#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Была выявлена новая фишинговая кампания, в ходе которой злоумышленники выдают себя за крупные отечественные развлекательные агентства, чтобы обманом заставить получателей перейти по ссылкам, утверждая, что их изображения были использованы в рекламе без разрешения. Злоумышленники используют тактику социальной инженерии и технический обман, чтобы воспользоваться доверием пользователей, подчеркивая важность осторожности, проверки и осведомленности о безопасности для снижения рисков, связанных с фишинговыми атаками. Организации и частные лица должны сохранять бдительность, быть в курсе событий и применять надежные меры безопасности для защиты от возникающих киберугроз.
-----

ASEC (аналитический центр безопасности AhnLab) регулярно публикует статистические отчеты о фишинговых рассылках по электронной почте, в которых преобладают поддельные формы входа в систему, доставки и заказа на покупку. Недавно была выявлена новая фишинговая кампания, в ходе которой злоумышленники выдавали себя за крупные отечественные развлекательные агентства. Злоумышленники утверждают, что их изображения были использованы без разрешения в рекламе Facebook и Instagram, побуждая получателей переходить по ссылкам, чтобы подтвердить якобы неправильно использованные фотографии.

При переходе по ссылке активируется программа infostealer на базе Python. Чтобы заставить пользователей поверить, что это настоящий PDF-файл, злоумышленник изменяет значок файла на PDF-файл и скрывает расширение приложения (EXE), добавляя к имени файла несколько пробелов. При добавлении достаточного количества пробелов имя файла усекается и отображается как "..." до тех пор, пока на нем не будет нажата кнопка. Злоумышленник стратегически вставляет ".pdf" в конец имени файла, чтобы обмануть пользователей, заставив их думать, что это безобидный PDF-файл.

Эта тактика направлена на то, чтобы использовать доверие пользователей к PDF-файлам и их уверенность в том, что нажатие на PDF-файл не нанесет вреда их системе. Злоумышленники используют методы социальной инженерии, создавая ощущение срочности и беспокойства, заставляя получателей быстро реагировать на предполагаемое неправомерное использование их изображений. Кроме того, выдавая себя за известные развлекательные агентства, злоумышленники повышают вероятность того, что получатели попадутся на удочку мошенников из-за предполагаемого доверия к отправителю.

Крайне важно, чтобы пользователи проявляли осторожность при работе с нежелательными электронными письмами, особенно содержащими ссылки или вложения. Пользователям следует проверить подлинность отправителя и внимательно изучить URL-адреса, прежде чем переходить по ним. Кроме того, поддержание обновленного антивирусного программного обеспечения и регулярное проведение тренингов по безопасности могут помочь снизить риски, связанные с фишинговыми атаками.

Использование платформ социальных сетей для фишинговых кампаний подчеркивает эволюцию тактики, используемой киберпреступниками для поиска людей и использования их доверия к знакомым брендам или организациям. Сочетая социальную инженерию с техническим обманом, злоумышленники могут манипулировать пользователями, заставляя их совершать действия, которые ставят под угрозу их безопасность и конфиденциальность.

Для эффективной борьбы с такими угрозами организации и частные лица должны сохранять бдительность, быть в курсе возникающих угроз и применять надежные меры безопасности для защиты от фишинговых атак. Развивая культуру осведомленности о кибербезопасности и активно устраняя потенциальные риски, пользователи могут лучше защитить себя и свои данные от того, чтобы стать жертвами изощренных фишинговых схем.

#ParsedReport #CompletenessMedium
16-10-2024

Newly Discovered Linux Variant of FASTCash Malware Targets ATMs

https://www.secureblink.com/cyber-security-news/newly-discovered-linux-variant-of-fast-cash-malware-targets-at-ms

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Fastcash
Process_injection_technique
Upx_tool

Victims:
Financial institutions

Industry:
Financial

Geo:
North korean, Indian, North koreans, Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1040, T1055, T1601

