#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе недавно обнаруженной связанной с Китаем группы APT под названием IcePeony, в том числе их действий против правительственных учреждений, академических институтов и политических организаций в таких азиатских странах, как Индия, Маврикий и Вьетнам. Тактика группы включает в себя SQL-инъекции, веб-оболочки и бэкдоры, с акцентом на пользовательскую вредоносную программу IIS под названием IceCache. Выявленные операционные ошибки IcePeony позволили исследователям раскрыть их методы атаки, инструменты и рабочую среду, отражающие "культуру работы 996" в ИТ-индустрии Китая. О китайском происхождении группы свидетельствуют структуры кода, упрощенные комментарии на китайском языке и использование разработанных в Китае инструментов. В тексте подчеркивается важность мониторинга деятельности IcePeony для понимания их меняющейся тактики и потенциального расширения круга целей.
-----

IcePeony - это недавно созданная группа APT, связанная с Китаем и действующая как минимум с 2023 года, нацеленная на правительственные учреждения, академические институты и политические организации в таких странах, как Индия, Маврикий и Вьетнам.

Их атаки включают SQL-инъекции, развертывание веб-оболочек и бэкдоров с использованием пользовательской вредоносной программы IIS под названием "IceCache"..

Атаки IcePeony длятся несколько дней и включают в себя такие инструменты, как ProxyChains, StaX, а также вредоносные программы, такие как IceCache и IceEvent.

IceCache - это двоичный файл ELF64, разработанный в Golang, настроенный в reGeorge и работающий в основном на серверах IIS.

Инструменты IcePeony содержат упрощенные комментарии на китайском языке, указывающие на связь с китайскоязычным регионом, с акцентом на страны, соответствующие стратегическим интересам Китая.

Анализ показывает, что IcePeony работает в суровых условиях, возможно, связанных с "трудовой культурой 996", стремясь поддержать национальные интересы Китая посредством целенаправленного кибершпионажа.

Тщательный мониторинг деятельности IcePeony имеет решающее значение для понимания их меняющейся тактики и потенциальной экспансии за пределы азиатских стран.

#ParsedReport #CompletenessLow
19-10-2024

Part 2: Investigating Docker Hijacking Malware - A Deep Dive into ELF Binary Analysis. Malware Analysis

https://www.cadosecurity.com/blog/investigating-docker-hijacking-malware-a-deep-dive-into-elf-binary-analysis-part2

Report completeness: Low

Threats:
Upx_tool
Masscan_tool

Victims:
Docker environments

ChatGPT TTPs:
do not use without manual check
T1027, T1050, T1490

IOCs:
File: 3
Hash: 2
Email: 1

Soft:
Docker, nginx, ubuntu, bindiff

Languages:
rust

Platforms:
intel

YARA: Found

Links:
http://github.com/whalesburg/dero-stratum-miner

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем интересе киберпреступников к контейнерным средам, таким как Docker, из-за их широкого распространения и простоты использования неправильных конфигураций. В нем обсуждается, как злоумышленники используют упакованные двоичные файлы ELF для распространения вредоносной полезной нагрузки в контейнерных системах, уделяя особое внимание процессу выявления и анализа вредоносных программ на хостах Docker. В нем также освещаются проблемы, связанные с развитием угроз в среде Docker, и важность внедрения новых методов и инструментов для эффективной борьбы с продвинутыми угрозами, основанными на контейнерах.
-----

В тексте обсуждается растущий интерес киберпреступников к контейнерным средам, таким как Docker, в первую очередь из-за их широкого распространения и простоты использования неправильных конфигураций. В серии из двух частей, посвященной анализу вредоносных программ Docker, рассказывается о том, как злоумышленники используют упакованные двоичные файлы ELF для распространения вредоносной полезной нагрузки в контейнерных системах. В первой части серии рассказывается об использовании дисковых артефактов и автоматизированных средств для выявления подозрительной активности на хостах Docker. В отличие от этого, во второй части основное внимание уделяется проведению полного анализа вредоносного по двух упакованных двоичных файлов ELF, обнаруженных в ходе расследования.

