#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается, как злоумышленники используют перехват репутации и утилиту JamPlus в сочетании с законными приложениями, такими как CapCut, для доставки вредоносной полезной нагрузки, такой как NodeStealer. Эта многоэтапная цепочка атак включает фишинговые кампании, методы без использования файлов и манипулирование надежными приложениями для эффективного обхода средств контроля безопасности. Меняющаяся тактика, используемая участниками угроз, подчеркивает растущую сложность и трудности в обнаружении киберугроз и защите от них, подчеркивая важность надежных мер безопасности и постоянного мониторинга информации об угрозах.
-----

Злоумышленники используют кражу репутации и утилиту JamPlus, чтобы обойти интеллектуальный контроль над приложениями и доставить вредоносную полезную нагрузку, такую как NodeStealer и RedLine Stealer.

Они используют законные приложения, такие как CapCut, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, встраивая законное приложение, подписанное CapCut, в вредоносный пакет.

Атаки проводятся в несколько этапов с использованием сочетания законных инструментов, методов без использования файлов и надежных хранилищ кода, чтобы казаться подлинными и эффективно обходить меры безопасности.

NodeStealer - это сложная вредоносная программа, предназначенная для сбора конфиденциальных данных из различных источников, включая веб-браузеры, аккаунты Facebook и браузерные расширения, такие как крипто-кошельки и VPN. Украденная информация передается злоумышленникам через Telegram.

Цель атак - сохранить полезную нагрузку без файлов, чтобы свести к минимуму вероятность обнаружения, демонстрируя растущую тенденцию в области киберугроз.

Кампании подчеркивают глобальный характер киберугроз, причем один из действующих лиц связан с Вьетнамом.

Внедрение NodeStealer и RedLine Stealer подчеркивает растущую сложность и озабоченности в сфере кибербезопасности, что подчеркивает необходимость принятия надежных мер безопасности и постоянного мониторинга информации об угрозах.

#ParsedReport #CompletenessMedium
09-09-2024

Konni Threat Worldview Expansion Analysis Report

https://www.genians.co.kr/blog/threat_intelligence/konni_universe

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Agent_tesla
Cloud_reverser
Asyncrat
Redline_stealer

Victims:
Government agencies, Experts in fields related to north korea, Politics experts, Diplomacy experts, Security experts, Virtual asset traders, Individuals working in the north korean field, Finance professionals, Virtual assets professionals

Industry:
Financial, Government

Geo:
Gyeonggi-do, Russia, Chinese, North korean, The us, Korean, Russian, Moscow, North korea, German, Dprk, Usa, Germany, Korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1132.001, T1027, T1059.001, T1547.001, T1021.002, T1105

IOCs:
Domain: 33
File: 27
IP: 8
Path: 2
Hash: 40
Command: 1

Soft:
Slack, Instagram, task scheduler, Microsoft Excel

Crypto:
bitcoin

Algorithms:
xor, aes, sha256, base64, md5, zip, aes-256-ctr

Functions:
CreateObject

Win API:
CopyFile

Languages:
php, python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 3, code: 2, dump: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания Konni threat, проводимая Kimsuky group, является многолетней кампанией по борьбе с киберугрозами, нацеленной на корейские и российские правительственные учреждения, а также экспертов в областях, связанных с Северной Кореей, финансами и виртуальными активами. Злоумышленники используют различные тактики, чтобы избежать обнаружения антивирусом, в первую очередь используя фишинг и вредоносные программы на C#, такие как AsyncRAT. Злоумышленники постоянно совершенствуют свою тактику, используя методы обфускации и вредоносные файлы для повышения вероятности успеха. Сотрудничество между службами безопасности и организациями имеет решающее значение для эффективной борьбы с кампанией Cony и связанными с ней угрозами.
-----

Кампания Konni threat, также известная как Kimsuky Cluster, использует легальные облачные сервисы и FTP-сервисы в своей цепочке заражения.

Кампания нацелена на корейские и российские правительственные учреждения и продолжается уже почти десять лет.

Основной тактикой атаки является скрытый фишинг, который часто выдает себя за такие организации, как Национальная налоговая служба и стипендиальные программы для северокорейских перебежчиков.

Цель злоумышленников - украсть ключевую информацию, обезопасить средства в иностранной валюте и нацелиться на людей, работающих в сферах, связанных с Северной Кореей, финансами и виртуальными активами.

Злоумышленники используют вариант вредоносной программы на C# под названием AsyncRAT для установления соединений с сервером управления в Германии.

