#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберугрозе, исходящей от северокорейской группы Lazarus APT, использующей уязвимость нулевого дня в Google Chrome (CVE-2024-4947) в рамках кампании, нацеленной на отдельных лиц в криптовалютном секторе с помощью поддельной игры DeFi под названием "DeTankZone". Атака, которая началась в начале 2024 года и была обнаружена в мае того же года, высветила сохраняющийся риск того, что APT нацелятся на уязвимые системы. Группа Lazarus использовала уязвимость для кражи ценных данных и обхода мер безопасности Chrome, продемонстрировав свои возможности в сочетании методов социальной инженерии, эксплуатации с нулевого дня и расширенного внедрения вредоносных программ для кражи криптовалют. В ответ Google выпустила исправления для недавно обнаруженных уязвимостей в Chrome для защиты от потенциальных атак. Понимание и мониторинг таких участников угроз, как Lazarus Group, необходимы организациям для защиты от таких сложных киберугроз.
-----

В начале 2024 года северокорейская Lazarus APT group использовала критическую уязвимость нулевого дня (CVE-2024-4947) в JavaScript-движке Google Chrome версии 8 для удаленного выполнения кода.

Атака была нацелена на отдельных лиц в секторе криптовалют с помощью поддельной игры с децентрализованными финансами (DeFi) под названием "DeTankZone".

Несмотря на то, что Google выпустила обновления для системы безопасности, атака оставалась активной с февраля по май 2024 года, демонстрируя сохраняющиеся риски, связанные с APTS.

Lazarus украл ценные данные, такие как файлы cookie, токены аутентификации, историю посещенных страниц и сохраненные пароли, обойдя "песочницу" Chrome версии 8, чтобы получить контроль над скомпрометированными системами.

Группа использовала вредоносный веб-сайт, detankzone.com замаскированный под игру DeFi, для скрытого использования уязвимости Chrome.

Lazarus продвигал поддельную игру на различных платформах, включая рекламу в социальных сетях, электронные письма с использованием фишинга и прямые сообщения, используя вредоносное ПО Manuscrypt.

Кампания продемонстрировала комбинацию социальной инженерии Lazarus Group, эксплойтов нулевого дня и продвинутых вредоносных программ, нацеленных на криптовалютные биржи.

В ответ Google выпустила исправления для новых уязвимостей в системе безопасности (CVE-2024-10229, CVE-2024-10230, CVE-2024-10231), затрагивающих расширения Chrome и движок JavaScript версии 8.

Мониторинг действующих лиц угроз, таких как Lazarus Group, необходим организациям для защиты от сложных киберугроз, используя такие ресурсы, как SOCRadar Threat Actor Intelligence, для получения подробной информации и разработки стратегий защиты.

#ParsedReport #CompletenessHigh
24-10-2024

Rekoobe Backdoor Discovered in Open Directory, Possibly Targeting TradingView Users

https://hunt.io/blog/rekoobe-backdoor-discovered-in-open-directory-possibly-targeting-tradingview-users

Report completeness: High

Actors/Campaigns:
Apt31 (motivation: cyber_espionage, information_theft)
Wayback

Threats:
Rekoobe_rootkit
Tinyshell
Nood_rat
Typosquatting_technique
Yakit_tool
Mitm_technique

Victims:
Tradingview users

Geo:
Hong kong

ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1078, T1036

IOCs:
IP: 4
File: 2
Domain: 13
Hash: 3
Url: 16

Soft:
TradingView, Nginx, Linux

Algorithms:
sha256

Languages:
python

Links:
https://github.com/creaktive/tsh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении бэкдора Rekoobe в открытом каталоге, потенциально нацеленного на пользователей TradingView, и связанных с ним действиях по кибершпионажу и атакам с использованием тайпсквоттинга, направленных на финансовые платформы, работающие под управлением Linux.
-----

Бэкдор Rekoobe, ранее использовавшийся APT31 (Zirconium) и другими участниками кибершпионажа, был обнаружен в открытом каталоге и потенциально нацелен на пользователей популярной платформы TradingView. Эта вредоносная программа, частично основанная на Tiny SHell, обладает усовершенствованным шифрованием и уникальными конфигурациями управления, позволяющими избежать обнаружения. В каталоге с IP-адресом 27.124.45.146 были найдены два образца Rekoobe, а также двоичные файлы с именами 10-13-x64.bin и 10-13x86.bin. Эти файлы обменивались данными с IP-адресом хостинга через порт 12345. Поведение двоичного файла na.elf имеет сходство с известными RAT, хотя для окончательного определения атрибуции требуется дальнейший анализ.