В тексте упоминается, что двоичные файлы упакованы с использованием UPX, широко используемого упаковщика вредоносных программ. В нем отмечается, что злоумышленник удалил заголовок UPX из файла, что препятствует традиционным методам распаковки с использованием инструмента UPX. Следовательно, требуется ручная распаковка, включающая понимание того, как работает UPX, и навигацию по процессу распаковки исходного кода и создания нового распакованного файла ELF. В тексте дается техническая информация о процессе ручной распаковки, например, о выполнении определенных команд и инструментов, таких как GDB и strace, для подтверждения успешной распаковки.

Кроме того, в тексте подчеркивается важность опережения развития угроз в среде Docker, подчеркиваются проблемы, возникающие из-за того, что злоумышленники модифицируют методы упаковки, такие как UPX, чтобы избежать обнаружения. В нем также рассматривается растущее использование современных языков, таких как Go и Rust, при разработке вредоносных программ, что создает проблемы для статического анализа. Поскольку Docker остается важной мишенью для кибератак из-за уязвимостей и неправильных настроек, организациям рекомендуется внедрять новые методы и инструменты для эффективной борьбы с передовыми угрозами на основе контейнеров.

Кроме того, в тексте содержатся ссылки на конкретные детали проанализированного вредоносного ПО, указывающие на наличие функций криптомайнера, основанных на таких функциях, как mineblock, getwork и threadaffinity. Он связывает определенные символы в вредоносном ПО с криптовалютой под названием Dero и реализацией майнера с открытым исходным кодом под названием "dero-stratum-miner", найденной на GitHub. В ходе дальнейшего расследования было высказано предположение, что проанализированный двоичный файл, названный cloud, мог быть получен из реализации с открытым исходным кодом с минимальными изменениями. В тексте также упоминается использование таких инструментов, как bindiff, для сравнения полезной нагрузки злоумышленника с официальным двоичным файлом на предмет любых расхождений.

#ParsedReport #CompletenessLow
20-10-2024

Inside the Latrodectus Malware Campaign

https://www.forcepoint.com/blog/x-labs/inside-latrodectus-malware-phishing-campaign

Report completeness: Low

Threats:
Latrodectus
Icedid

Industry:
Transport, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1027, T1204.002, T1059.001, T1105, T1071.001

IOCs:
Url: 6
Domain: 10
File: 5
Path: 1
Command: 1
Hash: 7

Soft:
Microsoft Visual C++

Algorithms:
base64

Languages:
javascript, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 4, table: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе недавних кампаний Latrodectus, в которых подробно описывается использование фишинговых электронных писем, вредоносных вложений, методов скрытой доставки вредоносных программ и нацеливания на такие секторы, как финансы, автомобилестроение и здравоохранение. В отчете также освещаются методы и инфраструктура, используемые злоумышленниками, такие как внедрение вредоносных программ с помощью взлома электронной почты, скрытого кода JavaScript, файлов MSI и серверов C2, а также сочетание старых и новых тактик для повышения эффективности кампании и избежания обнаружения. Кроме того, в нем подчеркиваются защитные меры, принимаемые Forcepoint для защиты клиентов от атак Latrodectus на различных этапах жизненного цикла угроз.
-----

Latrodectus осуществляет вредоносную деятельность, нацеленную на такие секторы, как финансы, автомобилестроение и здравоохранение, используя фишинговые электронные письма в качестве основного способа распространения.

Вредоносное ПО, используемое в кампании, рассчитано на скрытность и стойкость, что затрудняет его обнаружение и уничтожение.

Злоумышленники все чаще используют Latrodectus и распространенные форматы вложений, такие как HTML и PDF, для доставки вредоносной полезной информации.

Вредоносный JavaScript-код затемняется, чтобы затруднить анализ и обнаружение, инициируя загрузку и выполнение MSI-файла, который удаляет вредоносную 64-разрядную версию .dll-файл в каталоге %appdata%.

Злоумышленники используют методы фишинга, включая фишинговую HTML-страницу, замаскированную под документ Word, чтобы обманом заставить пользователей выполнить встроенный вредоносный код JavaScript.

Кампания Latrodectus сочетает в себе старые и новые тактики, используя устаревшую инфраструктуру наряду с инновационными методами распространения вредоносных программ в обход современных мер безопасности.

Клиенты Forcepoint защищены от этой угрозы, выявляя и блокируя вредоносные вложения, сокращенные URL-адреса, файлы-переносчики и сообщения C2 на различных этапах атаки.

