#ParsedReport #CompletenessMedium
26-10-2024

Tenacious Pungsan: A DPRK threat actor linked to Contagious Interview

https://securitylabs.datadoghq.com/articles/tenacious-pungsan-dprk-threat-actor-contagious-interview

Report completeness: Medium

Actors/Campaigns:
Tenacious_pungsan
Contagious_interview

Threats:
Supply_chain_technique
Beavertail
Invisibleferret

Victims:
Blockchain developers, Developer job applicants

Industry:
Financial

Geo:
Korea, Dprk, North korea

ChatGPT TTPs:
do not use without manual check
T1001, T1071, T1027, T1041, T1213

IOCs:
Email: 2
IP: 1
File: 4

Soft:
Unix, Node.js, Firefox, macOS, twitter

Algorithms:
bcrypt

Languages:
python, javascript

Links:
https://github.com/advisories/GHSA-q99j-q5f8-qcc8
https://github.com/DataDog/malicious-software-packages-dataset
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что DataDog Security Research активно отслеживает npm и PyPI на предмет атак на цепочки поставок программного обеспечения, в частности, выявляет вредоносные пакеты с открытым исходным кодом с помощью GuardDog. Они обнаружили множество вредоносных пакетов, в том числе недавний случай, связанный с вредоносным по BeaverTail, связанным с группой под названием "Tenacious Pungsan" из Северной Кореи, нацеленной на лиц, ищущих работу в технологической отрасли США. В тексте также подчеркивается растущая угроза, исходящая от атак на цепочки поставок программного обеспечения с открытым исходным кодом, связанных с присвоением имен и обманными методами компрометации законных пакетов. Присутствие вредоносной программы BeaverTail, связанного с ней бэкдора и связь с определенными целевыми группами подчеркивают важность постоянного мониторинга и превентивных мер для защиты от подобных угроз.
-----

DataDog Security Research внимательно отслеживает атаки npm и PyPI на цепочки поставок программного обеспечения с помощью GuardDog, инструмента, который идентифицирует вредоносные пакеты с открытым исходным кодом по поведению кода и метаданным. За последние два года они выявили более 1700 вредоносных пакетов. В сентябре 2024 года было обнаружено, что три вредоносных пакета npm - passports-js, bcrypts-js и blockscan-api - содержат вредоносное по BeaverTail, связанное с группой под названием "Tenacious Pungsan", связанной с Северной Кореей. Вредоносная программа является частью кампании по распространению заразных собеседований, нацеленной на соискателей работы в технологической отрасли США, путем заманивания жертв на участие в поддельных собеседованиях о приеме на работу, где вредоносная программа предоставляется в качестве задания.

Цепочки поставок программного обеспечения с открытым исходным кодом все чаще становятся мишенью злоумышленников, которые компрометируют широко используемые пакеты или создают новые вредоносные программы. Атаки часто связаны с присвоением имен, когда вредоносный пакет делается похожим на законный, чтобы обмануть разработчиков. GuardDog проводит сканирование на наличие подобных угроз и на протяжении многих лет обнаруживал различные вредоносные пакеты. Passports-js, помеченный для проверки вручную в сентябре 2024 года, содержал запутанный JavaScript-код, похожий на другой вредоносный пакет, blockscan-api. Было обнаружено, что эти пакеты содержат вредоносное по BeaverTail, известное своей атакой на криптовалютные кошельки и информацию о кредитных картах.

Вредоносная программа BeaverTail, замаскированная с помощью обычного обфускатора, крадет информацию и загружает бэкдор на Python под названием InvisibleFerret с серверов, контролируемых злоумышленниками. Различные идентификаторы кампаний, связанные с различными вариантами BeaverTail, указывают на то, что они нацелены на определенные группы, такие как Node.js разработчики или кандидаты на работу, связанные с блокчейном. TTP вредоносной программы совпадают с TTP кампании Contagious Interview, что указывает на связь с Tenacious Pungsan. Группа повторно использует инфраструктуру, включая IP-адреса и структуры веб-каталогов, для обеспечения согласованности своей деятельности.

Для содействия дальнейшим исследованиям были опубликованы образцы BeaverTail в passports-js, bcrypts-js и blockscan-api. Злоумышленники часто копируют и используют бэкдоры в законных пакетах npm для распространения вредоносного ПО, что подчеркивает постоянную угрозу для отдельных разработчиков в экосистеме. В целом, эти выводы подчеркивают постоянный риск атак на цепочки поставок и необходимость постоянного мониторинга и превентивных мер в сообществе разработчиков программного обеспечения.

