#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается уязвимость в системе безопасности PHP-файлов, которая позволяет злоумышленникам внедрять вредоносный код, приводящий к удаленному выполнению кода. Уязвимость связана с недостаточной проверкой вводимых данных и неправильным использованием функции unserialize, что позволяет злоумышленникам манипулировать переменной "arParams" для незаконных действий, таких как добыча криптовалюты. В тексте подчеркивается важность принятия незамедлительных мер по остановке вредоносных процессов, обновлению паролей и защите системы управления контентом для предотвращения дальнейшего использования злоумышленниками.
-----

В тексте обсуждается уязвимость безопасности, обнаруженная в файлах, которые неправильно проверяют вводимые пользователем данные и используют небезопасную функцию unserialize в PHP. Эта уязвимость позволяет злоумышленникам внедрять вредоносный код в запросы POST, что приводит к удаленному выполнению кода (RCE) во время десериализации. В частности, переменная "arParams" подвержена манипуляциям, что позволяет добавлять полезные данные, такие как "cat /etc/passwd", для получения конфиденциальной системной информации. Злоумышленники использовали эту уязвимость для загрузки веб-оболочек, что облегчало установку майнера криптовалюты на скомпрометированные системы.

После обнаружения и анализа вредоносных файлов, включая обфусцированную веб-оболочку (файл 3.php) и веб-оболочку, ответственную за запуск майнера (файл 4.php), следователи по кибербезопасности также определили IP-адреса злоумышленников, причастных к инцидентам. Было обнаружено, что майнер (xmrig) работает под учетной записью "битрикс" в скомпрометированных системах. Хотя не было выявлено никаких доказательств прямого ущерба конфиденциальным данным клиентов, целью злоумышленников, по-видимому, была незаконная добыча криптовалюты.

Для устранения выявленной уязвимости и уменьшения угрозы рекомендуется выполнить следующие действия:.

Остановите вредоносные процессы.

Измените пароли для всех учетных записей, связанных с 1С-Битрикс.

Своевременно обновляйте систему управления контентом (CMS) и ее модули до последних версий.

Если немедленное обновление программного обеспечения невозможно, измените определенные сценарии, такие как reload_basket_fly.php, show_basket_fly.php и show_basket_popup.php, заменив уязвимый код более безопасными альтернативами, такими как "$arParams = json_decode($_REQUEST["ПАРАМЕТРЫ"\])`.

Хотя это временное решение помогает защитить веб-сайт от несанкционированного доступа в процессе обновления программного обеспечения, может потребоваться дополнительная помощь со стороны службы технической поддержки. Кроме того, команда по кибербезопасности готова предоставить постоянную поддержку и рекомендации для предотвращения будущих инцидентов. Важно действовать оперативно для устранения уязвимостей в системе безопасности и защиты от потенциальных утечек данных или дальнейшего использования систем.

Таким образом, в тексте подчеркивается критическая проблема безопасности, связанная с недостаточной проверкой вводимых данных и использованием уязвимых функций в PHP, что приводит к удаленному выполнению кода и несанкционированному доступу. Быстрые действия, тщательное расследование и превентивные меры безопасности имеют решающее значение для защиты систем и предотвращения вредоносных действий со стороны злоумышленников.

#ParsedReport #CompletenessMedium
15-10-2024

Analysis of cyberattacks from North Korea and Konni attack artifacts

https://www.igloo.co.kr/security-information/%EB%B6%81%ED%95%9C%EB%B0%9C-%EC%82%AC%EC%9D%B4%EB%B2%84-%EA%B3%B5%EA%B2%A9%EA%B3%BC-%EC%BD%94%EB%8B%88konni%EC%9D%98-%EA%B3%B5%EA%B2%A9-%EC%95%84%ED%8B%B0%ED%8C%A9%ED%8A%B8-%EB%B6%84%EC%84%9D/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: hacktivism, financially_motivated, information_theft)
Kimsuky
Andariel
Lazarus
Shell_crew
Red_delta
Psoa (motivation: financially_motivated)
Punk-003

Threats:
Supply_chain_technique
Konni_rat
Nokki
Reaper
Spear-phishing_technique
Amadey
Rftrat
Xrat_rat
Lilith_rat

Industry:
Government

Geo:
Korean, Iran, Asia, Korea, North korean, China, North korea, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1059.001, T1027, T1071.001, T1105, T1053.005, T1070.004

