#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является организацией APT, связанной с правительством Южной Азии, известной проведением атак APT в Южной Азии. В тексте подробно описываются их недавние фишинговые атаки с использованием файлов searchconnector-ms и описываются их методы атаки, направленные на получение удаленного доступа к целевым системам. В нем также рассказывается об усилиях 360 Advanced Threat Research Institute по обнаружению и изучению передовых угроз, исходящих от APT-организаций, таких как Manlinghua.
-----

APT-C-08, или Manlinghua, - это организация APT, связанная с правительством Южной Азии, которая проводит атаки APT в Южной Азии, нацеленные на правительственные учреждения, военную промышленность, университеты и зарубежные организации.

Недавно выявленные Manlinghua фишинговые атаки были связаны с вредоносными файлами searchconnector-ms, спрятанными в сжатых вложениях электронной почты.

Файл searchconnector-ms инициирует атаку, что приводит к развертыванию полезной нагрузки для удаленной атаки через службу WebDAV в виде вредоносных файлов LNK или CHM.

Manlinghua изменила свою тактику, отправив файлы с возможностями удаленного доступа, такими как searchconnector-ms или файлы с расширением .url, вместо сжатых пакетов с файлами LNK.

Связь с соответствующими серверами управления (C&C) должна быть проверена на предмет возможного компрометации.

360 Advanced Threat Research Institute известен тем, что обнаруживает атаки нулевого дня и действия APT, повышая общую безопасность сети.

#ParsedReport #CompletenessMedium
21-10-2024

Analysis of the attack activities of the APT-C-35 organization against a manufacturing company in South Asia. 1. Analysis of attack activities. 1. Analysis of attack activities

https://mp.weixin.qq.com/s/qCcuU0E6d84tdQ1r2dCsjA

Report completeness: Medium

Actors/Campaigns:
Donot

Threats:
Double_kill_vuln
Double_star_vuln

Victims:
Shibli electrics limited

Industry:
Government, Energy

Geo:
Pakistan, Pakistani, Asia

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1203, T1027, T1562, T1140, T1105, T1547

IOCs:
Domain: 1
Hash: 7
File: 5
Registry: 1

Algorithms:
md5, xor

Functions:
IntegrateCheck

Win API:
CryptEnumOIDInfo, LoadLibrary

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ недавней кибератаки, проведенной организацией APT-C-35 (также известной как Donot) против целей в Пакистане. Атака была связана с использованием вредоносных документов, уязвимостей и сложных методов, таких как выполнение многослойного шелл-кода и внедрение шаблонов, для кражи секретной информации. В анализе освещаются тактика, методы и процедуры APT-C-35, их история нападений на правительственные учреждения в Южной Азии, а также продолжающаяся эволюция и усложнение их киберопераций. Исследование было проведено Институтом перспективных исследований угроз 360, который специализируется на выявлении и устранении передовых киберугроз по всему миру и направлен на повышение осведомленности об угрозах, исходящих от таких организаций, как APT-C-35.
-----

В тексте обсуждается недавняя кибератака, проведенная группой, известной как APT-C-35 (организация Donot), против объектов в Пакистане. Атака была связана с использованием вредоносных документов и уязвимостей для загрузки новых компонентов .NET-атаки для секретных операций по краже. В ходе атаки использовались два основных метода: использование файлов-приманки с макросами для выполнения многоуровневого шелл-кода и загрузки вредоносных библиотек DLL, а также внедрение шаблонов для загрузки документов в формате RTF, содержащих уязвимости, которые запускают выпуск вредоносных библиотек DLL.

