#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют QR-коды, чтобы обманом заставить сотрудников Sophos предоставить учетные данные для входа в систему и токены MFA с помощью сложных методов фишинга. Используя индивидуальные PDF-документы и привычный бренд, такой как DocuSign, злоумышленники стремятся обмануть пользователей и обойти защиту сети. Для борьбы с такими угрозами необходимы многоуровневый подход к обеспечению безопасности и бдительный персонал.
-----

Команда Sophos X-Ops расследовала фишинговые атаки, направленные против сотрудников Sophos, с использованием метода, называемого quishing, который заключается в отправке QR-кодов через вложения в электронную почту. Злоумышленники подделывали электронные письма, чтобы они выглядели законными, и содержали несоответствия и ошибки для обмана получателей. Когда злоумышленники отсканировали QR-код, они были перенаправлены на фишинговую страницу, напоминающую диалоговое окно входа в Microsoft 365, управляемое злоумышленником. На фишинговой странице были обнаружены учетные данные для входа и токены MFA. Злоумышленники использовали ONNX Store, платформу, доступ к которой осуществляется через Telegram-ботов, которая использует функции защиты от ботов и зашифрованный JavaScript-код для маскировки вредоносных веб-сайтов.

Фишинговые атаки с использованием QR-кодов направлены на обход функций сетевой защиты в программном обеспечении endpoint security, направляя жертв на вредоносные веб-сайты с их менее защищенных мобильных устройств. Злоумышленники совершенствуют методы обработки PDF-документов, настраивая их таким образом, чтобы они содержали информацию о целевых лицах, и используют узнаваемый бренд, такой как DocuSign, для обмана пользователей. Они используют различные методы перенаправления, чтобы запутать целевые URL-адреса, включая ссылки через законные сервисы, такие как Google для сокращения URL-адресов.

Несмотря на меры безопасности и наличие хорошо обученного персонала, угрозы фишинга сохраняются и развиваются. Многоуровневая защита и бдительный персонал, сообщающий о подозрительных действиях, имеют решающее значение для предотвращения успешных фишинговых атак. Формирование культуры безопасности повышает защищенность организации от киберугроз.

#ParsedReport #CompletenessLow
17-10-2024

Dark Web Profile: Evil Corp

https://socradar.io/dark-web-profile-evil-corp

Report completeness: Low

Actors/Campaigns:
Evil_corp (motivation: cyber_criminal, hacktivism, cyber_espionage)
Whisper_spider

Threats:
Dridex
Wastedlocker
Lockbit
Spear-phishing_technique
Truebot
Friedex
Flawedgrace_rat
Raspberry_robin
Socgholish_loader

Victims:
International financial institutions, Businesses, Large enterprises, High-value organizations

Industry:
Critical_infrastructure, Financial, Government, E-commerce

Geo:
Russian, Australia

TTPs:
Tactics: 9
Technics: 16

Languages:
powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Evil Corp - это высокоразвитая и активно действующая на международном уровне киберпреступная организация, возглавляемая Максимом Якубецем, известная проведением крупномасштабных финансовых кибератак, специализирующаяся на банковском мошенничестве и программах-вымогателях. Эта группа столкнулась с санкциями со стороны властей США и, как полагают, имеет связи с российскими спецслужбами, являясь одной из самых разыскиваемых организаций по борьбе с киберпреступностью во всем мире. Деятельность Evil Corp направлена против крупных корпораций и финансовых учреждений с помощью фишинговых кампаний, внедрения вредоносных программ и атак с целью вымогательства, что приводит к значительным финансовым потерям. Группа постоянно совершенствует свою тактику, чтобы избежать обнаружения, используя самые современные вредоносные программы и темную сеть для различных преступных действий.
-----

Evil Corp, также известная как Indrik Spider, является известной пророссийской хактивистской группировкой, специализирующейся на крупномасштабных финансовых кибератаках.

На протяжении многих лет Evil Corp меняла тактику, переходя от банковского мошенничества к передовым операциям с программами-вымогателями, нанося значительный финансовый ущерб по всему миру на общую сумму в сотни миллионов долларов.

Лидер Evil Corp Максим Якубец имеет связи с киберпреступностью и российскими спецслужбами, что делает группу весьма популярным синдикатом киберпреступников.

Evil Corp работает на международном уровне, специализируясь на банковском мошенничестве и атаках программ-вымогателей, сотрудничая с такими крупными видами программ-вымогателей, как Dridex и WastedLocker.

Группа может иметь связи с российским правительством, используя государственные ресурсы для кибершпионажа и переходя к моделям "Программы-вымогатели как услуга", таким как LockBit.

Evil Corp в основном нацелена на крупные корпорации и финансовые учреждения, использующие фишинговые кампании и вредоносное ПО для получения финансовой выгоды.