В ходе расследований было обнаружено несколько доменов, похожих на TradingView, что указывает на атаки с использованием тайпсквоттинга, направленные на то, чтобы обманом заставить пользователей невольно взаимодействовать с вредоносными сайтами. В этих доменах, таких как tradingviewll.com и tradingviewlll.com, были обнаружены признаки фишинга или схем социальной инженерии. Несмотря на то, что на момент обнаружения они были неактивны, их существование рядом с образцами Rekoobe свидетельствует о сложной попытке использовать финансовые платформы, которые в основном работают на Linux.

Дальнейший анализ IP-адресов, на которых размещались бэкдоры, выявил сеть взаимосвязанных серверов в Гонконге, имеющих схожие конфигурации и наличие файлов. Примечательно, что на IP-адресе 27.124.45.211 размещался аналогичный открытый каталог с идентичными файлами Rekoobe, что подтверждает взаимосвязанность наблюдаемой инфраструктуры. Наличие инструмента безопасности Yakit наряду с Rekoobe и доменами, использующими тайпосквоттинг, вызывает опасения по поводу потенциального злонамеренного использования законных инструментов кибербезопасности в неблаговидных целях. Изучая вредоносное ПО в открытых каталогах с помощью таких инструментов, как Hunt, специалисты по безопасности могут лучше понять инфраструктуру злоумышленников и выявить скрытые угрозы.

#ParsedReport #CompletenessMedium
25-10-2024

UAC-0218 weaponized accounts issue: Stealing files using HOMESTEEL (CERT-UA#11717)

https://cert.gov.ua/article/6281095

Report completeness: Medium

Actors/Campaigns:
Uac-0218

Threats:
Homesteel

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1027, T1083, T1041

IOCs:
File: 14
Hash: 16
Url: 12
Domain: 10
IP: 5
Registry: 1

Algorithms:
zip

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте подробно описывается кампания кибератак, обнаруженная CERT-UA в Украине, включающая вредоносные электронные письма, загрузку обманчивых файлов, команды PowerShell для утечки данных и сложную инфраструктуру, использующую специальные инструменты и технологии. Для осуществления своей деятельности злоумышленники используют прокси-сервер, скрипты PowerShell, определенные расширения файлов и веб-серверы на базе Python, подчеркивая важность обеспечения надежной защиты от возникающих угроз.
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) недавно была проинформирована о вредоносной кампании по электронной почте, направленной на пользователей с темами, связанными с "учетной записью" и "реквизитами", а также ссылкой, предположительно ведущей на eDisk для загрузки RAR-архивов с соответствующими названиями. Электронные письма предназначены для того, чтобы обманом заставить получателей загрузить вредоносные файлы. Злоумышленники используют прокси-сервер для атаки, предполагая, что он настроен на компьютере жертвы. Значения единого идентификатора ресурса (URI) в HTTP-запросах предоставляют полный путь к украденному файлу.

В ходе расследования CERT-UA обнаружила исполняемый файл, который по сути является самораспаковывающимся скомпилированным архивом. Этот файл содержит однострочную команду PowerShell, которая выполняет рекурсивный поиск в каталоге %USERPROFILE% файлов с определенными расширениями, включая "*.xls*", "*doc*", "*.pdf", "*.eml", "*.sqlite", "*.pst', и '*.txt'. Обнаруженная команда PowerShell затем передает эти файлы на указанный сервер, используя метод POST протокола HTTP. Значения URI в этих запросах также содержат полный путь к украденным файлам. Это демонстрирует намерение злоумышленников отфильтровать конфиденциальные файлы у жертв.

Злоумышленники, стоящие за этой кампанией, используют определенные характерные особенности своей инфраструктуры управления. В ней задействован регистратор доменных имен HostZealot, что позволяет предположить потенциальную возможность расследования или устранения последствий. Кроме того, злоумышленники настроили веб-сервер для получения украденных данных. Этот сервер реализован с использованием Python, о чем свидетельствует надпись "Python Software Foundation BaseHTTP 0.6". Эти сведения дают представление о технических настройках, используемых злоумышленниками.

Этой конкретной кампании присвоен идентификатор UAC-0218 для целей отслеживания. Этот идентификатор помогает отслеживать и анализировать аналогичные кибератаки, которые имеют общие характеристики или тактику. Связывая кампании атак с определенными идентификаторами, службы безопасности могут улучшить свои возможности по обнаружению и реагированию на них для лучшей защиты от подобных угроз.