#ParsedReport #CompletenessMedium
20-10-2024

Larva-24009 Spear Phishing Attack Case Report

https://asec.ahnlab.com/ko/83927

Report completeness: Medium

Actors/Campaigns:
Larva-24009 (motivation: information_theft)

Threats:
Spear-phishing_technique
Njrat
Quasar_rat
Ultra_vnc_tool

Industry:
Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.001, T1105, T1219

IOCs:
Hash: 5
Url: 5
IP: 1

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания ASEC, занимающаяся кибербезопасностью, выявила злоумышленника по имени Larva-24009, который проводит фишинговые атаки, нацеленные как на отечественных, так и на зарубежных пользователей. Злоумышленник действует с 2023 года, первоначально он был нацелен на зарубежные цели, но теперь заражает и отечественных пользователей. Злоумышленник использует вредоносное ПО LNK в фишинговых электронных письмах, чтобы получить удаленный контроль над скомпрометированными системами, используя вредоносное ПО PowerShell для сохранения и контроля. Цели включают блокчейн, музыку и здравоохранение, при этом злоумышленники используют в своих атаках различные скрипты PowerShell и коммерческие инструменты, такие как njRAT и QuasarRAT.
-----

ASEC выявила злоумышленника Larva-24009, который совершал фишинговые атаки, нацеленные как на внутренних, так и на зарубежных пользователей. Этот злоумышленник действует с 2023 года и изначально был нацелен в основном на зарубежные цели. Однако были подтверждены случаи заражения среди внутренних пользователей. Конкретные подробности о злоумышленнике остаются неизвестными, а цели не были подробно задокументированы, хотя в качестве целей были определены блокчейн, музыка и здравоохранение. Злоумышленники начинают свою кампанию с точечных фишинговых атак с использованием вредоносного ПО LNK, в конечном итоге устанавливая вредоносное ПО для кражи информации и получения удаленного контроля над скомпрометированными системами. Они используют самостоятельно созданное вредоносное ПО PowerShell для обеспечения устойчивости и контроля над зараженными системами.

Метод действий злоумышленника Larva-24009 начинается с фишинговых атак с использованием вредоносного ПО LNK, встроенного во вложения электронной почты вместе с файлами изображений или документов. При открытии файла документа в файле LNK выполняется вредоносная команда PowerShell. Злоумышленник выделяется тем, что использует различные сценарии PowerShell, которые выполняются в несколько этапов и часто служат для загрузки дополнительной полезной нагрузки или выполнения команд. Злоумышленники использовали коммерческие инструменты для захвата зараженных систем, ранее они использовали njRAT, а в последнее время - QuasarRAT. В ходе внутренних атак были зарегистрированы случаи установки серверов UltraVNC.

#ParsedReport #CompletenessLow
20-10-2024

Weekly Phishing Email Distribution Cases (2024/10/06\~2024/10/12)

https://asec.ahnlab.com/ko/83929

Report completeness: Low

Industry:
Transport, Financial, Healthcare, Nuclear_power, Logistic

Geo:
Korea, Czech

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1105

IOCs:
File: 28
Hash: 5
Url: 4

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту, нацеленных на электронные письма с вложениями. Эти атаки использовали различные названия электронных писем, вложения и URL-адреса для обмана получателей и были направлены на то, чтобы направить жертв на поддельные страницы входа в систему для распространения вредоносного ПО и создания черного хода для доступа к системам. Атаки включали уникальные идентификаторы для персонализации фишинговых электронных писем и индикаторы компрометации (IoC), связанные с кампанией, такие как значения MD5 и URL-адреса для целей управления (C2).
-----

В период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту со специфическими схемами рассылки. Целью этих атак были электронные письма с вложениями, в которых использовались различные названия электронных писем, вложения и URL-адреса для обмана получателей. Фишинговые электронные письма были направлены на то, чтобы перенаправить жертв на поддельные страницы входа в систему и распространить различные типы вредоносных программ, в том числе связанных с утечкой информации, загрузкой вредоносного контента, использованием уязвимостей и созданием черного хода для доступа к системам.

