#ParsedReport #CompletenessHigh
09-10-2024
Reign of King: Obstinate Mogwai Faction Tactics and Tools
https://rt-solar.ru/solar-4rays/blog/4753
Report completeness: High
Actors/Campaigns:
Obstinate_mogwai (motivation: cyber_espionage, information_theft)
Hafnium
Apt31
Webworm
Threats:
Reign
Trochilus_rat
Donnect
Dimanorat
Venom_proxy_tool
Kingofhearts
Powerpool
Viewstate_deserialization_vuln
Proxylogon_exploit
Nbtscan_tool
Dll_sideloading_technique
Cmpspy
Antspy
Antak
Aspxspy_shell
Dcsync_technique
Webdav-o_rat
Winrm_tool
Sessiongopher_tool
Putty_tool
Superputty_tool
Kerberoasting_technique
Passthehash_technique
Grewapacha
Nishang_tool
Bloodhound_tool
Adfind_tool
Smbexec_tool
Impacket_tool
Vmprotect_tool
Credential_dumping_technique
Mimikatz_tool
Process_injection_technique
Victims:
Government organizations, It companies, Russian organizations
Industry:
Government
Geo:
Asian, Russian, Asia, Russia
CVEs:
CVE-2012-0002 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (*)
- microsoft windows server 2003 (*)
- microsoft windows server 2008 (*, -, r2)
- microsoft windows vista (*)
- microsoft windows xp (*, -)
have more...
TTPs:
Tactics: 10
Technics: 47
IOCs:
Path: 89
IP: 47
Domain: 32
File: 26
Registry: 4
Command: 10
Hash: 67
Soft:
Microsoft Exchange, task scheduler, Winlogon, WinSCP, Active Directory, Windows Remote Desktop Protocol, RDCMan, Sysinternals, Windows Media, Unix, have more...
Algorithms:
sha256, md5, xor, 7zip, base64, 3des, sha1
Functions:
RPC
Win Services:
Ntmssvc
Languages:
powershell, ruby, visual_basic
Platforms:
x64, x86
Links:
09-10-2024
Reign of King: Obstinate Mogwai Faction Tactics and Tools
https://rt-solar.ru/solar-4rays/blog/4753
Report completeness: High
Actors/Campaigns:
Obstinate_mogwai (motivation: cyber_espionage, information_theft)
Hafnium
Apt31
Webworm
Threats:
Reign
Trochilus_rat
Donnect
Dimanorat
Venom_proxy_tool
Kingofhearts
Powerpool
Viewstate_deserialization_vuln
Proxylogon_exploit
Nbtscan_tool
Dll_sideloading_technique
Cmpspy
Antspy
Antak
Aspxspy_shell
Dcsync_technique
Webdav-o_rat
Winrm_tool
Sessiongopher_tool
Putty_tool
Superputty_tool
Kerberoasting_technique
Passthehash_technique
Grewapacha
Nishang_tool
Bloodhound_tool
Adfind_tool
Smbexec_tool
Impacket_tool
Vmprotect_tool
Credential_dumping_technique
Mimikatz_tool
Process_injection_technique
Victims:
Government organizations, It companies, Russian organizations
Industry:
Government
Geo:
Asian, Russian, Asia, Russia
CVEs:
CVE-2012-0002 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (*)
- microsoft windows server 2003 (*)
- microsoft windows server 2008 (*, -, r2)
- microsoft windows vista (*)
- microsoft windows xp (*, -)
have more...
TTPs:
Tactics: 10
Technics: 47
IOCs:
Path: 89
IP: 47
Domain: 32
File: 26
Registry: 4
Command: 10
Hash: 67
Soft:
Microsoft Exchange, task scheduler, Winlogon, WinSCP, Active Directory, Windows Remote Desktop Protocol, RDCMan, Sysinternals, Windows Media, Unix, have more...
Algorithms:
sha256, md5, xor, 7zip, base64, 3des, sha1
Functions:
RPC
Win Services:
Ntmssvc
Languages:
powershell, ruby, visual_basic
Platforms:
x64, x86
Links:
https://github.com/0x7556/smbexechttps://github.com/canc3s/OXIDhttps://github.com/fullmetalcache/tools/blob/master/autokerberoast\_nomimi\_stripped.ps1https://github.com/Dliv3/Venomhttps://github.com/Kevin-Robertson/Inveighhttps://github.com/3gstudent/Homework-of-Powershell/blob/master/dns-dump.ps1https://github.com/BloodHoundAD/SharpHoundhttps://github.com/fengwenhua/CMPSpy/blob/main/ConfigureRegistrySettings.ps1https://github.com/tennc/webshell/blob/master/net-friend/aspx/aspxspy/aspxspy.aspxhttps://github.com/Arvanaghi/SessionGopherhttps://github.com/WinRb/WinRMhttps://github.com/samratashok/nishang/blob/master/Antak-WebShell/antak.aspxhttps://github.com/samratashok/nishang/blob/master/Backdoors/DNS\_TXT\_Pwnage.ps1https://github.com/fengwenhua/CMPSpyhttps://github.com/fortra/impackethttps://github.com/samratashok/nishanghttps://github.com/iSecurity-Club/Pentest-Methodologies/blob/master/web-exploit-exp/PHP-reverse-shell/big-shell.phphttps://github.com/Kevin-Robertsonhttps://github.com/3gstudent/Homework-of-C-Language/blob/master/sekurlsa-wdigest.cpphttps://github.com/charlesroelli/nbtscanhttps://github.com/tennc/webshell/blob/master/aspx/nishang/Antak-WebShell/antak.aspx
CTT Report Hub
#ParsedReport #CompletenessHigh 09-10-2024 Reign of King: Obstinate Mogwai Faction Tactics and Tools https://rt-solar.ru/solar-4rays/blog/4753 Report completeness: High Actors/Campaigns: Obstinate_mogwai (motivation: cyber_espionage, information_theft)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном описании изощренной хакерской группировки под названием Obstinate Mogwai, которая, как полагают, поддерживается государством и действует в Восточной Азии. Группа атакует правительственные организации, ИТ-компании и подрядчиков, используя различные тактики для проникновения в целевые сети, включая использование общедоступных сервисов, доверительных отношений с подрядчиками и законных учетных записей. Упрямый Могвай известен своей настойчивостью, скрытной тактикой и использованием различных вредоносных инструментов. Деятельность группы частично совпадает с деятельностью других азиатских APT-групп, что позволяет предположить наличие сети взаимосвязанных действий по кибершпионажу в регионе. Также отмечается постоянное развитие и совершенствование их набора вредоносных инструментов.
