#ParsedReport #CompletenessMedium
17-10-2024

Suspected Mysterious Elephant group uses CHM files to attack multiple countries in South Asia

https://www.ctfiot.com/210297.html

Report completeness: Medium

Actors/Campaigns:
Mysterious_elephant

Threats:
Orpcbackdoor
Confuserex_tool
Walkershell
Demotryspy
Nixbackdoor

Victims:
Government agencies, Defense military, Diplomatic departments

Industry:
Military, Financial, Government

Geo:
Asian, China, Bangladesh, Pakistan, Asia, Myanmar

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1027, T1071

IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41

Soft:
Android, WeChat

Algorithms:
md5, base64, aes

Functions:
GetIpInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение хакерской группы под названием Mysterious Elephant, которая идентифицируется как южноазиатская организация APT. Группа связана с новым бэкдором или PCBACKDOOR и ассоциируется с организацией Bitter. В тексте также освещаются методы атаки группы, в том числе использование файлов CHM в фишинговых атаках, нацеленных на министерство обороны и военные ведомства Пакистана. Кроме того, в нем упоминаются проблемы, связанные с отличием Mysterious Elephant от Bitter, и даются рекомендации по усилению защиты кибербезопасности от подобных угроз.
-----

В тексте рассказывается о хакерской группе под названием Mysterious Elephant, которая была идентифицирована Касперским как южноазиатская организация APT. Было обнаружено, что группа использует новый бэкдор ORPCBackdoor, связанный с организацией Bitter. Группа Mysterious Elephant имеет сходство с организацией Bitter в методах и целях атак, включая такие страны, как Пакистан. Недавние открытия Центра анализа угроз Qi'anxin свидетельствуют об использовании CHM-файлов, содержащих информацию-приманку, относящуюся к странам Южной Азии, в фишинговых атаках, в частности, нацеленных на министерство обороны и военные ведомства Пакистана.

Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, скрывая бэкдоры на C# в файлах CHM. Эти бэкдоры используют асинхронное программирование задач и ConfuserEx для обфускации, позволяя удаленно выполнять команды и поддерживать различные команды атаки. Информация о сервере C2 для бэкдора получается различными способами, включая жестко заданные значения в коде или расшифровку файлов конфигурации. Злоумышленники используют идентификационную информацию жертв, основанную на именах хостов и пользователей зараженных устройств.

В тексте подчеркивается, что отраслевые эксперты и исследователи в области безопасности не пришли к единому мнению о том, как отличить Mysterious Elephant от Bitter, из-за сложных связей между организациями APT в Южной Азии. В статье предполагается, что специальные образцы атак CHM и бэкдоры C#, вероятно, были созданы Mysterious Elephant на основе сходства образцов вредоносных программ. Кампания атак группировки нацелена на несколько стран Южной Азии, при этом особое внимание уделяется правительственным учреждениям, оборонным, военным и дипломатическим ведомствам.

Более того, злоумышленники маскируют свои действия, имитируя методы атаки red team и используя менее распространенные методы атаки с использованием файлов CHM, запускающих внешние бэкдоры на C#. Они используют, казалось бы, законные сетевые сервисы для получения информации о сервере C2 и адаптируют свою тактику, чтобы избежать обнаружения. Использование ложного PDF-контента и непротиворечивой информации о сервере C2 в образцах атак на Пакистан свидетельствует о преднамеренных усилиях, направленных на конкретные объекты в регионе.

В свете этих угроз Центр анализа угроз Qi'anxin рекомендует пользователям быть осторожными в отношении фишинговых атак, воздерживаться от открытия неизвестных ссылок или вложений электронной почты, избегать запуска подозрительных файлов и устанавливать приложения только из официальных источников. Также рекомендуется регулярно создавать резервные копии важных файлов и обновлять программное обеспечение с помощью исправлений, чтобы усилить защиту кибербезопасности от новых угроз, исходящих от таких групп, как Mysterious Elephant.