В одном случае был проанализирован макрос-образец, замаскированный под документ SOP, относящийся к бухгалтерскому учету пакистанской компании Shibli Electrics Limited. Этот макрос-образец включал этап проверки пароля перед выполнением ключевых функций, что указывает на потенциальный обход механизмов обнаружения в изолированной среде. За тот же период был обнаружен еще один набор вредоносных макродокументов, в которых отсутствовала проверка пароля. В этих документах для последующей загрузки библиотек DLL использовался другой шелл-код, основанный на системной архитектуре, с использованием шифрования, чтобы избежать обнаружения антивирусом. Шеллкод выполнял операции отрицания и исключения для самостоятельной расшифровки, динамически получал адреса функций API и извлекал URL-адреса для загрузки замаскированных файлов и вредоносной полезной нагрузки.

Было обнаружено, что активность атаки соответствует типичным тактикам, методам и процедурам (TTP) организации APT-C-35, включая сходство в процессах выполнения макрокода, использование определенных путей к файлам, таких как "%Roaming%\wingui.dll ," и последовательное восстановление первых 4 байт в библиотеках DLL, загруженных с помощью samples. Организация продемонстрировала тенденцию к постоянному обновлению и совершенствованию функциональных возможностей вредоносного кода, демонстрируя модульность своей работы. Атака была приписана организации APT-C-35 (Thinworm), которая с 2016 года проводит кибератаки против правительственных учреждений в Южной Азии, причем в последнее время частота и изощренность атак возросли.

Анализ был проведен 360 Advanced Threat Research Institute, специализированным подразделением 360 Government and Enterprise Security Group, в состав которого входят ведущие эксперты по безопасности. Институт специализируется на обнаружении, защите от киберугроз, смягчении их последствий и исследовании современных киберугроз по всему миру. У него есть опыт обнаружения и раскрытия значительных атак нулевого дня и деятельности организаций APT, что способствует усилиям по обеспечению национальной сетевой безопасности. Этот общий ответ направлен на повышение осведомленности о меняющемся ландшафте угроз, создаваемых такими организациями, как APT-C-35, и их постоянной атаке на конфиденциальную информацию в различных секторах.

#ParsedReport #CompletenessMedium
21-10-2024

Unmasking Lumma Stealer : Analyzing Deceptive Tactics with Fake CAPTCHA

https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha

Report completeness: Medium

Threats:
Lumma_stealer
Polyglot
Process_hollowing_technique
Process_injection_technique

TTPs:
Tactics: 4
Technics: 3

IOCs:
File: 10
Domain: 9
Hash: 14
IP: 2

Algorithms:
base64, zip, aes, cbc

Languages:
autoit, javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5, windows: 4, table: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается угроза, исходящая от Lumma Stealer, вредоносного ПО для кражи информации, работающего как вредоносное ПО как услуга (MaaS), которое специализируется на краже конфиденциальных данных, таких как пароли и информация о криптовалютах. Вредоносная программа использует сложные методы доставки, включая поддельные страницы с капчей и многоступенчатые методы без использования файлов, что повышает ее обманчивость и стойкость. Злоумышленники используют законное программное обеспечение, такое как mshta.exe, для распространения вредоносного ПО и используют различные тактики обхода, чтобы избежать обнаружения. В анализе подчеркивается важность раннего обнаружения и демонстрируется, как Qualys EDR эффективно перехватывает и останавливает атаки вредоносных программ без использования файлов. В целом, меняющийся ландшафт угроз Lumma Stealer представляет серьезную проблему для специалистов в области кибербезопасности из-за его адаптивности и постоянного характера.
-----

Lumma Stealer - это развивающаяся вредоносная программа как услуга, специализирующаяся на краже конфиденциальной информации, такой как пароли, данные браузера и данные криптовалютного кошелька.

Злоумышленник, стоящий за Lumma Stealer, перешел от традиционного фишинга к более обманным методам распространения вредоносного ПО, таким как поддельная проверка с помощью CAPTCHA.

Злоумышленники создают фишинговые веб-сайты, используя сети доставки контента, используя эксплойты или социальную инженерию для распространения вредоносного ПО.

Вредоносная программа использует многоэтапные методы без использования файлов с использованием поддельных страниц с капчей, чтобы обмануть пользователей и инициировать загрузку полезной нагрузки.