Субъекты, создающие угрозы, постоянно совершенствуют свою тактику, используя аномальные стратегии для повышения вероятности успеха, а также методы обфускации для снижения вероятности идентификации угроз.

Кампания Cony использует запутанные скрипты, команды PowerShell и связь через FTP-серверы.

Немецкие серверы C2 используются в атаках, направленных на корейские биржи виртуальных активов.

Широко распространены атаки на основе сценариев с использованием вредоносных библиотечных модулей DLL для проникновения в терминал, а также методов обфускации и шифрования, позволяющих избежать обнаружения традиционным антивирусным программным обеспечением.

Активный поиск угроз, раннее обнаружение с помощью инструментов EDR и сотрудничество между службами безопасности и частными организациями имеют решающее значение для реагирования на кампанию Cony и связанных с ней участников угроз.

#ParsedReport #CompletenessHigh
09-09-2024

Handala s Wiper: Threat Analysis and Detections

https://www.splunk.com/en_us/blog/security/handalas-wiper-threat-analysis-and-detections.html

Report completeness: High

Actors/Campaigns:
Handala-hacking-team (motivation: hacktivism, information_theft)

Threats:
Handala_wiper
Spear-phishing_technique
Byovd_technique
Trickbot
Process_injection_technique

Victims:
Israeli organizations

Geo:
Israeli, Israel, Ukraine, Palestinian

TTPs:
Tactics: 1
Technics: 11

IOCs:
File: 12
Command: 1
Url: 1
Hash: 4
Path: 1

Soft:
Telegram, NSIS installer, autohotkey, Slack

Algorithms:
zip

Win API:
decompress, MessageBox, DeviceIoControl

Languages:
autoit

Platforms:
x64

Links:
https://github.com/splunk/security\_content
https://github.com/splunk/attack\_data/
https://gist.github.com/MHaggis/5af86a70a0e7d6eb0c3953059f2b8e5f
https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1218.009/src/T1218.009.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пропалестинская хакерская группа Handala Hacking Team активно атакует израильские организации, применяя сложные тактики и методы, включая кражу данных, фишинг, вымогательство и внедрение пользовательских вредоносных программ wiper для нанесения значительного ущерба. Обнаружение этих угроз и реагирование на них включает в себя моделирование тактики противников, усиление защиты и внедрение специализированных средств обнаружения и аналитики для повышения общей защищенности от развивающихся киберугроз.
-----

Пропалестинская хакерская группа Handala Hacking Team активно атакует израильские организации как минимум с 18 декабря 2023 года. Эта группа была вовлечена в различные вредоносные действия, включая кражу данных, фишинг, вымогательство, повреждение веб-сайтов и развертывание пользовательских вредоносных программ wiper, предназначенных для нанесения значительного ущерба средам Windows и Linux. Хакерская команда Handala использует сложные тактики и методы, такие как фишинговые кампании, которые маскируются под законные организации, предлагающие поддержку или решения, используя методы социальной инженерии для использования крупных событий и раскрытых уязвимостей.

Одна конкретная кампания хакерской команды Handala включала в себя развертывание вредоносных программ wiper на целевых хостах и сетевых системах 20 июля 2024 года. Исследователи в области безопасности приписали эту кампанию хакерской команде Handala, приведя доказательства, указывающие на использование фишинговых вложений и деструктивной полезной нагрузки wiper. Злоумышленники, стоящие за этой кампанией, использовали различные методы обфускации, включая обфускацию пакетных сценариев и нетрадиционное использование файлов без расширений в пакете Nullsoft Scriptable Install System (NSIS), чтобы избежать обнаружения.

Злоумышленники использовали компонент AutoIt для внедрения полезной нагрузки wiper в новый процесс Windows, используя каналы Telegram в качестве серверов управления для управления вредоносными действиями. Полезная нагрузка wiper собирала сетевую и системную информацию, включая IP-адреса, имена хостов, имена пользователей и информацию о домене, отправляя эти данные на сервер Telegram-бота, выполняющий функции центра управления вредоносным ПО. Сам wiper запускался с вводящего в заблуждение окна сообщений, чтобы заманить жертв на запуск вредоносного ПО, которое в конечном итоге стирало или перезаписывало файлы в скомпрометированных системах.

