#ParsedReport #CompletenessHigh
09-09-2024

Revealing multiple RMM software attacks organized by MuddyWater. 1. Analysis of attack activities. 1. Analysis of attack activities

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA%3D%3D&mid=2247500427&idx=1&sn=29a99b3ae418762fdd184f8b82c20d79&chksm=f9c1f182ceb678943a0d6cca3a94f0e7860aca6046e8b7a385ad9c266c7630de225b4bd7dd10&scene=178&cur_album_id=1955835290309230595

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Spear-phishing_technique
Darkbeatc2
Phonyc2
Muddyc2go
Powerstats
Moriagent
Double_kill_vuln
Double_star_vuln
Harpoon_technique
Atera_tool
Screenconnect_tool
Simplehelp_tool
Syncro_tool
Splashtop_tool
Anydesk_tool
Teamviewer_tool
Upx_tool

Industry:
Military, Petroleum, Government, Education

Geo:
Middle east, American

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1204.002, T1036.005, T1105, T1078, T1136.001, T1047

IOCs:
Hash: 53
Url: 18
Domain: 4
IP: 6
File: 9
Email: 1

Algorithms:
zip, md5

Win API:
decompress

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 11, table: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater - это передовая террористическая организация, происходящая из ближневосточной страны, которая нацелена на правительственные учреждения, военные структуры, средства связи и нефтяные компании на Ближнем Востоке, в Европе и Северной Америке. Они используют фишинговые электронные письма с вредоносными файлами или ссылками для загрузки полезной информации и располагают обширным арсеналом программного обеспечения RMM для удаленного доступа. MuddyWater постоянно обновляет свои инструменты для атак, преуспевает в атаках harpoon и избегает обнаружения, скрывая свои действия за кажущимися законными электронными письмами и ссылками для обмена файлами. Их тактика заключается в использовании различных инструментов RMM и надежных сервисов для удаленного мониторинга и управления скомпрометированными системами.
-----

MuddyWater, также известная как Static Kitten и MERCURY, является передовой террористической организацией, базирующейся в одной из стран Ближнего Востока. MuddyWater действует с начала 2017 года и нацелена на правительственные учреждения, военные структуры, средства связи и нефтяные компании на Ближнем Востоке, в Европе и Северной Америке. Их методы атаки включают фишинг-рассылку электронных писем, содержащих вредоносные файлы или ссылки для загрузки полезной информации с веб-сайтов, размещающих файлы, таких как onehub.com. Инфраструктура организации, включая серверы C2 и средства атаки, частично совпадает с предыдущими атаками и была идентифицирована поставщиками средств безопасности.

MuddyWater обладает обширным арсеналом, который включает в себя программное обеспечение RMM, такое как Remote Utilities, ScreenConnect, SimpleHelp, Syncro, N-Able и Atera Agent, а также другие инструменты, такие как DarkBeatC2, PhonyC2, MuddyC2Go, POWERSTATS и MORIAGENT. Это свидетельствует о значительной экономической поддержке их деятельности. Организация преуспевает в проведении скрытных атак с использованием гарпуна и постоянно обновляет свои средства атаки, чтобы избежать обнаружения.

360 Advanced Threat Research Institute активно изучает тактику MuddyWater и с 2020 года обнаружил, что они полагаются на программное обеспечение RMM. Они заметили, что, несмотря на изменение типов RMM, процесс предоставления полезной нагрузки в MuddyWater остается неизменным. Злоумышленники используют фишинговые электронные письма на арабском языке, чтобы обманом заставить пользователей открыть вредоносные файлы, что приводит к установке инструментов RMM, предоставляющих удаленный доступ к системе жертвы.

Недавно было замечено, что MuddyWater использует инструмент Atera Agent для атак, распространяя фишинговые электронные письма с зашифрованными образцами RAR, чтобы обойти программное обеспечение безопасности. Организация также использует надежные сервисы, такие как Egnyte, для распространения вредоносных установочных пакетов. Они используют различные инструменты RMM, такие как Splashtop, AnyDesk, TeamViewer и ScreenConnect, для удаленного доступа и управления.

