CTT Report Hub
#ParsedReport #CompletenessLow 20-10-2024 Weekly Phishing Email Distribution Cases (2024/10/06\~2024/10/12) https://asec.ahnlab.com/ko/83929 Report completeness: Low Industry: Transport, Financial, Healthcare, Nuclear_power, Logistic Geo: Korea, Czech…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту, нацеленных на электронные письма с вложениями. Эти атаки использовали различные названия электронных писем, вложения и URL-адреса для обмана получателей и были направлены на то, чтобы направить жертв на поддельные страницы входа в систему для распространения вредоносного ПО и создания черного хода для доступа к системам. Атаки включали уникальные идентификаторы для персонализации фишинговых электронных писем и индикаторы компрометации (IoC), связанные с кампанией, такие как значения MD5 и URL-адреса для целей управления (C2).
-----
В период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту со специфическими схемами рассылки. Целью этих атак были электронные письма с вложениями, в которых использовались различные названия электронных писем, вложения и URL-адреса для обмана получателей. Фишинговые электронные письма были направлены на то, чтобы перенаправить жертв на поддельные страницы входа в систему и распространить различные типы вредоносных программ, в том числе связанных с утечкой информации, загрузкой вредоносного контента, использованием уязвимостей и созданием черного хода для доступа к системам.
Случаи рассылки, описанные в статье, касались фишинговых электронных писем, содержащих вложения. Заголовки электронных писем и названия вложений часто включали уникальные идентификаторы, которые могли отличаться в зависимости от получателя электронного письма. Эти уникальные идентификаторы помогали персонализировать атаки и потенциально увеличивали шансы на успех в обмане жертв.
В сообщении были указаны показатели компрометации (IoC), связанные с фишинговой кампанией. Значения MD5, указанные в IoC, представляли собой хэши фишинговых страниц и вредоносных программ, прикрепленных к электронным письмам. Кроме того, URL-адреса, указанные в IoC, служили информацией для управления (C2), которая могла быть использована злоумышленниками для получения сведений об учетной записи пользователя через фишинговые страницы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту, нацеленных на электронные письма с вложениями. Эти атаки использовали различные названия электронных писем, вложения и URL-адреса для обмана получателей и были направлены на то, чтобы направить жертв на поддельные страницы входа в систему для распространения вредоносного ПО и создания черного хода для доступа к системам. Атаки включали уникальные идентификаторы для персонализации фишинговых электронных писем и индикаторы компрометации (IoC), связанные с кампанией, такие как значения MD5 и URL-адреса для целей управления (C2).
-----
В период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту со специфическими схемами рассылки. Целью этих атак были электронные письма с вложениями, в которых использовались различные названия электронных писем, вложения и URL-адреса для обмана получателей. Фишинговые электронные письма были направлены на то, чтобы перенаправить жертв на поддельные страницы входа в систему и распространить различные типы вредоносных программ, в том числе связанных с утечкой информации, загрузкой вредоносного контента, использованием уязвимостей и созданием черного хода для доступа к системам.
Случаи рассылки, описанные в статье, касались фишинговых электронных писем, содержащих вложения. Заголовки электронных писем и названия вложений часто включали уникальные идентификаторы, которые могли отличаться в зависимости от получателя электронного письма. Эти уникальные идентификаторы помогали персонализировать атаки и потенциально увеличивали шансы на успех в обмане жертв.
В сообщении были указаны показатели компрометации (IoC), связанные с фишинговой кампанией. Значения MD5, указанные в IoC, представляли собой хэши фишинговых страниц и вредоносных программ, прикрепленных к электронным письмам. Кроме того, URL-адреса, указанные в IoC, служили информацией для управления (C2), которая могла быть использована злоумышленниками для получения сведений об учетной записи пользователя через фишинговые страницы.
#ParsedReport #CompletenessLow
20-10-2024
Fake "Fix It" Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan
https://blog.sucuri.net/2024/10/fake-fix-it-pop-ups-target-wordpress-sites-via-malicious-plugin-to-download-trojan.html
Report completeness: Low
Victims:
Wordpress sites
ChatGPT TTPs:
T1204, T1059.001, T1105, T1203
IOCs:
File: 4
Url: 1
Soft:
WordPress, Windows PowerShell, Windows Defender
Languages:
javascript, powershell
20-10-2024
Fake "Fix It" Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan
https://blog.sucuri.net/2024/10/fake-fix-it-pop-ups-target-wordpress-sites-via-malicious-plugin-to-download-trojan.html
Report completeness: Low
Victims:
Wordpress sites
ChatGPT TTPs:
do not use without manual checkT1204, T1059.001, T1105, T1203
IOCs:
File: 4
Url: 1
Soft:
WordPress, Windows PowerShell, Windows Defender
Languages:
javascript, powershell
Sucuri Blog
Fake “Fix It” Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan
Malicious plugins disguised as 'fix it' pop-ups are targeting WordPress sites. Find out how to identify and prevent Trojan infections.