Группа известна тем, что создает печально известные вредоносные программы, такие как Dridex, BitPaymer, WastedLocker и Truebot, постоянно адаптируя свою тактику после введения санкций.

Недавние расследования выявили причастность семьи к операциям Evil Corp, в которых Максим Якубец получал поддержку от своего отца и брата, связанным со сложными финансовыми преступлениями.

Связи Evil Corp с российскими разведывательными службами, такими как ФСБ и ГРУ, выходят за рамки защиты и включают спонсируемую государством деятельность по кибершпионажу, направленную против союзников по НАТО.

Группа работает в экосистеме даркнета, занимаясь продажей украденных данных и подбором персонала на платформах даркнета, что требует от организаций реализации многоуровневой стратегии защиты от их многогранных тактик.

#ParsedReport #CompletenessMedium
18-10-2024

HORUS Protector Part 2: The New Malware Distribution Service

https://blog.sonicwall.com/en-us/2024/10/horus-protector-part-2-the-new-malware-distribution-service

Report completeness: Medium

Threats:
Horus_protector
Horus_fud_tool
Agent_tesla
Remcos_rat
Njrat
Process_injection_technique
Process_hollowing_technique
Snake_keylogger

Geo:
French

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1112, T1055.009

IOCs:
Url: 5
Registry: 8
File: 5
Hash: 5
IP: 1

Soft:
task scheduler, Windows Defender

Algorithms:
base64

Languages:
powershell, dotnet

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 16, windows: 2, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового шифровальщика вредоносных программ Horus FUD под названием Horus Protector, который используется для распространения различных семейств вредоносных программ. Вредоносная программа использует сложные механизмы заражения и распространения, при этом предоставляется подробная информация о процессе ее выполнения, доставке полезной нагрузки и злонамеренных намерениях. Кроме того, в тексте подчеркивается роль исследовательской группы SonicWall Capture Labs по изучению угроз в сборе, анализе и устранении киберугроз, а также поддержка более широкого сообщества аналитиков угроз путем предоставления подробных технических анализов для повышения устойчивости кибербезопасности.
-----

SonicWall Capture Labs обнаружила новый шифровальщик вредоносных программ Horus Protector, распространяющий различные семейства вредоносных программ, такие как AgentTesla, Remcos, Snake, njRAT и др.

Horus Protector использует сложную цепочку заражения и механизмы распространения для распространения вредоносной полезной нагрузки, часто доставляемой с помощью скриптов в архивных файлах.

Скрипты VBE подключаются к серверу ЧПУ по адресу hxxp://144.91.79.54, чтобы загрузить закодированные файлы и сохранить их в определенном каталоге реестра.

Второй этап работы вредоносной программы включает загрузку новой сборки, внедрение полезной нагрузки с использованием процесса удаления изображений и проверку наличия в реестре функции Боткилла.

Если в реестре установлено значение "1", указывающее на то, что БотКилл активен, вредоносная программа удаляет все следы присутствия в системе жертвы, включая удаление запланированных задач.

Horus Protector обладает способностью распространять серьезные угрозы, такие как кейлоггер SNAKE, для кражи данных.

Команда SonicWall Capture Labs ежедневно анализирует и устраняет критические уязвимости и вредоносное ПО, повышая уровень защиты клиентов по всему миру.

Команда поддерживает сообщество специалистов по анализу угроз, предоставляя подробный технический анализ значимых угроз для обеспечения эффективной защиты сети.

Постоянные усилия по предупреждению новых киберугроз и предоставлению ценной информации и аналитических материалов специалистам в области кибербезопасности для эффективного снижения рисков.

#ParsedReport #CompletenessHigh
17-10-2024

UAT-5647 targets Ukrainian and Polish entities with RomCom malware variants. UAT-5647's post-compromise activity. UAT-5647 targets Ukrainian and Polish entities with RomCom malware variants

https://blog.talosintelligence.com/uat-5647-romcom

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)

Threats:
Romcom_rat
Rustyclaw
Meltingclaw
Dustyhammock
Shadyhammock
Nltest_tool
Putty_tool
Plink_tool
Spear-phishing_technique
Password_spray_technique
Netstat_tool
Snipbot