Кроме того, злоумышленники использовали установщик NSIS для запуска вредоносных программ, что затрудняло проведение различия между законным программным обеспечением и вредоносным ПО из-за его двойственной природы. Скрипт удалял различные файлы, содержащие фрагменты исполняемого кода, собранные как пазл, чтобы эффективно избегать обнаружения конечных точек и реагирования на них (EDR) и антивирусных продуктов. Вредоносная программа использовала простые методы обфускации, чтобы скрыть свои строки и команды, загружая шеллкод, адаптированный к архитектуре компьютера, для выполнения своей разрушительной функции.

Чтобы обнаруживать такие угрозы и реагировать на них, аналитики в области безопасности и организации могут моделировать тактику, используемую злоумышленниками в этих кампаниях, оценивать их возможности по обнаружению и реагированию и усиливать защиту от подобных сложных вредоносных программ, таких как wiper от Handala Hacking Team. Внедряя специальные средства обнаружения и аналитики, службы безопасности могут заблаговременно выявлять пробелы в своей защите и улучшать общую систему защиты от возникающих киберугроз.

#ParsedReport #CompletenessMedium
09-09-2024

ShrinkLocker Malware: Abusing BitLocker to Lock Your Data

https://www.splunk.com/en_us/blog/security/shrinklocker-malware-abusing-bitlocker-to-lock-your-data.html

Report completeness: Medium

Actors/Campaigns:
Energeticbear

Threats:
Shrinklocker
Wevtutil_tool
Sunburst
Lolbin_technique

TTPs:
Tactics: 4
Technics: 4

IOCs:
Path: 1
Registry: 10
Command: 2
File: 18
Hash: 2

Soft:
BitLocker, trycloudflare, Windows PowerShell, Slack

Algorithms:
exhibit

Win API:
DriveType

Languages:
powershell, cscript

Links:
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1053.005/T1053.005.yaml
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1137
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1163C1-L1279C29
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1070.001/T1070.001.yaml
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1562.004/T1562.004.yaml#L55
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1150C9-L1150C59

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ShrinkLocker - это новая разновидность программ-вымогателей, которая использует BitLocker для шифрования данных, что усложняет расшифровку и демонстрирует эволюционирующую тактику, используемую разработчиками программ-вымогателей. С помощью ShrinkLocker были проведены различные анализы, посвященные его работе и влиянию, а исследовательская группа Splunk Threat получила образцы для дальнейшего анализа. Вредоносная программа изменяет настройки шифрования, изменяет конфигурации системы и пытается скрыть свои следы после запуска. Для защиты от этой растущей угрозы в сфере кибербезопасности разрабатываются методы обнаружения и защиты от ShrinkLocker.
-----

ShrinkLocker - это новая разновидность программ-вымогателей, которая использует BitLocker, легальную функцию Windows, для шифрования, что усложняет расшифровку и демонстрирует эволюционирующие методы вымогателей.

Вредоносная программа нацелена на определенные операционные системы, чтобы отключить средства защиты ключей BitLocker и скомпрометировать данные.

Он изменяет записи реестра, относящиеся к системным конфигурациям, и пытается установить BitLocker с помощью определенных команд.

ShrinkLocker уничтожает и шифрует данные, изменяя размер разделов, создавая нераспределенное пространство и перенастраивая загрузочные файлы.

После запуска вредоносная программа пытается скрыть свое присутствие, удаляя такие индикаторы, как журналы аудита PowerShell и запланированные задачи.

Ключи шифрования генерируются с использованием системных параметров зараженного хоста, и вредоносная программа использует тактику уклонения от обнаружения, изменяя ключи реестра, очищая журналы событий и изменяя конфигурации брандмауэра.

Исследовательская группа Splunk Threat Research разработала инструменты и тесты, которые помогут защитникам усилить свою защиту от таких угроз, как ShrinkLocker.

Этот блог содержит ценную информацию для аналитиков и защитников безопасности о методологиях ShrinkLocker, которые помогают выявлять такие угрозы и реагировать на них.

#ParsedReport #CompletenessHigh
09-09-2024

From Cobalt Strike to Mimikatz: A Deep Dive into the SLOW#TEMPEST Campaign Targeting Chinese Users

https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest

Report completeness: High

Actors/Campaigns:
Slow_tempest

Threats:
Cobalt_strike
Mimikatz_tool
Qakbot
Dll_hijacking_technique
Dll_sideloading_technique
Credential_harvesting_technique
Credential_dumping_technique
Passthehash_technique
Crackmapexec_tool
Bloodhound_tool
Netstat_tool
Geacon
Dll_injection_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Victims:
Chinese speaking users, Business sectors, Government sectors