Таким образом, CERT-UA выявил сложную кампанию кибератак, которая включает в себя вводящие в заблуждение электронные письма, загрузку вредоносных файлов, команды PowerShell для утечки данных и инфраструктуру управления, использующую специальные инструменты и технологии. Использование прокси-сервера, скриптов PowerShell, определенных расширений файлов и веб-серверов на базе Python - все это усложняет атаку. Организациям следует проявлять бдительность в отношении такой тактики и принимать надежные меры кибербезопасности для защиты от возникающих угроз.

#ParsedReport #CompletenessLow
25-10-2024

Understanding the Initial Stages of Web Shell and VPN Threats: An MXDR Analysis. MXDR case 1: A persistent web shell attack

https://www.trendmicro.com/en_us/research/24/j/understanding-the-initial-stages-of-web-shell-and-vpn-threats-an.html

Report completeness: Low

Threats:
Anydesk_tool
Impacket_tool
Secretsdump_tool
Wmiexecpy_tool
Zerologon_vuln
Wmiexec_tool
Efspotato_tool
Htran

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

ChatGPT TTPs:
do not use without manual check
T1505.003, T1190, T1078, T1090.001, T1047, T1021.001, T1083, T1110.001, T1207, T1569.002, have more...

IOCs:
File: 11
Path: 1
Hash: 11

Algorithms:
sha1

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератаки с использованием веб-оболочек и компрометации VPN широко распространены в среде угроз, при этом злоумышленники используют многоуровневые стратегии для сохранения доступа к скомпрометированным системам. Поведенческий анализ, обнаружение аномалий и упреждающие меры кибербезопасности имеют решающее значение для борьбы с появляющимися киберугрозами и предотвращения серьезных последствий, таких как внедрение программ-вымогателей.
-----

Кибератаки с использованием веб-оболочек и компрометации VPN остаются распространенными в среде угроз, о чем свидетельствуют недавние инциденты, проанализированные Trend Micro MXDR. Злоумышленники применяют многоуровневую стратегию, используя веб-оболочки, программное обеспечение для туннелирования и средства удаленного доступа для обеспечения доступа к скомпрометированным системам. Веб-консоли обеспечивают интерактивный доступ к серверам, позволяя злоумышленникам осуществлять вредоносные действия и быстро адаптировать свою тактику. Компрометация учетных записей VPN позволяет злоумышленникам проникать в сети и избегать обнаружения, маскируя вредоносные действия под законные процессы.

Поведенческий анализ и обнаружение аномалий являются ключевыми компонентами в борьбе с развивающимися киберугрозами. Используя такие инструменты, как MXDR и возможности цифровой криминалистики, организации могут обнаруживать ранние признаки взлома, отслеживать ненормальное поведение и эффективно разрабатывать стратегии сдерживания и восстановления. В проанализированных инцидентах злоумышленники использовали сложные методы, такие как развертывание веб-оболочек и компрометация учетных записей VPN, чтобы получить несанкционированный доступ и перемещаться по сетям.

Веб-серверы часто становятся объектами эксплуатации из-за уязвимостей, неправильной настройки и непатченного программного обеспечения. Вредоносные веб-оболочки часто используются для компрометации серверов, предоставляя злоумышленникам шлюз для удаленного выполнения команд, установки вредоносного ПО, кражи данных или запуска дальнейших атак. В ходе инцидента, проанализированного Trend Micro, на сервер был загружен файл веб-оболочки, позволяющий злоумышленнику выполнять команды и, возможно, осуществлять управление с помощью подозрительного IP-адреса сервера. Были введены дополнительные средства для облегчения исходящего трафика, что указывает на сложную стратегию атаки.

При компрометации учетных записей VPN злоумышленники получают доступ с помощью таких методов, как фишинг или использование уязвимостей, для выполнения вредоносных действий в сети. Злоумышленники стремятся внедриться в систему и обойти средства защиты, используя скомпрометированные учетные записи для перемещения в другие стороны и развертывания дополнительной полезной нагрузки. Проведенный Trend Micro анализ выявил такие действия, как развертывание средств удаленного доступа, сканирование сети и попытки использования уязвимостей с повышением привилегий, что свидетельствует о настойчивости и изощренности злоумышленника.