CTT Report Hub
#ParsedReport #CompletenessLow 20-10-2024 Fake "Fix It" Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan https://blog.sucuri.net/2024/10/fake-fix-it-pop-ups-target-wordpress-sites-via-malicious-plugin-to-download-trojan.html Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание недавней вредоносной кампании, нацеленной на сайты WordPress, где пользователей обманом заставляют запускать поддельное обновление браузера, которое на самом деле устанавливает троянца на их компьютеры. Вредоносная кампания включает в себя поддельные всплывающие окна на взломанных веб-сайтах, которые заставляют пользователей загружать и выполнять вредоносный код в PowerShell, что приводит к установке троянской программы. В тексте также подчеркивается важность обращения за помощью к опытным аналитикам безопасности для очистки зараженных веб-сайтов и предотвращения серьезных последствий, таких как кража данных или удаленное управление компьютерами. Кроме того, в нем рассказывается о Пудже Шриваставе, аналитике по безопасности, специализирующемся на исследованиях вредоносных программ, который может помочь в обнаружении и удалении вредоносных программ с веб-сайтов.
-----
В тексте описывается недавняя вредоносная кампания, нацеленная на сайты WordPress, которая представляет себя как поддельное обновление браузера. Вредоносная программа, идентифицированная SiteCheck как malware.fake_update.7, представляет собой троянскую программу, которая заражает пользователей после того, как они обманным путем запускают ее через поддельные всплывающие окна на взломанных веб-сайтах. В настоящее время известно, что 31 сайт заражен этой вредоносной программой.
Вредоносный код, ответственный за создание поддельных всплывающих окон, содержится в index.php файле плагина, который загружает JavaScript-файл с именем assets/popup.js. Этот JavaScript запускает появление всплывающего окна на веб-сайте, в котором пользователям предлагается нажать на кнопку с надписью "Как исправить", чтобы установить поддельный корневой сертификат. После нажатия кнопки пользователям предоставляются подробные инструкции по запуску вредоносных команд в PowerShell. Затем во втором всплывающем окне появляются инструкции по выполнению набора команд в Windows PowerShell Admin, которые копируются в буфер обмена пользователя, когда он нажимает кнопку копировать. При выполнении этих инструкций вредоносный код запускается в PowerShell, что приводит к загрузке и выполнению исполняемого файла, который загружает троянскую программу на компьютер пользователя.
Тот самый Setup.exe файл, загруженный с помощью этой вредоносной кампании, был помечен как вредоносный 21 поставщиком средств безопасности на сайте VirusTotal как Trojan.MSIL. Пользователи, которые непреднамеренно запускают сценарий PowerShell, рискуют столкнуться с серьезными последствиями, такими как кража данных, удаленное управление их компьютером или дальнейшая эксплуатация.
Кроме того, если есть подозрение, что веб-сайт заражен вредоносным ПО, пользователям рекомендуется обратиться за помощью к опытным аналитикам безопасности, которые могут помочь в устранении вредоносного ПО и восстановлении работы веб-сайта. Пуджа Шривастава, аналитик по безопасности, упомянутый в тексте, имеет более чем 7-летний опыт работы в области исследований вредоносных программ и обеспечения безопасности, специализируясь на обнаружении, мониторинге и удалении вредоносных программ с веб-сайтов. Этот специалист также выполняет такие обязанности, как устранение вредоносных программ, обучение, наставничество новых сотрудников и решение проблем в области кибербезопасности. В свободное от работы время Пуджа любит исследовать новые места и кухни, пробовать новые рецепты и играть в шахматы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание недавней вредоносной кампании, нацеленной на сайты WordPress, где пользователей обманом заставляют запускать поддельное обновление браузера, которое на самом деле устанавливает троянца на их компьютеры. Вредоносная кампания включает в себя поддельные всплывающие окна на взломанных веб-сайтах, которые заставляют пользователей загружать и выполнять вредоносный код в PowerShell, что приводит к установке троянской программы. В тексте также подчеркивается важность обращения за помощью к опытным аналитикам безопасности для очистки зараженных веб-сайтов и предотвращения серьезных последствий, таких как кража данных или удаленное управление компьютерами. Кроме того, в нем рассказывается о Пудже Шриваставе, аналитике по безопасности, специализирующемся на исследованиях вредоносных программ, который может помочь в обнаружении и удалении вредоносных программ с веб-сайтов.