-----
В тексте описывается деятельность изощренной хакерской группировки под названием Obstinate Mogwai, которая, как полагают, поддерживается государством и действует в Восточной Азии. Целью группировки в первую очередь являются правительственные организации, IT-компании и их подрядчики. Расследования, проведенные в период с 2023 по начало 2024 года, выявили, что Упрямый Могвей использовал различные тактики для проникновения в целевые сети, включая использование общедоступных сервисов, доверительных отношений с подрядчиками и законных учетных записей, уделяя особое внимание компрометации серверов Exchange.
Группа использовала различные вредоносные программы, в том числе такие известные, как KingOfHearts и TrochilusRAT, а также более новые бэкдоры под названием Donnect и DimanoRAT. Подчеркивается настойчивость Упрямого Могвая во взломе сетей, приводя примеры непрерывных попыток проникновения даже после того, как они были многократно пресечены.
Группа известна своей тактикой скрытия, например, сокрытием вредоносных программ в легальном коде, чтобы избежать обнаружения. Было замечено, что они используют различные методы утечки информации, включая использование скриншотов и записей экрана, чтобы избежать обнаружения.
Операции Упрямого Могвая частично совпадали с действиями других азиатских APT-групп, таких как IAmTheKing, HAFNIUM и APT31. Были выявлены связи с предыдущими инцидентами, связанными с использованием уязвимостей, таких как ProxyLogon, и таких инструментов, как TrochilusRAT. Было задокументировано, что группа использовала целый ряд вредоносных программ и методов удаленного администрирования, утечки данных и обхода сети.
В тексте также упоминается связь группы с другими участниками угроз и демонстрируется сходство в тактике и используемых инструментах, что наводит на мысль о сети взаимосвязанных действий по кибершпионажу в регионе. Кроме того, обсуждается новая версия бэкдора KingOfHearts, развернутая в .NET и сделанная модульной для взаимодействия с C2, что указывает на постоянную разработку и усовершенствование их набора вредоносных инструментов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном описании изощренной хакерской группировки под названием Obstinate Mogwai, которая, как полагают, поддерживается государством и действует в Восточной Азии. Группа атакует правительственные организации, ИТ-компании и подрядчиков, используя различные тактики для проникновения в целевые сети, включая использование общедоступных сервисов, доверительных отношений с подрядчиками и законных учетных записей. Упрямый Могвай известен своей настойчивостью, скрытной тактикой и использованием различных вредоносных инструментов. Деятельность группы частично совпадает с деятельностью других азиатских APT-групп, что позволяет предположить наличие сети взаимосвязанных действий по кибершпионажу в регионе. Также отмечается постоянное развитие и совершенствование их набора вредоносных инструментов.
-----
В тексте описывается деятельность изощренной хакерской группировки под названием Obstinate Mogwai, которая, как полагают, поддерживается государством и действует в Восточной Азии. Целью группировки в первую очередь являются правительственные организации, IT-компании и их подрядчики. Расследования, проведенные в период с 2023 по начало 2024 года, выявили, что Упрямый Могвей использовал различные тактики для проникновения в целевые сети, включая использование общедоступных сервисов, доверительных отношений с подрядчиками и законных учетных записей, уделяя особое внимание компрометации серверов Exchange.
Группа использовала различные вредоносные программы, в том числе такие известные, как KingOfHearts и TrochilusRAT, а также более новые бэкдоры под названием Donnect и DimanoRAT. Подчеркивается настойчивость Упрямого Могвая во взломе сетей, приводя примеры непрерывных попыток проникновения даже после того, как они были многократно пресечены.
Группа известна своей тактикой скрытия, например, сокрытием вредоносных программ в легальном коде, чтобы избежать обнаружения. Было замечено, что они используют различные методы утечки информации, включая использование скриншотов и записей экрана, чтобы избежать обнаружения.
Операции Упрямого Могвая частично совпадали с действиями других азиатских APT-групп, таких как IAmTheKing, HAFNIUM и APT31. Были выявлены связи с предыдущими инцидентами, связанными с использованием уязвимостей, таких как ProxyLogon, и таких инструментов, как TrochilusRAT. Было задокументировано, что группа использовала целый ряд вредоносных программ и методов удаленного администрирования, утечки данных и обхода сети.
В тексте также упоминается связь группы с другими участниками угроз и демонстрируется сходство в тактике и используемых инструментах, что наводит на мысль о сети взаимосвязанных действий по кибершпионажу в регионе. Кроме того, обсуждается новая версия бэкдора KingOfHearts, развернутая в .NET и сделанная модульной для взаимодействия с C2, что указывает на постоянную разработку и усовершенствование их набора вредоносных инструментов.
