#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские хакеры, разработав новый Linux-вариант вредоносной программы FastCash, нацелились на платежные серверы на базе Linux, чтобы обеспечить несанкционированное снятие наличных в банкоматах. Эта вредоносная программа, относящаяся к группе Hidden Cobra или Lazarus, имеет опыт проникновения в платежные системы с целью кражи десятков миллионов долларов. Открытие этого варианта Linux означает расширение сферы их применения за счет включения более широкого спектра операционных систем, что создает значительные риски для финансовых учреждений и подчеркивает важность мер кибербезопасности для предотвращения подобных атак.
-----

Северокорейские хакеры недавно внедрили новый вариант вредоносной программы FastCash, предназначенной специально для серверов коммутации платежей на базе Linux. Эта вредоносная программа, ранее известная своей способностью компрометировать системы IBM AIX и Windows, теперь распространила свое действие на Linux, позволяя несанкционированно снимать наличные в банкоматах. Группа, ответственная за это вредоносное ПО, известная как Hidden Cobra или APT38/Lazarus Group, активно развивает свою тактику, нацеленную на финансовые учреждения.

Вредоносное по FastCash - это семейство вредоносных программ, приписываемых северокорейским хакерам, которые проникали в платежные системы с целью несанкционированного снятия наличных в банкоматах как минимум с 2016 года. Манипулируя сообщениями о транзакциях, эта вредоносная программа использовалась для кражи десятков миллионов долларов за один инцидент во многих странах. Важными событиями в истории FastCash являются предупреждения, выпущенные Агентством кибербезопасности и защиты инфраструктуры США (CISA) в 2018 году, появление версии Windows в 2019 году и предъявление обвинений в 2021 году северокорейцам, причастным к этим операциям, на общую сумму кражи более 1,3 миллиарда долларов.

Недавно обнаруженный Linux-вариант FastCash был скомпилирован для Ubuntu Linux 20.04 с использованием GCC 11.3.0 и, как полагают, был разработан после 21 апреля 2022 года, возможно, в среде виртуальной машины VMware. Этот вариант работает в турецкой лире (TRY), в то время как его предшественники работали с индийской рупией (INR). Вредоносная программа перехватывает сообщения ISO8583, стандарт, используемый для сообщений о финансовых транзакциях, и манипулирует ими. Компрометируя платежные системы, вредоносная программа может незаметно изменять данные транзакций, что в конечном итоге позволяет осуществлять несанкционированное снятие наличных в банкоматах.

Для достижения этой цели вредоносная программа перехватывает сообщения ISO8583, подключаясь к сетевым процессам и внедряясь в запущенные процессы на сервере коммутатора платежей. Используя общие библиотеки для отслеживания и изменения сообщений о транзакциях в режиме реального времени, вредоносная программа может генерировать случайные суммы снятия наличных, изменять коды ответов, чтобы указать на одобрение, корректировать элементы данных для удаления информации, связанной с безопасностью, и отправлять эти обработанные ответы в центральные системы банка, чтобы разрешить несанкционированное снятие средств.

Обнаружение версии Linux означает, что цели северокорейских хакеров расширяются и включают в себя более широкий спектр операционных систем, что создает значительные риски для финансовых учреждений, использующих Linux для обработки платежей. Несанкционированное снятие наличных с помощью FastCash может привести к существенным финансовым потерям и репутационному ущербу для затронутых учреждений, что усугубляется способностью вредоносного ПО ускользать от обнаружения. Подчеркивается важность регулярных обновлений и исправлений для устранения уязвимостей, используемых такими вредоносными программами, в качестве важнейшей меры безопасности, которую должны внедрять финансовые учреждения.