#ParsedReport #CompletenessHigh
26-10-2024

Embargo ransomware: Rock n Rust

https://www.welivesecurity.com/en/eset-research/embargo-ransomware-rocknrust

Report completeness: High

Threats:
Embargo_ransomware
Mdeployer_tool
Ms4killer_tool
S4killer_tool
Byovd_technique
Blackcat
Lockbit
Filecoder

Victims:
Us companies

Geo:
Ukraine

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 30
Coin: 1
Path: 14
IP: 1
Hash: 9
Registry: 2
Command: 5

Soft:
Linux, bcdedit, Windows Defender, Windows registry, firefox, Windows service

Algorithms:
xor, rc4

Functions:
Embargo, MDeployer

Win API:
FilterConnectCommunicationPort, FilterSendMessage, WaitForSingleObject, OpenProcessToken, SeLoadDriverPrivilege, CreateServiceW, FilterLoad

Win Services:
ekrn, SentinelAgent, LogProcessorService, MsMpEng, EPProtectedService, EPIntegrationService, EPSecurityService, EPUpdateService

Languages:
powershell, rust

Platforms:
cross-platform

Links:
https://github.com/gavz/s4killer/blob/main/src/driver.rs
https://github.com/WinRb/winrm-fs/blob/fc98d6d182f966f2bf803f6fbfa7c99ac88ccebb/lib/winrm-fs/core/file\_transporter.rb#L496
have more...
https://github.com/gavz/s4killer/

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что начинающая группа вымогателей Embargo активно разрабатывает и тестирует новый инструментарий на основе Rust под названием s4killer, предназначенный для завершения запущенных процессов из ядра. Этот инструментарий использует уязвимые драйверы и API-интерфейсы для завершения процесса, демонстрируя нацеленность группы на разработку сложных программ-вымогателей, адаптированных к индивидуальным целям. В Embargo используются такие методы, как настройка инструментов для жертв, применение тактики двойного вымогательства и использование безопасного режима для отключения средств защиты перед запуском программ-вымогателей. Инструменты, включая MDeployer и MS4Killer, демонстрируют высокий уровень настройки, адаптивности и сложности, постоянно совершенствуясь и корректируя их в ходе активных внедрений.
-----

Начинающая группа программ-вымогателей Embargo разработала новый инструментарий на основе Rust под названием s4killer для завершения запущенных процессов в ядре путем использования уязвимого драйвера.

Инструментарий использует FilterConnectCommunicationPort и FilterSendMessage из API minifilter для завершения процесса.

Embargo адаптирует свои инструменты к индивидуальным целям, демонстрируя активное развитие и изощренность.

Embargo использует безопасный режим для деактивации средств защиты перед запуском программы-вымогателя и использует тактику двойного вымогательства, чтобы заставить жертв заплатить.

MDeployer служит загрузчиком для развертывания MS4Killer и программы-вымогателя Embargo, выполняя такие задачи, как удаление расшифрованных файлов, запуск процессов и обеспечение надлежащего выполнения.

MS4Killer - это инструмент для обхода защиты, который прерывает процессы защиты продукта путем злоупотребления уязвимым драйвером мини-фильтра, probmon.sys чтобы обойти меры безопасности и незаметно запустить полезные программы-вымогатели.

Как MDeployer, так и MS4Killer демонстрируют высокий уровень кастомизации и адаптации под индивидуальные цели, с постоянным развитием и корректировками, вносимыми во время активных вторжений.

#ParsedReport #CompletenessMedium
27-10-2024

Something phishy is happening in Armenia

https://k3yp0d.blogspot.com/2024/10/something-phishy-is-happening-in-armenia.html

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Pastejacking_technique
Rms_tool

Victims:
Armenians

Geo:
Iranian, Armenia, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1105, T1210

IOCs:
Hash: 4
Url: 3
Domain: 2

Soft:
Twitter, ChatGPT

Algorithms:
zip, sha256

Languages:
powershell

Platforms:
intel

Links:
https://github.com/JohnHammond/recaptcha-phish/blob/main/index.html

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в недавней кибератаке на армян с использованием метода, называемого PasteJacking, при котором поддельный вызов captcha приводит к загрузке скрипта PowerShell и запуску RAT (инструмента удаленного доступа), замаскированного под законную систему удаленного управления. Атака является изощренной и целенаправленной, она имитирует деятельность полиции Армении и, возможно, связана с иранской террористической группировкой MuddyWater, хотя для подтверждения необходимы дополнительные доказательства. В тексте подчеркиваются проблемы, связанные с установлением причин кибератак, важность понимания мотивов и методов действий участников угроз, а также необходимость постоянной адаптации специалистов по анализу угроз к меняющимся методам борьбы с атаками.
-----