#ParsedReport #CompletenessHigh
09-10-2024
Mind the (air) gap: GoldenJackal gooses government guardrails
https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails
Report completeness: High
Actors/Campaigns:
Goldenjackal (motivation: cyber_espionage, sabotage)
Turla
Moustachedbouncer
Threats:
Mata
Goldendealer
Goldenhowl
Goldenrobo
Goldenusbcopy
Goldenusbgo
Goldenace
Goldenblacklist
Goldenpyblacklist
Goldenmailer
Goldendrive
Jackalcontrol
Jackalsteal
Jackalworm
Jackalperinfo
Jackalscreenwatcher
Agent_btz
Pysoxy_tool
Robocopy_tool
Plink_tool
Impacket_tool
Eternalblue_vuln
Victims:
Governmental organization, Embassy
Industry:
Government
Geo:
Asian, Asia, Belarus, Russian, Ukraine, Middle east
TTPs:
Tactics: 11
Technics: 50
IOCs:
Registry: 1
Path: 8
Url: 5
File: 16
IP: 2
Command: 1
Email: 3
Hash: 12
Domain: 3
Soft:
Windows Explorer, Windows SMB, PsExec, Outlook, PyInstaller, OpenSSL, Microsoft Office, Microsoft Outlook, office365, WordPress, have more...
Algorithms:
xor, base64, aes, zip, sha256, fnv-1a, gzip
Win API:
CreateProcessW, GetUserNameW
Languages:
python, powershell
Platforms:
x86
Links:
09-10-2024
Mind the (air) gap: GoldenJackal gooses government guardrails
https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails
Report completeness: High
Actors/Campaigns:
Goldenjackal (motivation: cyber_espionage, sabotage)
Turla
Moustachedbouncer
Threats:
Mata
Goldendealer
Goldenhowl
Goldenrobo
Goldenusbcopy
Goldenusbgo
Goldenace
Goldenblacklist
Goldenpyblacklist
Goldenmailer
Goldendrive
Jackalcontrol
Jackalsteal
Jackalworm
Jackalperinfo
Jackalscreenwatcher
Agent_btz
Pysoxy_tool
Robocopy_tool
Plink_tool
Impacket_tool
Eternalblue_vuln
Victims:
Governmental organization, Embassy
Industry:
Government
Geo:
Asian, Asia, Belarus, Russian, Ukraine, Middle east
TTPs:
Tactics: 11
Technics: 50
IOCs:
Registry: 1
Path: 8
Url: 5
File: 16
IP: 2
Command: 1
Email: 3
Hash: 12
Domain: 3
Soft:
Windows Explorer, Windows SMB, PsExec, Outlook, PyInstaller, OpenSSL, Microsoft Office, Microsoft Outlook, office365, WordPress, have more...
Algorithms:
xor, base64, aes, zip, sha256, fnv-1a, gzip
Win API:
CreateProcessW, GetUserNameW
Languages:
python, powershell
Platforms:
x86
Links:
https://github.com/worawit/MS17-010/https://github.com/python/cpython/blob/3.12/Lib/http/server.pyhttps://github.com/fortra/impackethttps://github.com/eset/malware-ioc/tree/master/goldenjackalhttps://github.com/MisterDaneel/pysoxy/Welivesecurity
Mind the (air) gap: GoldenJackal gooses government guardrails
ESET Research analyzed two separate toolsets for breaching air-gapped systems, used by a cyberespionage threat actor known as GoldenJackal.
CTT Report Hub
#ParsedReport #CompletenessHigh 09-10-2024 Mind the (air) gap: GoldenJackal gooses government guardrails https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе компанией ESET Research кибершпионажной деятельности, проводимой агентом по борьбе с угрозами GoldenJackal, с акцентом на их нацеливание на защищенные системы и правительственные организации в Европе, на Ближнем Востоке и в Южной Азии. Анализ раскрывает инструменты и тактику, используемые GoldenJackal, подчеркивая их возможности по компрометации сетей и сохранению в целевых средах на протяжении нескольких лет. Исследование проливает свет на эволюционирующий характер, изобретательность и изощренность группы в осуществлении кибершпионажа.
-----
GoldenJackal - это участник кибершпионажа, известный своими атаками на системы с воздушными зазорами.
С мая 2022 по март 2024 года GoldenJackal атаковал правительственную организацию в Европе.
Набор инструментов GoldenJackal включает в себя такие имплантаты, как JackalControl, JackalSteal, JackalWorm, JackalPerInfo и JackalScreenWatcher для шпионской деятельности.
GoldenJackal использовал в атаках пользовательские инструменты, такие как GoldenDealer, GoldenHowl и GoldenRobo, со специфическими функциями для доставки файлов, бэкдора и эксфильтрации файлов.
Было замечено, что скрипты PowerShell и инструменты, такие как Plink и PsExec, использовались GoldenJackal для развертывания бэкдоров и других вредоносных инструментов.
В мае 2022 года GoldenJackal перешел на новый набор инструментов, ориентированный на правительственную организацию в Европе. Компоненты, написанные на Go, ориентированы на сбор файлов с USB-накопителей, боковое перемещение и эксфильтрацию файлов.
Были выявлены дополнительные компоненты, такие как GoldenUsbCopy, GoldenAce, GoldenBlacklist, GoldenPyBlacklist, GoldenMailer и GoldenDrive, которые используются для сбора файлов, распространения вредоносных исполняемых файлов, обработки сообщений электронной почты и эксфильтрации файлов.