#ParsedReport #CompletenessLow
18-10-2024

Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions

https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html

Report completeness: Low

Threats:
Edrsilencer_tool
Fireblock_tool
Nighthawk_tool
Tanium_tool
Edrnoisemaker_tool

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 45
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, PccNTMon

Win Services:
ekrn, MsMpEng, SentinelAgent, LogProcessorService, TmListen, Ntrtscan, CNTAoSMgr, TmCCSF

Links:
https://github.com/amjcyber/EDRNoiseMaker
https://github.com/netero1010/EDRSilencer?tab=readme-ov-file
https://github.com/netero1010/EDRSilencer
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 15, code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники злоупотребляют инструментом red team EDRSilencer, который позволяет им избегать обнаружения и скрывать вредоносные действия, нарушая передачу телеметрии и оповещений на консоли управления EDR. Это создает серьезные проблемы для систем обнаружения конечных точек и реагирования на них, и организациям настоятельно рекомендуется принимать упреждающие и адаптивные меры безопасности для противодействия таким угрозам.
-----

Команда Trend Micro по поиску угроз выявила тревожную тенденцию, связанную со злоупотреблением злоумышленниками инструментом red team под названием EDRSilencer. Изначально разработанный для создания помех решениям по обнаружению конечных точек и реагированию на них с помощью платформы фильтрации Windows, EDRSilencer в настоящее время активно используется злоумышленниками для уклонения от обнаружения и сокрытия вредоносных действий. Этот инструмент нарушает передачу телеметрии и предупреждений на консоли управления EDR, что затрудняет обнаружение и удаление вредоносных программ, блокируя исходящую связь из процессов EDR.

Инструмент динамически идентифицирует запущенные процессы EDR и создает фильтры WFP для эффективной блокировки их взаимодействия. Во время тестирования обнаруживается, что даже процессы, изначально не включенные в жестко запрограммированный список, блокируются, что демонстрирует эффективность инструмента в предотвращении обнаружения. Инструменты EDR, необходимые для мониторинга конечных точек на предмет вредоносной активности, становятся неэффективными из-за EDRSilencer, что позволяет вредоносному ПО оставаться скрытым в системах и избегать обнаружения.

В ответ на эту возникающую угрозу команда Trend Micro Threat Hunting подчеркивает критическую важность понимания того, как работает EDRSilencer, для разработки эффективных контрмер. Они провели тесты с использованием EDRNoiseMaker, инструмента, предназначенного для выявления процессов, заблокированных EDRSilencer. Применив фильтры WFP с помощью специальных команд, они успешно подтвердили способность инструмента блокировать связь между определенными процессами, эффективно избегая обнаружения.

Цепочка атак, связанная с EDRSilencer, включает в себя несколько этапов, включая обнаружение процессов, их выполнение и повышение привилегий. Инструмент настраивает постоянные фильтры WFP для блокировки исходящих сетевых сообщений, обеспечивая их эффективность даже после перезагрузки системы. Предотвращая отправку телеметрии и предупреждений процессами EDR на консоли управления, EDRSilencer позволяет вредоносным действиям оставаться незамеченными, повышая риск успешных атак.

Наблюдения команды Threat Hunting показывают, что злоумышленники все чаще используют средства защиты от EDR в своих стратегиях атак. Эта тенденция свидетельствует о постоянном развитии угроз, поскольку злоумышленники постоянно ищут средства для отключения антивирусов и EDR-решений. Появление EDRSilencer представляет собой изменение тактики, повышающее скрытность вредоносных действий и создающее серьезные проблемы для систем обнаружения конечных точек и реагирования на них.

Чтобы противостоять этим развивающимся угрозам, организациям настоятельно рекомендуется принимать упреждающие и адаптивные меры безопасности, используя многоуровневую защиту и непрерывный мониторинг. Передовые механизмы обнаружения и стратегии поиска угроз необходимы для противодействия таким сложным инструментам, как EDRSilencer, и защиты цифровых активов. Trend Micro по-прежнему привержена усилению мер безопасности и обмену информацией для защиты от будущих атак.

Клиенты Trend Micro могут получать доступ к аналитическим отчетам и информации об угрозах с помощью Trend Micro Vision One, чтобы опережать киберугрозы и быть лучше подготовленными к возникающим рискам. Используя эту информацию, клиенты могут принимать упреждающие меры для защиты своей среды, снижения рисков и эффективного реагирования на возникающие угрозы.

#ParsedReport #CompletenessLow
18-10-2024

From QR to compromise: The growing "quishing" threat

https://news.sophos.com/en-us/2024/10/16/quishing

Report completeness: Low

Threats:
Qshing_technique
Spear-phishing_technique
Aitm_technique
Onnx_store_tool
Domain_fronting_technique

Victims:
Sophos, Sophos employees, Sophos customers

Geo:
Brazilian

TTPs:
Tactics: 5
Technics: 6

Soft:
Telegram

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/IOC\_quishing2024.csv
https://github.com/sophoslabs/IoCs/tree/master

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют QR-коды, чтобы обманом заставить сотрудников Sophos предоставить учетные данные для входа в систему и токены MFA с помощью сложных методов фишинга. Используя индивидуальные PDF-документы и привычный бренд, такой как DocuSign, злоумышленники стремятся обмануть пользователей и обойти защиту сети. Для борьбы с такими угрозами необходимы многоуровневый подход к обеспечению безопасности и бдительный персонал.
-----