IOCs:
Hash: 2

Soft:
Ubuntu, UNIX

Algorithms:
des, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские хакеры, разработав новый Linux-вариант вредоносной программы FastCash, нацелились на платежные серверы на базе Linux, чтобы обеспечить несанкционированное снятие наличных в банкоматах. Эта вредоносная программа, относящаяся к группе Hidden Cobra или Lazarus, имеет опыт проникновения в платежные системы с целью кражи десятков миллионов долларов. Открытие этого варианта Linux означает расширение сферы их применения за счет включения более широкого спектра операционных систем, что создает значительные риски для финансовых учреждений и подчеркивает важность мер кибербезопасности для предотвращения подобных атак.
-----

Северокорейские хакеры недавно внедрили новый вариант вредоносной программы FastCash, предназначенной специально для серверов коммутации платежей на базе Linux. Эта вредоносная программа, ранее известная своей способностью компрометировать системы IBM AIX и Windows, теперь распространила свое действие на Linux, позволяя несанкционированно снимать наличные в банкоматах. Группа, ответственная за это вредоносное ПО, известная как Hidden Cobra или APT38/Lazarus Group, активно развивает свою тактику, нацеленную на финансовые учреждения.

Вредоносное по FastCash - это семейство вредоносных программ, приписываемых северокорейским хакерам, которые проникали в платежные системы с целью несанкционированного снятия наличных в банкоматах как минимум с 2016 года. Манипулируя сообщениями о транзакциях, эта вредоносная программа использовалась для кражи десятков миллионов долларов за один инцидент во многих странах. Важными событиями в истории FastCash являются предупреждения, выпущенные Агентством кибербезопасности и защиты инфраструктуры США (CISA) в 2018 году, появление версии Windows в 2019 году и предъявление обвинений в 2021 году северокорейцам, причастным к этим операциям, на общую сумму кражи более 1,3 миллиарда долларов.

Недавно обнаруженный Linux-вариант FastCash был скомпилирован для Ubuntu Linux 20.04 с использованием GCC 11.3.0 и, как полагают, был разработан после 21 апреля 2022 года, возможно, в среде виртуальной машины VMware. Этот вариант работает в турецкой лире (TRY), в то время как его предшественники работали с индийской рупией (INR). Вредоносная программа перехватывает сообщения ISO8583, стандарт, используемый для сообщений о финансовых транзакциях, и манипулирует ими. Компрометируя платежные системы, вредоносная программа может незаметно изменять данные транзакций, что в конечном итоге позволяет осуществлять несанкционированное снятие наличных в банкоматах.

Для достижения этой цели вредоносная программа перехватывает сообщения ISO8583, подключаясь к сетевым процессам и внедряясь в запущенные процессы на сервере коммутатора платежей. Используя общие библиотеки для отслеживания и изменения сообщений о транзакциях в режиме реального времени, вредоносная программа может генерировать случайные суммы снятия наличных, изменять коды ответов, чтобы указать на одобрение, корректировать элементы данных для удаления информации, связанной с безопасностью, и отправлять эти обработанные ответы в центральные системы банка, чтобы разрешить несанкционированное снятие средств.

Обнаружение версии Linux означает, что цели северокорейских хакеров расширяются и включают в себя более широкий спектр операционных систем, что создает значительные риски для финансовых учреждений, использующих Linux для обработки платежей. Несанкционированное снятие наличных с помощью FastCash может привести к существенным финансовым потерям и репутационному ущербу для затронутых учреждений, что усугубляется способностью вредоносного ПО ускользать от обнаружения. Подчеркивается важность регулярных обновлений и исправлений для устранения уязвимостей, используемых такими вредоносными программами, в качестве важнейшей меры безопасности, которую должны внедрять финансовые учреждения.

#ParsedReport #CompletenessMedium
16-10-2024

Distribution of MEDUZASTEALER by means of Telegram, apparently, on behalf of technical support Reserve+ (CERT-UA#11603)

https://cert.gov.ua/article/6281018

Report completeness: Medium

Threats:
Meduza

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1059, T1562

IOCs:
File: 16
Hash: 64
IP: 6
Url: 7
Path: 1
Command: 1

Soft:
Telegram, Microsoft Defender

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в целенаправленном инциденте с киберугрозами в Украине, связанном с распространением вредоносного ПО через Telegram путем обмана пользователей с помощью тактики социальной инженерии под видом законного программного обеспечения или служб поддержки. Злоумышленники использовали многоэтапный процесс заражения для развертывания вредоносной программы MEDUZASTEALER, предназначенной для кражи конфиденциальных файлов. Этот инцидент подчеркивает важность проявления осторожности, внедрения передовых методов обеспечения кибербезопасности и сотрудничества с такими организациями, как CERT-UA, для борьбы с появляющимися киберугрозами и защиты критически важных инфраструктур.
-----

Украинский сервис CERT-UA был предупрежден о подозрительных сообщениях, распространяемых через Telegram-аккаунт @reserveplusbot.