#ParsedReport #CompletenessMedium
16-10-2024

Distribution of MEDUZASTEALER by means of Telegram, apparently, on behalf of technical support Reserve+ (CERT-UA#11603)

https://cert.gov.ua/article/6281018

Report completeness: Medium

Threats:
Meduza

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1059, T1562

IOCs:
File: 16
Hash: 64
IP: 6
Url: 7
Path: 1
Command: 1

Soft:
Telegram, Microsoft Defender

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в целенаправленном инциденте с киберугрозами в Украине, связанном с распространением вредоносного ПО через Telegram путем обмана пользователей с помощью тактики социальной инженерии под видом законного программного обеспечения или служб поддержки. Злоумышленники использовали многоэтапный процесс заражения для развертывания вредоносной программы MEDUZASTEALER, предназначенной для кражи конфиденциальных файлов. Этот инцидент подчеркивает важность проявления осторожности, внедрения передовых методов обеспечения кибербезопасности и сотрудничества с такими организациями, как CERT-UA, для борьбы с появляющимися киберугрозами и защиты критически важных инфраструктур.
-----

Украинский сервис CERT-UA был предупрежден о подозрительных сообщениях, распространяемых через Telegram-аккаунт @reserveplusbot.

В сообщениях содержался призыв к получателям установить "специальное программное обеспечение" в ZIP-файл с именем "RESERVPLUS.zip".

ZIP-архив на самом деле содержал исполняемый EXE-файл с именем "installer.exe", который загружал файл с именем "install.exe", ответственный за заражение систем вредоносной программой MEDUZASTEALER.

Вредоносная программа предназначалась для кражи определенных типов файлов и самоуничтожалась после фильтрации данных, чтобы замести следы.

Вредоносная программа скрылась от обнаружения, используя командлет PowerShell для добавления своего установочного каталога в список исключений Microsoft Defender.

Вредоносное ПО распространялось через Telegram под видом технической поддержки Reserve+.

Этот инцидент демонстрирует, что злоумышленники используют социальную инженерию для распространения вредоносного ПО, включая многоэтапный процесс заражения.

Использование Telegram в качестве канала распространения указывает на тенденцию к использованию популярных платформ обмена сообщениями для распространения вредоносного ПО.

Злоумышленники продемонстрировали изощренность, обойдя такие меры безопасности, как исключения из Microsoft Defender.

Организациям и частным лицам рекомендуется быть осторожными с нежелательными сообщениями и загрузками, даже из, казалось бы, надежных источников.

Внедрение передовых методов обеспечения кибербезопасности и обучение пользователей методам идентификации угроз имеют решающее значение для смягчения последствий таких целенаправленных атак.

CERT-UA играет важнейшую роль в реагировании на инциденты и анализе угроз для защиты украинского киберпространства и международного сотрудничества в борьбе с киберугрозами.

#ParsedReport #CompletenessHigh
16-10-2024

Iranian Cyber Actors Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-290a

Report completeness: High

Threats:
Password_spray_technique
Mfa_bombing_technique
Zerologon_vuln
Lolbin_technique
Nltest_tool
Cobalt_strike
Credential_dumping_technique
Kerberoasting_technique

Industry:
Software_development, Healthcare, Energy, Government, Critical_infrastructure

Geo:
Australian, Iranian, American, Canada

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 12
Technics: 28

IOCs:
File: 3
Hash: 2
IP: 69

Soft:
Active Directory, ADFS, Microsoft Word, Microsoft Office 365

Algorithms:
rc4

Languages:
powershell

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В совместном консультативном заключении по кибербезопасности рассказывается о том, как иранские киберпреступники используют передовые методы для атаки на критически важные сектора инфраструктуры, применяя такие тактики, как атаки методом перебора, разбрасывание паролей, бомбардировки MFA и использование уязвимостей в таких системах, как Microsoft 365 и Citrix. Целью злоумышленников является кража учетных данных для несанкционированного доступа и торговли информацией в "темной паутине". В рекомендациях содержится информация о тактике, методах и процедурах злоумышленников, предлагаются рекомендации по устранению потенциальных угроз для организаций, подчеркивается важность политики надежного использования паролей и внедрения MFA.
-----

Иранские киберпреступники нацелены на организации в критически важных инфраструктурных секторах, таких как здравоохранение, государственное управление, информационные технологии, машиностроение и энергетика.

Они используют такие тактики, как разбрасывание паролей, многофакторная аутентификация (MFA) и сетевая разведка, чтобы скомпрометировать учетные записи пользователей и получить доступ к сетям.

Иранские злоумышленники используют уязвимости в системах Microsoft 365, Azure и Citrix, в том числе подавляют пользователей запросами MFA, используют открытые регистрации MFA и средства самостоятельного сброса пароля для несанкционированного доступа.