Victims:
Ukrainian government entities

Industry:
Government

Geo:
Russian, Ukraine, Ukrainian, Russia, Polish

TTPs:
Tactics: 1
Technics: 11

IOCs:
Path: 4
File: 4
Registry: 3
Command: 8
Url: 5
IP: 11
Hash: 34
Domain: 12

Soft:
Windows registry

Algorithms:
sha256, xor

Languages:
golang, powershell, lua, rust

Platforms:
x86

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является выявление и анализ новой волны кибератак, осуществленных русскоязычной хакерской группой, известной как "UAT-5647" или "RomCom", нацеленных на украинские государственные учреждения и, возможно, польские организации. Группа внедрила обновленную версию своей вредоносной программы под названием "SingleCamper", расширила свой арсенал инструментов, занялась шпионской деятельностью с целью утечки данных и, возможно, может быть использована для распространения программ-вымогателей. Действия, предпринятые после взлома, включают в себя нацеливание на периферийные устройства, проведение сетевой разведки и использование различных тактических приемов для достижения своих целей. В тексте также освещаются вредоносные инструменты группы и методы коммуникации.
-----

Русскоязычная хакерская группа "UAT-5647" или "RomCom" идентифицирована как проводящая кибератаки на украинские государственные учреждения и потенциальные польские организации с конца 2023 года.

Группа, внедряющая обновленную вредоносную программу "SingleCamper", загруженную в реестр и связывающуюся по обратным адресам.

UAT-5647 расширил инструменты, включив RustClaw, MeltingClaw в качестве загрузчиков, DustyHammock и ShadyHammock в качестве бэкдоров.

Группа, пытающаяся взломать пограничные устройства через удаленные хосты, чтобы избежать обнаружения.

Сосредоточьтесь на долгосрочной утечке данных с помощью компонентов вредоносного ПО на GoLang, C++, RUST и LUA.

Стратегический подход предполагает первоначальный шпионаж с целью утечки данных, за которым следует потенциальное внедрение программ-вымогателей.

Действия, нацеленные на польские организации, основаны на проверке языка клавиатуры, выполняемой вредоносным ПО.

Действия после взлома, связанные со шпионскими мотивами, нацелены на периферийные устройства в скомпрометированных сетях.

Возможности SingleCamper включают передачу системной информации, выполнение команд, загрузку полезных данных и взаимодействие с загрузчиком ShadyHammock.

Цепочка заражения обычно начинается с фишинговых сообщений, доставляющих загрузчики для сохранения бэкдоров и имплантатов.

Сетевая разведка обнаружила использование таких инструментов, как Plink от PuTTY, для создания удаленных туннелей и несанкционированного доступа.

UAT-5647 использует различные тактические приемы для идентификации сетевой системы, команд и сканирования для достижения поставленных целей.

Использование значений реестра и ShadyHammock для загрузки полезной нагрузки на основе библиотек DLL, обмен данными через localhost для различных команд и взаимодействия с сервером C2.

#ParsedReport #CompletenessLow
17-10-2024

AwSpy - New Spyware Targets South Korean Android users

https://labs.k7computing.com/index.php/awspy-new-spyware-targets-south-korean-android-users

Report completeness: Low

Threats:
Awspy

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1036.005

IOCs:
File: 2
Url: 1

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что было обнаружено новое шпионское ПО, нацеленное на пользователей в Южной Корее, использующее Amazon AWS в качестве сервера управления для кражи конфиденциальной информации с зараженных устройств, маскируясь под приложение для записи и запрашивая различные разрешения при установке. Для защиты от подобных угроз пользователям рекомендуется использовать проверенные продукты безопасности, регулярно обновлять и сканировать свои устройства и воздерживаться от установки приложений из неофициальных источников.
-----

Было обнаружено новое шпионское ПО, нацеленное на пользователей в Южной Корее, использующее Amazon AWS в качестве сервера управления (C&C) для кражи конфиденциальной информации, такой как контакты, текстовые сообщения, фотографии и видео с зараженных устройств. Шпионское ПО маскируется под приложение для записи с логотипом, отображаемым в панели приложений. После установки вредоносное ПО запрашивает различные разрешения, включая доступ к SMS-сообщениям, совершение телефонных звонков и управление ими, доступ к контактам, файлам и мультимедиа на устройстве. Как только эти разрешения будут предоставлены, программа-шпион тайно собирает данные с устройства и загружает медиафайлы на сервер C&C, размещенный на hxxps://phone-books.s3.ap-northeast-2.amazonaws.com.

Программа-шпион сохраняет собранные контакты и SMS-сообщения в отдельных файлах с именами phone.json и sms.json, соответственно, перед передачей их на сервер C&C. Для снижения риска обнаружения эта операция защищена с помощью надежных облачных сервисов, таких как AWS. Для защиты от подобных угроз пользователям рекомендуется использовать проверенные продукты безопасности, такие как K7 Mobile Security, регулярно обновлять и сканировать свои устройства, а также использовать актуальные исправления для устранения уязвимостей в системе безопасности. Кроме того, пользователям следует воздерживаться от установки приложений из неофициальных источников, отличных от официального Play Store, чтобы свести к минимуму риск проникновения вредоносных программ.

