угроз и мер безопасности для смягчения возможных угроз и защиты от кибершпионажа.
-----

ASEC обнаружила APT-атаку, нацеленную на отечественных пользователей, использующую репозиторий Github для загрузки вредоносных скриптов и файлов-приманок, направленных на кражу пользовательской информации.

Злоумышленник использовал Runkey для сохранения и встроил функции для изменения свойств файлов и разрешений для более сложных атак.

Файлы-приманки включали в себя два документа Word о партнерстве России и Северной Кореи, чтобы заманить жертв к взаимодействию с вредоносным контентом.

Стратегии злоумышленника включали в себя техническую тактику, элементы социальной инженерии и использование широко используемых платформ, таких как Github, чтобы сочетаться с законной деятельностью для повышения эффективности.

Вредоносные скрипты играют решающую роль во взаимодействии с системой жертвы, использовании уязвимостей и извлечении конфиденциальных данных.

Изменяя свойства и разрешения файлов, злоумышленник может избежать обнаружения, повысить привилегии и манипулировать критически важными системными файлами в вредоносных целях.

Сочетание технических возможностей, тактики социальной инженерии и стратегического использования файлов-приманок демонстрирует изощренность и тщательное планирование APT-атаки.

Проактивная разведка и анализ угроз ASEC имеют решающее значение для предотвращения APT-угроз и защиты от утечек данных и кибершпионажа.

#ParsedReport #CompletenessLow
09-09-2024

Librarian Ghouls Engage in Industrial Espionage

https://www.kaspersky.ru/blog/librarian-ghouls-cad-formats/38199/

Report completeness: Low

Actors/Campaigns:
Librarian_ghouls (motivation: cyber_espionage)
Evilnum (motivation: cyber_espionage)

Victims:
Companies involved in design and engineering activities, Research institutes, Enterprises of the rocket, space and aviation industries, Manufacturers of equipment for the gas processing, petrochemical, nuclear power and defense industries, Manufacturers of diving equipment, communication and radar systems, cash register equipment, automotive components, automated process control systems, telecommunications equipment, secure communications equipment, semiconductor devices and power modules

Industry:
Semiconductor_industry, Aerospace, Petroleum, Transport, Nuclear_power, Telco

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566.001, T1071.001, T1081

IOCs:
Domain: 1
File: 7

Soft:
Telegram, SolidWorks, KOMPAS-3D, AutoCAD, CorelCAD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Librarian Ghouls переключила внимание на CAD-файлы, используя последовательные методы распространения вредоносного ПО через вредоносные вложения в электронной почте. Основными целями являются компании, занимающиеся проектированием и разработкой, и рекомендуется использовать решения для фильтрации электронной почты и локальные меры безопасности для защиты от этих угроз.
-----

Librarian Ghouls сосредоточила свое внимание на файлах, относящихся к системам автоматизированного проектирования (CAD). Первоначально известная тем, что рассылала вредоносные электронные письма с вложениями для сбора конфиденциальной информации с компьютеров различных компаний, группа теперь расширила свой интерес к файлам, используемым программным обеспечением для моделирования и разработки промышленных систем.

Несмотря на эти изменения в поведении, методы и инструменты, используемые злоумышленниками, в основном оставались неизменными с июля. Злоумышленники продолжают распространять вредоносное ПО с помощью вредоносных вложений в электронной почте, замаскированных под документы Office. Обычно эти электронные письма содержат темы, связанные с ведением каталогов электронных компонентов или срочными запросами от организаций.

Ранее злоумышленники в основном атаковали офисные документы и данные из мессенджера Telegram. Однако теперь они включили в свою базу данных дополнительные расширения файлов, типичные для узкоспециализированного программного обеспечения. Эти расширения включают файлы из CAD-систем, таких как SolidWorks и KOMPAS-3D, а также универсальных форматов 3D-моделирования, таких как .m3d и .dwg. Также было замечено, что вредоносная программа похищает документы в формате PDF.