В сообщениях содержался призыв к получателям установить "специальное программное обеспечение" в ZIP-файл с именем "RESERVPLUS.zip".

ZIP-архив на самом деле содержал исполняемый EXE-файл с именем "installer.exe", который загружал файл с именем "install.exe", ответственный за заражение систем вредоносной программой MEDUZASTEALER.

Вредоносная программа предназначалась для кражи определенных типов файлов и самоуничтожалась после фильтрации данных, чтобы замести следы.

Вредоносная программа скрылась от обнаружения, используя командлет PowerShell для добавления своего установочного каталога в список исключений Microsoft Defender.

Вредоносное ПО распространялось через Telegram под видом технической поддержки Reserve+.

Этот инцидент демонстрирует, что злоумышленники используют социальную инженерию для распространения вредоносного ПО, включая многоэтапный процесс заражения.

Использование Telegram в качестве канала распространения указывает на тенденцию к использованию популярных платформ обмена сообщениями для распространения вредоносного ПО.

Злоумышленники продемонстрировали изощренность, обойдя такие меры безопасности, как исключения из Microsoft Defender.

Организациям и частным лицам рекомендуется быть осторожными с нежелательными сообщениями и загрузками, даже из, казалось бы, надежных источников.

Внедрение передовых методов обеспечения кибербезопасности и обучение пользователей методам идентификации угроз имеют решающее значение для смягчения последствий таких целенаправленных атак.

CERT-UA играет важнейшую роль в реагировании на инциденты и анализе угроз для защиты украинского киберпространства и международного сотрудничества в борьбе с киберугрозами.

#ParsedReport #CompletenessHigh
16-10-2024

Iranian Cyber Actors Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-290a

Report completeness: High

Threats:
Password_spray_technique
Mfa_bombing_technique
Zerologon_vuln
Lolbin_technique
Nltest_tool
Cobalt_strike
Credential_dumping_technique
Kerberoasting_technique

Industry:
Software_development, Healthcare, Energy, Government, Critical_infrastructure

Geo:
Australian, Iranian, American, Canada

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 12
Technics: 28

IOCs:
File: 3
Hash: 2
IP: 69

Soft:
Active Directory, ADFS, Microsoft Word, Microsoft Office 365

Algorithms:
rc4

Languages:
powershell

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В совместном консультативном заключении по кибербезопасности рассказывается о том, как иранские киберпреступники используют передовые методы для атаки на критически важные сектора инфраструктуры, применяя такие тактики, как атаки методом перебора, разбрасывание паролей, бомбардировки MFA и использование уязвимостей в таких системах, как Microsoft 365 и Citrix. Целью злоумышленников является кража учетных данных для несанкционированного доступа и торговли информацией в "темной паутине". В рекомендациях содержится информация о тактике, методах и процедурах злоумышленников, предлагаются рекомендации по устранению потенциальных угроз для организаций, подчеркивается важность политики надежного использования паролей и внедрения MFA.
-----

Иранские киберпреступники нацелены на организации в критически важных инфраструктурных секторах, таких как здравоохранение, государственное управление, информационные технологии, машиностроение и энергетика.

Они используют такие тактики, как разбрасывание паролей, многофакторная аутентификация (MFA) и сетевая разведка, чтобы скомпрометировать учетные записи пользователей и получить доступ к сетям.

Иранские злоумышленники используют уязвимости в системах Microsoft 365, Azure и Citrix, в том числе подавляют пользователей запросами MFA, используют открытые регистрации MFA и средства самостоятельного сброса пароля для несанкционированного доступа.

Они используют VPN-сервисы для маскировки своей деятельности, осуществляют боковые перемещения с использованием протокола удаленного рабочего стола (RDP) и используют инструменты с открытым исходным кодом для сбора учетных данных.