-----
В тексте описывается недавняя вредоносная кампания, нацеленная на сайты WordPress, которая представляет себя как поддельное обновление браузера. Вредоносная программа, идентифицированная SiteCheck как malware.fake_update.7, представляет собой троянскую программу, которая заражает пользователей после того, как они обманным путем запускают ее через поддельные всплывающие окна на взломанных веб-сайтах. В настоящее время известно, что 31 сайт заражен этой вредоносной программой.
Вредоносный код, ответственный за создание поддельных всплывающих окон, содержится в index.php файле плагина, который загружает JavaScript-файл с именем assets/popup.js. Этот JavaScript запускает появление всплывающего окна на веб-сайте, в котором пользователям предлагается нажать на кнопку с надписью "Как исправить", чтобы установить поддельный корневой сертификат. После нажатия кнопки пользователям предоставляются подробные инструкции по запуску вредоносных команд в PowerShell. Затем во втором всплывающем окне появляются инструкции по выполнению набора команд в Windows PowerShell Admin, которые копируются в буфер обмена пользователя, когда он нажимает кнопку копировать. При выполнении этих инструкций вредоносный код запускается в PowerShell, что приводит к загрузке и выполнению исполняемого файла, который загружает троянскую программу на компьютер пользователя.
Тот самый Setup.exe файл, загруженный с помощью этой вредоносной кампании, был помечен как вредоносный 21 поставщиком средств безопасности на сайте VirusTotal как Trojan.MSIL. Пользователи, которые непреднамеренно запускают сценарий PowerShell, рискуют столкнуться с серьезными последствиями, такими как кража данных, удаленное управление их компьютером или дальнейшая эксплуатация.
Кроме того, если есть подозрение, что веб-сайт заражен вредоносным ПО, пользователям рекомендуется обратиться за помощью к опытным аналитикам безопасности, которые могут помочь в устранении вредоносного ПО и восстановлении работы веб-сайта. Пуджа Шривастава, аналитик по безопасности, упомянутый в тексте, имеет более чем 7-летний опыт работы в области исследований вредоносных программ и обеспечения безопасности, специализируясь на обнаружении, мониторинге и удалении вредоносных программ с веб-сайтов. Этот специалист также выполняет такие обязанности, как устранение вредоносных программ, обучение, наставничество новых сотрудников и решение проблем в области кибербезопасности. В свободное от работы время Пуджа любит исследовать новые места и кухни, пробовать новые рецепты и играть в шахматы.
#ParsedReport #CompletenessLow
20-10-2024
How Adversaries Try to Interfere with the U.S. Election
https://intel471.com/blog/how-adversaries-try-to-interfere-with-the-u-s-election
Report completeness: Low
Actors/Campaigns:
Storm-1679
Volga_flood
Green_cicada
Spamouflage
Doppelgnger
Copycop
Rahdit
Charming_kitten
Apt42
Apt33
Irgc
Threats:
Spear-phishing_technique
China_cyber_puppetmaster
Supply_chain_technique
Victims:
Vice president kamala harris
Industry:
Education, Government, Healthcare, Military
Geo:
Chinese, American, Asia, Iranians, Russians, Ukraine, Russian, India, Iran, Russia, China, Middle east, Australia, Japan, Iranian
ChatGPT TTPs:
T1027
Soft:
discord, outlook
Platforms:
intel, arm
20-10-2024
How Adversaries Try to Interfere with the U.S. Election
https://intel471.com/blog/how-adversaries-try-to-interfere-with-the-u-s-election
Report completeness: Low
Actors/Campaigns:
Storm-1679
Volga_flood
Green_cicada
Spamouflage
Doppelgnger
Copycop
Rahdit
Charming_kitten
Apt42
Apt33
Irgc
Threats:
Spear-phishing_technique
China_cyber_puppetmaster
Supply_chain_technique
Victims:
Vice president kamala harris
Industry:
Education, Government, Healthcare, Military
Geo:
Chinese, American, Asia, Iranians, Russians, Ukraine, Russian, India, Iran, Russia, China, Middle east, Australia, Japan, Iranian
ChatGPT TTPs:
do not use without manual checkT1027
Soft:
discord, outlook
Platforms:
intel, arm
Intel 471
How Adversaries Try to Interfere with the U.S. Election
Russia, China and Iran have conducted cyber and influence operations ahead of the 2024 U.S. presidential election in November. Here's a look at the…
CTT Report Hub
#ParsedReport #CompletenessLow 20-10-2024 How Adversaries Try to Interfere with the U.S. Election https://intel471.com/blog/how-adversaries-try-to-interfere-with-the-u-s-election Report completeness: Low Actors/Campaigns: Storm-1679 Volga_flood Green_cicada…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что предстоящие в 2024 году президентские выборы в США считаются чрезвычайно важными во всем мире, поскольку различные страны, такие как Китай, Иран и Россия, активно предпринимают усилия по влиянию на исход выборов для продвижения своих стратегических интересов. Искусственный интеллект (ИИ) используется в качестве ключевого инструмента для вмешательства, а угрозы кибербезопасности, такие как фишинг, используются для доступа к информации. Правительство и разведывательные службы США активно отслеживают попытки иностранного вмешательства и принимают меры по противодействию им.