Industry:
Government

Geo:
China, Chinese

TTPs:
Tactics: 10
Technics: 24

IOCs:
File: 14
Path: 5
Url: 3
Command: 20
Registry: 1
IP: 3
Domain: 2
Hash: 16

Soft:
MACOS, task scheduler, MSSQL, Chrome, psexec, Windows Registry, active directory, curl, windows powershell

Algorithms:
zip

Languages:
powershell, python

Platforms:
apple

Links:
https://github.com/CCob/SharpBlock
https://github.com/Naturehi666/searchall

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа Securonix по изучению угроз раскрыла сложную скрытую кампанию под названием SLOW#TEMPEST, направленную против китайскоязычных пользователей и использующую полезные программы Cobalt Strike, распространяемые через фишинговые электронные письма. Злоумышленники успешно проникали в системы, сохраняли незамеченный доступ и нацеливались на китайских жертв, используя специфический контент на китайском языке, используя тактику, аналогичную тактике участников угроз Qakbot. Злоумышленники использовали различные методы, такие как дополнительная загрузка библиотек DLL, запланированные задачи, Mimikatz для сброса учетных данных и Cobalt Strike для установления удаленных подключений и выполнения команд по сети. Сбои в операционной безопасности, допущенные злоумышленниками, привели к непреднамеренному разглашению имен пользователей, сведений о системе и информации об инфраструктуре.
-----

Команда исследователей угроз Securonix обнаружила сложную скрытую кампанию, получившую название SLOW#TEMPEST, направленную на китайскоязычных пользователей с помощью Cobalt Strike, которая, вероятно, распространялась с помощью фишинговых электронных писем. Злоумышленники успешно проникли в системы, перемещались по сети и сохраняли незамеченный доступ более двух недель. Кампания нацелена в первую очередь на жертв из Китая и использует имена файлов и приманки, написанные на китайском языке, а также инфраструктуру C2, размещенную китайской компанией Shenzhen Tencent Computer Systems Company Limited.

Вектор атаки, вероятно, связан с традиционной тактикой фишинга по электронной почте, когда защищенные паролем ZIP-файлы распространяются по нежелательным электронным письмам. Эта тактика повторяет тактику, используемую злоумышленниками Qakbot, которые предоставляют пароли в тексте письма, чтобы избежать обнаружения антивирусом на основе электронной почты. Использование специфического контента на китайском языке предполагает ориентацию на китайский бизнес или государственный сектор, которые придерживаются "правил использования программного обеспечения для дистанционного управления"..

Злоумышленники использовали технологию дополнительной загрузки библиотеки DLL с использованием LicensingUI.exe, исполняемого файла, подписанного Microsoft, для развертывания импланта Cobalt Strike для постоянного доступа. Имплантат подключался к определенному URL-адресу через порт 11443, вводил себя в двоичный файл Windows "runonce.exe" и создавал цепочку процессов для обеспечения скрытого доступа к скомпрометированным системам.

Чтобы сохранить постоянство, злоумышленники установили запланированную задачу, выполняющую вредоносный файл "lld.exe", способный запускать произвольный код в памяти. Они также манипулировали гостевой учетной записью, чтобы получить административный и удаленный доступ, используя сканирование сети и дополнительные инструменты, такие как BloodHound для разведки Active Directory, для выявления путей повышения привилегий и перемещения в другую сторону.

Злоумышленники использовали Mimikatz для сброса учетных данных, передавали хэш для аутентификации в качестве пользователя-администратора в различных системах и использовали Cobalt Strike для установления удаленных подключений и выполнения команд по сети. Они также собрали обширные данные о среде AD с помощью BloodHound, собрав подробную информацию в .файлы json для эксфильтрации и анализа во внешних системах.

Из-за сбоев в системе безопасности злоумышленники непреднамеренно раскрыли информацию об именах пользователей, системных деталях и инфраструктуре. Например, команды Cobalt Strike, перехваченные во время атаки, указывали на выполнение в среде macOS с использованием таких инструментов, как SharpBlock и Mimikatz, для уклонения от обнаружения и сбора конфиденциальной информации из целевых систем.