Команда Sophos X-Ops расследовала фишинговые атаки, направленные против сотрудников Sophos, с использованием метода, называемого quishing, который заключается в отправке QR-кодов через вложения в электронную почту. Злоумышленники подделывали электронные письма, чтобы они выглядели законными, и содержали несоответствия и ошибки для обмана получателей. Когда злоумышленники отсканировали QR-код, они были перенаправлены на фишинговую страницу, напоминающую диалоговое окно входа в Microsoft 365, управляемое злоумышленником. На фишинговой странице были обнаружены учетные данные для входа и токены MFA. Злоумышленники использовали ONNX Store, платформу, доступ к которой осуществляется через Telegram-ботов, которая использует функции защиты от ботов и зашифрованный JavaScript-код для маскировки вредоносных веб-сайтов.

Фишинговые атаки с использованием QR-кодов направлены на обход функций сетевой защиты в программном обеспечении endpoint security, направляя жертв на вредоносные веб-сайты с их менее защищенных мобильных устройств. Злоумышленники совершенствуют методы обработки PDF-документов, настраивая их таким образом, чтобы они содержали информацию о целевых лицах, и используют узнаваемый бренд, такой как DocuSign, для обмана пользователей. Они используют различные методы перенаправления, чтобы запутать целевые URL-адреса, включая ссылки через законные сервисы, такие как Google для сокращения URL-адресов.

Несмотря на меры безопасности и наличие хорошо обученного персонала, угрозы фишинга сохраняются и развиваются. Многоуровневая защита и бдительный персонал, сообщающий о подозрительных действиях, имеют решающее значение для предотвращения успешных фишинговых атак. Формирование культуры безопасности повышает защищенность организации от киберугроз.

#ParsedReport #CompletenessLow
17-10-2024

Dark Web Profile: Evil Corp

https://socradar.io/dark-web-profile-evil-corp

Report completeness: Low

Actors/Campaigns:
Evil_corp (motivation: cyber_criminal, hacktivism, cyber_espionage)
Whisper_spider

Threats:
Dridex
Wastedlocker
Lockbit
Spear-phishing_technique
Truebot
Friedex
Flawedgrace_rat
Raspberry_robin
Socgholish_loader

Victims:
International financial institutions, Businesses, Large enterprises, High-value organizations

Industry:
Critical_infrastructure, Financial, Government, E-commerce

Geo:
Russian, Australia

TTPs:
Tactics: 9
Technics: 16

Languages:
powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Evil Corp - это высокоразвитая и активно действующая на международном уровне киберпреступная организация, возглавляемая Максимом Якубецем, известная проведением крупномасштабных финансовых кибератак, специализирующаяся на банковском мошенничестве и программах-вымогателях. Эта группа столкнулась с санкциями со стороны властей США и, как полагают, имеет связи с российскими спецслужбами, являясь одной из самых разыскиваемых организаций по борьбе с киберпреступностью во всем мире. Деятельность Evil Corp направлена против крупных корпораций и финансовых учреждений с помощью фишинговых кампаний, внедрения вредоносных программ и атак с целью вымогательства, что приводит к значительным финансовым потерям. Группа постоянно совершенствует свою тактику, чтобы избежать обнаружения, используя самые современные вредоносные программы и темную сеть для различных преступных действий.
-----

Evil Corp, также известная как Indrik Spider, является известной пророссийской хактивистской группировкой, специализирующейся на крупномасштабных финансовых кибератаках.

На протяжении многих лет Evil Corp меняла тактику, переходя от банковского мошенничества к передовым операциям с программами-вымогателями, нанося значительный финансовый ущерб по всему миру на общую сумму в сотни миллионов долларов.

Лидер Evil Corp Максим Якубец имеет связи с киберпреступностью и российскими спецслужбами, что делает группу весьма популярным синдикатом киберпреступников.

Evil Corp работает на международном уровне, специализируясь на банковском мошенничестве и атаках программ-вымогателей, сотрудничая с такими крупными видами программ-вымогателей, как Dridex и WastedLocker.

Группа может иметь связи с российским правительством, используя государственные ресурсы для кибершпионажа и переходя к моделям "Программы-вымогатели как услуга", таким как LockBit.

Evil Corp в основном нацелена на крупные корпорации и финансовые учреждения, использующие фишинговые кампании и вредоносное ПО для получения финансовой выгоды.