Анализ показывает, что GoldenJackal на протяжении пяти лет применяла различные наборы инструментов, демонстрируя изобретательность и осведомленность о методах сегментации сети.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе компанией ESET Research кибершпионажной деятельности, проводимой агентом по борьбе с угрозами GoldenJackal, с акцентом на их нацеливание на защищенные системы и правительственные организации в Европе, на Ближнем Востоке и в Южной Азии. Анализ раскрывает инструменты и тактику, используемые GoldenJackal, подчеркивая их возможности по компрометации сетей и сохранению в целевых средах на протяжении нескольких лет. Исследование проливает свет на эволюционирующий характер, изобретательность и изощренность группы в осуществлении кибершпионажа.
-----
GoldenJackal - это участник кибершпионажа, известный своими атаками на системы с воздушными зазорами.
С мая 2022 по март 2024 года GoldenJackal атаковал правительственную организацию в Европе.
Набор инструментов GoldenJackal включает в себя такие имплантаты, как JackalControl, JackalSteal, JackalWorm, JackalPerInfo и JackalScreenWatcher для шпионской деятельности.
GoldenJackal использовал в атаках пользовательские инструменты, такие как GoldenDealer, GoldenHowl и GoldenRobo, со специфическими функциями для доставки файлов, бэкдора и эксфильтрации файлов.
Было замечено, что скрипты PowerShell и инструменты, такие как Plink и PsExec, использовались GoldenJackal для развертывания бэкдоров и других вредоносных инструментов.
В мае 2022 года GoldenJackal перешел на новый набор инструментов, ориентированный на правительственную организацию в Европе. Компоненты, написанные на Go, ориентированы на сбор файлов с USB-накопителей, боковое перемещение и эксфильтрацию файлов.
Были выявлены дополнительные компоненты, такие как GoldenUsbCopy, GoldenAce, GoldenBlacklist, GoldenPyBlacklist, GoldenMailer и GoldenDrive, которые используются для сбора файлов, распространения вредоносных исполняемых файлов, обработки сообщений электронной почты и эксфильтрации файлов.
Анализ показывает, что GoldenJackal на протяжении пяти лет применяла различные наборы инструментов, демонстрируя изобретательность и осведомленность о методах сегментации сети.
#ParsedReport #CompletenessMedium
09-10-2024
Operation MiddleFloor: Disinformation campaign targets Moldova ahead of presidential elections and EU membership referendum. Introduction. Introduction
https://research.checkpoint.com/2024/disinformation-campaign-moldova
Report completeness: Medium
Actors/Campaigns:
Middlefloor (motivation: disinformation, hacktivism)
Lying_pigeon (motivation: disinformation)
Doppelgnger (motivation: disinformation)
Noname057
Threats:
Spear-phishing_technique
Lumma_stealer
Industry:
Government, Education, Energy, Ngo, Petroleum
Geo:
Moldova, Russian, Africa, Spanish, Lithuania, Poland, Polish, Belarus, Russia, Middle east, Spain
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.001, T1560
IOCs:
Domain: 49
File: 9
Hash: 9
IP: 11
Email: 1
Soft:
Telegram, Mailcow, Dropbox
Algorithms:
sha256, md5
09-10-2024
Operation MiddleFloor: Disinformation campaign targets Moldova ahead of presidential elections and EU membership referendum. Introduction. Introduction
https://research.checkpoint.com/2024/disinformation-campaign-moldova
Report completeness: Medium
Actors/Campaigns:
Middlefloor (motivation: disinformation, hacktivism)
Lying_pigeon (motivation: disinformation)
Doppelgnger (motivation: disinformation)
Noname057
Threats:
Spear-phishing_technique
Lumma_stealer
Industry:
Government, Education, Energy, Ngo, Petroleum
Geo:
Moldova, Russian, Africa, Spanish, Lithuania, Poland, Polish, Belarus, Russia, Middle east, Spain
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.001, T1560
IOCs:
Domain: 49
File: 9
Hash: 9
IP: 11
Email: 1
Soft:
Telegram, Mailcow, Dropbox
Algorithms:
sha256, md5
Check Point Research
Operation MiddleFloor: Disinformation campaign targets Moldova ahead of presidential elections and EU membership referendum - Check…
A disinformation campaign targets Moldova ahead of presidential elections and EU referendum
CTT Report Hub
#ParsedReport #CompletenessMedium 09-10-2024 Operation MiddleFloor: Disinformation campaign targets Moldova ahead of presidential elections and EU membership referendum. Introduction. Introduction https://research.checkpoint.com/2024/disinformation-campaign…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что кампания дезинформации с использованием киберпространства, известная как "Lying Pigeon", которая, как полагают, соответствует интересам России, направлена против правительства и сферы образования Молдовы в преддверии выборов в стране. Кампания направлена на то, чтобы повлиять на общественное мнение, распространяя негативное восприятие европейских ценностей, процесса вступления в ЕС и проевропейского руководства Молдовы. Злоумышленники используют различные тактики, такие как выдача себя за учреждения Европейского союза и министерства Молдовы, для распространения поддельного контента по электронной почте, а также участвуют в распространении вредоносных программ. Противодействие таким угрозам имеет решающее значение для обеспечения целостности демократии и кибербезопасности в Европе.