Они используют VPN-сервисы для маскировки своей деятельности, осуществляют боковые перемещения с использованием протокола удаленного рабочего стола (RDP) и используют инструменты с открытым исходным кодом для сбора учетных данных.

Злоумышленники выполняют перечисление имен участников службы Kerberos, используют команды PowerShell для сброса каталогов и пытаются выдать себя за контроллер домена, демонстрируя сложные схемы атак.

Подробные тактики, методы и процедуры (TTP), а также индикаторы компрометации (IOCs) приведены в рекомендациях, которые помогут сетевым защитникам выявлять угрозы и смягчать их.

Рекомендации для организаций с критически важной инфраструктурой включают внедрение политики надежных паролей, включение многофакторной аутентификации и мониторинг подозрительных действий, таких как невозможность входа в систему и необычные строки пользовательского агента.

В рекомендациях содержится предостережение от того, чтобы полагаться исключительно на совпадающие TTP и IOC для оценки атрибуции, поскольку сторонние субъекты могут быть вовлечены в киберактивность, связанную с иранской группой.

#ParsedReport #CompletenessMedium
16-10-2024

Triad UAC-0050: cyberespionage, financial crimes, information and psychological operations

https://cert.gov.ua/article/6281009

Report completeness: Medium

Actors/Campaigns:
Uac-0050 (motivation: cyber_espionage)
Uac-0006 (motivation: cyber_espionage)

Threats:
Remcos_rat
Tektonitrms
Meduza
Lumma_stealer
Xenorat
Sectop_rat
Mars_stealer
Darktrack_rat
Rms_tool

Victims:
Enterprises, Individual entrepreneurs

Industry:
Financial, Government

Geo:
Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1105, T1059, T1005, T1566

IOCs:
Hash: 128
File: 47
Url: 31
IP: 27
Domain: 13
Path: 9
Registry: 5
Command: 3

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа UAC-0050, находящаяся под наблюдением CERT-UA, нацелена на украинские предприятия и индивидуальных предпринимателей путем проведения кибератак, связанных с несанкционированным доступом к компьютерам, кражей средств и распространением вредоносного программного обеспечения, подчеркивая необходимость усиления мер кибербезопасности для снижения рисков, связанных с этим. деятельность группы.
-----

Хакерская группа UAC-0050 долгое время находилась под наблюдением правительственной группы реагирования на компьютерные чрезвычайные ситуации (CERT-UA). Деятельность этой группы связана с несанкционированным доступом к компьютерам бухгалтеров с использованием таких программ, как REMCOS и TEKTONITRMS. В период с сентября по октябрь 2024 года группа предприняла по меньшей мере 30 попыток хищения средств украинских предприятий и индивидуальных предпринимателей путем проведения поддельных финансовых транзакций через системы дистанционного банковского обслуживания. Суммы похищенных средств варьировались от десятков тысяч до нескольких миллионов гривен, причем кражи происходили в течение нескольких часов или дней после первоначального взлома компьютера.

Как UAC-0006 (с 2013 года), так и UAC-0050 причастны к хищению средств у физических и юридических лиц, часто конвертируя украденные деньги в криптовалюту для облегчения финансирования дальнейших киберпреступлений и финансирования покупки лицензионного программного обеспечения для борьбы с различными киберугрозами. Группа использует широкий спектр вредоносных программ, таких как REMCOS, TEKTONITRMS, MEDUZASTEALER, LUMMASTEALER, XENORAT, SECTOPRAT, MARSSTEALER и DARKTRACKRAT. Более того, UAC-0050 участвует в информационно-психологических операциях, выдавая себя за группу "Пожарные ячейки", распространяя сообщения о строительстве шахт, заказных убийствах или порче имущества.

Бухгалтерам, использующим системы дистанционного банковского обслуживания, рекомендуется усилить меры безопасности, такие как включение дополнительной проверки подлинности платежей, применение стандартных политик безопасности (SRP/AppLocker) и установка программных средств защиты (EDR, антивирус). В сентябре-октябре 2024 года группа провела более 15 кибератак, примеры цепочек заражения приведены в тексте. Были идентифицированы связанные с этими кибератаками вредоносные файлы и записи реестра, которые пытались украсть информацию и выполнить несанкционированные команды в скомпрометированных системах.