Со временем MuddyWater адаптировала свою тактику, перейдя на такие инструменты для атак, как N-Able и Syncro. Они используют HTML-файлы, PDF-файлы и вложения Office в фишинговых электронных письмах для доставки вредоносной информации. Скрывая свою деятельность с помощью, казалось бы, законных электронных писем и ссылок для обмена файлами, MuddyWater стремится избежать обнаружения и осуществлять удаленный мониторинг и управление скомпрометированными системами.

В конце 2023 года MuddyWater был обнаружен с помощью образцов SimpleHelp, доставленных через общедоступные файлообменники. Создавая свою собственную страницу конфигурации сервера, они гарантируют, что клиент SimpleHelp активно подключится к их управляющей стороне после установки, предоставляя злоумышленнику полный контроль над системой жертвы. Инфраструктура организации, связанная с IP-адресом 193.109.120.59, была отслежена в ходе продолжающихся атак MuddyWater с апреля 2024 года.

#ParsedReport #CompletenessHigh
09-09-2024

Reputation Hijacking with JamPlus: A Maneuver to Bypass Smart App Control (SAC)

https://cyble.com/blog/reputation-hijacking-with-jamplus-a-maneuver-to-bypass-smart-app-control-sac

Report completeness: High

Threats:
Jamplus_tool
Nodestealer
Redline_stealer

Industry:
Entertainment

Geo:
Vietnam

TTPs:
Tactics: 6
Technics: 5

IOCs:
Url: 5
File: 2
Hash: 4

Soft:
CapCut, Telegram, curl

Algorithms:
zip, sha256, base64

Languages:
powershell, lua, python

Links:
https://github.com/joe-desimone/rep-research/blob/ea8c70d488a03b5f931efa37302128d9e7a33ac0/rep-hijacking/poc-rep-hijack-jam.zip
https://github.com/jamplus/jamplus

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается, как злоумышленники используют перехват репутации и утилиту JamPlus в сочетании с законными приложениями, такими как CapCut, для доставки вредоносной полезной нагрузки, такой как NodeStealer. Эта многоэтапная цепочка атак включает фишинговые кампании, методы без использования файлов и манипулирование надежными приложениями для эффективного обхода средств контроля безопасности. Меняющаяся тактика, используемая участниками угроз, подчеркивает растущую сложность и трудности в обнаружении киберугроз и защите от них, подчеркивая важность надежных мер безопасности и постоянного мониторинга информации об угрозах.
-----

Злоумышленники используют кражу репутации и утилиту JamPlus, чтобы обойти интеллектуальный контроль над приложениями и доставить вредоносную полезную нагрузку, такую как NodeStealer и RedLine Stealer.

Они используют законные приложения, такие как CapCut, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, встраивая законное приложение, подписанное CapCut, в вредоносный пакет.

Атаки проводятся в несколько этапов с использованием сочетания законных инструментов, методов без использования файлов и надежных хранилищ кода, чтобы казаться подлинными и эффективно обходить меры безопасности.

NodeStealer - это сложная вредоносная программа, предназначенная для сбора конфиденциальных данных из различных источников, включая веб-браузеры, аккаунты Facebook и браузерные расширения, такие как крипто-кошельки и VPN. Украденная информация передается злоумышленникам через Telegram.

Цель атак - сохранить полезную нагрузку без файлов, чтобы свести к минимуму вероятность обнаружения, демонстрируя растущую тенденцию в области киберугроз.

Кампании подчеркивают глобальный характер киберугроз, причем один из действующих лиц связан с Вьетнамом.

Внедрение NodeStealer и RedLine Stealer подчеркивает растущую сложность и озабоченности в сфере кибербезопасности, что подчеркивает необходимость принятия надежных мер безопасности и постоянного мониторинга информации об угрозах.