В тексте описывается недавняя кибератака с использованием метода, называемого "PasteJacking", направленная против армян. Атака включает в себя использование поддельной капчи, которая при нажатии запускает сценарий PowerShell для загрузки и запуска RAT (средства удаленного доступа), замаскированного под установщик MSI для законной системы удаленного управления под названием PDQ RMM. Злоумышленники используют социальную инженерию, чтобы обманом заставить пользователей запустить вредоносный скрипт. Сообщается, что атака была сложной и целенаправленной, поскольку она использует армянский язык и выдает себя за домен полиции Армении.

Аналитик высказывает предположение о возможном причастии к атаке известного исполнителя угроз по имени MuddyWater, иранской APT-группы. В то время как атака соответствует TTP (тактике, методам и процедурам) MuddyWater, таким как использование инструментов с открытым исходным кодом, таких как "captha kit" и PowerShell, есть некоторые несоответствия, такие как использование скомпрометированного веб-хостинга вместо типичного злоупотребления бесплатным веб-хостингом MuddyWater. Участие PDQ RMM в двух инцидентах в Армении в течение месяца вызывает подозрения, но аналитик подчеркивает необходимость получения дополнительных доказательств, прежде чем подтверждать причастность MuddyWater.

В тексте обсуждаются проблемы, связанные с установлением причин кибератак, и важность понимания мотивов и методов действий злоумышленников. В нем также подчеркивается необходимость постоянной адаптации специалистов по анализу угроз и защитников, чтобы не отставать от меняющихся методов атаки. Атака анализируется с тактической, оперативной и стратегической точек зрения, что позволяет предположить потенциальную связь с иранскими APT, такими как MuddyWater, из-за соответствия атаки их TTP.

#ParsedReport #CompletenessLow
27-10-2024

New Iranian-based Ransomware Group Charges $2000 for File Retrieval

https://blog.sonicwall.com/en-us/2024/10/new-iranian-based-ransomware-group-charges-2000-for-file-retrieval

Report completeness: Low

Actors/Campaigns:
Hackersadism

Threats:
Sadism_ransomware

Geo:
Turkish, Iranian, Azerbaijan

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 1

Soft:
Telegram

Crypto:
binance

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз SonicWall Capture Labs обнаружила новый вариант программы-вымогателя иранской хакерской группировки hackersadism, который нацелен на отдельных жертв с относительно низким требованием выкупа в криптовалюте Binance coin. Вредоносная программа лишена обфускации, что облегчает аналитикам понимание ее работы. Она включает проверку региона, чтобы избежать шифрования файлов в определенных регионах, и предоставляет прямой способ связи через Telegram для переговоров и оплаты. SonicWall Capture Labs предлагает защиту от этой программы-вымогателя и проводит тщательные исследования для выявления и устранения уязвимостей и вредоносных программ. Они также вносят свой вклад в более широкое сообщество по анализу угроз, предоставляя подробные аналитические материалы, которые помогают защитникам усилить меры сетевой безопасности.
-----

Исследовательская группа SonicWall Capture Labs по изучению угроз выявила новый вариант программы-вымогателя, выпущенный иранской хакерской группой, известной как hackersadism. В отличие от многих групп программ-вымогателей, нацеленных на крупные корпорации, hackersadism взимает всего 2000 долларов в криптовалюте Binance coin за восстановление файлов с возможностью переговоров. Вредоносная программа шифрует файлы в системе, присваивая файлу новое расширение, состоящее из 4 буквенно-цифровых символов. Примечательно, что вредоносную программу относительно легко декомпилировать, она не обфусцированна, что позволяет аналитикам понять ее внутреннюю работу и намерения.

Вредоносная программа включает в себя функцию, при которой она выполняет проверку региона перед шифрованием и завершает работу, если обнаруживает в системе определенные языки, такие как az-Latn-AZ (латиница, Азербайджан) и tr-TR (турецкий). В сообщении с требованием выкупа жертвам предлагается связаться с оператором @hackerSadism через Telegram, предоставив прямую линию связи для переговоров и оплаты. В ходе анализа также был идентифицирован пользовательский имидж оператора.