Существенной проблемой в этих инцидентах было отсутствие журналов приложений, что затрудняло понимание векторов атак и выработку точных рекомендаций по обеспечению безопасности. Аудит безопасности и планирование реагирования на инциденты являются важными компонентами проактивной стратегии кибербезопасности, позволяющей организациям выявлять признаки компрометации на ранней стадии и укреплять свою защиту. Раннее обнаружение имеет решающее значение для предотвращения серьезных последствий, таких как развертывание программ-вымогателей, как это было продемонстрировано в ходе предыдущих атак, когда программы-вымогатели были развернуты вскоре после несанкционированного доступа к общедоступному RDP-узлу.

#ParsedReport #CompletenessMedium
25-10-2024

HeptaX: Unauthorized RDP Connections for Cyberespionage Operations

https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations

Report completeness: Medium

Actors/Campaigns:
Heptax (motivation: cyber_espionage)

Threats:
Chromepass_tool

Industry:
Healthcare

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 11
Registry: 3
Url: 12
Path: 1
Hash: 7

Soft:
Windows Defender

Algorithms:
zip, sha256, base64

Functions:
schReg

Win Services:
WebClient

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте описывается обнаружение продолжающейся кампании кибератак под названием "HeptaX", проводимой лабораториями Кибл-исследований и разведки (CRIL). Злоумышленники используют вредоносные файлы LNK, PowerShell и скрипты BAT в сложной многоэтапной цепочке атак, чтобы создать учетную запись администратора, изменить настройки удаленного рабочего стола для несанкционированного доступа и потенциально скомпрометировать учетные записи жертв. Кампания в первую очередь нацелена на сферу здравоохранения с помощью фишинговых электронных писем, при этом злоумышленники получают доступ к удаленному рабочему столу для таких вредоносных действий, как утечка данных. Хакерская группа, стоящая за HeptaX, действует с 2023 года, последовательно используя одни и те же методы атаки и создавая серьезную угрозу кибербезопасности, которая требует усовершенствованных защитных мер.
-----

Исследовательская лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила продолжающуюся кампанию кибератак с использованием вредоносных файлов LNK, продемонстрировав сложную многоэтапную цепочку атак с использованием сценариев PowerShell и BAT. Атака направлена на создание учетной записи администратора в системе жертвы и изменение настроек удаленного рабочего стола для облегчения несанкционированного доступа по протоколу RDP. Использование средства восстановления пароля ChromePass повышает риск более масштабных взломов учетной записи. Кампания, получившая название "HeptaX" для целей отслеживания, пока не раскрыта. Атака начинается с рассылки ZIP-файла, содержащего вредоносный ярлык, который распространяется с помощью предполагаемых фишинговых электронных писем, предназначенных в первую очередь для сферы здравоохранения. При запуске файл LNK запускает команды PowerShell для загрузки и выполнения дополнительных полезных задач, создавая новую учетную запись пользователя с правами администратора и изменяя настройки протокола удаленного доступа. Злоумышленники получают доступ к удаленному рабочему столу, позволяя выполнять различные вредоносные действия, такие как утечка данных или установка дополнительного вредоносного ПО. Наличие ChromePass подвергает учетные данные жертв еще большему риску. Хакерская группа, стоящая за HeptaX, действует с 2023 года, последовательно применяя одни и те же методы атаки в различных секторах, несмотря на то, что исследователи ранее выявили ее. Использование PowerShell и пакетных сценариев для компрометации системы является отличительной чертой деятельности этой группы. Несмотря на проводимые кампании, эта группа сохраняет неизменные схемы атак, что указывает на необходимость совершенствования мер кибербезопасности для эффективного противодействия этим скрытым угрозам.

#ParsedReport #CompletenessMedium
25-10-2024

It s About The Journey: Fake Cloudflare Authenticator

https://blog.kandji.io/fake-cloudflare-authenticator

Report completeness: Medium

Threats:
Vshell
Sliver_c2_tool

Geo:
China, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1543, T1105, T1573, T1090, T1574

IOCs:
IP: 1
Url: 2
Hash: 9
File: 3

Soft:
Twitter, macOS, GateKeeper, Linux, Android, unix, crontab, sysctl

Algorithms:
xor, sha256

Functions:
new, spawn, main, access, exit, InitAddr, dlsym, _initaddr, socket, connect, have more...