-----
В начале августа исследование Check Point выявило кампанию дезинформации с использованием киберпространства, направленную против правительства и сферы образования Молдовы в преддверии выборов в стране, которые состоятся 20 октября. Злоумышленники, известные как "Lying Pigeon", стремятся повлиять на общественное мнение, распространяя негативное восприятие европейских ценностей, процесса вступления в ЕС и проевропейского руководства Республики Молдова. Кампания затрагивает различные деликатные темы, включая проблемы с поставками газа, ценами на топливо, проблемы ЛГБТ, меры по борьбе с коррупцией, изменения в сфере образования, иммиграции и изменения на рынке труда. "Lying Pigeon", который, как полагают, связан с интересами России, активно действует в Европе с начала 2023 года, нацеливаясь на такие события, как саммит НАТО в Вильнюсе и всеобщие выборы в Испании.
В рамках продолжающейся кампании по дезинформации Operation MiddleFloor в качестве основного метода распространения и сбора информации используются электронные письма. Электронные письма выдают себя за учреждения Европейского союза, министерства Республики Молдова и политических деятелей для распространения поддельного контента и сбора данных о жертвах. Кампания направлена на то, чтобы заложить основу для потенциальных целевых атак вредоносных программ. Хотя электронные письма имеют ограниченный вирусный охват по сравнению с социальными сетями, они обеспечивают отслеживаемую инфраструктуру, позволяющую властям более эффективно выявлять источники дезинформации.
Кампания по дезинформации включает в себя поддельные документы, направленные против молдавских чиновников по таким темам, как изменение миграционной политики и повышение цен на газ. Эти поддельные сообщения направлены на манипулирование общественным восприятием и создание путаницы. Используя уязвимости в среде обитания жертв, злоумышленники могут проводить кампании скрытого фишинга и другие целенаправленные атаки, в том числе на проезжую часть.
В рамках кампании несколько доменов и IP-адресов взаимосвязаны, что позволяет отнести их к одной и той же операции. Злоумышленники зарегистрировали домены для подмены европейских и молдавских организаций и использовали различные тактики для осуществления своей дезинформационной деятельности. Усилия по дезинформации являются частью более широкой стратегии Lying Pigeon по влиянию на политическую стабильность и демократические процессы не только в Молдове, но и в других европейских странах, таких как Испания. Группа сочетает дезинформацию с распространением вредоносных программ, что свидетельствует о сложном и многогранном подходе к их деятельности.
Мониторинг и противодействие деятельности таких опасных субъектов, как Lying Pigeon, имеют решающее значение для обеспечения целостности демократии и кибербезопасности в Европе. Постоянное вмешательство в демократические процессы и двойной подход к распространению дезинформации и сбору информации представляют серьезную угрозу политической стабильности и общественному доверию к законным институтам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что кампания дезинформации с использованием киберпространства, известная как "Lying Pigeon", которая, как полагают, соответствует интересам России, направлена против правительства и сферы образования Молдовы в преддверии выборов в стране. Кампания направлена на то, чтобы повлиять на общественное мнение, распространяя негативное восприятие европейских ценностей, процесса вступления в ЕС и проевропейского руководства Молдовы. Злоумышленники используют различные тактики, такие как выдача себя за учреждения Европейского союза и министерства Молдовы, для распространения поддельного контента по электронной почте, а также участвуют в распространении вредоносных программ. Противодействие таким угрозам имеет решающее значение для обеспечения целостности демократии и кибербезопасности в Европе.
-----
В начале августа исследование Check Point выявило кампанию дезинформации с использованием киберпространства, направленную против правительства и сферы образования Молдовы в преддверии выборов в стране, которые состоятся 20 октября. Злоумышленники, известные как "Lying Pigeon", стремятся повлиять на общественное мнение, распространяя негативное восприятие европейских ценностей, процесса вступления в ЕС и проевропейского руководства Республики Молдова. Кампания затрагивает различные деликатные темы, включая проблемы с поставками газа, ценами на топливо, проблемы ЛГБТ, меры по борьбе с коррупцией, изменения в сфере образования, иммиграции и изменения на рынке труда. "Lying Pigeon", который, как полагают, связан с интересами России, активно действует в Европе с начала 2023 года, нацеливаясь на такие события, как саммит НАТО в Вильнюсе и всеобщие выборы в Испании.
В рамках продолжающейся кампании по дезинформации Operation MiddleFloor в качестве основного метода распространения и сбора информации используются электронные письма. Электронные письма выдают себя за учреждения Европейского союза, министерства Республики Молдова и политических деятелей для распространения поддельного контента и сбора данных о жертвах. Кампания направлена на то, чтобы заложить основу для потенциальных целевых атак вредоносных программ. Хотя электронные письма имеют ограниченный вирусный охват по сравнению с социальными сетями, они обеспечивают отслеживаемую инфраструктуру, позволяющую властям более эффективно выявлять источники дезинформации.
Кампания по дезинформации включает в себя поддельные документы, направленные против молдавских чиновников по таким темам, как изменение миграционной политики и повышение цен на газ. Эти поддельные сообщения направлены на манипулирование общественным восприятием и создание путаницы. Используя уязвимости в среде обитания жертв, злоумышленники могут проводить кампании скрытого фишинга и другие целенаправленные атаки, в том числе на проезжую часть.
В рамках кампании несколько доменов и IP-адресов взаимосвязаны, что позволяет отнести их к одной и той же операции. Злоумышленники зарегистрировали домены для подмены европейских и молдавских организаций и использовали различные тактики для осуществления своей дезинформационной деятельности. Усилия по дезинформации являются частью более широкой стратегии Lying Pigeon по влиянию на политическую стабильность и демократические процессы не только в Молдове, но и в других европейских странах, таких как Испания. Группа сочетает дезинформацию с распространением вредоносных программ, что свидетельствует о сложном и многогранном подходе к их деятельности.