Цепочка атак включает в себя запуск команд PowerShell через поддельные сайты с капчей, что приводит к загрузке начального этапа в целевую систему.

Вредоносная программа использует mshta.exe для удаленной загрузки полезных данных и манипулирует PE-файлами, такими как "Dialer.exe", с помощью запутанного кода JavaScript, используя методы многоязычия для уклонения.

Скрипт PowerShell в коде JavaScript расшифровывает полезную нагрузку, зашифрованную AES, и в конечном итоге устанавливает Lumma Stealer после извлечения содержимого из библиотек DLL.

Lumma Stealer выполняет поиск конфиденциальных файлов, связанных с криптовалютой, и паролей, взаимодействует с серверами C2 в домене верхнего уровня ".shop" и использует CDN для доставки полезной информации.

Qualys EDR эффективно перехватывает атаки вредоносных программ без использования файлов перед выполнением, подчеркивая важность раннего обнаружения для предотвращения утечки данных.

Меняющийся характер угрозы Lumma Stealer, использующей такие распространенные инструменты, как PowerShell и тактика уклонения, представляет серьезную проблему для специалистов в области кибербезопасности.

#ParsedReport #CompletenessLow
13-10-2024

Update on SVR Cyber Operations and Vulnerability Exploitation

https://media.defense.gov/2024/Oct/09/2003562611/-1/-1/0/CSA-UPDATE-ON-SVR-CYBER-OPS.PDF

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Password_spray_technique
Supply_chain_technique
Spear-phishing_technique
Mitm_technique
Residential_proxy_technique

Industry:
Energy, Ngo, Government, Financial, Software_development

Geo:
Asia, United kingdom, America, Ukraine, Russian, Russia, American, Russian federation

CVEs:
CVE-2022-40507 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qualcomm 315 5g iot modem firmware (-)

CVE-2023-37580 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zimbra (<8.8.15)

CVE-2023-5044 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- kubernetes ingress-nginx (<1.9.0)

have more...


TTPs:

Soft:
JetBrains TeamCity, Microsoft Teams, Zimbra, Android, Microsoft Exchange Server, Google Chrome, Apache Tapestry, SharePoint Server, Ivanti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это совместная рекомендация по кибербезопасности, подготовленная несколькими агентствами и освещающая тактику и деятельность Службы внешней разведки Российской Федерации (СВР), также известной как APT29, направленная на различные сектора с акцентом на поддержку вторжения России в Украину. В рекомендациях подчеркивается важность понимания тактики SVR, своевременного внедрения исправлений и упреждающих мер кибербезопасности для защиты от этих сложных киберугроз.
-----

ФБР, АНБ, CNMF и NCSC-UK опубликовали совместное руководство по кибербезопасности в отношении киберугроз СВР.

СВР, также известная как APT29, Cozy Bear и the Dukes, нацелена на оборонный, технологический и финансовый секторы как минимум с 2021 года, поддерживая вторжение России в Украину с февраля 2022 года.

Киберпреступники СВР используют уязвимости программного обеспечения для первоначального доступа и повышения привилегий, подчеркивая важность быстрого внедрения исправлений.

СВР использует такие тактики, как скрытый поиск, разбазаривание паролей, злоупотребление цепочками поставок и социальная инженерия, чтобы воздействовать на государственные структуры, технологические компании и организации по всему миру.

СВР проводит массовое сканирование систем, подключенных к Интернету, с целью использования уязвимой инфраструктуры и поддержания анонимности с помощью TOR, поддельных удостоверений личности и учетных записей электронной почты с низкой репутацией.

Конкретные уязвимости, используемые SVR, включают CVE-2022-27924 в Zimbra и CVE-2023-42793 в JetBrains TeamCity.

Организациям рекомендуется применять исправления для системы безопасности, усиливать контроль доступа и тщательно проверять устройства для защиты от киберугроз SVR.