SonicWall Capture Labs обеспечивает защиту от этой вредоносной программы-вымогателя с помощью специальной сигнатуры. Команда проводит углубленные исследования для сбора, анализа и проверки информации об угрозах из сети SonicWall Capture Threat network, состоящей из более чем 1 миллиона датчиков безопасности по всему миру, расположенных почти в 200 странах и территориях. Этот тщательный анализ позволяет команде ежедневно выявлять и устранять критические уязвимости и вредоносные программы, обеспечивая защиту всех клиентов SonicWall.

Помимо защиты глобальных сетей, команда исследователей угроз SonicWall Capture Labs вносит свой вклад в более широкое сообщество аналитиков угроз, еженедельно публикуя подробные технические анализы значимых угроз, особенно тех, которые нацелены на малый бизнес. Эта информация имеет решающее значение для защитников, которые улучшают свои меры сетевой безопасности и опережают развитие киберугроз.

#ParsedReport #CompletenessHigh
27-10-2024

Operation Cobalt Whisper: Threat Actor Targets Multiple Industries Across Hong Kong and Pakistan.

https://www.seqrite.com/blog/operation-cobalt-whisper-targets-industries-hong-kong-pakistan

Report completeness: High

Actors/Campaigns:
Cobalt_whisper (motivation: cyber_espionage)

Threats:
Cobalt_strike
Synergy_tool
Spear-phishing_technique
Process_injection_technique

Victims:
Researchers, Electrotechnical researchers, Professors, Key entities

Industry:
Military, Energy, Education, Aerospace, Healthcare

Geo:
India, Pakistan, Chinese, China, Pakistani, Asian, Hong kong

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 9
IP: 8
Hash: 113
Path: 1

Algorithms:
base64

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-команда SEQRITE Labs раскрыла сложную кампанию кибершпионажа под названием Operation Cobalt Whisper, направленную на оборонный сектор Пакистана и исследователей в Гонконге. В кампании используется инструмент Cobalt Strike для последующей эксплуатации, предоставляемый с помощью обфусцированного VBScript, с акцентом на такие отрасли, как электротехника, энергетическая инфраструктура, гражданская авиация и экологическая инженерия. Были выявлены многочисленные цепочки заражения с использованием согласованной тактики, методов и процедур (TTP), используемых субъектом угрозы для компрометации конфиденциальных исследований и интеллектуальной собственности в странах Южной Азии.
-----

APT-команда SEQRITE Labs недавно раскрыла сложную кампанию кибершпионажа под названием Operation Cobalt Whisper, направленную против оборонного сектора в Пакистане и исследователей в Гонконге. Кампания в значительной степени основана на использовании инструмента Cobalt Strike, который используется для последующей эксплуатации и поставляется с помощью запутанного VBScript. Было выявлено в общей сложности 20 цепочек заражения, 18 из которых были нацелены на Гонконг, а 2 - на Пакистан, с использованием более 30 файлов-приманок.

Основное внимание в кампании уделяется таким отраслям, как электротехническая промышленность, энергетическая инфраструктура, гражданская авиация и экологическая инженерия. В качестве вспомогательных документов в кампании использовались рекомендации по процессу выдвижения кандидатов на премии в области науки и техники в Китае, в которых излагались требования к подаче заявок, критерии оценки и виды наград. В документах также подчеркивается общественное влияние и достижения, достигнутые благодаря таким наградам, способствующим вкладу в область электротехники.

Цепочка заражения начинается с вредоносного архива RAR, содержащего файлы-приманки PDF и LNK, а также имплантат Cobalt Strike. Вредоносный LNK-файл с именем "1 2024 (2024 8 ).pdf.lnk" содержит VBScript с именем O365.vbs, который отвечает за декодирование и выполнение файла Cobalt Strike beacon cache.bak. В кампании используются согласованные соглашения об именах и конфигурации для нескольких имплантатов, что подчеркивает методологию сторонних разработчиков угроз и использование маяков Cobalt Strike с общими временными метками компиляции.

Анализ радиомаяка Cobalt Strike выявил попытки подключения к серверу управления, что указывает на продолжающуюся связь с субъектом угрозы. Идентификация идентификаторов компьютеров, содержащихся в нескольких файлах LNK, помогает связать различные кампании, нацеленные на Гонконг, Исламабад и другие населенные пункты. Приманки из различных кампаний нацелены на такие отрасли, как оборона, образование в области электронной инженерии и медицинские институты, с особым акцентом на такие темы, как военные операции и получение докторской степени в инженерных областях.