Злоумышленники выполняют перечисление имен участников службы Kerberos, используют команды PowerShell для сброса каталогов и пытаются выдать себя за контроллер домена, демонстрируя сложные схемы атак.

Подробные тактики, методы и процедуры (TTP), а также индикаторы компрометации (IOCs) приведены в рекомендациях, которые помогут сетевым защитникам выявлять угрозы и смягчать их.

Рекомендации для организаций с критически важной инфраструктурой включают внедрение политики надежных паролей, включение многофакторной аутентификации и мониторинг подозрительных действий, таких как невозможность входа в систему и необычные строки пользовательского агента.

В рекомендациях содержится предостережение от того, чтобы полагаться исключительно на совпадающие TTP и IOC для оценки атрибуции, поскольку сторонние субъекты могут быть вовлечены в киберактивность, связанную с иранской группой.

#ParsedReport #CompletenessMedium
16-10-2024

Triad UAC-0050: cyberespionage, financial crimes, information and psychological operations

https://cert.gov.ua/article/6281009

Report completeness: Medium

Actors/Campaigns:
Uac-0050 (motivation: cyber_espionage)
Uac-0006 (motivation: cyber_espionage)

Threats:
Remcos_rat
Tektonitrms
Meduza
Lumma_stealer
Xenorat
Sectop_rat
Mars_stealer
Darktrack_rat
Rms_tool

Victims:
Enterprises, Individual entrepreneurs

Industry:
Financial, Government

Geo:
Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1105, T1059, T1005, T1566

IOCs:
Hash: 128
File: 47
Url: 31
IP: 27
Domain: 13
Path: 9
Registry: 5
Command: 3

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа UAC-0050, находящаяся под наблюдением CERT-UA, нацелена на украинские предприятия и индивидуальных предпринимателей путем проведения кибератак, связанных с несанкционированным доступом к компьютерам, кражей средств и распространением вредоносного программного обеспечения, подчеркивая необходимость усиления мер кибербезопасности для снижения рисков, связанных с этим. деятельность группы.
-----

Хакерская группа UAC-0050 долгое время находилась под наблюдением правительственной группы реагирования на компьютерные чрезвычайные ситуации (CERT-UA). Деятельность этой группы связана с несанкционированным доступом к компьютерам бухгалтеров с использованием таких программ, как REMCOS и TEKTONITRMS. В период с сентября по октябрь 2024 года группа предприняла по меньшей мере 30 попыток хищения средств украинских предприятий и индивидуальных предпринимателей путем проведения поддельных финансовых транзакций через системы дистанционного банковского обслуживания. Суммы похищенных средств варьировались от десятков тысяч до нескольких миллионов гривен, причем кражи происходили в течение нескольких часов или дней после первоначального взлома компьютера.

Как UAC-0006 (с 2013 года), так и UAC-0050 причастны к хищению средств у физических и юридических лиц, часто конвертируя украденные деньги в криптовалюту для облегчения финансирования дальнейших киберпреступлений и финансирования покупки лицензионного программного обеспечения для борьбы с различными киберугрозами. Группа использует широкий спектр вредоносных программ, таких как REMCOS, TEKTONITRMS, MEDUZASTEALER, LUMMASTEALER, XENORAT, SECTOPRAT, MARSSTEALER и DARKTRACKRAT. Более того, UAC-0050 участвует в информационно-психологических операциях, выдавая себя за группу "Пожарные ячейки", распространяя сообщения о строительстве шахт, заказных убийствах или порче имущества.

Бухгалтерам, использующим системы дистанционного банковского обслуживания, рекомендуется усилить меры безопасности, такие как включение дополнительной проверки подлинности платежей, применение стандартных политик безопасности (SRP/AppLocker) и установка программных средств защиты (EDR, антивирус). В сентябре-октябре 2024 года группа провела более 15 кибератак, примеры цепочек заражения приведены в тексте. Были идентифицированы связанные с этими кибератаками вредоносные файлы и записи реестра, которые пытались украсть информацию и выполнить несанкционированные команды в скомпрометированных системах.