#ParsedReport #CompletenessMedium
22-10-2024

Attackers Target Exposed Docker Remote API Servers With perfctl Malware. Summary

https://www.trendmicro.com/en_us/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html

Report completeness: Medium

Threats:
Perfctl

Victims:
Docker remote api servers

TTPs:
Tactics: 7
Technics: 10

IOCs:
IP: 3
Url: 3
Hash: 2

Soft:
Docker, ubuntu, Unix, Systemd, curl

Algorithms:
base64

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что неизвестный злоумышленник использует уязвимости в открытых удаленных API-серверах Docker для развертывания вредоносного ПО perfctl. Атака включает в себя последовательность шагов, таких как проверка серверов, выполнение полезной нагрузки, методы обхода и установка постоянной лазейки для постоянного доступа. Организациям рекомендуется обезопасить и контролировать свои серверы Docker, проводить регулярные проверки безопасности и обновлять исправления для предотвращения подобных атак.
-----

В тексте описывается, как неизвестный злоумышленник использует незащищенные серверы Docker remote API для развертывания вредоносного ПО perfctl. Атака включает в себя проверку серверов, выполнение полезной нагрузки, методы обхода и установку постоянной лазейки для постоянного доступа. Злоумышленники используют уязвимости в удаленных API-серверах Docker для развертывания вредоносного кода, создавая контейнеры Docker с определенными настройками и выполняя полезную нагрузку в кодировке Base64. Процесс выполнения полезной нагрузки включает в себя выход из контейнера, создание сценариев bash, установку переменных окружения и загрузку вредоносного двоичного файла, замаскированного под расширение PHP.

Чтобы избежать обнаружения, злоумышленники используют такие методы уклонения, как проверка на наличие похожих процессов и создание каталогов и пользовательских функций для загрузки файлов. Последовательность атаки включает в себя проверку наличия сервера, создание контейнеров Docker с определенными изображениями, взлом контейнеров с помощью таких инструментов, как "nsenter", и выполнение полезной нагрузки. Предыдущие инциденты показали, что злоумышленники устанавливали майнеры криптовалюты аналогичными методами.

В тексте подчеркивается, что организациям крайне необходимо обеспечить безопасность и мониторинг своих серверов Docker Remote API для предотвращения подобных атак. Регулярные проверки безопасности и обновление исправлений необходимы для повышения уровня безопасности. Атака включает подтверждение присутствия вредоносных процессов, проверку активных TCP-соединений, загрузку вредоносных двоичных файлов и запуск определенных действий в зависимости от размера и существования файла. Выполнение полезной нагрузки приводит к таким действиям, как завершение работы процессов, установка разрешений, обновление переменных среды и выполнение команд в фоновом режиме.

Вредоносная программа сохраняет свою устойчивость, создавая службы systemd или задания cron, что обеспечивает непрерывную активность и затрудняет устранение. Устойчивый бэкдор устанавливается путем замены исходной оболочки "/bin/sh" на модифицированную версию, которая обеспечивает повышение привилегий и выполнение команд. Создаются резервные двоичные файлы для восстановления исходной оболочки во время очистки. Кроме того, запускается фоновый процесс для дальнейшего взаимодействия и поддержки бэкдора с использованием определенных функций.

#ParsedReport #CompletenessLow
22-10-2024

IntelBroker s Alleged Cisco Breach: A Deep Dive into the Claims and Responses

https://socradar.io/intelbrokers-alleged-cisco-breach-a-deep-dive-into-the-claims-and-responses

Report completeness: Low

Actors/Campaigns:
Cyberniggers (motivation: cyber_criminal, information_theft)
Usdod (motivation: cyber_criminal)
Baphomet

Threats:
Shinyhunters

Victims:
Cisco systems, Microsoft, At&t, Barclays, British telecom, Bank of america, Verizon, Vodafone, Bt, Sap, have more...