Получателями вредоносных электронных писем от библиотекарей-упырей являются в основном компании, занимающиеся проектированием и инжинирингом в различных отраслях промышленности, включая научно-исследовательские институты, аэрокосмические предприятия, производителей оборудования для различных отраслей и поставщиков коммуникационных и полупроводниковых устройств.

Чтобы защитить предприятия от таких вредоносных рассылок, рекомендуется использовать решения для фильтрации электронной почты, чтобы перехватывать потенциальные угрозы до того, как они попадут в почтовые ящики сотрудников. Кроме того, рекомендуется использовать локальные решения безопасности на всех рабочих устройствах с доступом в Интернет, чтобы предотвратить выполнение вредоносного кода и блокировать потенциальные атаки.

Сохраняя бдительность и применяя эти меры безопасности, организации могут лучше защищаться от киберугроз, исходящих от таких групп, как "Библиотечные вурдалаки".

#ParsedReport #CompletenessMedium
09-09-2024

A glimpse into the Quad7 operators next moves and associated botnets

https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets

Report completeness: Medium

Actors/Campaigns:
Bluenoroff

Threats:
Quad7
Upx_tool
Blnwx
Rustbucket

Victims:
Tp-link, Zyxel, Asus, Axentra, D-link, Netgear, Ruckus wireless

Industry:
Iot

Geo:
Morocco, Chinese, California

ChatGPT TTPs:
do not use without manual check
T1078.003, T1190, T1572, T1219, T1095, T1090.002, T1573.001

IOCs:
File: 5
IP: 5
Hash: 21

Soft:
Zyxel, Ruckus

Algorithms:
salsa20

Platforms:
mips, arm

Links:
https://github.com/skywind3000/kcp
https://github.com/skywind3000/kcp/blob/master/README.en.md
https://github.com/cjdelisle/cjdns/blob/master/client/cjdroute2.c
https://github.com/cjdelisle/cjdns/blob/master/doc/Whitepaper.md

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается деятельность операторов Quad7, группы киберугроз, нацеленной на маршрутизаторы SOHO и устройства VPN с использованием множества уязвимостей. Аналитики обнаружили новые промежуточные серверы, определили дополнительные цели, имплантаты и кластеры ботнетов. Операторы совершенствуют свой набор инструментов, внедряя новые бэкдоры и исследуя новые протоколы для повышения скрытности и предотвращения слежки. Обнаружение различных кластеров ботнетов и использование операторами различных бэкдоров, коммуникационных протоколов и тактик демонстрируют их усилия по сохранению скрытности и адаптации, чтобы избежать обнаружения и присвоения информации.
-----

Команда Sekoia TDR обнаружила новые промежуточные серверы, подключенные к операторам Quad7, что привело к выявлению дополнительных целей, имплантатов и кластеров ботнетов, нацеленных на такие бренды, как TP-LINK, Zyxel, Asus, Axentra, D-Link и Netgear, с помощью множества уязвимостей.

Операторы Quad7 расширяют свой набор инструментов, добавляя новый бэкдор под названием UPDTAE, и тестируют обратные оболочки на основе HTTP, чтобы повысить скрытность и избежать отслеживания с помощью операционных блоков ретрансляции (ORB).

Было обнаружено, что пять кластеров входа в систему (alogin, xlogin, axlogin, rlogin и zylogin), подключенных к операторам ботнета Quad7, содержат скомпрометированные устройства, такие как маршрутизаторы TP-Link с открытыми портами TELNET/7777 и 11288.

Новый пример входа в систему под названием rlogin предназначен для беспроводных устройств Ruckus, ботнет которых по состоянию на 26 августа 2024 года состоял из 213 устройств.

Операторы используют файлы bash, такие как fsy.bin и exec.sh, наряду с такими инструментами, как netd binary, для настройки правил брандмауэра, запуска двоичных файлов и создания защищенных коммуникационных туннелей обратно к своим серверам для скрытных операций и предотвращения обнаружения.