Деятельность группы связана с загрузкой и выполнением вредоносных программ с помощью закодированных команд, скрытых в файлах изображений, полученных по определенным URL-адресам. После успешной загрузки полезной информации по предоставленным ссылкам группа расшифровывает команды, встроенные в изображения, и выполняет их, чтобы инициировать вредоносные действия в скомпрометированных системах. Кроме того, группа использует такие методы, как доступ к удаленным хостам и манипулирование реестром Windows, для достижения своих целей.

Учитывая изощренную тактику группы и потенциальное влияние ее деятельности как на отдельных пользователей, так и на предприятия, организациям крайне важно принимать строгие меры кибербезопасности, включая регулярные оценки безопасности, обучение сотрудников выявлению подозрительных действий и обновление систем и программного обеспечения для снижения риска стать жертвами таких киберугроз.

#ParsedReport #CompletenessLow
16-10-2024

Vulnerable Scripts: Our SOC Uncovers Chain of Online Store Hacks

https://hoster.by/clients/news/15305

Report completeness: Low

Threats:
Xmrig_miner

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1059.005, T1190

IOCs:
IP: 26
File: 5
Hash: 2

Soft:
bitrix, unix, Wordpress, Drupal, Joomla, cPanel

Algorithms:
md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается уязвимость в системе безопасности PHP-файлов, которая позволяет злоумышленникам внедрять вредоносный код, приводящий к удаленному выполнению кода. Уязвимость связана с недостаточной проверкой вводимых данных и неправильным использованием функции unserialize, что позволяет злоумышленникам манипулировать переменной "arParams" для незаконных действий, таких как добыча криптовалюты. В тексте подчеркивается важность принятия незамедлительных мер по остановке вредоносных процессов, обновлению паролей и защите системы управления контентом для предотвращения дальнейшего использования злоумышленниками.
-----

В тексте обсуждается уязвимость безопасности, обнаруженная в файлах, которые неправильно проверяют вводимые пользователем данные и используют небезопасную функцию unserialize в PHP. Эта уязвимость позволяет злоумышленникам внедрять вредоносный код в запросы POST, что приводит к удаленному выполнению кода (RCE) во время десериализации. В частности, переменная "arParams" подвержена манипуляциям, что позволяет добавлять полезные данные, такие как "cat /etc/passwd", для получения конфиденциальной системной информации. Злоумышленники использовали эту уязвимость для загрузки веб-оболочек, что облегчало установку майнера криптовалюты на скомпрометированные системы.

После обнаружения и анализа вредоносных файлов, включая обфусцированную веб-оболочку (файл 3.php) и веб-оболочку, ответственную за запуск майнера (файл 4.php), следователи по кибербезопасности также определили IP-адреса злоумышленников, причастных к инцидентам. Было обнаружено, что майнер (xmrig) работает под учетной записью "битрикс" в скомпрометированных системах. Хотя не было выявлено никаких доказательств прямого ущерба конфиденциальным данным клиентов, целью злоумышленников, по-видимому, была незаконная добыча криптовалюты.

Для устранения выявленной уязвимости и уменьшения угрозы рекомендуется выполнить следующие действия:.

Остановите вредоносные процессы.

Измените пароли для всех учетных записей, связанных с 1С-Битрикс.

Своевременно обновляйте систему управления контентом (CMS) и ее модули до последних версий.

Если немедленное обновление программного обеспечения невозможно, измените определенные сценарии, такие как reload_basket_fly.php, show_basket_fly.php и show_basket_popup.php, заменив уязвимый код более безопасными альтернативами, такими как "$arParams = json_decode($_REQUEST["ПАРАМЕТРЫ"\])`.

Хотя это временное решение помогает защитить веб-сайт от несанкционированного доступа в процессе обновления программного обеспечения, может потребоваться дополнительная помощь со стороны службы технической поддержки. Кроме того, команда по кибербезопасности готова предоставить постоянную поддержку и рекомендации для предотвращения будущих инцидентов. Важно действовать оперативно для устранения уязвимостей в системе безопасности и защиты от потенциальных утечек данных или дальнейшего использования систем.

Таким образом, в тексте подчеркивается критическая проблема безопасности, связанная с недостаточной проверкой вводимых данных и использованием уязвимых функций в PHP, что приводит к удаленному выполнению кода и несанкционированному доступу. Быстрые действия, тщательное расследование и превентивные меры безопасности имеют решающее значение для защиты систем и предотвращения вредоносных действий со стороны злоумышленников.

