#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе недавних кампаний Latrodectus, в которых подробно описывается использование фишинговых электронных писем, вредоносных вложений, методов скрытой доставки вредоносных программ и нацеливания на такие секторы, как финансы, автомобилестроение и здравоохранение. В отчете также освещаются методы и инфраструктура, используемые злоумышленниками, такие как внедрение вредоносных программ с помощью взлома электронной почты, скрытого кода JavaScript, файлов MSI и серверов C2, а также сочетание старых и новых тактик для повышения эффективности кампании и избежания обнаружения. Кроме того, в нем подчеркиваются защитные меры, принимаемые Forcepoint для защиты клиентов от атак Latrodectus на различных этапах жизненного цикла угроз.
-----

Latrodectus осуществляет вредоносную деятельность, нацеленную на такие секторы, как финансы, автомобилестроение и здравоохранение, используя фишинговые электронные письма в качестве основного способа распространения.

Вредоносное ПО, используемое в кампании, рассчитано на скрытность и стойкость, что затрудняет его обнаружение и уничтожение.

Злоумышленники все чаще используют Latrodectus и распространенные форматы вложений, такие как HTML и PDF, для доставки вредоносной полезной информации.

Вредоносный JavaScript-код затемняется, чтобы затруднить анализ и обнаружение, инициируя загрузку и выполнение MSI-файла, который удаляет вредоносную 64-разрядную версию .dll-файл в каталоге %appdata%.

Злоумышленники используют методы фишинга, включая фишинговую HTML-страницу, замаскированную под документ Word, чтобы обманом заставить пользователей выполнить встроенный вредоносный код JavaScript.

Кампания Latrodectus сочетает в себе старые и новые тактики, используя устаревшую инфраструктуру наряду с инновационными методами распространения вредоносных программ в обход современных мер безопасности.

Клиенты Forcepoint защищены от этой угрозы, выявляя и блокируя вредоносные вложения, сокращенные URL-адреса, файлы-переносчики и сообщения C2 на различных этапах атаки.

#ParsedReport #CompletenessMedium
20-10-2024

Larva-24009 Spear Phishing Attack Case Report

https://asec.ahnlab.com/ko/83927

Report completeness: Medium

Actors/Campaigns:
Larva-24009 (motivation: information_theft)

Threats:
Spear-phishing_technique
Njrat
Quasar_rat
Ultra_vnc_tool

Industry:
Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.001, T1105, T1219

IOCs:
Hash: 5
Url: 5
IP: 1

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания ASEC, занимающаяся кибербезопасностью, выявила злоумышленника по имени Larva-24009, который проводит фишинговые атаки, нацеленные как на отечественных, так и на зарубежных пользователей. Злоумышленник действует с 2023 года, первоначально он был нацелен на зарубежные цели, но теперь заражает и отечественных пользователей. Злоумышленник использует вредоносное ПО LNK в фишинговых электронных письмах, чтобы получить удаленный контроль над скомпрометированными системами, используя вредоносное ПО PowerShell для сохранения и контроля. Цели включают блокчейн, музыку и здравоохранение, при этом злоумышленники используют в своих атаках различные скрипты PowerShell и коммерческие инструменты, такие как njRAT и QuasarRAT.
-----

ASEC выявила злоумышленника Larva-24009, который совершал фишинговые атаки, нацеленные как на внутренних, так и на зарубежных пользователей. Этот злоумышленник действует с 2023 года и изначально был нацелен в основном на зарубежные цели. Однако были подтверждены случаи заражения среди внутренних пользователей. Конкретные подробности о злоумышленнике остаются неизвестными, а цели не были подробно задокументированы, хотя в качестве целей были определены блокчейн, музыка и здравоохранение. Злоумышленники начинают свою кампанию с точечных фишинговых атак с использованием вредоносного ПО LNK, в конечном итоге устанавливая вредоносное ПО для кражи информации и получения удаленного контроля над скомпрометированными системами. Они используют самостоятельно созданное вредоносное ПО PowerShell для обеспечения устойчивости и контроля над зараженными системами.