#ParsedReport #CompletenessHigh
09-09-2024

Revealing multiple RMM software attacks organized by MuddyWater. 1. Analysis of attack activities. 1. Analysis of attack activities

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA%3D%3D&mid=2247500427&idx=1&sn=29a99b3ae418762fdd184f8b82c20d79&chksm=f9c1f182ceb678943a0d6cca3a94f0e7860aca6046e8b7a385ad9c266c7630de225b4bd7dd10&scene=178&cur_album_id=1955835290309230595

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Spear-phishing_technique
Darkbeatc2
Phonyc2
Muddyc2go
Powerstats
Moriagent
Double_kill_vuln
Double_star_vuln
Harpoon_technique
Atera_tool
Screenconnect_tool
Simplehelp_tool
Syncro_tool
Splashtop_tool
Anydesk_tool
Teamviewer_tool
Upx_tool

Industry:
Military, Petroleum, Government, Education

Geo:
Middle east, American

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1204.002, T1036.005, T1105, T1078, T1136.001, T1047

IOCs:
Hash: 53
Url: 18
Domain: 4
IP: 6
File: 9
Email: 1

Algorithms:
zip, md5

Win API:
decompress

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 11, table: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater - это передовая террористическая организация, происходящая из ближневосточной страны, которая нацелена на правительственные учреждения, военные структуры, средства связи и нефтяные компании на Ближнем Востоке, в Европе и Северной Америке. Они используют фишинговые электронные письма с вредоносными файлами или ссылками для загрузки полезной информации и располагают обширным арсеналом программного обеспечения RMM для удаленного доступа. MuddyWater постоянно обновляет свои инструменты для атак, преуспевает в атаках harpoon и избегает обнаружения, скрывая свои действия за кажущимися законными электронными письмами и ссылками для обмена файлами. Их тактика заключается в использовании различных инструментов RMM и надежных сервисов для удаленного мониторинга и управления скомпрометированными системами.
-----

MuddyWater, также известная как Static Kitten и MERCURY, является передовой террористической организацией, базирующейся в одной из стран Ближнего Востока. MuddyWater действует с начала 2017 года и нацелена на правительственные учреждения, военные структуры, средства связи и нефтяные компании на Ближнем Востоке, в Европе и Северной Америке. Их методы атаки включают фишинг-рассылку электронных писем, содержащих вредоносные файлы или ссылки для загрузки полезной информации с веб-сайтов, размещающих файлы, таких как onehub.com. Инфраструктура организации, включая серверы C2 и средства атаки, частично совпадает с предыдущими атаками и была идентифицирована поставщиками средств безопасности.

MuddyWater обладает обширным арсеналом, который включает в себя программное обеспечение RMM, такое как Remote Utilities, ScreenConnect, SimpleHelp, Syncro, N-Able и Atera Agent, а также другие инструменты, такие как DarkBeatC2, PhonyC2, MuddyC2Go, POWERSTATS и MORIAGENT. Это свидетельствует о значительной экономической поддержке их деятельности. Организация преуспевает в проведении скрытных атак с использованием гарпуна и постоянно обновляет свои средства атаки, чтобы избежать обнаружения.

360 Advanced Threat Research Institute активно изучает тактику MuddyWater и с 2020 года обнаружил, что они полагаются на программное обеспечение RMM. Они заметили, что, несмотря на изменение типов RMM, процесс предоставления полезной нагрузки в MuddyWater остается неизменным. Злоумышленники используют фишинговые электронные письма на арабском языке, чтобы обманом заставить пользователей открыть вредоносные файлы, что приводит к установке инструментов RMM, предоставляющих удаленный доступ к системе жертвы.

Недавно было замечено, что MuddyWater использует инструмент Atera Agent для атак, распространяя фишинговые электронные письма с зашифрованными образцами RAR, чтобы обойти программное обеспечение безопасности. Организация также использует надежные сервисы, такие как Egnyte, для распространения вредоносных установочных пакетов. Они используют различные инструменты RMM, такие как Splashtop, AnyDesk, TeamViewer и ScreenConnect, для удаленного доступа и управления.