#ParsedReport #CompletenessMedium
09-09-2024

Konni Threat Worldview Expansion Analysis Report

https://www.genians.co.kr/blog/threat_intelligence/konni_universe

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Agent_tesla
Cloud_reverser
Asyncrat
Redline_stealer

Victims:
Government agencies, Experts in fields related to north korea, Politics experts, Diplomacy experts, Security experts, Virtual asset traders, Individuals working in the north korean field, Finance professionals, Virtual assets professionals

Industry:
Financial, Government

Geo:
Gyeonggi-do, Russia, Chinese, North korean, The us, Korean, Russian, Moscow, North korea, German, Dprk, Usa, Germany, Korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1132.001, T1027, T1059.001, T1547.001, T1021.002, T1105

IOCs:
Domain: 33
File: 27
IP: 8
Path: 2
Hash: 40
Command: 1

Soft:
Slack, Instagram, task scheduler, Microsoft Excel

Crypto:
bitcoin

Algorithms:
xor, aes, sha256, base64, md5, zip, aes-256-ctr

Functions:
CreateObject

Win API:
CopyFile

Languages:
php, python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 3, code: 2, dump: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания Konni threat, проводимая Kimsuky group, является многолетней кампанией по борьбе с киберугрозами, нацеленной на корейские и российские правительственные учреждения, а также экспертов в областях, связанных с Северной Кореей, финансами и виртуальными активами. Злоумышленники используют различные тактики, чтобы избежать обнаружения антивирусом, в первую очередь используя фишинг и вредоносные программы на C#, такие как AsyncRAT. Злоумышленники постоянно совершенствуют свою тактику, используя методы обфускации и вредоносные файлы для повышения вероятности успеха. Сотрудничество между службами безопасности и организациями имеет решающее значение для эффективной борьбы с кампанией Cony и связанными с ней угрозами.
-----

Кампания Konni threat, также известная как Kimsuky Cluster, использует легальные облачные сервисы и FTP-сервисы в своей цепочке заражения.

Кампания нацелена на корейские и российские правительственные учреждения и продолжается уже почти десять лет.

Основной тактикой атаки является скрытый фишинг, который часто выдает себя за такие организации, как Национальная налоговая служба и стипендиальные программы для северокорейских перебежчиков.

Цель злоумышленников - украсть ключевую информацию, обезопасить средства в иностранной валюте и нацелиться на людей, работающих в сферах, связанных с Северной Кореей, финансами и виртуальными активами.

Злоумышленники используют вариант вредоносной программы на C# под названием AsyncRAT для установления соединений с сервером управления в Германии.

Субъекты, создающие угрозы, постоянно совершенствуют свою тактику, используя аномальные стратегии для повышения вероятности успеха, а также методы обфускации для снижения вероятности идентификации угроз.

Кампания Cony использует запутанные скрипты, команды PowerShell и связь через FTP-серверы.

Немецкие серверы C2 используются в атаках, направленных на корейские биржи виртуальных активов.

Широко распространены атаки на основе сценариев с использованием вредоносных библиотечных модулей DLL для проникновения в терминал, а также методов обфускации и шифрования, позволяющих избежать обнаружения традиционным антивирусным программным обеспечением.

Активный поиск угроз, раннее обнаружение с помощью инструментов EDR и сотрудничество между службами безопасности и частными организациями имеют решающее значение для реагирования на кампанию Cony и связанных с ней участников угроз.

#ParsedReport #CompletenessHigh
09-09-2024

Handala s Wiper: Threat Analysis and Detections

https://www.splunk.com/en_us/blog/security/handalas-wiper-threat-analysis-and-detections.html

Report completeness: High

Actors/Campaigns:
Handala-hacking-team (motivation: hacktivism, information_theft)

Threats:
Handala_wiper
Spear-phishing_technique
Byovd_technique
Trickbot
Process_injection_technique

