#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является выявление и анализ новой волны кибератак, осуществленных русскоязычной хакерской группой, известной как "UAT-5647" или "RomCom", нацеленных на украинские государственные учреждения и, возможно, польские организации. Группа внедрила обновленную версию своей вредоносной программы под названием "SingleCamper", расширила свой арсенал инструментов, занялась шпионской деятельностью с целью утечки данных и, возможно, может быть использована для распространения программ-вымогателей. Действия, предпринятые после взлома, включают в себя нацеливание на периферийные устройства, проведение сетевой разведки и использование различных тактических приемов для достижения своих целей. В тексте также освещаются вредоносные инструменты группы и методы коммуникации.
-----

Русскоязычная хакерская группа "UAT-5647" или "RomCom" идентифицирована как проводящая кибератаки на украинские государственные учреждения и потенциальные польские организации с конца 2023 года.

Группа, внедряющая обновленную вредоносную программу "SingleCamper", загруженную в реестр и связывающуюся по обратным адресам.

UAT-5647 расширил инструменты, включив RustClaw, MeltingClaw в качестве загрузчиков, DustyHammock и ShadyHammock в качестве бэкдоров.

Группа, пытающаяся взломать пограничные устройства через удаленные хосты, чтобы избежать обнаружения.

Сосредоточьтесь на долгосрочной утечке данных с помощью компонентов вредоносного ПО на GoLang, C++, RUST и LUA.

Стратегический подход предполагает первоначальный шпионаж с целью утечки данных, за которым следует потенциальное внедрение программ-вымогателей.

Действия, нацеленные на польские организации, основаны на проверке языка клавиатуры, выполняемой вредоносным ПО.

Действия после взлома, связанные со шпионскими мотивами, нацелены на периферийные устройства в скомпрометированных сетях.

Возможности SingleCamper включают передачу системной информации, выполнение команд, загрузку полезных данных и взаимодействие с загрузчиком ShadyHammock.

Цепочка заражения обычно начинается с фишинговых сообщений, доставляющих загрузчики для сохранения бэкдоров и имплантатов.

Сетевая разведка обнаружила использование таких инструментов, как Plink от PuTTY, для создания удаленных туннелей и несанкционированного доступа.

UAT-5647 использует различные тактические приемы для идентификации сетевой системы, команд и сканирования для достижения поставленных целей.

Использование значений реестра и ShadyHammock для загрузки полезной нагрузки на основе библиотек DLL, обмен данными через localhost для различных команд и взаимодействия с сервером C2.

#ParsedReport #CompletenessLow
17-10-2024

AwSpy - New Spyware Targets South Korean Android users

https://labs.k7computing.com/index.php/awspy-new-spyware-targets-south-korean-android-users

Report completeness: Low

Threats:
Awspy

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1036.005

IOCs:
File: 2
Url: 1

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что было обнаружено новое шпионское ПО, нацеленное на пользователей в Южной Корее, использующее Amazon AWS в качестве сервера управления для кражи конфиденциальной информации с зараженных устройств, маскируясь под приложение для записи и запрашивая различные разрешения при установке. Для защиты от подобных угроз пользователям рекомендуется использовать проверенные продукты безопасности, регулярно обновлять и сканировать свои устройства и воздерживаться от установки приложений из неофициальных источников.
-----

Было обнаружено новое шпионское ПО, нацеленное на пользователей в Южной Корее, использующее Amazon AWS в качестве сервера управления (C&C) для кражи конфиденциальной информации, такой как контакты, текстовые сообщения, фотографии и видео с зараженных устройств. Шпионское ПО маскируется под приложение для записи с логотипом, отображаемым в панели приложений. После установки вредоносное ПО запрашивает различные разрешения, включая доступ к SMS-сообщениям, совершение телефонных звонков и управление ими, доступ к контактам, файлам и мультимедиа на устройстве. Как только эти разрешения будут предоставлены, программа-шпион тайно собирает данные с устройства и загружает медиафайлы на сервер C&C, размещенный на hxxps://phone-books.s3.ap-northeast-2.amazonaws.com.

Программа-шпион сохраняет собранные контакты и SMS-сообщения в отдельных файлах с именами phone.json и sms.json, соответственно, перед передачей их на сервер C&C. Для снижения риска обнаружения эта операция защищена с помощью надежных облачных сервисов, таких как AWS. Для защиты от подобных угроз пользователям рекомендуется использовать проверенные продукты безопасности, такие как K7 Mobile Security, регулярно обновлять и сканировать свои устройства, а также использовать актуальные исправления для устранения уязвимостей в системе безопасности. Кроме того, пользователям следует воздерживаться от установки приложений из неофициальных источников, отличных от официального Play Store, чтобы свести к минимуму риск проникновения вредоносных программ.