#ParsedReport #CompletenessMedium
15-10-2024

Analysis of cyberattacks from North Korea and Konni attack artifacts

https://www.igloo.co.kr/security-information/%EB%B6%81%ED%95%9C%EB%B0%9C-%EC%82%AC%EC%9D%B4%EB%B2%84-%EA%B3%B5%EA%B2%A9%EA%B3%BC-%EC%BD%94%EB%8B%88konni%EC%9D%98-%EA%B3%B5%EA%B2%A9-%EC%95%84%ED%8B%B0%ED%8C%A9%ED%8A%B8-%EB%B6%84%EC%84%9D/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: hacktivism, financially_motivated, information_theft)
Kimsuky
Andariel
Lazarus
Shell_crew
Red_delta
Psoa (motivation: financially_motivated)
Punk-003

Threats:
Supply_chain_technique
Konni_rat
Nokki
Reaper
Spear-phishing_technique
Amadey
Rftrat
Xrat_rat
Lilith_rat

Industry:
Government

Geo:
Korean, Iran, Asia, Korea, North korean, China, North korea, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1059.001, T1027, T1071.001, T1105, T1053.005, T1070.004

IOCs:
File: 13
Hash: 10
Path: 1
Url: 17
IP: 1

Soft:
curl, task scheduler, WordPress

Algorithms:
base64, xor, rc4, zip, md5

Languages:
php, autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении тенденций в области киберугроз со стороны Северной Кореи, в частности, с акцентом на группу Konni group и объединение атакующих групп из таких стран, как Северная Корея, Иран, Россия и Китай. В нем подчеркивается растущее участие спонсируемых государством групп кибератак в различных вредоносных действиях по всему миру и усилия организаций по классификации информации об этих группах и управлению ею. В тексте также анализируется типичная атака, проведенная Konni group, с подробным описанием использования вредоносных файлов, методов кражи информации и изменений в векторах атак и типах вредоносных программ. Кроме того, в нем рассматриваются ключевые особенности артефакта вредоносной атаки Konni и методы распространения, используемые злоумышленниками.
-----

Тенденции в области киберугроз в Северной Корее и группировка атакующих групп с акцентом на группу "Конни".

Спонсируемые государством группы кибератак из Северной Кореи, Ирана, России и Китая занимались кражей информации, атаками на цепочки поставок и провоцировали социальные волнения.

Национальный центр кибербезопасности опубликовал рекомендации, касающиеся спонсируемых государством групп кибератак из Северной Кореи в 2024 году.

Различные организации используют различные методы для классификации и присвоения имен группам атак, таким как APT37, APT38, Kimsuky, Lazarus и Konni.

Konni group отследила вредоносную программу Konni RAT, действующую с 2014 года и нацеленную на Россию и Корею с помощью вредоносных электронных писем и вложений.

Анализ типичной атаки, проведенной группой Konni group с использованием вредоносного файла LNK типа dropper и запутанных команд PowerShell.

Konni group совершенствует свои векторы атак и типы вредоносных программ, переходя к вредоносным программам типа "загрузчик".

Распространение вредоносного ПО с помощью методов социальной инженерии с целью вызвать беспокойство у получателей, используя ключевые слова, связанные с налогообложением.

Подробное изучение ключевых характеристик артефакта вредоносной атаки Konni, в частности вредоносного ПО LNK, и характеристик C2, использованного при атаке.

#ParsedReport #CompletenessMedium
17-10-2024

Suspected Mysterious Elephant group uses CHM files to attack multiple countries in South Asia

https://www.ctfiot.com/210297.html

Report completeness: Medium

Actors/Campaigns:
Mysterious_elephant

Threats:
Orpcbackdoor
Confuserex_tool
Walkershell
Demotryspy
Nixbackdoor

Victims:
Government agencies, Defense military, Diplomatic departments

Industry:
Military, Financial, Government

Geo:
Asian, China, Bangladesh, Pakistan, Asia, Myanmar

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1027, T1071

IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41

Soft:
Android, WeChat

Algorithms:
md5, base64, aes

Functions:
GetIpInfo