Victims:
Israeli organizations

Geo:
Israeli, Israel, Ukraine, Palestinian

TTPs:
Tactics: 1
Technics: 11

IOCs:
File: 12
Command: 1
Url: 1
Hash: 4
Path: 1

Soft:
Telegram, NSIS installer, autohotkey, Slack

Algorithms:
zip

Win API:
decompress, MessageBox, DeviceIoControl

Languages:
autoit

Platforms:
x64

Links:
https://github.com/splunk/security\_content
https://github.com/splunk/attack\_data/
https://gist.github.com/MHaggis/5af86a70a0e7d6eb0c3953059f2b8e5f
https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1218.009/src/T1218.009.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пропалестинская хакерская группа Handala Hacking Team активно атакует израильские организации, применяя сложные тактики и методы, включая кражу данных, фишинг, вымогательство и внедрение пользовательских вредоносных программ wiper для нанесения значительного ущерба. Обнаружение этих угроз и реагирование на них включает в себя моделирование тактики противников, усиление защиты и внедрение специализированных средств обнаружения и аналитики для повышения общей защищенности от развивающихся киберугроз.
-----

Пропалестинская хакерская группа Handala Hacking Team активно атакует израильские организации как минимум с 18 декабря 2023 года. Эта группа была вовлечена в различные вредоносные действия, включая кражу данных, фишинг, вымогательство, повреждение веб-сайтов и развертывание пользовательских вредоносных программ wiper, предназначенных для нанесения значительного ущерба средам Windows и Linux. Хакерская команда Handala использует сложные тактики и методы, такие как фишинговые кампании, которые маскируются под законные организации, предлагающие поддержку или решения, используя методы социальной инженерии для использования крупных событий и раскрытых уязвимостей.

Одна конкретная кампания хакерской команды Handala включала в себя развертывание вредоносных программ wiper на целевых хостах и сетевых системах 20 июля 2024 года. Исследователи в области безопасности приписали эту кампанию хакерской команде Handala, приведя доказательства, указывающие на использование фишинговых вложений и деструктивной полезной нагрузки wiper. Злоумышленники, стоящие за этой кампанией, использовали различные методы обфускации, включая обфускацию пакетных сценариев и нетрадиционное использование файлов без расширений в пакете Nullsoft Scriptable Install System (NSIS), чтобы избежать обнаружения.

Злоумышленники использовали компонент AutoIt для внедрения полезной нагрузки wiper в новый процесс Windows, используя каналы Telegram в качестве серверов управления для управления вредоносными действиями. Полезная нагрузка wiper собирала сетевую и системную информацию, включая IP-адреса, имена хостов, имена пользователей и информацию о домене, отправляя эти данные на сервер Telegram-бота, выполняющий функции центра управления вредоносным ПО. Сам wiper запускался с вводящего в заблуждение окна сообщений, чтобы заманить жертв на запуск вредоносного ПО, которое в конечном итоге стирало или перезаписывало файлы в скомпрометированных системах.

Кроме того, злоумышленники использовали установщик NSIS для запуска вредоносных программ, что затрудняло проведение различия между законным программным обеспечением и вредоносным ПО из-за его двойственной природы. Скрипт удалял различные файлы, содержащие фрагменты исполняемого кода, собранные как пазл, чтобы эффективно избегать обнаружения конечных точек и реагирования на них (EDR) и антивирусных продуктов. Вредоносная программа использовала простые методы обфускации, чтобы скрыть свои строки и команды, загружая шеллкод, адаптированный к архитектуре компьютера, для выполнения своей разрушительной функции.

Чтобы обнаруживать такие угрозы и реагировать на них, аналитики в области безопасности и организации могут моделировать тактику, используемую злоумышленниками в этих кампаниях, оценивать их возможности по обнаружению и реагированию и усиливать защиту от подобных сложных вредоносных программ, таких как wiper от Handala Hacking Team. Внедряя специальные средства обнаружения и аналитики, службы безопасности могут заблаговременно выявлять пробелы в своей защите и улучшать общую систему защиты от возникающих киберугроз.