IOCs:
File: 13
Hash: 10
Path: 1
Url: 17
IP: 1

Soft:
curl, task scheduler, WordPress

Algorithms:
base64, xor, rc4, zip, md5

Languages:
php, autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении тенденций в области киберугроз со стороны Северной Кореи, в частности, с акцентом на группу Konni group и объединение атакующих групп из таких стран, как Северная Корея, Иран, Россия и Китай. В нем подчеркивается растущее участие спонсируемых государством групп кибератак в различных вредоносных действиях по всему миру и усилия организаций по классификации информации об этих группах и управлению ею. В тексте также анализируется типичная атака, проведенная Konni group, с подробным описанием использования вредоносных файлов, методов кражи информации и изменений в векторах атак и типах вредоносных программ. Кроме того, в нем рассматриваются ключевые особенности артефакта вредоносной атаки Konni и методы распространения, используемые злоумышленниками.
-----

Тенденции в области киберугроз в Северной Корее и группировка атакующих групп с акцентом на группу "Конни".

Спонсируемые государством группы кибератак из Северной Кореи, Ирана, России и Китая занимались кражей информации, атаками на цепочки поставок и провоцировали социальные волнения.

Национальный центр кибербезопасности опубликовал рекомендации, касающиеся спонсируемых государством групп кибератак из Северной Кореи в 2024 году.

Различные организации используют различные методы для классификации и присвоения имен группам атак, таким как APT37, APT38, Kimsuky, Lazarus и Konni.

Konni group отследила вредоносную программу Konni RAT, действующую с 2014 года и нацеленную на Россию и Корею с помощью вредоносных электронных писем и вложений.

Анализ типичной атаки, проведенной группой Konni group с использованием вредоносного файла LNK типа dropper и запутанных команд PowerShell.

Konni group совершенствует свои векторы атак и типы вредоносных программ, переходя к вредоносным программам типа "загрузчик".

Распространение вредоносного ПО с помощью методов социальной инженерии с целью вызвать беспокойство у получателей, используя ключевые слова, связанные с налогообложением.

Подробное изучение ключевых характеристик артефакта вредоносной атаки Konni, в частности вредоносного ПО LNK, и характеристик C2, использованного при атаке.

#ParsedReport #CompletenessMedium
17-10-2024

Suspected Mysterious Elephant group uses CHM files to attack multiple countries in South Asia

https://www.ctfiot.com/210297.html

Report completeness: Medium

Actors/Campaigns:
Mysterious_elephant

Threats:
Orpcbackdoor
Confuserex_tool
Walkershell
Demotryspy
Nixbackdoor

Victims:
Government agencies, Defense military, Diplomatic departments

Industry:
Military, Financial, Government

Geo:
Asian, China, Bangladesh, Pakistan, Asia, Myanmar

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1027, T1071

IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41

Soft:
Android, WeChat

Algorithms:
md5, base64, aes

Functions:
GetIpInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение хакерской группы под названием Mysterious Elephant, которая идентифицируется как южноазиатская организация APT. Группа связана с новым бэкдором или PCBACKDOOR и ассоциируется с организацией Bitter. В тексте также освещаются методы атаки группы, в том числе использование файлов CHM в фишинговых атаках, нацеленных на министерство обороны и военные ведомства Пакистана. Кроме того, в нем упоминаются проблемы, связанные с отличием Mysterious Elephant от Bitter, и даются рекомендации по усилению защиты кибербезопасности от подобных угроз.
-----

В тексте рассказывается о хакерской группе под названием Mysterious Elephant, которая была идентифицирована Касперским как южноазиатская организация APT. Было обнаружено, что группа использует новый бэкдор ORPCBackdoor, связанный с организацией Bitter. Группа Mysterious Elephant имеет сходство с организацией Bitter в методах и целях атак, включая такие страны, как Пакистан. Недавние открытия Центра анализа угроз Qi'anxin свидетельствуют об использовании CHM-файлов, содержащих информацию-приманку, относящуюся к странам Южной Азии, в фишинговых атаках, в частности, нацеленных на министерство обороны и военные ведомства Пакистана.

Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, скрывая бэкдоры на C# в файлах CHM. Эти бэкдоры используют асинхронное программирование задач и ConfuserEx для обфускации, позволяя удаленно выполнять команды и поддерживать различные команды атаки. Информация о сервере C2 для бэкдора получается различными способами, включая жестко заданные значения в коде или расшифровку файлов конфигурации. Злоумышленники используют идентификационную информацию жертв, основанную на именах хостов и пользователей зараженных устройств.