Деятельность группы связана с загрузкой и выполнением вредоносных программ с помощью закодированных команд, скрытых в файлах изображений, полученных по определенным URL-адресам. После успешной загрузки полезной информации по предоставленным ссылкам группа расшифровывает команды, встроенные в изображения, и выполняет их, чтобы инициировать вредоносные действия в скомпрометированных системах. Кроме того, группа использует такие методы, как доступ к удаленным хостам и манипулирование реестром Windows, для достижения своих целей.

Учитывая изощренную тактику группы и потенциальное влияние ее деятельности как на отдельных пользователей, так и на предприятия, организациям крайне важно принимать строгие меры кибербезопасности, включая регулярные оценки безопасности, обучение сотрудников выявлению подозрительных действий и обновление систем и программного обеспечения для снижения риска стать жертвами таких киберугроз.

#ParsedReport #CompletenessLow
16-10-2024

Vulnerable Scripts: Our SOC Uncovers Chain of Online Store Hacks

https://hoster.by/clients/news/15305

Report completeness: Low

Threats:
Xmrig_miner

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1059.005, T1190

IOCs:
IP: 26
File: 5
Hash: 2

Soft:
bitrix, unix, Wordpress, Drupal, Joomla, cPanel

Algorithms:
md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается уязвимость в системе безопасности PHP-файлов, которая позволяет злоумышленникам внедрять вредоносный код, приводящий к удаленному выполнению кода. Уязвимость связана с недостаточной проверкой вводимых данных и неправильным использованием функции unserialize, что позволяет злоумышленникам манипулировать переменной "arParams" для незаконных действий, таких как добыча криптовалюты. В тексте подчеркивается важность принятия незамедлительных мер по остановке вредоносных процессов, обновлению паролей и защите системы управления контентом для предотвращения дальнейшего использования злоумышленниками.
-----

В тексте обсуждается уязвимость безопасности, обнаруженная в файлах, которые неправильно проверяют вводимые пользователем данные и используют небезопасную функцию unserialize в PHP. Эта уязвимость позволяет злоумышленникам внедрять вредоносный код в запросы POST, что приводит к удаленному выполнению кода (RCE) во время десериализации. В частности, переменная "arParams" подвержена манипуляциям, что позволяет добавлять полезные данные, такие как "cat /etc/passwd", для получения конфиденциальной системной информации. Злоумышленники использовали эту уязвимость для загрузки веб-оболочек, что облегчало установку майнера криптовалюты на скомпрометированные системы.

После обнаружения и анализа вредоносных файлов, включая обфусцированную веб-оболочку (файл 3.php) и веб-оболочку, ответственную за запуск майнера (файл 4.php), следователи по кибербезопасности также определили IP-адреса злоумышленников, причастных к инцидентам. Было обнаружено, что майнер (xmrig) работает под учетной записью "битрикс" в скомпрометированных системах. Хотя не было выявлено никаких доказательств прямого ущерба конфиденциальным данным клиентов, целью злоумышленников, по-видимому, была незаконная добыча криптовалюты.

Для устранения выявленной уязвимости и уменьшения угрозы рекомендуется выполнить следующие действия:.

Остановите вредоносные процессы.

Измените пароли для всех учетных записей, связанных с 1С-Битрикс.

Своевременно обновляйте систему управления контентом (CMS) и ее модули до последних версий.

Если немедленное обновление программного обеспечения невозможно, измените определенные сценарии, такие как reload_basket_fly.php, show_basket_fly.php и show_basket_popup.php, заменив уязвимый код более безопасными альтернативами, такими как "$arParams = json_decode($_REQUEST["ПАРАМЕТРЫ"\])`.

Хотя это временное решение помогает защитить веб-сайт от несанкционированного доступа в процессе обновления программного обеспечения, может потребоваться дополнительная помощь со стороны службы технической поддержки. Кроме того, команда по кибербезопасности готова предоставить постоянную поддержку и рекомендации для предотвращения будущих инцидентов. Важно действовать оперативно для устранения уязвимостей в системе безопасности и защиты от потенциальных утечек данных или дальнейшего использования систем.