-----
2024 год - знаменательный год выборов, когда более чем в 60 странах проводятся национальные выборы.
Президентские выборы в США в ноябре 2024 года рассматриваются как имеющие большое значение для глобальной геополитики.
Авторитарные государства, такие как Китай, Иран и Россия, активно вмешиваются в выборы в США для продвижения своих стратегических интересов.
Россия считается наиболее активной в использовании кибертехнологий для влияния на выборы, уделяя особое внимание подрыву авторитета США в мире.
Усилия России направлены на то, чтобы повлиять на поддержку Западом Украины в условиях российско-украинского конфликта.
Иран предпочитает победу кандидата от демократической партии, но фокусируется на создании разногласий среди избирателей, а не на поддержке конкретного кандидата.
Китай стремится формировать экономическую и торговую политику и поддерживать доступ к американским технологиям и данным, не отдавая предпочтение какому-либо кандидату.
Эти страны используют искусственный интеллект (ИИ) для влияния на выборы, а российская группа Storm-1679 распространяет контент, созданный с помощью ИИ.
Злоумышленники часто используют тактику фишинга для получения несанкционированного доступа во время выборов.
Органы безопасности США активно отслеживают и предупреждают об иностранном вмешательстве, предпринимая усилия по выявлению и удалению дезинформации.
Были обнародованы обвинительные заключения в отношении российских и иранских лиц, причастных к влиянию на выборы в США, и введены санкции.
Участие Китая было оценено как умеренное, сосредоточенное на налаживании отношений с администрацией США и потенциальных инвестициях.
Россия отдает предпочтение переизбранию Трампа из-за его позиции по российско-украинскому конфликту, в то время как ожидается, что ближе ко дню выборов усилия Ирана по вмешательству усилятся.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что предстоящие в 2024 году президентские выборы в США считаются чрезвычайно важными во всем мире, поскольку различные страны, такие как Китай, Иран и Россия, активно предпринимают усилия по влиянию на исход выборов для продвижения своих стратегических интересов. Искусственный интеллект (ИИ) используется в качестве ключевого инструмента для вмешательства, а угрозы кибербезопасности, такие как фишинг, используются для доступа к информации. Правительство и разведывательные службы США активно отслеживают попытки иностранного вмешательства и принимают меры по противодействию им.
-----
2024 год - знаменательный год выборов, когда более чем в 60 странах проводятся национальные выборы.
Президентские выборы в США в ноябре 2024 года рассматриваются как имеющие большое значение для глобальной геополитики.
Авторитарные государства, такие как Китай, Иран и Россия, активно вмешиваются в выборы в США для продвижения своих стратегических интересов.
Россия считается наиболее активной в использовании кибертехнологий для влияния на выборы, уделяя особое внимание подрыву авторитета США в мире.
Усилия России направлены на то, чтобы повлиять на поддержку Западом Украины в условиях российско-украинского конфликта.
Иран предпочитает победу кандидата от демократической партии, но фокусируется на создании разногласий среди избирателей, а не на поддержке конкретного кандидата.
Китай стремится формировать экономическую и торговую политику и поддерживать доступ к американским технологиям и данным, не отдавая предпочтение какому-либо кандидату.
Эти страны используют искусственный интеллект (ИИ) для влияния на выборы, а российская группа Storm-1679 распространяет контент, созданный с помощью ИИ.
Злоумышленники часто используют тактику фишинга для получения несанкционированного доступа во время выборов.
Органы безопасности США активно отслеживают и предупреждают об иностранном вмешательстве, предпринимая усилия по выявлению и удалению дезинформации.
Были обнародованы обвинительные заключения в отношении российских и иранских лиц, причастных к влиянию на выборы в США, и введены санкции.
Участие Китая было оценено как умеренное, сосредоточенное на налаживании отношений с администрацией США и потенциальных инвестициях.
Россия отдает предпочтение переизбранию Трампа из-за его позиции по российско-украинскому конфликту, в то время как ожидается, что ближе ко дню выборов усилия Ирана по вмешательству усилятся.
#cyberthreattech #inseca #ctimeetup
Всем привет.