#ParsedReport #CompletenessMedium
09-09-2024

ShrinkLocker Malware: Abusing BitLocker to Lock Your Data

https://www.splunk.com/en_us/blog/security/shrinklocker-malware-abusing-bitlocker-to-lock-your-data.html

Report completeness: Medium

Actors/Campaigns:
Energeticbear

Threats:
Shrinklocker
Wevtutil_tool
Sunburst
Lolbin_technique

TTPs:
Tactics: 4
Technics: 4

IOCs:
Path: 1
Registry: 10
Command: 2
File: 18
Hash: 2

Soft:
BitLocker, trycloudflare, Windows PowerShell, Slack

Algorithms:
exhibit

Win API:
DriveType

Languages:
powershell, cscript

Links:
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1053.005/T1053.005.yaml
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1137
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1163C1-L1279C29
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1070.001/T1070.001.yaml
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1562.004/T1562.004.yaml#L55
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1150C9-L1150C59

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ShrinkLocker - это новая разновидность программ-вымогателей, которая использует BitLocker для шифрования данных, что усложняет расшифровку и демонстрирует эволюционирующую тактику, используемую разработчиками программ-вымогателей. С помощью ShrinkLocker были проведены различные анализы, посвященные его работе и влиянию, а исследовательская группа Splunk Threat получила образцы для дальнейшего анализа. Вредоносная программа изменяет настройки шифрования, изменяет конфигурации системы и пытается скрыть свои следы после запуска. Для защиты от этой растущей угрозы в сфере кибербезопасности разрабатываются методы обнаружения и защиты от ShrinkLocker.
-----

ShrinkLocker - это новая разновидность программ-вымогателей, которая использует BitLocker, легальную функцию Windows, для шифрования, что усложняет расшифровку и демонстрирует эволюционирующие методы вымогателей.

Вредоносная программа нацелена на определенные операционные системы, чтобы отключить средства защиты ключей BitLocker и скомпрометировать данные.

Он изменяет записи реестра, относящиеся к системным конфигурациям, и пытается установить BitLocker с помощью определенных команд.

ShrinkLocker уничтожает и шифрует данные, изменяя размер разделов, создавая нераспределенное пространство и перенастраивая загрузочные файлы.

После запуска вредоносная программа пытается скрыть свое присутствие, удаляя такие индикаторы, как журналы аудита PowerShell и запланированные задачи.

Ключи шифрования генерируются с использованием системных параметров зараженного хоста, и вредоносная программа использует тактику уклонения от обнаружения, изменяя ключи реестра, очищая журналы событий и изменяя конфигурации брандмауэра.

Исследовательская группа Splunk Threat Research разработала инструменты и тесты, которые помогут защитникам усилить свою защиту от таких угроз, как ShrinkLocker.

Этот блог содержит ценную информацию для аналитиков и защитников безопасности о методологиях ShrinkLocker, которые помогают выявлять такие угрозы и реагировать на них.

#ParsedReport #CompletenessHigh
09-09-2024

From Cobalt Strike to Mimikatz: A Deep Dive into the SLOW#TEMPEST Campaign Targeting Chinese Users

https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest

Report completeness: High

Actors/Campaigns:
Slow_tempest

Threats:
Cobalt_strike
Mimikatz_tool
Qakbot
Dll_hijacking_technique
Dll_sideloading_technique
Credential_harvesting_technique
Credential_dumping_technique
Passthehash_technique
Crackmapexec_tool
Bloodhound_tool
Netstat_tool
Geacon
Dll_injection_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Victims:
Chinese speaking users, Business sectors, Government sectors

Industry:
Government

Geo:
China, Chinese

TTPs:
Tactics: 10
Technics: 24

IOCs:
File: 14
Path: 5
Url: 3
Command: 20
Registry: 1
IP: 3
Domain: 2
Hash: 16

Soft:
MACOS, task scheduler, MSSQL, Chrome, psexec, Windows Registry, active directory, curl, windows powershell

Algorithms:
zip

Languages:
powershell, python

Platforms:
apple

Links:
https://github.com/CCob/SharpBlock
https://github.com/Naturehi666/searchall

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4