В тексте подчеркивается, что отраслевые эксперты и исследователи в области безопасности не пришли к единому мнению о том, как отличить Mysterious Elephant от Bitter, из-за сложных связей между организациями APT в Южной Азии. В статье предполагается, что специальные образцы атак CHM и бэкдоры C#, вероятно, были созданы Mysterious Elephant на основе сходства образцов вредоносных программ. Кампания атак группировки нацелена на несколько стран Южной Азии, при этом особое внимание уделяется правительственным учреждениям, оборонным, военным и дипломатическим ведомствам.

Более того, злоумышленники маскируют свои действия, имитируя методы атаки red team и используя менее распространенные методы атаки с использованием файлов CHM, запускающих внешние бэкдоры на C#. Они используют, казалось бы, законные сетевые сервисы для получения информации о сервере C2 и адаптируют свою тактику, чтобы избежать обнаружения. Использование ложного PDF-контента и непротиворечивой информации о сервере C2 в образцах атак на Пакистан свидетельствует о преднамеренных усилиях, направленных на конкретные объекты в регионе.

В свете этих угроз Центр анализа угроз Qi'anxin рекомендует пользователям быть осторожными в отношении фишинговых атак, воздерживаться от открытия неизвестных ссылок или вложений электронной почты, избегать запуска подозрительных файлов и устанавливать приложения только из официальных источников. Также рекомендуется регулярно создавать резервные копии важных файлов и обновлять программное обеспечение с помощью исправлений, чтобы усилить защиту кибербезопасности от новых угроз, исходящих от таких групп, как Mysterious Elephant.

#ParsedReport #CompletenessLow
18-10-2024

Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions

https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html

Report completeness: Low

Threats:
Edrsilencer_tool
Fireblock_tool
Nighthawk_tool
Tanium_tool
Edrnoisemaker_tool

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 45
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, PccNTMon

Win Services:
ekrn, MsMpEng, SentinelAgent, LogProcessorService, TmListen, Ntrtscan, CNTAoSMgr, TmCCSF

Links:
https://github.com/amjcyber/EDRNoiseMaker
https://github.com/netero1010/EDRSilencer?tab=readme-ov-file
https://github.com/netero1010/EDRSilencer
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 15, code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники злоупотребляют инструментом red team EDRSilencer, который позволяет им избегать обнаружения и скрывать вредоносные действия, нарушая передачу телеметрии и оповещений на консоли управления EDR. Это создает серьезные проблемы для систем обнаружения конечных точек и реагирования на них, и организациям настоятельно рекомендуется принимать упреждающие и адаптивные меры безопасности для противодействия таким угрозам.
-----

Команда Trend Micro по поиску угроз выявила тревожную тенденцию, связанную со злоупотреблением злоумышленниками инструментом red team под названием EDRSilencer. Изначально разработанный для создания помех решениям по обнаружению конечных точек и реагированию на них с помощью платформы фильтрации Windows, EDRSilencer в настоящее время активно используется злоумышленниками для уклонения от обнаружения и сокрытия вредоносных действий. Этот инструмент нарушает передачу телеметрии и предупреждений на консоли управления EDR, что затрудняет обнаружение и удаление вредоносных программ, блокируя исходящую связь из процессов EDR.

Инструмент динамически идентифицирует запущенные процессы EDR и создает фильтры WFP для эффективной блокировки их взаимодействия. Во время тестирования обнаруживается, что даже процессы, изначально не включенные в жестко запрограммированный список, блокируются, что демонстрирует эффективность инструмента в предотвращении обнаружения. Инструменты EDR, необходимые для мониторинга конечных точек на предмет вредоносной активности, становятся неэффективными из-за EDRSilencer, что позволяет вредоносному ПО оставаться скрытым в системах и избегать обнаружения.

В ответ на эту возникающую угрозу команда Trend Micro Threat Hunting подчеркивает критическую важность понимания того, как работает EDRSilencer, для разработки эффективных контрмер. Они провели тесты с использованием EDRNoiseMaker, инструмента, предназначенного для выявления процессов, заблокированных EDRSilencer. Применив фильтры WFP с помощью специальных команд, они успешно подтвердили способность инструмента блокировать связь между определенными процессами, эффективно избегая обнаружения.