#ParsedReport #CompletenessLow
17-10-2024

From Warm to Burned: Shedding Light on Updated WarmCookie Infrastructure

https://hunt.io/blog/from-warm-to-burned-shedding-light-on-updated-warmcookie-infrastructure

Report completeness: Low

Threats:
Warmcookie
Socgholish_loader
Darkgate

Geo:
Deutschland

ChatGPT TTPs:
do not use without manual check
T1105, T1071

IOCs:
IP: 30
Domain: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обновленной инфраструктуре, связанной с вредоносной кампанией WarmCookie backdoor, как подчеркивается Gen Threat Labs, включая взломанные веб-сайты, предоставляющие обновленный бэкдор с дополнительными возможностями и индикаторами компрометации, такими как IP-адрес, подключенный к серверу управления. Анализ включает в себя запрос IP-адреса для получения дополнительной информации, выявление дополнительных серверов, связанных с кампанией, на основе атрибутов сертификата и HTTP-ответов, а также выявление потенциальных совпадений между семействами вредоносных программ WarmCookie и DarkGate для будущих исследований.
-----

В тексте обсуждается обновленная инфраструктура, связанная с вредоносной кампанией WarmCookie backdoor, о которой 30 сентября сообщила Gen Threat Labs. Новая волна кампании включает в себя использование взломанных веб-сайтов для распространения бэкдора WarmCookie, причем в обновленной версии бэкдора были обнаружены дополнительные возможности. В тексте упоминаются индикаторы компрометации (IoC), включая IP-адрес, подключенный к серверу управления (C2).

Указанный IP-адрес, 38.180.91.117, размещен в сети Scalaxy B.V. ASN и имеет четыре открытых порта: 22, 443, 3389 и 8080. Запросив этот IP-адрес в Hunt, мы получили дополнительную информацию о его рабочем контексте, такую как конфигурации портов и история сертификатов. Анализ сертификатов и шаблонов ответов HTTP сыграл важную роль в определении инфраструктуры, связанной с обновленным бэкдором WarmCookie.

Дальнейшие исследования, основанные на атрибутах сертификата и ответах HTTP, привели к обнаружению шести дополнительных серверов, имеющих общие характеристики с исходным IP-адресом. Было обнаружено, что эти серверы были активны с конца сентября, что соответствует информации, указанной в ThreatFox и общедоступных отчетах.

Один из идентифицированных IP-адресов, 91.222.173.140, размещенный в SOLLUTIUM EU Sp z.o.o. ASN, был помечен как сервер DarkGate C2 с такими файлами, как Notepad++.exe и upd_1602649.msix активно общается с ним. Потенциальное совпадение между семействами вредоносных программ WarmCookie и DarkGate поднимает интересные вопросы для будущих исследований.

#ParsedReport #CompletenessMedium
17-10-2024

Bored BeaverTail Yacht Club - A Lazarus Lure

https://www.esentire.com/blog/bored-beavertail-yacht-club-a-lazarus-lure

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Invisibleferret

Victims:
Developer

Industry:
E-commerce

Geo:
North korea, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1105, T1566

IOCs:
File: 3
Hash: 1
Url: 22

Soft:
Visual Studio Code, cURL, vscode

Algorithms:
zip

Languages:
javascript, python

Links:
https://github.com/eSentire/iocs/blob/main/Lazarus/lazarus\_iocs\_10-15-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности упреждающего обнаружения угроз и принятия ответных мер, наряду с непрерывным обучением пользователей, для защиты от развивающихся киберугроз. В нем рассказывается о конкретном инциденте, когда eSentire отреагировала на загрузку пользователем вредоносного проекта NFT marketplace, что в конечном итоге продемонстрировало важность надежных решений для обеспечения безопасности конечных точек и сотрудничества между группами безопасности и специализированными подразделениями по исследованию угроз для защиты организаций от известных и возникающих угроз.
-----

В сентябре 2024 года eSentire отреагировала на инцидент с кибербезопасностью, связанный с загрузкой пользователем вредоносного проекта NFT marketplace с GitHub, что в конечном итоге предотвратило установку вредоносного по BeaverTail и перехват вредоносного ПО InvisibleFerret backdoor.

Этот инцидент был связан с северокорейскими злоумышленниками, в частности с группой, известной как Contagious Interview, которые использовали тактику TTP в отношении разработчиков программного обеспечения.

Этот инцидент подчеркивает важность надежных решений для обеспечения безопасности конечных точек, таких как обнаружение конечных точек и реагирование на них (EDR), а также обучение пользователей навыкам безопасности, позволяющим им эффективно распознавать сложные угрозы и реагировать на них.

Сотрудничество между группами безопасности и специализированными подразделениями по исследованию угроз имеет решающее значение для защиты организаций от известных и возникающих киберугроз.