Случаи рассылки, описанные в статье, касались фишинговых электронных писем, содержащих вложения. Заголовки электронных писем и названия вложений часто включали уникальные идентификаторы, которые могли отличаться в зависимости от получателя электронного письма. Эти уникальные идентификаторы помогали персонализировать атаки и потенциально увеличивали шансы на успех в обмане жертв.

В сообщении были указаны показатели компрометации (IoC), связанные с фишинговой кампанией. Значения MD5, указанные в IoC, представляли собой хэши фишинговых страниц и вредоносных программ, прикрепленных к электронным письмам. Кроме того, URL-адреса, указанные в IoC, служили информацией для управления (C2), которая могла быть использована злоумышленниками для получения сведений об учетной записи пользователя через фишинговые страницы.

#ParsedReport #CompletenessLow
20-10-2024

Fake "Fix It" Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan

https://blog.sucuri.net/2024/10/fake-fix-it-pop-ups-target-wordpress-sites-via-malicious-plugin-to-download-trojan.html

Report completeness: Low

Victims:
Wordpress sites

ChatGPT TTPs:
do not use without manual check
T1204, T1059.001, T1105, T1203

IOCs:
File: 4
Url: 1

Soft:
WordPress, Windows PowerShell, Windows Defender

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание недавней вредоносной кампании, нацеленной на сайты WordPress, где пользователей обманом заставляют запускать поддельное обновление браузера, которое на самом деле устанавливает троянца на их компьютеры. Вредоносная кампания включает в себя поддельные всплывающие окна на взломанных веб-сайтах, которые заставляют пользователей загружать и выполнять вредоносный код в PowerShell, что приводит к установке троянской программы. В тексте также подчеркивается важность обращения за помощью к опытным аналитикам безопасности для очистки зараженных веб-сайтов и предотвращения серьезных последствий, таких как кража данных или удаленное управление компьютерами. Кроме того, в нем рассказывается о Пудже Шриваставе, аналитике по безопасности, специализирующемся на исследованиях вредоносных программ, который может помочь в обнаружении и удалении вредоносных программ с веб-сайтов.
-----

В тексте описывается недавняя вредоносная кампания, нацеленная на сайты WordPress, которая представляет себя как поддельное обновление браузера. Вредоносная программа, идентифицированная SiteCheck как malware.fake_update.7, представляет собой троянскую программу, которая заражает пользователей после того, как они обманным путем запускают ее через поддельные всплывающие окна на взломанных веб-сайтах. В настоящее время известно, что 31 сайт заражен этой вредоносной программой.

Вредоносный код, ответственный за создание поддельных всплывающих окон, содержится в index.php файле плагина, который загружает JavaScript-файл с именем assets/popup.js. Этот JavaScript запускает появление всплывающего окна на веб-сайте, в котором пользователям предлагается нажать на кнопку с надписью "Как исправить", чтобы установить поддельный корневой сертификат. После нажатия кнопки пользователям предоставляются подробные инструкции по запуску вредоносных команд в PowerShell. Затем во втором всплывающем окне появляются инструкции по выполнению набора команд в Windows PowerShell Admin, которые копируются в буфер обмена пользователя, когда он нажимает кнопку копировать. При выполнении этих инструкций вредоносный код запускается в PowerShell, что приводит к загрузке и выполнению исполняемого файла, который загружает троянскую программу на компьютер пользователя.

Тот самый Setup.exe файл, загруженный с помощью этой вредоносной кампании, был помечен как вредоносный 21 поставщиком средств безопасности на сайте VirusTotal как Trojan.MSIL. Пользователи, которые непреднамеренно запускают сценарий PowerShell, рискуют столкнуться с серьезными последствиями, такими как кража данных, удаленное управление их компьютером или дальнейшая эксплуатация.

Кроме того, если есть подозрение, что веб-сайт заражен вредоносным ПО, пользователям рекомендуется обратиться за помощью к опытным аналитикам безопасности, которые могут помочь в устранении вредоносного ПО и восстановлении работы веб-сайта. Пуджа Шривастава, аналитик по безопасности, упомянутый в тексте, имеет более чем 7-летний опыт работы в области исследований вредоносных программ и обеспечения безопасности, специализируясь на обнаружении, мониторинге и удалении вредоносных программ с веб-сайтов. Этот специалист также выполняет такие обязанности, как устранение вредоносных программ, обучение, наставничество новых сотрудников и решение проблем в области кибербезопасности. В свободное от работы время Пуджа любит исследовать новые места и кухни, пробовать новые рецепты и играть в шахматы.