Вместе с командой INSECA провели второй митап для CTI-аналитиков.
Запись выступлений и презентации вот тут
https://inseca.tech/cti-meetup
00:02:44 "Livehunt своими руками. Какие технологии нужны, чтобы сделать автоматизированный pipeline обработки миллиона файлов?", Максим Похлёбин.
00:26:42 "Что мы хотим от TI платформ?", Константин Васильев
01:01:38 "CTI + BAS. Доверяй, но проверяй", Сергей Куприн
01:24:07 "А ты кто такой? Атрибуция и кластеризация акторов", Кирилл Митрофанов.
01:44:38 "Треды, хеши, два С2: чем на самом деле занимаются CTI-аналитики?", Олег Скулкин.
02:31:31 "Сбор и тэгирование разведданных посредством open-source и не только", Дмитрий Мин и Виктор Пронин.
Всем привет.
Вместе с командой INSECA провели второй митап для CTI-аналитиков.
Запись выступлений и презентации вот тут
https://inseca.tech/cti-meetup
00:02:44 "Livehunt своими руками. Какие технологии нужны, чтобы сделать автоматизированный pipeline обработки миллиона файлов?", Максим Похлёбин.
00:26:42 "Что мы хотим от TI платформ?", Константин Васильев
01:01:38 "CTI + BAS. Доверяй, но проверяй", Сергей Куприн
01:24:07 "А ты кто такой? Атрибуция и кластеризация акторов", Кирилл Митрофанов.
01:44:38 "Треды, хеши, два С2: чем на самом деле занимаются CTI-аналитики?", Олег Скулкин.
02:31:31 "Сбор и тэгирование разведданных посредством open-source и не только", Дмитрий Мин и Виктор Пронин.
inseca.tech
CTI meetup
Практические CTI-митапы: технический разбор угроз, обмен опытом, LLM в аналитике и тактики противодействия злоумышленникам.
CTT Report Hub pinned «#cyberthreattech #inseca #ctimeetup Всем привет. Вместе с командой INSECA провели второй митап для CTI-аналитиков. Запись выступлений и презентации вот тут https://inseca.tech/cti-meetup 00:02:44 "Livehunt своими руками. Какие технологии нужны, чтобы…»
#technique
This New Supply Chain Attack Technique Can Trojanize All Your CLI Commands
https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/
This New Supply Chain Attack Technique Can Trojanize All Your CLI Commands
https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/
Checkmarx
Command-Jacking: The New Supply Chain Attack Technique
Malicious actors can exploit Python entry points in several ways to trick users into executing harmful code. We'll explore Command-Jacking.
#technique
This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callbacks to generate a memory dump of the cloned process
https://github.com/Offensive-Panda/LsassReflectDumping
This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callbacks to generate a memory dump of the cloned process
https://github.com/Offensive-Panda/LsassReflectDumping
GitHub
GitHub - Offensive-Panda/LsassReflectDumping: This tool leverages the Process Forking technique using the RtlCreateProcessReflection…
This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callb...
#technique
Introducing Early Cascade Injection: From Windows Process Creation to Stealthy Injection
https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/
Introducing Early Cascade Injection: From Windows Process Creation to Stealthy Injection
https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/
#ParsedReport #CompletenessLow
21-10-2024
North Korean APT Kimsuky hackers use Gomir backdoor to attack Linux systems
https://www.ctfiot.com/210800.html
Report completeness: Low
Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)
Threats:
Gomir
Gobear
Troll_stealer
Supply_chain_technique
Victims:
South korean government entities
Industry:
Government, Military
Geo:
North korea, Korean, American, North korean
ChatGPT TTPs:
T1105, T1505.003, T1053.003, T1543.002
Soft:
crontab, WeChat
21-10-2024
North Korean APT Kimsuky hackers use Gomir backdoor to attack Linux systems
https://www.ctfiot.com/210800.html
Report completeness: Low
Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)
Threats:
Gomir
Gobear
Troll_stealer
Supply_chain_technique
Victims:
South korean government entities
Industry:
Government, Military
Geo:
North korea, Korean, American, North korean
ChatGPT TTPs:
do not use without manual checkT1105, T1505.003, T1053.003, T1543.002
Soft:
crontab, WeChat
CTF导航
朝鲜APT Kimsuky黑客使用Gomir后门攻击Linux系统 | CTF导航
大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的...