#ParsedReport #CompletenessHigh
09-09-2024

Earth Preta Evolves its Attacks with New Malware and Strategies

https://www.trendmicro.com/en_us/research/24/i/earth-preta-new-malware-and-strategies.html

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Spear-phishing_technique
Pubload
Hiupan
Ptsocket_tool
Downbait
Pullbait
Acnshell
Dll_sideloading_technique
Netstat_tool
Filesac_tool
Plugx_rat
Cbrover
Doplugs
Process_injection_technique

Victims:
Government entities

Industry:
Military, Education, Government

Geo:
Cambodia, Apac, Vietnam, Asia-pacific, Singapore, Taiwan, Myanmar, Philippines

TTPs:
Tactics: 7
Technics: 17

IOCs:
File: 35
Path: 5
Registry: 3
Command: 3
IP: 6
Hash: 39
Domain: 3

Soft:
curl, TouchSocket

Algorithms:
rc4, sha256, base64, des, xor

Links:
https://github.com/crazyHH/FileSearchAndCompress/tree/master

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 4, code: 7, dump: 4, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Earth Preta усовершенствовала свои атаки, внедрив новые инструменты, варианты вредоносного ПО и стратегии, нацеленные на конкретные страны и секторы Азиатско-Тихоокеанского региона, в основном на государственные структуры. Они используют такие инструменты, как PUBLOAD, FDMTP и PTSOCKET, для сбора и эксфильтрации данных, а в рамках фишинговых кампаний используются средства загрузки, такие как DOWNBAIT, для облегчения развертывания вредоносного ПО. Их развивающаяся тактика включает в себя специальные фишинговые электронные письма и документы-приманки, демонстрирующие их активные и целенаправленные действия.
-----

В проанализированной записи в блоге говорится, что группа Earth Preta значительно усовершенствовала свои атаки, внедрив новые инструменты, варианты вредоносного ПО и стратегии. Было замечено, что группа усовершенствовала свои атаки, внедрив PUBLICLOAD с помощью варианта червя HIUPAN, который обеспечивает возможности контроля и эксфильтрации. Кампании Earth Preta в основном нацелены на конкретные страны и секторы Азиатско-Тихоокеанского региона (APAC), уделяя особое внимание государственным структурам.

Основными инструментами, используемыми в этих кампаниях, являются PUBLICLOAD, FDMTP и PTSOCKET. PUBLICLOAD развертывается через HIUPAN и служит основным средством контроля, облегчающим сбор и фильтрацию данных. FDMTP выступает в качестве дополнительного средства контроля, используя TouchSocket по протоколу Duplex Message Transport Protocol (DMTP) для загрузки вредоносных программ. PTSOCKET служит средством фильтрации для загрузки собранных данных на удаленные серверы. Кроме того, группа использует RAR для сбора данных, нацеленных на определенные типы файлов, и cURL для отправки на FTP-сайты, принадлежащие злоумышленникам.

В рамках быстро развивающейся кампании, инициированной Earth Preta, электронные письма с вложениями .url-адреса приводят к запуску таких инструментов загрузки, как DOWNBAIT, что в конечном итоге способствует внедрению вредоносных программ, таких как CBROVER и PLUGX. Эти многоэтапные загрузчики предназначены для загрузки ложных документов и запуска других компонентов вредоносного ПО. Использование инструментов с цифровой подписью, таких как DOWNBAIT, расширяет возможности обхода, в то время как CBROVER действует как черный ход для удаленного управления и выполнения файлов.

Earth Preta тщательно разрабатывает фишинговые электронные письма и документы-приманки, нацеленные на правительственные учреждения по всему Азиатско-Тихоокеанскому региону. Универсальность группы в использовании различных компонентов вредоносного ПО, таких как PLUGX и FILESAC, демонстрирует их эволюционирующую тактику сбора и утечки данных. Обнаружение webdav-сервера, на котором размещены образцы этих вредоносных программ и документы-приманки, подчеркивает проактивный подход группы к выполнению целенаправленных и срочных операций.

#ParsedReport #CompletenessLow
29-08-2024

Linux Detection Engineering - A Sequel on Persistence Mechanisms

https://www.elastic.co/security-labs/sequel-on-persistence-mechanisms

Report completeness: Low

Threats:
Panix_tool
Sedexp

Industry:
Software_development

IOCs:
File: 9

Soft:
Systemd, Debian, Ubuntu, sudo, Fedora

Languages:
perl, python

Links:
https://github.com/elastic/detection-rules/blob/main/rules/linux/persistence\_apt\_package\_manager\_netcon.toml
https://github.com/Aegrah/PANIX/blob/main/panix.sh#L2021C4-L2021C138
https://github.com/elastic/detection-rules/blob/main/rules/linux/persistence\_rc\_script\_creation.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/linux/persistence\_udev\_execution\_followed\_by\_egress\_network\_connection.toml
have more ...

#ParsedReport #GeneratedSchema
Generated with GPT-4