#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что предстоящие в 2024 году президентские выборы в США считаются чрезвычайно важными во всем мире, поскольку различные страны, такие как Китай, Иран и Россия, активно предпринимают усилия по влиянию на исход выборов для продвижения своих стратегических интересов. Искусственный интеллект (ИИ) используется в качестве ключевого инструмента для вмешательства, а угрозы кибербезопасности, такие как фишинг, используются для доступа к информации. Правительство и разведывательные службы США активно отслеживают попытки иностранного вмешательства и принимают меры по противодействию им.
-----

2024 год - знаменательный год выборов, когда более чем в 60 странах проводятся национальные выборы.

Президентские выборы в США в ноябре 2024 года рассматриваются как имеющие большое значение для глобальной геополитики.

Авторитарные государства, такие как Китай, Иран и Россия, активно вмешиваются в выборы в США для продвижения своих стратегических интересов.

Россия считается наиболее активной в использовании кибертехнологий для влияния на выборы, уделяя особое внимание подрыву авторитета США в мире.

Усилия России направлены на то, чтобы повлиять на поддержку Западом Украины в условиях российско-украинского конфликта.

Иран предпочитает победу кандидата от демократической партии, но фокусируется на создании разногласий среди избирателей, а не на поддержке конкретного кандидата.

Китай стремится формировать экономическую и торговую политику и поддерживать доступ к американским технологиям и данным, не отдавая предпочтение какому-либо кандидату.

Эти страны используют искусственный интеллект (ИИ) для влияния на выборы, а российская группа Storm-1679 распространяет контент, созданный с помощью ИИ.

Злоумышленники часто используют тактику фишинга для получения несанкционированного доступа во время выборов.

Органы безопасности США активно отслеживают и предупреждают об иностранном вмешательстве, предпринимая усилия по выявлению и удалению дезинформации.

Были обнародованы обвинительные заключения в отношении российских и иранских лиц, причастных к влиянию на выборы в США, и введены санкции.

Участие Китая было оценено как умеренное, сосредоточенное на налаживании отношений с администрацией США и потенциальных инвестициях.

Россия отдает предпочтение переизбранию Трампа из-за его позиции по российско-украинскому конфликту, в то время как ожидается, что ближе ко дню выборов усилия Ирана по вмешательству усилятся.

#cyberthreattech #inseca #ctimeetup

Всем привет.
Вместе с командой INSECA провели второй митап для CTI-аналитиков.

Запись выступлений и презентации вот тут
https://inseca.tech/cti-meetup

00:02:44 "Livehunt своими руками. Какие технологии нужны, чтобы сделать автоматизированный pipeline обработки миллиона файлов?", Максим Похлёбин.
00:26:42 "Что мы хотим от TI платформ?", Константин Васильев
01:01:38 "CTI + BAS. Доверяй, но проверяй", Сергей Куприн
01:24:07 "А ты кто такой? Атрибуция и кластеризация акторов", Кирилл Митрофанов.
01:44:38 "Треды, хеши, два С2: чем на самом деле занимаются CTI-аналитики?", Олег Скулкин.
02:31:31 "Сбор и тэгирование разведданных посредством open-source и не только", Дмитрий Мин и Виктор Пронин.

#technique

This New Supply Chain Attack Technique Can Trojanize All Your CLI Commands

https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/

#technique

This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callbacks to generate a memory dump of the cloned process

https://github.com/Offensive-Panda/LsassReflectDumping

#technique

Introducing Early Cascade Injection: From Windows Process Creation to Stealthy Injection

https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/

#ParsedReport #CompletenessLow
21-10-2024

North Korean APT Kimsuky hackers use Gomir backdoor to attack Linux systems

https://www.ctfiot.com/210800.html

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Gomir
Gobear
Troll_stealer
Supply_chain_technique

Victims:
South korean government entities

Industry:
Government, Military

Geo:
North korea, Korean, American, North korean

ChatGPT TTPs:
do not use without manual check
T1105, T1505.003, T1053.003, T1543.002

Soft:
crontab, WeChat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении новой вредоносной программы для Linux под названием Gomir, связанной с северокорейской кибершпионажной группой Kimsuky. Вредоносная программа распространяется с помощью троянских установщиков программного обеспечения и имеет сходство с бэкдором GoBear. Эта новая угроза, наряду с использованием группой вредоносного программного обеспечения против южнокорейских организаций, подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и необходимость усиления мер кибербезопасности.
-----

Kimsuky, группа кибершпионажа, связанная с военной разведкой Северной Кореи, была подключена к новой вредоносной программе для Linux под названием Gomir, которая представляет собой вариант бэкдора GoBear, распространяемого через установщиков троянского программного обеспечения.