#ParsedReport #CompletenessLow
17-10-2024

From Warm to Burned: Shedding Light on Updated WarmCookie Infrastructure

https://hunt.io/blog/from-warm-to-burned-shedding-light-on-updated-warmcookie-infrastructure

Report completeness: Low

Threats:
Warmcookie
Socgholish_loader
Darkgate

Geo:
Deutschland

ChatGPT TTPs:
do not use without manual check
T1105, T1071

IOCs:
IP: 30
Domain: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обновленной инфраструктуре, связанной с вредоносной кампанией WarmCookie backdoor, как подчеркивается Gen Threat Labs, включая взломанные веб-сайты, предоставляющие обновленный бэкдор с дополнительными возможностями и индикаторами компрометации, такими как IP-адрес, подключенный к серверу управления. Анализ включает в себя запрос IP-адреса для получения дополнительной информации, выявление дополнительных серверов, связанных с кампанией, на основе атрибутов сертификата и HTTP-ответов, а также выявление потенциальных совпадений между семействами вредоносных программ WarmCookie и DarkGate для будущих исследований.
-----

В тексте обсуждается обновленная инфраструктура, связанная с вредоносной кампанией WarmCookie backdoor, о которой 30 сентября сообщила Gen Threat Labs. Новая волна кампании включает в себя использование взломанных веб-сайтов для распространения бэкдора WarmCookie, причем в обновленной версии бэкдора были обнаружены дополнительные возможности. В тексте упоминаются индикаторы компрометации (IoC), включая IP-адрес, подключенный к серверу управления (C2).

Указанный IP-адрес, 38.180.91.117, размещен в сети Scalaxy B.V. ASN и имеет четыре открытых порта: 22, 443, 3389 и 8080. Запросив этот IP-адрес в Hunt, мы получили дополнительную информацию о его рабочем контексте, такую как конфигурации портов и история сертификатов. Анализ сертификатов и шаблонов ответов HTTP сыграл важную роль в определении инфраструктуры, связанной с обновленным бэкдором WarmCookie.

Дальнейшие исследования, основанные на атрибутах сертификата и ответах HTTP, привели к обнаружению шести дополнительных серверов, имеющих общие характеристики с исходным IP-адресом. Было обнаружено, что эти серверы были активны с конца сентября, что соответствует информации, указанной в ThreatFox и общедоступных отчетах.

Один из идентифицированных IP-адресов, 91.222.173.140, размещенный в SOLLUTIUM EU Sp z.o.o. ASN, был помечен как сервер DarkGate C2 с такими файлами, как Notepad++.exe и upd_1602649.msix активно общается с ним. Потенциальное совпадение между семействами вредоносных программ WarmCookie и DarkGate поднимает интересные вопросы для будущих исследований.

#ParsedReport #CompletenessMedium
17-10-2024

Bored BeaverTail Yacht Club - A Lazarus Lure

https://www.esentire.com/blog/bored-beavertail-yacht-club-a-lazarus-lure

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Invisibleferret

Victims:
Developer

Industry:
E-commerce

Geo:
North korea, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1105, T1566

IOCs:
File: 3
Hash: 1
Url: 22

Soft:
Visual Studio Code, cURL, vscode

Algorithms:
zip

Languages:
javascript, python

Links:
https://github.com/eSentire/iocs/blob/main/Lazarus/lazarus\_iocs\_10-15-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности упреждающего обнаружения угроз и принятия ответных мер, наряду с непрерывным обучением пользователей, для защиты от развивающихся киберугроз. В нем рассказывается о конкретном инциденте, когда eSentire отреагировала на загрузку пользователем вредоносного проекта NFT marketplace, что в конечном итоге продемонстрировало важность надежных решений для обеспечения безопасности конечных точек и сотрудничества между группами безопасности и специализированными подразделениями по исследованию угроз для защиты организаций от известных и возникающих угроз.
-----

В сентябре 2024 года eSentire отреагировала на инцидент с кибербезопасностью, связанный с загрузкой пользователем вредоносного проекта NFT marketplace с GitHub, что в конечном итоге предотвратило установку вредоносного по BeaverTail и перехват вредоносного ПО InvisibleFerret backdoor.

Этот инцидент был связан с северокорейскими злоумышленниками, в частности с группой, известной как Contagious Interview, которые использовали тактику TTP в отношении разработчиков программного обеспечения.

Этот инцидент подчеркивает важность надежных решений для обеспечения безопасности конечных точек, таких как обнаружение конечных точек и реагирование на них (EDR), а также обучение пользователей навыкам безопасности, позволяющим им эффективно распознавать сложные угрозы и реагировать на них.

Сотрудничество между группами безопасности и специализированными подразделениями по исследованию угроз имеет решающее значение для защиты организаций от известных и возникающих киберугроз.