Таким образом, в тексте подчеркивается критическая проблема безопасности, связанная с недостаточной проверкой вводимых данных и использованием уязвимых функций в PHP, что приводит к удаленному выполнению кода и несанкционированному доступу. Быстрые действия, тщательное расследование и превентивные меры безопасности имеют решающее значение для защиты систем и предотвращения вредоносных действий со стороны злоумышленников.

#ParsedReport #CompletenessMedium
15-10-2024

Analysis of cyberattacks from North Korea and Konni attack artifacts

https://www.igloo.co.kr/security-information/%EB%B6%81%ED%95%9C%EB%B0%9C-%EC%82%AC%EC%9D%B4%EB%B2%84-%EA%B3%B5%EA%B2%A9%EA%B3%BC-%EC%BD%94%EB%8B%88konni%EC%9D%98-%EA%B3%B5%EA%B2%A9-%EC%95%84%ED%8B%B0%ED%8C%A9%ED%8A%B8-%EB%B6%84%EC%84%9D/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: hacktivism, financially_motivated, information_theft)
Kimsuky
Andariel
Lazarus
Shell_crew
Red_delta
Psoa (motivation: financially_motivated)
Punk-003

Threats:
Supply_chain_technique
Konni_rat
Nokki
Reaper
Spear-phishing_technique
Amadey
Rftrat
Xrat_rat
Lilith_rat

Industry:
Government

Geo:
Korean, Iran, Asia, Korea, North korean, China, North korea, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1059.001, T1027, T1071.001, T1105, T1053.005, T1070.004

IOCs:
File: 13
Hash: 10
Path: 1
Url: 17
IP: 1

Soft:
curl, task scheduler, WordPress

Algorithms:
base64, xor, rc4, zip, md5

Languages:
php, autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении тенденций в области киберугроз со стороны Северной Кореи, в частности, с акцентом на группу Konni group и объединение атакующих групп из таких стран, как Северная Корея, Иран, Россия и Китай. В нем подчеркивается растущее участие спонсируемых государством групп кибератак в различных вредоносных действиях по всему миру и усилия организаций по классификации информации об этих группах и управлению ею. В тексте также анализируется типичная атака, проведенная Konni group, с подробным описанием использования вредоносных файлов, методов кражи информации и изменений в векторах атак и типах вредоносных программ. Кроме того, в нем рассматриваются ключевые особенности артефакта вредоносной атаки Konni и методы распространения, используемые злоумышленниками.
-----

Тенденции в области киберугроз в Северной Корее и группировка атакующих групп с акцентом на группу "Конни".

Спонсируемые государством группы кибератак из Северной Кореи, Ирана, России и Китая занимались кражей информации, атаками на цепочки поставок и провоцировали социальные волнения.

Национальный центр кибербезопасности опубликовал рекомендации, касающиеся спонсируемых государством групп кибератак из Северной Кореи в 2024 году.

Различные организации используют различные методы для классификации и присвоения имен группам атак, таким как APT37, APT38, Kimsuky, Lazarus и Konni.

Konni group отследила вредоносную программу Konni RAT, действующую с 2014 года и нацеленную на Россию и Корею с помощью вредоносных электронных писем и вложений.

Анализ типичной атаки, проведенной группой Konni group с использованием вредоносного файла LNK типа dropper и запутанных команд PowerShell.

Konni group совершенствует свои векторы атак и типы вредоносных программ, переходя к вредоносным программам типа "загрузчик".

Распространение вредоносного ПО с помощью методов социальной инженерии с целью вызвать беспокойство у получателей, используя ключевые слова, связанные с налогообложением.

Подробное изучение ключевых характеристик артефакта вредоносной атаки Konni, в частности вредоносного ПО LNK, и характеристик C2, использованного при атаке.