Группа известна тем, что создает печально известные вредоносные программы, такие как Dridex, BitPaymer, WastedLocker и Truebot, постоянно адаптируя свою тактику после введения санкций.

Недавние расследования выявили причастность семьи к операциям Evil Corp, в которых Максим Якубец получал поддержку от своего отца и брата, связанным со сложными финансовыми преступлениями.

Связи Evil Corp с российскими разведывательными службами, такими как ФСБ и ГРУ, выходят за рамки защиты и включают спонсируемую государством деятельность по кибершпионажу, направленную против союзников по НАТО.

Группа работает в экосистеме даркнета, занимаясь продажей украденных данных и подбором персонала на платформах даркнета, что требует от организаций реализации многоуровневой стратегии защиты от их многогранных тактик.

#ParsedReport #CompletenessMedium
18-10-2024

HORUS Protector Part 2: The New Malware Distribution Service

https://blog.sonicwall.com/en-us/2024/10/horus-protector-part-2-the-new-malware-distribution-service

Report completeness: Medium

Threats:
Horus_protector
Horus_fud_tool
Agent_tesla
Remcos_rat
Njrat
Process_injection_technique
Process_hollowing_technique
Snake_keylogger

Geo:
French

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1112, T1055.009

IOCs:
Url: 5
Registry: 8
File: 5
Hash: 5
IP: 1

Soft:
task scheduler, Windows Defender

Algorithms:
base64

Languages:
powershell, dotnet

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 16, windows: 2, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового шифровальщика вредоносных программ Horus FUD под названием Horus Protector, который используется для распространения различных семейств вредоносных программ. Вредоносная программа использует сложные механизмы заражения и распространения, при этом предоставляется подробная информация о процессе ее выполнения, доставке полезной нагрузки и злонамеренных намерениях. Кроме того, в тексте подчеркивается роль исследовательской группы SonicWall Capture Labs по изучению угроз в сборе, анализе и устранении киберугроз, а также поддержка более широкого сообщества аналитиков угроз путем предоставления подробных технических анализов для повышения устойчивости кибербезопасности.
-----

SonicWall Capture Labs обнаружила новый шифровальщик вредоносных программ Horus Protector, распространяющий различные семейства вредоносных программ, такие как AgentTesla, Remcos, Snake, njRAT и др.

Horus Protector использует сложную цепочку заражения и механизмы распространения для распространения вредоносной полезной нагрузки, часто доставляемой с помощью скриптов в архивных файлах.

Скрипты VBE подключаются к серверу ЧПУ по адресу hxxp://144.91.79.54, чтобы загрузить закодированные файлы и сохранить их в определенном каталоге реестра.

Второй этап работы вредоносной программы включает загрузку новой сборки, внедрение полезной нагрузки с использованием процесса удаления изображений и проверку наличия в реестре функции Боткилла.

Если в реестре установлено значение "1", указывающее на то, что БотКилл активен, вредоносная программа удаляет все следы присутствия в системе жертвы, включая удаление запланированных задач.

Horus Protector обладает способностью распространять серьезные угрозы, такие как кейлоггер SNAKE, для кражи данных.

Команда SonicWall Capture Labs ежедневно анализирует и устраняет критические уязвимости и вредоносное ПО, повышая уровень защиты клиентов по всему миру.

Команда поддерживает сообщество специалистов по анализу угроз, предоставляя подробный технический анализ значимых угроз для обеспечения эффективной защиты сети.

Постоянные усилия по предупреждению новых киберугроз и предоставлению ценной информации и аналитических материалов специалистам в области кибербезопасности для эффективного снижения рисков.

#ParsedReport #CompletenessHigh
17-10-2024

UAT-5647 targets Ukrainian and Polish entities with RomCom malware variants. UAT-5647's post-compromise activity. UAT-5647 targets Ukrainian and Polish entities with RomCom malware variants

https://blog.talosintelligence.com/uat-5647-romcom

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)

Threats:
Romcom_rat
Rustyclaw
Meltingclaw
Dustyhammock
Shadyhammock
Nltest_tool
Putty_tool
Plink_tool
Spear-phishing_technique
Password_spray_technique
Netstat_tool
Snipbot

Victims:
Ukrainian government entities

Industry:
Government

Geo:
Russian, Ukraine, Ukrainian, Russia, Polish

TTPs:
Tactics: 1
Technics: 11

IOCs:
Path: 4
File: 4
Registry: 3
Command: 8
Url: 5
IP: 11
Hash: 34
Domain: 12

Soft:
Windows registry

Algorithms:
sha256, xor

Languages:
golang, powershell, lua, rust

Platforms:
x86

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4