CTT Report Hub
#ParsedReport #CompletenessLow 21-10-2024 North Korean APT Kimsuky hackers use Gomir backdoor to attack Linux systems https://www.ctfiot.com/210800.html Report completeness: Low Actors/Campaigns: Kimsuky (motivation: cyber_espionage) Threats: Gomir Gobear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении новой вредоносной программы для Linux под названием Gomir, связанной с северокорейской кибершпионажной группой Kimsuky. Вредоносная программа распространяется с помощью троянских установщиков программного обеспечения и имеет сходство с бэкдором GoBear. Эта новая угроза, наряду с использованием группой вредоносного программного обеспечения против южнокорейских организаций, подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и необходимость усиления мер кибербезопасности.
-----
Kimsuky, группа кибершпионажа, связанная с военной разведкой Северной Кореи, была подключена к новой вредоносной программе для Linux под названием Gomir, которая представляет собой вариант бэкдора GoBear, распространяемого через установщиков троянского программного обеспечения.
Gomir обладает общими характеристиками с GoBear, такими как прямая связь между командами и контролем (C2), механизмы сохранения и поддержка нескольких команд.
Вредоносная программа устанавливает постоянство, перемещая себя в "/var/log/syslogd", создавая системную службу с именем "syslogd" и настраивая команду crontab для выполнения перезагрузки системы.
Gomir позволяет выполнять 17 операций, запускаемых HTTP POST-запросами с сервера C2, включая приостановку связи, настройку обратного прокси-сервера и сообщение о конечной точке управления обратным прокси-сервером.
Северокорейские злоумышленники, такие как Kimsuky, сосредоточены на использовании троянских установщиков программного обеспечения для атак на цепочки поставок, нацеленных на южнокорейские предприятия.
Появление Gomir подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и важность надежных мер кибербезопасности для противодействия этим растущим угрозам во всем мире.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении новой вредоносной программы для Linux под названием Gomir, связанной с северокорейской кибершпионажной группой Kimsuky. Вредоносная программа распространяется с помощью троянских установщиков программного обеспечения и имеет сходство с бэкдором GoBear. Эта новая угроза, наряду с использованием группой вредоносного программного обеспечения против южнокорейских организаций, подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и необходимость усиления мер кибербезопасности.
-----
Kimsuky, группа кибершпионажа, связанная с военной разведкой Северной Кореи, была подключена к новой вредоносной программе для Linux под названием Gomir, которая представляет собой вариант бэкдора GoBear, распространяемого через установщиков троянского программного обеспечения.
Gomir обладает общими характеристиками с GoBear, такими как прямая связь между командами и контролем (C2), механизмы сохранения и поддержка нескольких команд.
Вредоносная программа устанавливает постоянство, перемещая себя в "/var/log/syslogd", создавая системную службу с именем "syslogd" и настраивая команду crontab для выполнения перезагрузки системы.
Gomir позволяет выполнять 17 операций, запускаемых HTTP POST-запросами с сервера C2, включая приостановку связи, настройку обратного прокси-сервера и сообщение о конечной точке управления обратным прокси-сервером.
Северокорейские злоумышленники, такие как Kimsuky, сосредоточены на использовании троянских установщиков программного обеспечения для атак на цепочки поставок, нацеленных на южнокорейские предприятия.
Появление Gomir подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и важность надежных мер кибербезопасности для противодействия этим растущим угрозам во всем мире.
#ParsedReport #CompletenessMedium
21-10-2024
Suspected Mysterious Elephant organization uses CHM files to attack many countries in South Asia
https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA?poc_token=HPlxFmejTBkZltdR4fKBV0kYLMht2O8kz7jsPvq2
Report completeness: Medium
Actors/Campaigns:
Mysterious_elephant
Threats:
Raindrop_tool
Orpcbackdoor
Walkershell
Demotryspy
Confuserex_tool
Nixbackdoor
Victims:
Government agencies, National defense, Military, Diplomacy
Industry:
Financial, Military, Government
Geo:
China, Asia, Myanmar, Asian, Pakistan, Pakistani, Bangladesh, India
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1059.003, T1140, T1218.001, T1071.001
IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41
Soft:
Android
Algorithms:
aes, base64, md5
Functions:
GetIpInfo
21-10-2024
Suspected Mysterious Elephant organization uses CHM files to attack many countries in South Asia
https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA?poc_token=HPlxFmejTBkZltdR4fKBV0kYLMht2O8kz7jsPvq2
Report completeness: Medium
Actors/Campaigns:
Mysterious_elephant
Threats:
Raindrop_tool
Orpcbackdoor
Walkershell
Demotryspy
Confuserex_tool
Nixbackdoor
Victims:
Government agencies, National defense, Military, Diplomacy
Industry:
Financial, Military, Government
Geo:
China, Asia, Myanmar, Asian, Pakistan, Pakistani, Bangladesh, India
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1059.003, T1140, T1218.001, T1071.001
IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41
Soft:
Android
Algorithms:
aes, base64, md5
Functions:
GetIpInfo
CTT Report Hub
#ParsedReport #CompletenessMedium 21-10-2024 Suspected Mysterious Elephant organization uses CHM files to attack many countries in South Asia https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA?poc_token=HPlxFmejTBkZltdR4fKBV0kYLMht2O8kz7jsPvq2 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается киберугроза, известная как ORPCBackdoor, первоначально приписываемая организации Bitter, но позже отслеживаемая некоторыми поставщиками систем безопасности как новая группа под названием Mysterious Elephant из-за несоответствий в атрибуции. Mysterious Elephant - это группа APT, действующая в Южной Азии, использующая файлы CHM и бэкдоры C# для атак, нацеленных на такие страны, как Пакистан. Бэкдоры выполняют команды с сервера C2 и поддерживают различные команды атаки, распространяемые через образцы фишинга. В отрасли существует противоречие во взглядах на то, как отличить Mysterious Elephant от Bitter, но, основываясь на моделях и тактике атак, файлы CHM и бэкдоры на C# приписываются Mysterious Elephant, нацеленным на правительственные учреждения, военные и другие отрасли промышленности в странах Южной Азии. Стратегии предотвращения включают в себя осторожность при фишинговых атаках, отказ от подозрительных ссылок или вложений, оперативную установку исправлений и регулярное резервное копирование данных. Бдительность в области кибербезопасности и лучшие практики имеют решающее значение для защиты от этих развивающихся угроз.
-----
Изначально ORPCBackdoor был приписан организации Bitter, но позже некоторые поставщики систем безопасности начали отслеживать его как новую группу под названием Mysterious Elephant из-за несоответствий в атрибуции. Организация Mysterious Elephant, упомянутая в отчете Kaspersky, является APT-группой, действующей в Южной Азии. Считается, что файлы CHM и бэкдоры C#, нацеленные на страны Южной Азии, исходят от Mysterious Elephant, основываясь на сходстве с предыдущими атаками.
Организация "Таинственный слон" связана с несколькими группами APT в Южной Азии, которые используют методы нападения, аналогичные "Организации Биттера". Их целями являются такие страны, как Пакистан. Недавно Центр анализа угроз QiAnXin обнаружил специальные CHM-файлы, содержащие простой скрипт, который запускает внешний бэкдор на C#, замаскированный под PDF-файлы, относящиеся к южноазиатской тематике.
Бэкдоры на C# предназначены для выполнения команд, выдаваемых сервером управления (C2), с использованием асинхронного программирования задач и ConfuserEx для обфускации. Некоторые бэкдоры поддерживают дополнительные команды для атаки и могут получать информацию о сервере C2 различными способами, такими как жесткое кодирование в коде или расшифровка файлов конфигурации. Инструкции C2, поддерживаемые бэкдорами, включают удаленное выполнение команд и создание доступа к командной оболочке для злоумышленников.
Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, содержащих файлы CHM и скрытые бэкдоры на C#. Из-за минимального количества вредоносных скриптов в файлах CHM антивирусное программное обеспечение может их не заметить, что приводит к неосознанной активации бэкдоров на C#. Злоумышленники манипулируют жертвами, имитируя методы "красной команды" и маскируя свои действия с помощью различных тактических приемов.
Многочисленные примеры выявляют связи между различными организациями APT в Южной Азии, что приводит к противоречивым взглядам отрасли на то, как отличить Mysterious Elephant от Bitter. Однако, основываясь на сходстве моделей и тактики атак, считается, что файлы CHM и бэкдоры на C# принадлежат Mysterious Elephant. Эти атаки нацелены на правительственные учреждения, военные, дипломатические учреждения и другие отрасли промышленности в странах Южной Азии.
Чтобы смягчить такие угрозы, пользователям рекомендуется опасаться фишинговых атак, избегать открытия подозрительных ссылок или вложений электронной почты, воздерживаться от запуска неизвестных файлов, своевременно устанавливать исправления и регулярно создавать резервные копии важных данных. В целом, бдительность и рекомендации по кибербезопасности имеют решающее значение для защиты от возникающих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается киберугроза, известная как ORPCBackdoor, первоначально приписываемая организации Bitter, но позже отслеживаемая некоторыми поставщиками систем безопасности как новая группа под названием Mysterious Elephant из-за несоответствий в атрибуции. Mysterious Elephant - это группа APT, действующая в Южной Азии, использующая файлы CHM и бэкдоры C# для атак, нацеленных на такие страны, как Пакистан. Бэкдоры выполняют команды с сервера C2 и поддерживают различные команды атаки, распространяемые через образцы фишинга. В отрасли существует противоречие во взглядах на то, как отличить Mysterious Elephant от Bitter, но, основываясь на моделях и тактике атак, файлы CHM и бэкдоры на C# приписываются Mysterious Elephant, нацеленным на правительственные учреждения, военные и другие отрасли промышленности в странах Южной Азии. Стратегии предотвращения включают в себя осторожность при фишинговых атаках, отказ от подозрительных ссылок или вложений, оперативную установку исправлений и регулярное резервное копирование данных. Бдительность в области кибербезопасности и лучшие практики имеют решающее значение для защиты от этих развивающихся угроз.