#ParsedReport #CompletenessHigh
17-10-2024

Horns&Hooves Newsletter Delivers NetSupport RAT and BurnsRAT

https://securelist.ru/horns-n-hooves-campaign-delivering-netsupport-rat/110772

Report completeness: High

Actors/Campaigns:
Mustard_tempest
Ta569
Smartapesg

Threats:
Netsupportmanager_rat
Burnsrat
Bitsadmin_tool
Rms_tool
Dll_sideloading_technique
Rhadamanthys
Meduza

Industry:
Retail

Geo:
Russia, Germany

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1105, T1059.001, T1574.002, T1543.003, T1566.001

IOCs:
File: 34
Hash: 24
Url: 16
Command: 1
Registry: 1
Domain: 10
Path: 1
IP: 1

Soft:
curl, NSIS installer, Silverlight, OpenSSL, light Configuration Uti

Algorithms:
zip, rc4, md5

Languages:
jscript, powershell, javascript

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 11, table: 2, schema: 5, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о киберкампании под названием "Horns&Hooves", которая нацелена на частных пользователей, розничных торговцев и сервисные компании в России, используя вредоносные скрипты, замаскированные в электронных письмах, для установки NetSupport RAT, программного обеспечения для удаленного управления ПК, для скрытных операций. Злоумышленники со временем усовершенствовали свою тактику, изменив скрипты, методы распространения и форматы файлов, которые потенциально могут быть связаны с хакерской группой TA569, с основной целью получения удаленного доступа к зараженным компьютерам для осуществления вредоносных действий, таких как развертывание троянских программ-вымогателей.
-----

В тексте описывается киберкампания под названием Horns&Hooves ("Рога и копыта"), которая началась в марте 2023 года и нацелена в первую очередь на частных пользователей, розничных продавцов и сервисные компании в России. В рамках кампании используются вредоносные скрипты, замаскированные в ZIP-архивах в электронных письмах, которые выдаются за запросы и приложения от клиентов или партнеров. Скрипты с такими названиями, как "Запрос цен и предложений от индивидуального предпринимателя" или "Запрос предложений и цен от Общества с ограниченной ответственностью", загружают и устанавливают NetSupport RAT, программное обеспечение для удаленного управления ПК, которым злоумышленники могут злоупотреблять для скрытых операций.

Со временем злоумышленники внесли несколько изменений в вредоносные скрипты, в том числе изменили методы распространения и форматы файлов. Первоначально для сокрытия полезной нагрузки использовались документы-приманки в формате PNG, а позже были использованы файлы TXT и PDF. Скрипт загружает дополнительные файлы и в конечном итоге устанавливает NetSupport RAT, который устанавливает соединение с серверами, контролируемыми злоумышленником.

По мере продвижения кампании злоумышленники совершенствовали свои методы, такие как запутывание кода и встраивание ZIP-архивов с NetSupport RAT в скрипты вместо того, чтобы загружать их отдельно. Файлы лицензий, связанные со сборками NetSupport RAT, использованными в этой кампании, также были связаны с другими хакерскими группами, что позволяет предположить потенциальную связь с группой TA569. Анализ файлов конфигурации и сходства в тактике подтверждают эту связь, указывая на то, что за этой кампанией может стоять TA569.

Основной целью злоумышленников является получение удаленного доступа к зараженным машинам, что потенциально может привести к продаже доступа другим хакерским группам для осуществления различных вредоносных действий. В некоторых случаях NetSupport RAT использовался для установки вредоносных программ, таких как Rhadamanthys и Meduza, или для развертывания троянских программ-вымогателей. Со временем кампания развивалась, и злоумышленники адаптировали свою тактику и инструменты, чтобы повысить эффективность и избежать обнаружения.

#ParsedReport #CompletenessHigh
18-10-2024

ClickFix tactic: The Phantom Meet

https://blog.sekoia.io/clickfix-tactic-the-phantom-meet

Report completeness: High

Actors/Campaigns:
Ta571
Belialdemon
Slavic_nation_empire (motivation: cyber_criminal)
Scamquerteo
Markopolo (motivation: cyber_criminal)
Cryptolove
Sparkhash
Mp-4

Threats:
Clickfix_technique
Clearfake
Netsupportmanager_rat
Darkgate
Lumma_stealer
Stealc
Rhadamanthys
Bitsadmin_tool
Hijackloader
Traffer_technique
Amos_stealer

Industry:
Logistic, Financial

Geo:
Poland, America

ChatGPT TTPs:
do not use without manual check
T1566, T1059.001, T1105, T1204.002, T1064