Со временем MuddyWater адаптировала свою тактику, перейдя на такие инструменты для атак, как N-Able и Syncro. Они используют HTML-файлы, PDF-файлы и вложения Office в фишинговых электронных письмах для доставки вредоносной информации. Скрывая свою деятельность с помощью, казалось бы, законных электронных писем и ссылок для обмена файлами, MuddyWater стремится избежать обнаружения и осуществлять удаленный мониторинг и управление скомпрометированными системами.

В конце 2023 года MuddyWater был обнаружен с помощью образцов SimpleHelp, доставленных через общедоступные файлообменники. Создавая свою собственную страницу конфигурации сервера, они гарантируют, что клиент SimpleHelp активно подключится к их управляющей стороне после установки, предоставляя злоумышленнику полный контроль над системой жертвы. Инфраструктура организации, связанная с IP-адресом 193.109.120.59, была отслежена в ходе продолжающихся атак MuddyWater с апреля 2024 года.

#ParsedReport #CompletenessHigh
09-09-2024

Reputation Hijacking with JamPlus: A Maneuver to Bypass Smart App Control (SAC)

https://cyble.com/blog/reputation-hijacking-with-jamplus-a-maneuver-to-bypass-smart-app-control-sac

Report completeness: High

Threats:
Jamplus_tool
Nodestealer
Redline_stealer

Industry:
Entertainment

Geo:
Vietnam

TTPs:
Tactics: 6
Technics: 5

IOCs:
Url: 5
File: 2
Hash: 4

Soft:
CapCut, Telegram, curl

Algorithms:
zip, sha256, base64

Languages:
powershell, lua, python

Links:
https://github.com/joe-desimone/rep-research/blob/ea8c70d488a03b5f931efa37302128d9e7a33ac0/rep-hijacking/poc-rep-hijack-jam.zip
https://github.com/jamplus/jamplus

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается, как злоумышленники используют перехват репутации и утилиту JamPlus в сочетании с законными приложениями, такими как CapCut, для доставки вредоносной полезной нагрузки, такой как NodeStealer. Эта многоэтапная цепочка атак включает фишинговые кампании, методы без использования файлов и манипулирование надежными приложениями для эффективного обхода средств контроля безопасности. Меняющаяся тактика, используемая участниками угроз, подчеркивает растущую сложность и трудности в обнаружении киберугроз и защите от них, подчеркивая важность надежных мер безопасности и постоянного мониторинга информации об угрозах.
-----

Злоумышленники используют кражу репутации и утилиту JamPlus, чтобы обойти интеллектуальный контроль над приложениями и доставить вредоносную полезную нагрузку, такую как NodeStealer и RedLine Stealer.

Они используют законные приложения, такие как CapCut, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, встраивая законное приложение, подписанное CapCut, в вредоносный пакет.

Атаки проводятся в несколько этапов с использованием сочетания законных инструментов, методов без использования файлов и надежных хранилищ кода, чтобы казаться подлинными и эффективно обходить меры безопасности.

NodeStealer - это сложная вредоносная программа, предназначенная для сбора конфиденциальных данных из различных источников, включая веб-браузеры, аккаунты Facebook и браузерные расширения, такие как крипто-кошельки и VPN. Украденная информация передается злоумышленникам через Telegram.

Цель атак - сохранить полезную нагрузку без файлов, чтобы свести к минимуму вероятность обнаружения, демонстрируя растущую тенденцию в области киберугроз.

Кампании подчеркивают глобальный характер киберугроз, причем один из действующих лиц связан с Вьетнамом.

Внедрение NodeStealer и RedLine Stealer подчеркивает растущую сложность и озабоченности в сфере кибербезопасности, что подчеркивает необходимость принятия надежных мер безопасности и постоянного мониторинга информации об угрозах.