-----
Изначально ORPCBackdoor был приписан организации Bitter, но позже некоторые поставщики систем безопасности начали отслеживать его как новую группу под названием Mysterious Elephant из-за несоответствий в атрибуции. Организация Mysterious Elephant, упомянутая в отчете Kaspersky, является APT-группой, действующей в Южной Азии. Считается, что файлы CHM и бэкдоры C#, нацеленные на страны Южной Азии, исходят от Mysterious Elephant, основываясь на сходстве с предыдущими атаками.
Организация "Таинственный слон" связана с несколькими группами APT в Южной Азии, которые используют методы нападения, аналогичные "Организации Биттера". Их целями являются такие страны, как Пакистан. Недавно Центр анализа угроз QiAnXin обнаружил специальные CHM-файлы, содержащие простой скрипт, который запускает внешний бэкдор на C#, замаскированный под PDF-файлы, относящиеся к южноазиатской тематике.
Бэкдоры на C# предназначены для выполнения команд, выдаваемых сервером управления (C2), с использованием асинхронного программирования задач и ConfuserEx для обфускации. Некоторые бэкдоры поддерживают дополнительные команды для атаки и могут получать информацию о сервере C2 различными способами, такими как жесткое кодирование в коде или расшифровка файлов конфигурации. Инструкции C2, поддерживаемые бэкдорами, включают удаленное выполнение команд и создание доступа к командной оболочке для злоумышленников.
Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, содержащих файлы CHM и скрытые бэкдоры на C#. Из-за минимального количества вредоносных скриптов в файлах CHM антивирусное программное обеспечение может их не заметить, что приводит к неосознанной активации бэкдоров на C#. Злоумышленники манипулируют жертвами, имитируя методы "красной команды" и маскируя свои действия с помощью различных тактических приемов.
Многочисленные примеры выявляют связи между различными организациями APT в Южной Азии, что приводит к противоречивым взглядам отрасли на то, как отличить Mysterious Elephant от Bitter. Однако, основываясь на сходстве моделей и тактики атак, считается, что файлы CHM и бэкдоры на C# принадлежат Mysterious Elephant. Эти атаки нацелены на правительственные учреждения, военные, дипломатические учреждения и другие отрасли промышленности в странах Южной Азии.
Чтобы смягчить такие угрозы, пользователям рекомендуется опасаться фишинговых атак, избегать открытия подозрительных ссылок или вложений электронной почты, воздерживаться от запуска неизвестных файлов, своевременно устанавливать исправления и регулярно создавать резервные копии важных данных. В целом, бдительность и рекомендации по кибербезопасности имеют решающее значение для защиты от возникающих киберугроз.
#ParsedReport #CompletenessLow
21-10-2024
Stealer here, stealer there, stealers everywhere!
https://securelist.com/kral-amos-vidar-acr-stealers/114237
Report completeness: Low
Threats:
Kral_stealer
Aurora
Amos_stealer
Vidar_stealer
Dll_hijacking_technique
Hijackloader
Penguish
Acr_stealer
Geo:
Brazil
IOCs:
File: 3
Hash: 6
Soft:
macOS, ImageMagick
Algorithms:
zip
Win API:
WinVerifyTrust
Win Services:
BITS
Languages:
delphi
Platforms:
apple
Links:
21-10-2024
Stealer here, stealer there, stealers everywhere!
https://securelist.com/kral-amos-vidar-acr-stealers/114237
Report completeness: Low
Threats:
Kral_stealer
Aurora
Amos_stealer
Vidar_stealer
Dll_hijacking_technique
Hijackloader
Penguish
Acr_stealer
Geo:
Brazil
IOCs:
File: 3
Hash: 6
Soft:
macOS, ImageMagick
Algorithms:
zip
Win API:
WinVerifyTrust
Win Services:
BITS
Languages:
delphi
Platforms:
apple
Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/Malware%20Config%20Extractors/IDAT\_Loader\_extractor.pySecurelist
Stealers on the rise: Kral, AMOS, Vidar and ACR
Kaspersky researchers investigated a number of stealer attacks over the past year, and they are now sharing some details on the new Kral stealer, recent AMOS version and Vidar delivering ACR stealer.