Цепочка атак, связанная с EDRSilencer, включает в себя несколько этапов, включая обнаружение процессов, их выполнение и повышение привилегий. Инструмент настраивает постоянные фильтры WFP для блокировки исходящих сетевых сообщений, обеспечивая их эффективность даже после перезагрузки системы. Предотвращая отправку телеметрии и предупреждений процессами EDR на консоли управления, EDRSilencer позволяет вредоносным действиям оставаться незамеченными, повышая риск успешных атак.

Наблюдения команды Threat Hunting показывают, что злоумышленники все чаще используют средства защиты от EDR в своих стратегиях атак. Эта тенденция свидетельствует о постоянном развитии угроз, поскольку злоумышленники постоянно ищут средства для отключения антивирусов и EDR-решений. Появление EDRSilencer представляет собой изменение тактики, повышающее скрытность вредоносных действий и создающее серьезные проблемы для систем обнаружения конечных точек и реагирования на них.

Чтобы противостоять этим развивающимся угрозам, организациям настоятельно рекомендуется принимать упреждающие и адаптивные меры безопасности, используя многоуровневую защиту и непрерывный мониторинг. Передовые механизмы обнаружения и стратегии поиска угроз необходимы для противодействия таким сложным инструментам, как EDRSilencer, и защиты цифровых активов. Trend Micro по-прежнему привержена усилению мер безопасности и обмену информацией для защиты от будущих атак.

Клиенты Trend Micro могут получать доступ к аналитическим отчетам и информации об угрозах с помощью Trend Micro Vision One, чтобы опережать киберугрозы и быть лучше подготовленными к возникающим рискам. Используя эту информацию, клиенты могут принимать упреждающие меры для защиты своей среды, снижения рисков и эффективного реагирования на возникающие угрозы.

#ParsedReport #CompletenessLow
18-10-2024

From QR to compromise: The growing "quishing" threat

https://news.sophos.com/en-us/2024/10/16/quishing

Report completeness: Low

Threats:
Qshing_technique
Spear-phishing_technique
Aitm_technique
Onnx_store_tool
Domain_fronting_technique

Victims:
Sophos, Sophos employees, Sophos customers

Geo:
Brazilian

TTPs:
Tactics: 5
Technics: 6

Soft:
Telegram

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/IOC\_quishing2024.csv
https://github.com/sophoslabs/IoCs/tree/master

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют QR-коды, чтобы обманом заставить сотрудников Sophos предоставить учетные данные для входа в систему и токены MFA с помощью сложных методов фишинга. Используя индивидуальные PDF-документы и привычный бренд, такой как DocuSign, злоумышленники стремятся обмануть пользователей и обойти защиту сети. Для борьбы с такими угрозами необходимы многоуровневый подход к обеспечению безопасности и бдительный персонал.
-----

Команда Sophos X-Ops расследовала фишинговые атаки, направленные против сотрудников Sophos, с использованием метода, называемого quishing, который заключается в отправке QR-кодов через вложения в электронную почту. Злоумышленники подделывали электронные письма, чтобы они выглядели законными, и содержали несоответствия и ошибки для обмана получателей. Когда злоумышленники отсканировали QR-код, они были перенаправлены на фишинговую страницу, напоминающую диалоговое окно входа в Microsoft 365, управляемое злоумышленником. На фишинговой странице были обнаружены учетные данные для входа и токены MFA. Злоумышленники использовали ONNX Store, платформу, доступ к которой осуществляется через Telegram-ботов, которая использует функции защиты от ботов и зашифрованный JavaScript-код для маскировки вредоносных веб-сайтов.

Фишинговые атаки с использованием QR-кодов направлены на обход функций сетевой защиты в программном обеспечении endpoint security, направляя жертв на вредоносные веб-сайты с их менее защищенных мобильных устройств. Злоумышленники совершенствуют методы обработки PDF-документов, настраивая их таким образом, чтобы они содержали информацию о целевых лицах, и используют узнаваемый бренд, такой как DocuSign, для обмана пользователей. Они используют различные методы перенаправления, чтобы запутать целевые URL-адреса, включая ссылки через законные сервисы, такие как Google для сокращения URL-адресов.