IOCs:
Domain: 154
Url: 14
Hash: 4
File: 4
IP: 4

Soft:
macOS, Google Chrome, Telegram, Zoom

Algorithms:
sha256

Languages:
javascript, powershell, php, python

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/clickfix\_fake\_google\_meet/clickfix\_fake\_google\_meet\_iocs\_20241017.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и анализе тактики ClickFix, которая заключается в обмане пользователей поддельными сообщениями об ошибках в веб-браузерах для выполнения вредоносного кода PowerShell, приводящего к заражению системы. Различные хакерские группы, такие как TA571, используют ClickFix в фишинговых кампаниях по электронной почте для распространения вредоносных программ, таких как инфокрады, ботнеты и средства удаленного доступа, с помощью различных методов, включая фишинговые электронные письма и взломанные веб-сайты. Эта тактика использовалась в кампаниях, нацеленных на различные сектора, с акцентом на определенные отрасли и конкретные группы, такие как разработчики. Ниже представлены технические подробности о кластерах ClickFix, которые выдают себя за платформы, такие как Google Meet, и демонстрируют распространение вредоносного ПО и причастность к киберпреступности групп. Расследование также выявило, что команды трейдеров, связанные с ClickFix clusters, нацеливались на криптовалютные активы, приложения Web3 и пользователей NFT.
-----

В сообщении в блоге представлен подробный обзор новой тактики ClickFix, применяемой с мая 2024 года, которая включает отображение поддельных сообщений об ошибках в веб-браузерах с целью обмана пользователей и выполнения вредоносного кода PowerShell, что приводит к заражению системы. Эта тактика, названная исследователями Proofpoint ClickFix, в основном использовалась брокером начального доступа TA571 в фишинговых кампаниях по электронной почте. Различные кампании по распространению вредоносных программ использовали ClickFix для распространения инфокрадов, ботнетов и средств удаленного доступа, что соответствует растущей тенденции распространения вредоносных программ путем загрузки с машин.

Было выявлено множество кампаний ClickFix, нацеленных на различные сектора и отрасли промышленности, при этом некоторые кампании были специально нацелены на такие отрасли, как транспорт и логистика, или на разработчиков с помощью проблем с GitHub. Кампании часто включают фишинговые электронные письма, взломанные веб-сайты и различные методы распространения вредоносного ПО. Например, кластер ClickFix, выдающий себя за Google Meet, был связан с такими киберпреступными группами, как "Империя славянской нации (SNE)" и "Мошенничество"..

Приводятся технические подробности о кластере ClickFix, использующем поддельные страницы видеоконференций Google Meet для распространения инфокрадов, нацеленных как на системы Windows, так и на macOS. В кластере использовались фишинговые URL-адреса, имитирующие законные страницы собраний, и содержался запутанный VBScript, который загружал и выполнял вредоносную полезную нагрузку, уведомляя сервер управления (C2) о завершении работы. В кампании были задействованы такие полезные устройства, как Stealc и Rhadamanthys, что указывает на участие группы Slavic Nation Empire.

Кроме того, инфраструктура, связанная с кластером ClickFix, выдающим себя за Google Meet, была обнаружена с помощью пассивного поиска в DNS, Whois и сходства HTML. Эта инфраструктура включала веб-страницы, выдающие себя за различные платформы и приложения, такие как Zoom, видеоигры, офисное программное обеспечение и приложения Web3, распространяющие вредоносное ПО, такое как Stealc, Rhadamanthys и AMOS Stealer, среди игровых сообществ Web3.

Расследование деятельности команд трейдеров, стоящих за кластерами ClickFix, выявило, что они нацелены на криптовалютные активы, приложения Web3, децентрализованные финансы и пользователей NFT. Команды торговцев людьми, такие как "Империя славянской нации (SNE)" и "Скамкертео", используют схожие тактики социальной инженерии, указывающие на общие ресурсы и инфраструктуру, возможно, как часть более крупной русскоязычной экосистемы киберпреступности.

#ParsedReport #CompletenessLow
18-10-2024

Bocklit - Fake LockBit, Real Damage: Ransomware Samples Abuse AWS S3 to Steal Data

https://www.trendmicro.com/en_us/research/24/j/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html

Report completeness: Low

Threats:
Bocklit_ransomware
Lockbit
Qilin_ransomware
Shadow_copies_delete_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1048, T1140, T1112, T1486

IOCs:
Hash: 39
File: 7
Domain: 2

Soft:
MacOS

Algorithms:
md5, base64, aes-ctr, aes

Win API:
SystemParametersInfoW

Win Services:
bits

Languages:
golang

Links:
have more...
https://github.com/aws/aws-sdk-go-v2
https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/feature/s3/manager#Uploader.Upload
https://github.com/NextronSystems/ransomware-simulator/blob/master/lib/shadowcopy/shadowcopy.go

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4