Gomir обладает общими характеристиками с GoBear, такими как прямая связь между командами и контролем (C2), механизмы сохранения и поддержка нескольких команд.

Вредоносная программа устанавливает постоянство, перемещая себя в "/var/log/syslogd", создавая системную службу с именем "syslogd" и настраивая команду crontab для выполнения перезагрузки системы.

Gomir позволяет выполнять 17 операций, запускаемых HTTP POST-запросами с сервера C2, включая приостановку связи, настройку обратного прокси-сервера и сообщение о конечной точке управления обратным прокси-сервером.

Северокорейские злоумышленники, такие как Kimsuky, сосредоточены на использовании троянских установщиков программного обеспечения для атак на цепочки поставок, нацеленных на южнокорейские предприятия.

Появление Gomir подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и важность надежных мер кибербезопасности для противодействия этим растущим угрозам во всем мире.

#ParsedReport #CompletenessMedium
21-10-2024

Suspected Mysterious Elephant organization uses CHM files to attack many countries in South Asia

https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA?poc_token=HPlxFmejTBkZltdR4fKBV0kYLMht2O8kz7jsPvq2

Report completeness: Medium

Actors/Campaigns:
Mysterious_elephant

Threats:
Raindrop_tool
Orpcbackdoor
Walkershell
Demotryspy
Confuserex_tool
Nixbackdoor

Victims:
Government agencies, National defense, Military, Diplomacy

Industry:
Financial, Military, Government

Geo:
China, Asia, Myanmar, Asian, Pakistan, Pakistani, Bangladesh, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1059.003, T1140, T1218.001, T1071.001

IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41

Soft:
Android

Algorithms:
aes, base64, md5

Functions:
GetIpInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается киберугроза, известная как ORPCBackdoor, первоначально приписываемая организации Bitter, но позже отслеживаемая некоторыми поставщиками систем безопасности как новая группа под названием Mysterious Elephant из-за несоответствий в атрибуции. Mysterious Elephant - это группа APT, действующая в Южной Азии, использующая файлы CHM и бэкдоры C# для атак, нацеленных на такие страны, как Пакистан. Бэкдоры выполняют команды с сервера C2 и поддерживают различные команды атаки, распространяемые через образцы фишинга. В отрасли существует противоречие во взглядах на то, как отличить Mysterious Elephant от Bitter, но, основываясь на моделях и тактике атак, файлы CHM и бэкдоры на C# приписываются Mysterious Elephant, нацеленным на правительственные учреждения, военные и другие отрасли промышленности в странах Южной Азии. Стратегии предотвращения включают в себя осторожность при фишинговых атаках, отказ от подозрительных ссылок или вложений, оперативную установку исправлений и регулярное резервное копирование данных. Бдительность в области кибербезопасности и лучшие практики имеют решающее значение для защиты от этих развивающихся угроз.
-----

Изначально ORPCBackdoor был приписан организации Bitter, но позже некоторые поставщики систем безопасности начали отслеживать его как новую группу под названием Mysterious Elephant из-за несоответствий в атрибуции. Организация Mysterious Elephant, упомянутая в отчете Kaspersky, является APT-группой, действующей в Южной Азии. Считается, что файлы CHM и бэкдоры C#, нацеленные на страны Южной Азии, исходят от Mysterious Elephant, основываясь на сходстве с предыдущими атаками.

Организация "Таинственный слон" связана с несколькими группами APT в Южной Азии, которые используют методы нападения, аналогичные "Организации Биттера". Их целями являются такие страны, как Пакистан. Недавно Центр анализа угроз QiAnXin обнаружил специальные CHM-файлы, содержащие простой скрипт, который запускает внешний бэкдор на C#, замаскированный под PDF-файлы, относящиеся к южноазиатской тематике.

Бэкдоры на C# предназначены для выполнения команд, выдаваемых сервером управления (C2), с использованием асинхронного программирования задач и ConfuserEx для обфускации. Некоторые бэкдоры поддерживают дополнительные команды для атаки и могут получать информацию о сервере C2 различными способами, такими как жесткое кодирование в коде или расшифровка файлов конфигурации. Инструкции C2, поддерживаемые бэкдорами, включают удаленное выполнение команд и создание доступа к командной оболочке для злоумышленников.

Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, содержащих файлы CHM и скрытые бэкдоры на C#. Из-за минимального количества вредоносных скриптов в файлах CHM антивирусное программное обеспечение может их не заметить, что приводит к неосознанной активации бэкдоров на C#. Злоумышленники манипулируют жертвами, имитируя методы "красной команды" и маскируя свои действия с помощью различных тактических приемов.

Многочисленные примеры выявляют связи между различными организациями APT в Южной Азии, что приводит к противоречивым взглядам отрасли на то, как отличить Mysterious Elephant от Bitter. Однако, основываясь на сходстве моделей и тактики атак, считается, что файлы CHM и бэкдоры на C# принадлежат Mysterious Elephant. Эти атаки нацелены на правительственные учреждения, военные, дипломатические учреждения и другие отрасли промышленности в странах Южной Азии.

Чтобы смягчить такие угрозы, пользователям рекомендуется опасаться фишинговых атак, избегать открытия подозрительных ссылок или вложений электронной почты, воздерживаться от запуска неизвестных файлов, своевременно устанавливать исправления и регулярно создавать резервные копии важных данных. В целом, бдительность и рекомендации по кибербезопасности имеют решающее значение для защиты от возникающих киберугроз.

#ParsedReport #CompletenessLow
21-10-2024

Stealer here, stealer there, stealers everywhere!

https://securelist.com/kral-amos-vidar-acr-stealers/114237

Report completeness: Low

Threats:
Kral_stealer
Aurora
Amos_stealer
Vidar_stealer
Dll_hijacking_technique
Hijackloader
Penguish
Acr_stealer

Geo:
Brazil

IOCs:
File: 3
Hash: 6

Soft:
macOS, ImageMagick

Algorithms:
zip

Win API:
WinVerifyTrust

Win Services:
BITS

Languages:
delphi

Platforms:
apple

Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/Malware%20Config%20Extractors/IDAT\_Loader\_extractor.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что похитители информации активно распространяются киберпреступниками для сбора учетных данных для продажи в даркнете или использования в последующих кибератаках, создавая значительную угрозу как для личных, так и для корпоративных устройств. Эти злоумышленники развиваются, становятся все более изощренными и используются начинающими киберпреступниками, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

Киберпреступники активно распространяют средства для кражи информации с целью сбора учетных данных для продажи в даркнете или использования в кибератаках, при этом целью является значительное количество устройств.

В 2023 году были выявлены различные типы похитителей, такие как Kral, AMOS и Vidar, каждый из которых обладал отличными характеристиками и методами работы.

Kral stealer развился из загрузчика, связанного с Aurora stealer, и нацелен на криптовалютные кошельки и данные браузера, используя специальные методы проникновения и эксфильтрации данных.

AMOS stealer нацелен на пользователей macOS, маскируясь под законный пакет программного обеспечения, и обманом заставляет пользователей раскрывать свои учетные данные с помощью обманчивых диалоговых окон.

Vidar stealer распространяется по ссылкам в комментариях на YouTube и в первую очередь нацелен на данные браузера и кошельки, загружая ACR stealer вместо прямой кражи данных.

Украденные данные могут быть использованы в различных вредоносных целях, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия этим угрозам.

#ParsedReport #CompletenessMedium
21-10-2024

Using ZoomEye platform to conduct C2 asset expansion

https://paper.seebug.org/3232

Report completeness: Medium

Threats:
Cobalt_strike
Avoslocker
Metasploit_tool

Industry:
Critical_infrastructure

Geo:
United kingdom, London

ChatGPT TTPs:
do not use without manual check
T1071, T1047, T1203, T1059, T1053, T1055, T1027, T1569

IOCs:
IP: 19
File: 16
Hash: 17

Soft:
ZoomEye, Twitter, Debian, ApacheBench

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи отследили сетевые ресурсы хакерской группы C2, начав с IP-адреса C2 и информации о файлах, опубликованных в Twitter, расширив свое расследование с помощью поисковой системы в киберпространстве и проанализировав различные серверы, чтобы выявить распространенные методы атаки, связи с группами программ-вымогателей, схемы работы и многое другое. использование хакерской группой, базирующейся в основном в Великобритании, специфических методов загрузки вредоносного кода.
-----

Эта статья посвящена отслеживанию сетевых ресурсов C2 хакерской группы на основе IP-адреса C2 и связанной с ним информации о файлах, размещенных на платформе Twitter. Исследователи использовали поисковую систему ZoomEye в киберпространстве, чтобы расширить свое исследование и обнаружить больше ресурсов C2, связанных с хакерской группой. Анализируя троянские программы, обнаруженные на этих серверах C2, исследователи стремились выявить общие методы атаки и уникальные характеристики группы.