Мониторинг и противодействие деятельности таких опасных субъектов, как Lying Pigeon, имеют решающее значение для обеспечения целостности демократии и кибербезопасности в Европе. Постоянное вмешательство в демократические процессы и двойной подход к распространению дезинформации и сбору информации представляют серьезную угрозу политической стабильности и общественному доверию к законным институтам.
#ParsedReport #CompletenessMedium
09-10-2024
Contagious Interview: DPRK Threat Actors Lure Tech Industry Job Seekers to Install New Variants of BeaverTail and InvisibleFerret Malware
https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters
Report completeness: Medium
Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)
Threats:
Beavertail
Invisibleferret
Anydesk_tool
Victims:
Job-seeking individuals
Geo:
North korea, Korea, Dprk, North korean
ChatGPT TTPs:
T1071.001, T1056.001, T1189, T1566.001
IOCs:
IP: 3
Domain: 1
File: 1
Hash: 29
Soft:
macOS, MiroTalk, Chrome, Microsoft Edge
Wallets:
metamask, coinbase, tronlink, coin98, rabby, exodus_wallet
Crypto:
binance
Algorithms:
sha256
Languages:
python, javascript
Platforms:
cross-platform
09-10-2024
Contagious Interview: DPRK Threat Actors Lure Tech Industry Job Seekers to Install New Variants of BeaverTail and InvisibleFerret Malware
https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters
Report completeness: Medium
Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)
Threats:
Beavertail
Invisibleferret
Anydesk_tool
Victims:
Job-seeking individuals
Geo:
North korea, Korea, Dprk, North korean
ChatGPT TTPs:
do not use without manual checkT1071.001, T1056.001, T1189, T1566.001
IOCs:
IP: 3
Domain: 1
File: 1
Hash: 29
Soft:
macOS, MiroTalk, Chrome, Microsoft Edge
Wallets:
metamask, coinbase, tronlink, coin98, rabby, exodus_wallet
Crypto:
binance
Algorithms:
sha256
Languages:
python, javascript
Platforms:
cross-platform
Unit 42
Contagious Interview: DPRK Threat Actors Lure Tech Industry Job Seekers to Install New Variants of BeaverTail and InvisibleFerret…
Discover how North Korean attackers, posing as recruiters, used an updated downloader and backdoor in a campaign targeting tech job seekers. Discover how North Korean attackers, posing as recruiters, used an updated downloader and backdoor in a campaign targeting…
CTT Report Hub
#ParsedReport #CompletenessMedium 09-10-2024 Contagious Interview: DPRK Threat Actors Lure Tech Industry Job Seekers to Install New Variants of BeaverTail and InvisibleFerret Malware https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Подразделение 42 выявило кампанию, приписываемую злоумышленникам из КНДР, нацеленную на тех, кто ищет работу в сфере технологий, используя поддельные данные рекрутеров для распространения вредоносных программ, включая загрузчик BeaverTail и бэкдор InvisibleFerret. Кампания включает в себя тактику социальной инженерии, постоянные обновления кода и расширение целей, демонстрируя эволюционирующий характер вредоносной активности. Злоумышленники стремятся сохранить контроль над зараженными компьютерами для получения потенциальной финансовой выгоды, подчеркивая необходимость бдительности и анализа угроз в отношении таких сложных киберугроз.
-----
Подразделение 42 выявило кампанию, известную как CL-STA-240 Contagious Interview, которую приписывают злоумышленникам, связанным с Корейской Народно-Демократической Республикой (КНДР). В этой кампании злоумышленники, выдающие себя за рекрутеров, нацелены на соискателей работы в сфере высоких технологий с целью установки вредоносного ПО на их устройства. Впервые о кампании стало известно в ноябре 2023 года, и с тех пор подразделение 42 наблюдало за текущей онлайн-активностью этих фальшивых рекрутеров, а также за обновлениями двух компонентов вредоносного ПО: загрузчика BeaverTail и бэкдора InvisibleFerret.
Вредоносная программа BeaverTail, связанная с этой кампанией, была скомпилирована с использованием платформы Qt framework еще в июле 2024 года, и ее варианты были обнаружены как для платформ macOS, так и для Windows. Были отмечены постоянные обновления кода для бэкдора InvisibleFerret, который поставляется загрузчиком BeaverTail. Эти обновления указывают на эволюционный характер вредоносного ПО, используемого в этой кампании.
Злоумышленники, стоящие за CL-STA-0240, обычно связываются с разработчиками программного обеспечения через платформы для поиска работы под видом потенциальных работодателей. Они проводят онлайн-собеседования с жертвами, где убеждают их загрузить и установить вредоносное ПО. Недавние сообщения и активность в социальных сетях показали, что эта вредоносная деятельность продолжается. Один из примеров связан с использованием поддельного онлайн-технического опроса, в ходе которого жертва выполняла вредоносный код, который подключался к командному серверу злоумышленника.
BeaverTail, который в этой кампании выполняет функции загрузчика и похитителя информации, доставляется с помощью файлов, замаскированных под законные приложения. Вредоносное ПО, которое теперь кодируется с помощью Qt, нацелено на системы Windows и macOS одновременно. После установки на компьютер жертвы он извлекает данные и выполняет дополнительную полезную нагрузку, и все это время незаметно работает в фоновом режиме. Примечательно, что новая версия BeaverTail расширила свои цели, включив в нее 13 различных браузерных расширений для криптовалютных кошельков, демонстрирующих финансовые интересы участников угроз.