Метод действий злоумышленника Larva-24009 начинается с фишинговых атак с использованием вредоносного ПО LNK, встроенного во вложения электронной почты вместе с файлами изображений или документов. При открытии файла документа в файле LNK выполняется вредоносная команда PowerShell. Злоумышленник выделяется тем, что использует различные сценарии PowerShell, которые выполняются в несколько этапов и часто служат для загрузки дополнительной полезной нагрузки или выполнения команд. Злоумышленники использовали коммерческие инструменты для захвата зараженных систем, ранее они использовали njRAT, а в последнее время - QuasarRAT. В ходе внутренних атак были зарегистрированы случаи установки серверов UltraVNC.

#ParsedReport #CompletenessLow
20-10-2024

Weekly Phishing Email Distribution Cases (2024/10/06\~2024/10/12)

https://asec.ahnlab.com/ko/83929

Report completeness: Low

Industry:
Transport, Financial, Healthcare, Nuclear_power, Logistic

Geo:
Korea, Czech

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1105

IOCs:
File: 28
Hash: 5
Url: 4

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту, нацеленных на электронные письма с вложениями. Эти атаки использовали различные названия электронных писем, вложения и URL-адреса для обмана получателей и были направлены на то, чтобы направить жертв на поддельные страницы входа в систему для распространения вредоносного ПО и создания черного хода для доступа к системам. Атаки включали уникальные идентификаторы для персонализации фишинговых электронных писем и индикаторы компрометации (IoC), связанные с кампанией, такие как значения MD5 и URL-адреса для целей управления (C2).
-----

В период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту со специфическими схемами рассылки. Целью этих атак были электронные письма с вложениями, в которых использовались различные названия электронных писем, вложения и URL-адреса для обмана получателей. Фишинговые электронные письма были направлены на то, чтобы перенаправить жертв на поддельные страницы входа в систему и распространить различные типы вредоносных программ, в том числе связанных с утечкой информации, загрузкой вредоносного контента, использованием уязвимостей и созданием черного хода для доступа к системам.

Случаи рассылки, описанные в статье, касались фишинговых электронных писем, содержащих вложения. Заголовки электронных писем и названия вложений часто включали уникальные идентификаторы, которые могли отличаться в зависимости от получателя электронного письма. Эти уникальные идентификаторы помогали персонализировать атаки и потенциально увеличивали шансы на успех в обмане жертв.

В сообщении были указаны показатели компрометации (IoC), связанные с фишинговой кампанией. Значения MD5, указанные в IoC, представляли собой хэши фишинговых страниц и вредоносных программ, прикрепленных к электронным письмам. Кроме того, URL-адреса, указанные в IoC, служили информацией для управления (C2), которая могла быть использована злоумышленниками для получения сведений об учетной записи пользователя через фишинговые страницы.

#ParsedReport #CompletenessLow
20-10-2024

Fake "Fix It" Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan

https://blog.sucuri.net/2024/10/fake-fix-it-pop-ups-target-wordpress-sites-via-malicious-plugin-to-download-trojan.html

Report completeness: Low

Victims:
Wordpress sites

ChatGPT TTPs:
do not use without manual check
T1204, T1059.001, T1105, T1203

IOCs:
File: 4
Url: 1

Soft:
WordPress, Windows PowerShell, Windows Defender

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание недавней вредоносной кампании, нацеленной на сайты WordPress, где пользователей обманом заставляют запускать поддельное обновление браузера, которое на самом деле устанавливает троянца на их компьютеры. Вредоносная кампания включает в себя поддельные всплывающие окна на взломанных веб-сайтах, которые заставляют пользователей загружать и выполнять вредоносный код в PowerShell, что приводит к установке троянской программы. В тексте также подчеркивается важность обращения за помощью к опытным аналитикам безопасности для очистки зараженных веб-сайтов и предотвращения серьезных последствий, таких как кража данных или удаленное управление компьютерами. Кроме того, в нем рассказывается о Пудже Шриваставе, аналитике по безопасности, специализирующемся на исследованиях вредоносных программ, который может помочь в обнаружении и удалении вредоносных программ с веб-сайтов.
-----

В тексте описывается недавняя вредоносная кампания, нацеленная на сайты WordPress, которая представляет себя как поддельное обновление браузера. Вредоносная программа, идентифицированная SiteCheck как malware.fake_update.7, представляет собой троянскую программу, которая заражает пользователей после того, как они обманным путем запускают ее через поддельные всплывающие окна на взломанных веб-сайтах. В настоящее время известно, что 31 сайт заражен этой вредоносной программой.