Первоначальным ориентиром, предоставленным 8 сентября 2024 года, был IP-адрес C2, идентифицированный как 89.197.154.116. Используя платформу ZoomEye, исследователи исследовали этот IP-адрес, который был расположен в Лондоне, Великобритания, с открытыми портами 80 и 3000, предлагающими услуги HTTP. После проведения анализа сетевого поведения файлов сервера было обнаружено, что большинство файлов были троянскими файлами C2 (CobaltStrike), недавно отправленными на анализ вредоносных программ. Кроме того, исследователи отметили, что 12 сентября 2024 года хакерская группа обновила пять файлов, что указывает на активные атаки. Коммуникационный порт C2 на этом сервере был идентифицирован как порт 7810.

Дальнейший анализ файлов сервера показал, что "lazagne.exe" использовался для получения сохраненных паролей, в то время как "AvosLocker.exe" был связан с организацией-вымогателем AvosLocker. Эта новая группа программ-вымогателей появилась в 2021 году, о чем подробно говорится в отчете Национального центра реагирования на чрезвычайные ситуации в области безопасности критической инфраструктуры. Программа-вымогатель AvosLocker была подключена к серверу с IP-адресом 89.197.154.116, что указывает на возможную связь между хакерской группой и этим объектом-вымогателем.

Расширив свое исследование, исследователи обнаружили 17 результатов, все из которых были получены в Соединенном Королевстве. Были подробно проанализированы два IP-адреса, а именно "89.197.154.115" и "193.117.208.148". Было отмечено, что сервер с IP-адресом 193.117.208.148 (именуемый "IP-адрес B") имеет сходства в коммуникационном порту C2, именах файлов и режиме работы с ранее исследованным сервером с IP-адресом 89.197.154.116.

Был проанализирован другой сервер с IP-адресом 193.117.208.101 (именуемый "IP-адрес D"), который продемонстрировал различия в именах файлов по сравнению с предыдущими серверами. Однако файл с именем "Cloudshare.vbs" на этом сервере имел сходство с файлом, найденным на сервере по IP-адресу 89.197.154.116. Поведение определенных файлов на этом сервере указывало на попытки подключения к серверу злоумышленника. Кроме того, исследователи заметили, что количество коммуникационных портов C2 на этих ресурсах было сосредоточено в диапазоне от 7000 до 8000, что позволило лучше понять принципы работы группы.

Проведя анализ, исследователи пришли к выводу, что хакерская группа в основном использовала трояны CobaltStrike и Metasploit, не имея возможности самостоятельно разрабатывать системы C2. Серверы C2 группы, по-видимому, были сосредоточены в Великобритании, а их активные и часто обновляемые ресурсы указывали на постоянную вредоносную деятельность. Кроме того, хакерская группа проявила тенденцию использовать различные методы загрузки вредоносного кода, включая HTA, PowerShell, VBS, а также тактику обмана, чтобы заманить цели к выполнению вредоносных программ.

#ParsedReport #CompletenessHigh
21-10-2024

Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group

https://www.group-ib.com/blog/cicada3301

Report completeness: High

Threats:
Cicada_ransomware
Shadow_copies_delete_technique
Lockbit
Qilin_ransomware
Ransomexx
Blackcat
Luna
Teamviewer_tool

Industry:
Healthcare

Geo:
Pol, Russian, Usa, United kingdom

TTPs:

IOCs:
Url: 1
Command: 3
File: 8
Path: 5
Registry: 1
Hash: 4

Soft:
ESXi, PSExec, Hyper-V, Ubuntu, Debian, SELinux, Unix, HyperV, macOS, bcdedit, have more...

Algorithms:
chacha20

Functions:
Company

Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, ocautoupds, ocomm, ocssd, powerpnt, have more...

Languages:
powershell, rust

Platforms:
arm, x86, x64, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4