Несмотря на меры безопасности и наличие хорошо обученного персонала, угрозы фишинга сохраняются и развиваются. Многоуровневая защита и бдительный персонал, сообщающий о подозрительных действиях, имеют решающее значение для предотвращения успешных фишинговых атак. Формирование культуры безопасности повышает защищенность организации от киберугроз.

#ParsedReport #CompletenessLow
17-10-2024

Dark Web Profile: Evil Corp

https://socradar.io/dark-web-profile-evil-corp

Report completeness: Low

Actors/Campaigns:
Evil_corp (motivation: cyber_criminal, hacktivism, cyber_espionage)
Whisper_spider

Threats:
Dridex
Wastedlocker
Lockbit
Spear-phishing_technique
Truebot
Friedex
Flawedgrace_rat
Raspberry_robin
Socgholish_loader

Victims:
International financial institutions, Businesses, Large enterprises, High-value organizations

Industry:
Critical_infrastructure, Financial, Government, E-commerce

Geo:
Russian, Australia

TTPs:
Tactics: 9
Technics: 16

Languages:
powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Evil Corp - это высокоразвитая и активно действующая на международном уровне киберпреступная организация, возглавляемая Максимом Якубецем, известная проведением крупномасштабных финансовых кибератак, специализирующаяся на банковском мошенничестве и программах-вымогателях. Эта группа столкнулась с санкциями со стороны властей США и, как полагают, имеет связи с российскими спецслужбами, являясь одной из самых разыскиваемых организаций по борьбе с киберпреступностью во всем мире. Деятельность Evil Corp направлена против крупных корпораций и финансовых учреждений с помощью фишинговых кампаний, внедрения вредоносных программ и атак с целью вымогательства, что приводит к значительным финансовым потерям. Группа постоянно совершенствует свою тактику, чтобы избежать обнаружения, используя самые современные вредоносные программы и темную сеть для различных преступных действий.
-----

Evil Corp, также известная как Indrik Spider, является известной пророссийской хактивистской группировкой, специализирующейся на крупномасштабных финансовых кибератаках.

На протяжении многих лет Evil Corp меняла тактику, переходя от банковского мошенничества к передовым операциям с программами-вымогателями, нанося значительный финансовый ущерб по всему миру на общую сумму в сотни миллионов долларов.

Лидер Evil Corp Максим Якубец имеет связи с киберпреступностью и российскими спецслужбами, что делает группу весьма популярным синдикатом киберпреступников.

Evil Corp работает на международном уровне, специализируясь на банковском мошенничестве и атаках программ-вымогателей, сотрудничая с такими крупными видами программ-вымогателей, как Dridex и WastedLocker.

Группа может иметь связи с российским правительством, используя государственные ресурсы для кибершпионажа и переходя к моделям "Программы-вымогатели как услуга", таким как LockBit.

Evil Corp в основном нацелена на крупные корпорации и финансовые учреждения, использующие фишинговые кампании и вредоносное ПО для получения финансовой выгоды.

Группа известна тем, что создает печально известные вредоносные программы, такие как Dridex, BitPaymer, WastedLocker и Truebot, постоянно адаптируя свою тактику после введения санкций.

Недавние расследования выявили причастность семьи к операциям Evil Corp, в которых Максим Якубец получал поддержку от своего отца и брата, связанным со сложными финансовыми преступлениями.

Связи Evil Corp с российскими разведывательными службами, такими как ФСБ и ГРУ, выходят за рамки защиты и включают спонсируемую государством деятельность по кибершпионажу, направленную против союзников по НАТО.

Группа работает в экосистеме даркнета, занимаясь продажей украденных данных и подбором персонала на платформах даркнета, что требует от организаций реализации многоуровневой стратегии защиты от их многогранных тактик.

#ParsedReport #CompletenessMedium
18-10-2024

HORUS Protector Part 2: The New Malware Distribution Service

https://blog.sonicwall.com/en-us/2024/10/horus-protector-part-2-the-new-malware-distribution-service

Report completeness: Medium

Threats:
Horus_protector
Horus_fud_tool
Agent_tesla
Remcos_rat
Njrat
Process_injection_technique
Process_hollowing_technique
Snake_keylogger

Geo:
French

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1112, T1055.009

IOCs:
Url: 5
Registry: 8
File: 5
Hash: 5
IP: 1

Soft:
task scheduler, Windows Defender

Algorithms:
base64

Languages:
powershell, dotnet

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 16, windows: 2, table: 2