Вредоносный код, ответственный за создание поддельных всплывающих окон, содержится в index.php файле плагина, который загружает JavaScript-файл с именем assets/popup.js. Этот JavaScript запускает появление всплывающего окна на веб-сайте, в котором пользователям предлагается нажать на кнопку с надписью "Как исправить", чтобы установить поддельный корневой сертификат. После нажатия кнопки пользователям предоставляются подробные инструкции по запуску вредоносных команд в PowerShell. Затем во втором всплывающем окне появляются инструкции по выполнению набора команд в Windows PowerShell Admin, которые копируются в буфер обмена пользователя, когда он нажимает кнопку копировать. При выполнении этих инструкций вредоносный код запускается в PowerShell, что приводит к загрузке и выполнению исполняемого файла, который загружает троянскую программу на компьютер пользователя.

Тот самый Setup.exe файл, загруженный с помощью этой вредоносной кампании, был помечен как вредоносный 21 поставщиком средств безопасности на сайте VirusTotal как Trojan.MSIL. Пользователи, которые непреднамеренно запускают сценарий PowerShell, рискуют столкнуться с серьезными последствиями, такими как кража данных, удаленное управление их компьютером или дальнейшая эксплуатация.

Кроме того, если есть подозрение, что веб-сайт заражен вредоносным ПО, пользователям рекомендуется обратиться за помощью к опытным аналитикам безопасности, которые могут помочь в устранении вредоносного ПО и восстановлении работы веб-сайта. Пуджа Шривастава, аналитик по безопасности, упомянутый в тексте, имеет более чем 7-летний опыт работы в области исследований вредоносных программ и обеспечения безопасности, специализируясь на обнаружении, мониторинге и удалении вредоносных программ с веб-сайтов. Этот специалист также выполняет такие обязанности, как устранение вредоносных программ, обучение, наставничество новых сотрудников и решение проблем в области кибербезопасности. В свободное от работы время Пуджа любит исследовать новые места и кухни, пробовать новые рецепты и играть в шахматы.

#ParsedReport #CompletenessLow
20-10-2024

How Adversaries Try to Interfere with the U.S. Election

https://intel471.com/blog/how-adversaries-try-to-interfere-with-the-u-s-election

Report completeness: Low

Actors/Campaigns:
Storm-1679
Volga_flood
Green_cicada
Spamouflage
Doppelgnger
Copycop
Rahdit
Charming_kitten
Apt42
Apt33
Irgc

Threats:
Spear-phishing_technique
China_cyber_puppetmaster
Supply_chain_technique

Victims:
Vice president kamala harris

Industry:
Education, Government, Healthcare, Military

Geo:
Chinese, American, Asia, Iranians, Russians, Ukraine, Russian, India, Iran, Russia, China, Middle east, Australia, Japan, Iranian

ChatGPT TTPs:
do not use without manual check
T1027

Soft:
discord, outlook

Platforms:
intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что предстоящие в 2024 году президентские выборы в США считаются чрезвычайно важными во всем мире, поскольку различные страны, такие как Китай, Иран и Россия, активно предпринимают усилия по влиянию на исход выборов для продвижения своих стратегических интересов. Искусственный интеллект (ИИ) используется в качестве ключевого инструмента для вмешательства, а угрозы кибербезопасности, такие как фишинг, используются для доступа к информации. Правительство и разведывательные службы США активно отслеживают попытки иностранного вмешательства и принимают меры по противодействию им.
-----

2024 год - знаменательный год выборов, когда более чем в 60 странах проводятся национальные выборы.

Президентские выборы в США в ноябре 2024 года рассматриваются как имеющие большое значение для глобальной геополитики.

Авторитарные государства, такие как Китай, Иран и Россия, активно вмешиваются в выборы в США для продвижения своих стратегических интересов.

Россия считается наиболее активной в использовании кибертехнологий для влияния на выборы, уделяя особое внимание подрыву авторитета США в мире.

Усилия России направлены на то, чтобы повлиять на поддержку Западом Украины в условиях российско-украинского конфликта.

Иран предпочитает победу кандидата от демократической партии, но фокусируется на создании разногласий среди избирателей, а не на поддержке конкретного кандидата.