Win API:
gethostbyname, inet_addr

Languages:
golang, rust, python

Platforms:
apple, cross-platform

Links:
https://github.com/BishopFox/sliver/blob/master/implant/sliver/taskrunner/task\_darwin.go
https://github.com/veo/vshell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 3, code: 10, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе подозрительного файла под названием "Cloudflare Security Authenticator", загруженного из Китая, характеристики которого позволяют предположить, что это образец вредоносного ПО, нацеленного на пользователей Cloudflare. Файл был проанализирован на различных этапах, содержал различные двоичные файлы на разных языках, и в конечном итоге был идентифицирован как VShell, инструмент для моделирования противостояния безопасности и red team. Вредоносная программа демонстрировала запутанные символы и кодировку XOR, выдавая себя за законное приложение TOTP для Cloudflare, цель которого оставалась неясной.
-----

Команда по анализу угроз в Kandji EDR проводит поиск угроз в различных источниках данных, чтобы обеспечить всесторонний охват. 15 октября 2024 года в VirusTotal был обнаружен подозрительный файл под названием "Cloudflare Security Authenticator/cloudflare-auth-tauri", загруженный из Китая в тот же день. Файл, помеченный как dropper, был неподписан и не был обнаружен в VirusTotal. Этот файл также был упомянут в Twitter /X пользователем AzakaSekai_ с хэштегом #vshell.

Файл представлял собой DMG-файл, содержащий текст на китайском языке, в котором пользователю предлагается запустить значок аутентификатора. Значок был необычным, поскольку это был не пакет приложений, а файл Mach-O. Включение "Tauri" в название позволило предположить, что это был образец, скомпилированный в Rust, что подтвердилось в ходе анализа. В приложении Rust указывалось на необходимость поиска функции lang_start, чтобы понять, с чего начинается выполнение.

В ходе анализа были рассмотрены методы ввода-вывода (I/O), при этом метод new() использовался для создания команды для запуска программы по указанному пути. Извлечение встроенного файла из stage 1 Mach-O было выполнено с использованием двоичного кода Ninja с помощью команды Python. Двоичные файлы Stage 2 и stage 3 также были скомпилированы в Rust, что требовало аналогичных методов анализа.

Двоичный файл stage 3 представлял собой скомпилированный на C двоичный файл, который, как оказалось, передавал IP-адрес сервера управления (C2) таким функциям, как gethostbyname() и inet_addr(). Связь с сервером C2 включала отправку запроса GET для другого двоичного файла Mach-O, который был закодирован в формате XOR. Был создан скрипт для декодирования загруженного файла, чтобы приступить к анализу последующих файлов.

Заключительный этап цепочки заражения был написан на языке Golang, в кодировке XOR, с использованием запутанных символов. Эта полезная нагрузка была идентифицирована как VShell, инструмент для моделирования противостояния безопасности и red team. Постоянство было достигнуто с помощью задания cron для выполнения двоичного файла этапа 4 при перезапуске системы. Анализ включал идентификацию имен пакетов Golang и строк, таких как 'LD_PARAMS=%s' и 'DYLD_INSERT_LIBRARIES=%s', которые связывали файл stage 4 с семейством VShell.

Цепочка заражения включала Mach-Os на разных языках, кодировку XOR и запутанные символы, которые отображались как законное приложение TOTP для Cloudflare. Назначение вредоносного ПО остается неясным, но наличие китайских иероглифов в DMG может указывать на потенциальную целевую область для этого вредоносного ПО.

#ParsedReport #CompletenessHigh
25-10-2024

Arctic Wolf Labs Observes Increased Fog and Akira Ransomware Activity Linked to SonicWall SSL VPN

https://arcticwolf.com/resources/blog-uk/arctic-wolf-labs-observes-increased-fog-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn

Report completeness: High

Threats:
Akira_ransomware
Fog_ransomware
Softperfect_netscan_tool
Advanced-port-scanner_tool
Nltest_tool
Adfind_tool
Psexec_tool
Credential_dumping_technique
Mimikatz_tool
Anydesk_tool
Putty_tool
Mobaxterm_tool
Rclone_tool
Shadow_copies_delete_technique

Industry:
Education

Geo:
Canada

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 9
Technics: 22

IOCs:
File: 10
IP: 11
Hash: 21

Soft:
Active Directory, oftPerfect Network Scanner •, sExec, SCP • F, PsExec, SoftPerfect Network Scanner, macOS, Linux, ESXI, WinSCP, have more...

Algorithms:
sha1

Languages:
powershell

Links:
https://github.com/sadshade/veeam-creds/blob/main/Veeam-Get-Creds.ps1