#ParsedReport #CompletenessMedium
17-10-2024

Suspected Mysterious Elephant group uses CHM files to attack multiple countries in South Asia

https://www.ctfiot.com/210297.html

Report completeness: Medium

Actors/Campaigns:
Mysterious_elephant

Threats:
Orpcbackdoor
Confuserex_tool
Walkershell
Demotryspy
Nixbackdoor

Victims:
Government agencies, Defense military, Diplomatic departments

Industry:
Military, Financial, Government

Geo:
Asian, China, Bangladesh, Pakistan, Asia, Myanmar

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1027, T1071

IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41

Soft:
Android, WeChat

Algorithms:
md5, base64, aes

Functions:
GetIpInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение хакерской группы под названием Mysterious Elephant, которая идентифицируется как южноазиатская организация APT. Группа связана с новым бэкдором или PCBACKDOOR и ассоциируется с организацией Bitter. В тексте также освещаются методы атаки группы, в том числе использование файлов CHM в фишинговых атаках, нацеленных на министерство обороны и военные ведомства Пакистана. Кроме того, в нем упоминаются проблемы, связанные с отличием Mysterious Elephant от Bitter, и даются рекомендации по усилению защиты кибербезопасности от подобных угроз.
-----

В тексте рассказывается о хакерской группе под названием Mysterious Elephant, которая была идентифицирована Касперским как южноазиатская организация APT. Было обнаружено, что группа использует новый бэкдор ORPCBackdoor, связанный с организацией Bitter. Группа Mysterious Elephant имеет сходство с организацией Bitter в методах и целях атак, включая такие страны, как Пакистан. Недавние открытия Центра анализа угроз Qi'anxin свидетельствуют об использовании CHM-файлов, содержащих информацию-приманку, относящуюся к странам Южной Азии, в фишинговых атаках, в частности, нацеленных на министерство обороны и военные ведомства Пакистана.

Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, скрывая бэкдоры на C# в файлах CHM. Эти бэкдоры используют асинхронное программирование задач и ConfuserEx для обфускации, позволяя удаленно выполнять команды и поддерживать различные команды атаки. Информация о сервере C2 для бэкдора получается различными способами, включая жестко заданные значения в коде или расшифровку файлов конфигурации. Злоумышленники используют идентификационную информацию жертв, основанную на именах хостов и пользователей зараженных устройств.

В тексте подчеркивается, что отраслевые эксперты и исследователи в области безопасности не пришли к единому мнению о том, как отличить Mysterious Elephant от Bitter, из-за сложных связей между организациями APT в Южной Азии. В статье предполагается, что специальные образцы атак CHM и бэкдоры C#, вероятно, были созданы Mysterious Elephant на основе сходства образцов вредоносных программ. Кампания атак группировки нацелена на несколько стран Южной Азии, при этом особое внимание уделяется правительственным учреждениям, оборонным, военным и дипломатическим ведомствам.

Более того, злоумышленники маскируют свои действия, имитируя методы атаки red team и используя менее распространенные методы атаки с использованием файлов CHM, запускающих внешние бэкдоры на C#. Они используют, казалось бы, законные сетевые сервисы для получения информации о сервере C2 и адаптируют свою тактику, чтобы избежать обнаружения. Использование ложного PDF-контента и непротиворечивой информации о сервере C2 в образцах атак на Пакистан свидетельствует о преднамеренных усилиях, направленных на конкретные объекты в регионе.

В свете этих угроз Центр анализа угроз Qi'anxin рекомендует пользователям быть осторожными в отношении фишинговых атак, воздерживаться от открытия неизвестных ссылок или вложений электронной почты, избегать запуска подозрительных файлов и устанавливать приложения только из официальных источников. Также рекомендуется регулярно создавать резервные копии важных файлов и обновлять программное обеспечение с помощью исправлений, чтобы усилить защиту кибербезопасности от новых угроз, исходящих от таких групп, как Mysterious Elephant.

#ParsedReport #CompletenessLow
18-10-2024

Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions

https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html

Report completeness: Low

Threats:
Edrsilencer_tool
Fireblock_tool
Nighthawk_tool
Tanium_tool
Edrnoisemaker_tool

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 45
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, PccNTMon

Win Services:
ekrn, MsMpEng, SentinelAgent, LogProcessorService, TmListen, Ntrtscan, CNTAoSMgr, TmCCSF

Links:
https://github.com/amjcyber/EDRNoiseMaker
https://github.com/netero1010/EDRSilencer?tab=readme-ov-file
https://github.com/netero1010/EDRSilencer
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 15, code: 5, schema: 1