В дополнение к BeaverTail, кампания включает в себя внедрение бэкдора InvisibleFerret на Python, способного снимать отпечатки пальцев с конечных точек, осуществлять удаленное управление, вести кейлоггинг, фильтрацию данных и красть учетные данные браузера. Постоянные изменения кода в InvisibleFerret свидетельствуют о постоянных усилиях авторов вредоносной программы по расширению ее возможностей и уклонению от обнаружения.
Цепочка заражения в этой кампании начинается с установки BeaverTail и завершается развертыванием кроссплатформенного бэкдора InvisibleFerret. Злоумышленники стремятся сохранить контроль над зараженными компьютерами и получить доступ к конфиденциальным данным для получения потенциальной финансовой выгоды. Сообществу настоятельно рекомендуется проявлять бдительность в отношении таких сложных кампаний социальной инженерии и использовать информацию об угрозах для усиления защиты от развивающихся киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Подразделение 42 выявило кампанию, приписываемую злоумышленникам из КНДР, нацеленную на тех, кто ищет работу в сфере технологий, используя поддельные данные рекрутеров для распространения вредоносных программ, включая загрузчик BeaverTail и бэкдор InvisibleFerret. Кампания включает в себя тактику социальной инженерии, постоянные обновления кода и расширение целей, демонстрируя эволюционирующий характер вредоносной активности. Злоумышленники стремятся сохранить контроль над зараженными компьютерами для получения потенциальной финансовой выгоды, подчеркивая необходимость бдительности и анализа угроз в отношении таких сложных киберугроз.
-----
Подразделение 42 выявило кампанию, известную как CL-STA-240 Contagious Interview, которую приписывают злоумышленникам, связанным с Корейской Народно-Демократической Республикой (КНДР). В этой кампании злоумышленники, выдающие себя за рекрутеров, нацелены на соискателей работы в сфере высоких технологий с целью установки вредоносного ПО на их устройства. Впервые о кампании стало известно в ноябре 2023 года, и с тех пор подразделение 42 наблюдало за текущей онлайн-активностью этих фальшивых рекрутеров, а также за обновлениями двух компонентов вредоносного ПО: загрузчика BeaverTail и бэкдора InvisibleFerret.
Вредоносная программа BeaverTail, связанная с этой кампанией, была скомпилирована с использованием платформы Qt framework еще в июле 2024 года, и ее варианты были обнаружены как для платформ macOS, так и для Windows. Были отмечены постоянные обновления кода для бэкдора InvisibleFerret, который поставляется загрузчиком BeaverTail. Эти обновления указывают на эволюционный характер вредоносного ПО, используемого в этой кампании.
Злоумышленники, стоящие за CL-STA-0240, обычно связываются с разработчиками программного обеспечения через платформы для поиска работы под видом потенциальных работодателей. Они проводят онлайн-собеседования с жертвами, где убеждают их загрузить и установить вредоносное ПО. Недавние сообщения и активность в социальных сетях показали, что эта вредоносная деятельность продолжается. Один из примеров связан с использованием поддельного онлайн-технического опроса, в ходе которого жертва выполняла вредоносный код, который подключался к командному серверу злоумышленника.
BeaverTail, который в этой кампании выполняет функции загрузчика и похитителя информации, доставляется с помощью файлов, замаскированных под законные приложения. Вредоносное ПО, которое теперь кодируется с помощью Qt, нацелено на системы Windows и macOS одновременно. После установки на компьютер жертвы он извлекает данные и выполняет дополнительную полезную нагрузку, и все это время незаметно работает в фоновом режиме. Примечательно, что новая версия BeaverTail расширила свои цели, включив в нее 13 различных браузерных расширений для криптовалютных кошельков, демонстрирующих финансовые интересы участников угроз.
В дополнение к BeaverTail, кампания включает в себя внедрение бэкдора InvisibleFerret на Python, способного снимать отпечатки пальцев с конечных точек, осуществлять удаленное управление, вести кейлоггинг, фильтрацию данных и красть учетные данные браузера. Постоянные изменения кода в InvisibleFerret свидетельствуют о постоянных усилиях авторов вредоносной программы по расширению ее возможностей и уклонению от обнаружения.
Цепочка заражения в этой кампании начинается с установки BeaverTail и завершается развертыванием кроссплатформенного бэкдора InvisibleFerret. Злоумышленники стремятся сохранить контроль над зараженными компьютерами и получить доступ к конфиденциальным данным для получения потенциальной финансовой выгоды. Сообществу настоятельно рекомендуется проявлять бдительность в отношении таких сложных кампаний социальной инженерии и использовать информацию об угрозах для усиления защиты от развивающихся киберугроз.