Industry:
Financial, Telco

Geo:
America

ChatGPT TTPs:
do not use without manual check
T1078, T1027, T1071

Soft:
Docker, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о хакере киберугроз, известном как IntelBroker, который утверждал, что взломал системы Cisco, делился подробностями взлома на форумах и подчеркивал свою настойчивость и возможности в атаке на крупные организации, используя при этом психологические приемы для оказания давления на цели и создания репутации, основанной на высоком уровне. -профильные вторжения.
-----

IntelBroker, известный хакер и нынешний администратор хакерского форума BreachForums, заявил, что 14 октября 2024 года он взломал Cisco Systems. Злоумышленник заявил о доступе к конфиденциальным данным, включая исходные коды и внутренние документы, и поделился подробностями взлома на форуме. В то время как Cisco отрицала какую-либо компрометацию своих основных систем, они признали факт утечки данных через общедоступный ресурс DevHub. IntelBroker утверждал, что у них был доступ до 18 октября, когда Cisco предположительно отозвала все оставшиеся точки входа.

О взломе Cisco Systems объявила компания IntelBroker на BreachForums, заявив, что инцидент произошел 6 октября, и предложив украденные данные на продажу. Актер перечислил крупные компании, к данным которых они якобы получили доступ, включая Microsoft, AT&T, Barclays, Bank of America и другие. На скриншотах, которыми поделился IntelBroker, был показан доступ к интерфейсам управления, внутренним документам, базам данных и информации о клиентах. Это нарушение выявило настойчивость и возможности IntelBroker в борьбе с известными организациями.

В ответ на претензии IntelBroker компания Cisco опубликовала заявление от 15 октября 2024 года, касающееся инцидента с безопасностью. Компания IntelBroker использовала Twitter, чтобы расширить свои заявления о нарушениях, раскритиковать действия Cisco и подчеркнуть, что до 18 октября у них был постоянный доступ к системам Cisco. Расценив отзыв доступа со стороны Cisco как отложенное действие, IntelBroker стремился подорвать усилия Cisco по реагированию на инциденты и продемонстрировать свою устойчивость к угрозам.

История взломов IntelBroker в крупных организациях началась в конце 2022 года, когда были подтверждены нарушения в таких компаниях, как Weee Grocery Service, Европол и AT&T. Актер приобрел известность на BreachForums и получил статус администратора в мае 2024 года после значительных сбоев в руководстве форумом. Участие IntelBroker распространялось не только на BreachForums, но и на группу киберпреступников CyberNiggers, где они сыграли ключевую роль в организации значительных взломов и возрождении группы в августе 2024 года.

Инцидент с Cisco является частью стратегического подхода IntelBroker к борьбе с организациями не только с целью кражи данных, но и для создания репутации, основанной на громких вторжениях, которые бросают вызов корпоративным мерам безопасности. Способность IntelBroker последовательно взламывать известные организации и поддерживать видимость на таких платформах, как Twitter, демонстрирует их технические навыки и психологическую тактику оказания давления на цели. Это последнее нарушение подчеркивает эволюцию тактики IntelBroker и ее неизменную нацеленность на использование потенциальных уязвимостей в корпоративных системах.

#ParsedReport #CompletenessLow
22-10-2024

macOS NotLockBit \| Evolving Ransomware Samples Suggest a Threat Actor Sharpening Its Tools

https://www.sentinelone.com/blog/macos-notlockbit-evolving-ransomware-samples-suggest-a-threat-actor-sharpening-its-tools

Report completeness: Low

Threats:
Notlockbit
Lockbit

ChatGPT TTPs:
do not use without manual check
T1486, T1071, T1562, T1119

IOCs:
File: 4
Hash: 5

Soft:
macOS, sysctl

Algorithms:
sha1

Platforms:
intel, apple

Links:
https://github.com/elastic/go-sysinfo/blob/main/types/host.go

#ParsedReport #GeneratedSchema
Generated with GPT-4