Китай стремится формировать экономическую и торговую политику и поддерживать доступ к американским технологиям и данным, не отдавая предпочтение какому-либо кандидату.

Эти страны используют искусственный интеллект (ИИ) для влияния на выборы, а российская группа Storm-1679 распространяет контент, созданный с помощью ИИ.

Злоумышленники часто используют тактику фишинга для получения несанкционированного доступа во время выборов.

Органы безопасности США активно отслеживают и предупреждают об иностранном вмешательстве, предпринимая усилия по выявлению и удалению дезинформации.

Были обнародованы обвинительные заключения в отношении российских и иранских лиц, причастных к влиянию на выборы в США, и введены санкции.

Участие Китая было оценено как умеренное, сосредоточенное на налаживании отношений с администрацией США и потенциальных инвестициях.

Россия отдает предпочтение переизбранию Трампа из-за его позиции по российско-украинскому конфликту, в то время как ожидается, что ближе ко дню выборов усилия Ирана по вмешательству усилятся.

#cyberthreattech #inseca #ctimeetup

Всем привет.
Вместе с командой INSECA провели второй митап для CTI-аналитиков.

Запись выступлений и презентации вот тут
https://inseca.tech/cti-meetup

00:02:44 "Livehunt своими руками. Какие технологии нужны, чтобы сделать автоматизированный pipeline обработки миллиона файлов?", Максим Похлёбин.
00:26:42 "Что мы хотим от TI платформ?", Константин Васильев
01:01:38 "CTI + BAS. Доверяй, но проверяй", Сергей Куприн
01:24:07 "А ты кто такой? Атрибуция и кластеризация акторов", Кирилл Митрофанов.
01:44:38 "Треды, хеши, два С2: чем на самом деле занимаются CTI-аналитики?", Олег Скулкин.
02:31:31 "Сбор и тэгирование разведданных посредством open-source и не только", Дмитрий Мин и Виктор Пронин.

#technique

This New Supply Chain Attack Technique Can Trojanize All Your CLI Commands

https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/

#technique

This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callbacks to generate a memory dump of the cloned process

https://github.com/Offensive-Panda/LsassReflectDumping

#technique

Introducing Early Cascade Injection: From Windows Process Creation to Stealthy Injection

https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/

#ParsedReport #CompletenessLow
21-10-2024

North Korean APT Kimsuky hackers use Gomir backdoor to attack Linux systems

https://www.ctfiot.com/210800.html

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Gomir
Gobear
Troll_stealer
Supply_chain_technique

Victims:
South korean government entities

Industry:
Government, Military

Geo:
North korea, Korean, American, North korean

ChatGPT TTPs:
do not use without manual check
T1105, T1505.003, T1053.003, T1543.002

Soft:
crontab, WeChat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении новой вредоносной программы для Linux под названием Gomir, связанной с северокорейской кибершпионажной группой Kimsuky. Вредоносная программа распространяется с помощью троянских установщиков программного обеспечения и имеет сходство с бэкдором GoBear. Эта новая угроза, наряду с использованием группой вредоносного программного обеспечения против южнокорейских организаций, подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и необходимость усиления мер кибербезопасности.
-----

Kimsuky, группа кибершпионажа, связанная с военной разведкой Северной Кореи, была подключена к новой вредоносной программе для Linux под названием Gomir, которая представляет собой вариант бэкдора GoBear, распространяемого через установщиков троянского программного обеспечения.

Gomir обладает общими характеристиками с GoBear, такими как прямая связь между командами и контролем (C2), механизмы сохранения и поддержка нескольких команд.

Вредоносная программа устанавливает постоянство, перемещая себя в "/var/log/syslogd", создавая системную службу с именем "syslogd" и настраивая команду crontab для выполнения перезагрузки системы.

Gomir позволяет выполнять 17 операций, запускаемых HTTP POST-запросами с сервера C2, включая приостановку связи, настройку обратного прокси-сервера и сообщение о конечной точке управления обратным прокси-сервером.

Северокорейские злоумышленники, такие как Kimsuky, сосредоточены на использовании троянских установщиков программного обеспечения для атак на цепочки поставок, нацеленных на южнокорейские предприятия.

Появление Gomir подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и важность надежных мер кибербезопасности для противодействия этим растущим угрозам во всем мире.