Злоумышленник демонстрирует стратегический подход к кибершпионажу, нацеливаясь на ключевые организации в технических секторах с помощью специальных приманок и используя согласованные TTP, включая использование вредоносных LNK, VBScript и полезных программ Cobalt Strike. Анализ показывает, что группа APT целенаправленно пытается скомпрометировать важные исследования и интеллектуальную собственность в странах Южной Азии. Кампания, начатая в мае 2024 года, нацелена на инженеров-исследователей, профессоров и критически важные отрасли промышленности в Гонконге, материковом Китае и Пакистане.

#ParsedReport #CompletenessLow
27-10-2024

WarmCookie Malware Emerges as TA866's Latest Espionage Tool

https://www.secureblink.com/cyber-security-news/warm-cookie-malware-emerges-as-ta-866-s-latest-espionage-tool

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: cyber_espionage)
Asylum_ambuscade

Threats:
Warmcookie
Cobalt_strike
Streamerrat
Bitsadmin_tool
Resident
Adfind_tool
Rhadamanthys
Anydesk_tool
Ahkbot
Screenshotter

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1027, T1057, T1218.011

IOCs:
File: 1

Algorithms:
rc4

Languages:
javascript, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые методы, которые создают постоянные и изощренные киберугрозы с помощью вредоносного спама и вредоносной рекламы. WarmCookie служит начальной точкой доступа и механизмом сохранения, позволяя злоумышленникам поддерживать долгосрочный доступ, развертывать дополнительные вредоносные программы и устанавливать связь с серверами C2. Рекомендации по защите от WarmCookie включают внедрение расширенной фильтрации электронной почты, мер веб-безопасности, защиту конечных точек, мониторинг сети, обучение безопасности, политики для USB-устройств, резервное копирование и интеграцию анализа угроз.
-----

хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые технологии.

WarmCookie, также известный как BadSpace, появился в апреле 2024 года и активно распространяется с помощью вредоносного спама и рекламных кампаний.

Для распространения WarmCookie используются вредоносные электронные письма с тематикой, связанной со счетами-фактурами, содержащие вложения в формате PDF, которые приводят жертв на веб-серверы, на которых размещены замаскированные загрузчики JavaScript.

Вредоносные кампании, использующие системы распределения трафика, такие как LandUpdates808, также распространяют WarmCookie через вредоносные файлы JavaScript на взломанных веб-сайтах.

Начальная стадия заражения включает в себя запутанный файл JavaScript, выполняющий команду PowerShell для загрузки и запуска библиотеки DLL WarmCookie.

Основная полезная нагрузка WarmCookie предлагает функциональные возможности для развертывания полезной нагрузки, манипулирования файлами, выполнения команд, сбора скриншотов и сохранения данных, что позволяет злоумышленникам осуществлять удаленное управление.

Дополнительные вредоносные программы, такие как CSharp-Streamer-RAT и Cobalt Strike, внедряются после взлома для утечки данных и их перемещения в сети.

Последние образцы WarmCookie демонстрируют эволюцию параметров выполнения, механизмов сохранения и методов обхода, включая улучшенное обнаружение в изолированной среде и механизмы самообновления с помощью серверов C2.

WarmCookie и резидентный бэкдор имеют сходство на уровне кода, что позволяет предположить, что они могли быть разработаны одними и теми же злоумышленниками.

Кампании WarmCookie от TA866 включают в себя развертывание дополнительных инструментов и вредоносных программ, а также действия после взлома для расширения возможностей, при этом инфраструктурные и операционные дублирования связывают их с историческими событиями.

Рекомендации по защите от таких угроз, как WarmCookie, включают расширенную фильтрацию электронной почты, меры веб-безопасности, защиту конечных точек, мониторинг сети, обучение пользователей безопасности, политики USB-устройств, стратегии резервного копирования и адаптацию средств защиты на основе анализа угроз.

#ParsedReport #CompletenessLow
28-10-2024

In-depth study of the advanced injection technology StepBear of APT organization Storm0978

https://www.ctfiot.com/211992.html

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Step_bear_technique

Geo:
Korean, Russian

ChatGPT TTPs:
do not use without manual check
T1055, T1211, T1140

IOCs:
File: 32
Coin: 2

Soft:
Windows kernel, Chromium, wordpress, WeChat

Functions:
Ndr64pFreeParams, SetClassLong, GetClassLong

Win API:
NdrServerCallAll, SetClassWord, GetClassWord, NtUserSetClassLong, GetLastError, ZwQueryVirtualMemory, GetProcAddress, PostMessageA, virtualprotect, NdrStubCall2, have more...