#cyberthreattech
Интегрировали проект https://lolrmm.io, т.ч. теперь в фиде у нас есть тег
Интегрировали проект https://lolrmm.io, т.ч. теперь в фиде у нас есть тег
rmm. Но т.к. это ПО "двойного назначения", score "мусорного уровня" и равен 20.👍2
#ParsedReport #CompletenessHigh
09-10-2024
Wreaking havoc in cyberspace: threat actors experiment with pentest tools
https://bi.zone/eng/expertise/blog/khaos-v-kiberprostranstve-gruppirovki-eksperimentiruyut-s-instrumentami
Report completeness: High
Actors/Campaigns:
Mysterious_werewolf
Threats:
Havoc
Cobalt_strike
Metasploit_tool
Sliver_c2_tool
Mythic_c2
Spear-phishing_technique
Smuggling_technique
Industry:
Government, Education, Healthcare
CVEs:
CVE-2024-7965 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 10
IP: 5
Path: 2
Domain: 1
Hash: 21
Url: 4
Soft:
cURL, Microsoft OneDrive
Algorithms:
xor, sha256, md5, sha1, base64
Win API:
VirtualAllocExNuma, VirtualProtect, CreateThread
Languages:
powershell, javascript
Platforms:
x64, x86
09-10-2024
Wreaking havoc in cyberspace: threat actors experiment with pentest tools
https://bi.zone/eng/expertise/blog/khaos-v-kiberprostranstve-gruppirovki-eksperimentiruyut-s-instrumentami
Report completeness: High
Actors/Campaigns:
Mysterious_werewolf
Threats:
Havoc
Cobalt_strike
Metasploit_tool
Sliver_c2_tool
Mythic_c2
Spear-phishing_technique
Smuggling_technique
Industry:
Government, Education, Healthcare
CVEs:
CVE-2024-7965 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 10
IP: 5
Path: 2
Domain: 1
Hash: 21
Url: 4
Soft:
cURL, Microsoft OneDrive
Algorithms:
xor, sha256, md5, sha1, base64
Win API:
VirtualAllocExNuma, VirtualProtect, CreateThread
Languages:
powershell, javascript
Platforms:
x64, x86
BI.ZONE
Wreaking havoc in cyberspace: threat actors experiment with pentest tools
A new research by BI.ZONE Threat Intelligence reveals how adversaries attempt to bypass cybersecurity systems
CTT Report Hub
#ParsedReport #CompletenessHigh 09-10-2024 Wreaking havoc in cyberspace: threat actors experiment with pentest tools https://bi.zone/eng/expertise/blog/khaos-v-kiberprostranstve-gruppirovki-eksperimentiruyut-s-instrumentami Report completeness: High A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберпреступники все чаще используют постэксплуатационную платформу Havoc, особенно при фишинговых атаках, чтобы избежать обнаружения системами безопасности. Использование менее известных инструментов, таких как Havoc, расширяет возможности злоумышленников обходить меры безопасности и инициировать кибератаки, при этом фишинговые электронные письма остаются распространенным методом из-за их эффективности в обмане пользователей. Анализ конкретных случаев выявляет тактику обмана, применяемую злоумышленниками, например, маскировку вредоносной полезной нагрузки под законные документы и использование файлов-приманок.
-----
Киберпреступники все чаще используют систему постэксплуатации Havoc, чтобы избежать обнаружения системами кибербезопасности.
Фишинговые электронные письма остаются распространенным методом инициирования кибератак, при этом злоумышленники часто маскируются под авторитетные организации, чтобы обманом заставить пользователей открыть вредоносные вложения.
Конкретное фишинговое электронное письмо в августе привело к активации Demon-импланта платформы Havoc framework с помощью вводящего в заблуждение исполняемого файла с именем "Dokumenty_FSB.exe.".
Злоумышленники использовали различные методы, такие как создание ложных документов и использование шифрования, для сокрытия и доставки своей вредоносной полезной нагрузки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберпреступники все чаще используют постэксплуатационную платформу Havoc, особенно при фишинговых атаках, чтобы избежать обнаружения системами безопасности. Использование менее известных инструментов, таких как Havoc, расширяет возможности злоумышленников обходить меры безопасности и инициировать кибератаки, при этом фишинговые электронные письма остаются распространенным методом из-за их эффективности в обмане пользователей. Анализ конкретных случаев выявляет тактику обмана, применяемую злоумышленниками, например, маскировку вредоносной полезной нагрузки под законные документы и использование файлов-приманок.
-----
Киберпреступники все чаще используют систему постэксплуатации Havoc, чтобы избежать обнаружения системами кибербезопасности.
Фишинговые электронные письма остаются распространенным методом инициирования кибератак, при этом злоумышленники часто маскируются под авторитетные организации, чтобы обманом заставить пользователей открыть вредоносные вложения.
Конкретное фишинговое электронное письмо в августе привело к активации Demon-импланта платформы Havoc framework с помощью вводящего в заблуждение исполняемого файла с именем "Dokumenty_FSB.exe.".
Злоумышленники использовали различные методы, такие как создание ложных документов и использование шифрования, для сокрытия и доставки своей вредоносной полезной нагрузки.
#ParsedReport #CompletenessHigh
10-10-2024
Core Werewolf hones its arsenal against Russia s government organizations
https://bi.zone/eng/expertise/blog/ne-budi-likho-core-werewolf-sovershenstvuet-ataki-na-rossiyskie-gosorganizatsii
Report completeness: High
Actors/Campaigns:
Core_werewolf
Industry:
Government, Critical_infrastructure
Geo:
Russia
CVEs:
CVE-2024-7965 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)
TTPs:
Tactics: 4
Technics: 0
IOCs:
IP: 5
Url: 2
File: 6
Hash: 44
Domain: 4
Soft:
Telegram, AutoHotKey
Algorithms:
sha256, 7zip, md5, sha1
Languages:
autoit
10-10-2024
Core Werewolf hones its arsenal against Russia s government organizations
https://bi.zone/eng/expertise/blog/ne-budi-likho-core-werewolf-sovershenstvuet-ataki-na-rossiyskie-gosorganizatsii
Report completeness: High
Actors/Campaigns:
Core_werewolf
Industry:
Government, Critical_infrastructure
Geo:
Russia
CVEs:
CVE-2024-7965 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)
TTPs:
Tactics: 4
Technics: 0
IOCs:
IP: 5
Url: 2
File: 6
Hash: 44
Domain: 4
Soft:
Telegram, AutoHotKey
Algorithms:
sha256, 7zip, md5, sha1
Languages:
autoit
BI.ZONE
Core Werewolf hones its arsenal against Russia's government organizations
Adversaries experiment with new tools and malware delivery methods