#ParsedReport #CompletenessLow
20-10-2024

How Adversaries Try to Interfere with the U.S. Election

https://intel471.com/blog/how-adversaries-try-to-interfere-with-the-u-s-election

Report completeness: Low

Actors/Campaigns:
Storm-1679
Volga_flood
Green_cicada
Spamouflage
Doppelgnger
Copycop
Rahdit
Charming_kitten
Apt42
Apt33
Irgc

Threats:
Spear-phishing_technique
China_cyber_puppetmaster
Supply_chain_technique

Victims:
Vice president kamala harris

Industry:
Education, Government, Healthcare, Military

Geo:
Chinese, American, Asia, Iranians, Russians, Ukraine, Russian, India, Iran, Russia, China, Middle east, Australia, Japan, Iranian

ChatGPT TTPs:
do not use without manual check
T1027

Soft:
discord, outlook

Platforms:
intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что предстоящие в 2024 году президентские выборы в США считаются чрезвычайно важными во всем мире, поскольку различные страны, такие как Китай, Иран и Россия, активно предпринимают усилия по влиянию на исход выборов для продвижения своих стратегических интересов. Искусственный интеллект (ИИ) используется в качестве ключевого инструмента для вмешательства, а угрозы кибербезопасности, такие как фишинг, используются для доступа к информации. Правительство и разведывательные службы США активно отслеживают попытки иностранного вмешательства и принимают меры по противодействию им.
-----

2024 год - знаменательный год выборов, когда более чем в 60 странах проводятся национальные выборы.

Президентские выборы в США в ноябре 2024 года рассматриваются как имеющие большое значение для глобальной геополитики.

Авторитарные государства, такие как Китай, Иран и Россия, активно вмешиваются в выборы в США для продвижения своих стратегических интересов.

Россия считается наиболее активной в использовании кибертехнологий для влияния на выборы, уделяя особое внимание подрыву авторитета США в мире.

Усилия России направлены на то, чтобы повлиять на поддержку Западом Украины в условиях российско-украинского конфликта.

Иран предпочитает победу кандидата от демократической партии, но фокусируется на создании разногласий среди избирателей, а не на поддержке конкретного кандидата.

Китай стремится формировать экономическую и торговую политику и поддерживать доступ к американским технологиям и данным, не отдавая предпочтение какому-либо кандидату.

Эти страны используют искусственный интеллект (ИИ) для влияния на выборы, а российская группа Storm-1679 распространяет контент, созданный с помощью ИИ.

Злоумышленники часто используют тактику фишинга для получения несанкционированного доступа во время выборов.

Органы безопасности США активно отслеживают и предупреждают об иностранном вмешательстве, предпринимая усилия по выявлению и удалению дезинформации.

Были обнародованы обвинительные заключения в отношении российских и иранских лиц, причастных к влиянию на выборы в США, и введены санкции.

Участие Китая было оценено как умеренное, сосредоточенное на налаживании отношений с администрацией США и потенциальных инвестициях.

Россия отдает предпочтение переизбранию Трампа из-за его позиции по российско-украинскому конфликту, в то время как ожидается, что ближе ко дню выборов усилия Ирана по вмешательству усилятся.

#cyberthreattech #inseca #ctimeetup

Всем привет.
Вместе с командой INSECA провели второй митап для CTI-аналитиков.

Запись выступлений и презентации вот тут
https://inseca.tech/cti-meetup

00:02:44 "Livehunt своими руками. Какие технологии нужны, чтобы сделать автоматизированный pipeline обработки миллиона файлов?", Максим Похлёбин.
00:26:42 "Что мы хотим от TI платформ?", Константин Васильев
01:01:38 "CTI + BAS. Доверяй, но проверяй", Сергей Куприн
01:24:07 "А ты кто такой? Атрибуция и кластеризация акторов", Кирилл Митрофанов.
01:44:38 "Треды, хеши, два С2: чем на самом деле занимаются CTI-аналитики?", Олег Скулкин.
02:31:31 "Сбор и тэгирование разведданных посредством open-source и не только", Дмитрий Мин и Виктор Пронин.