#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз SonicWall Capture Labs обнаружила новый вариант программы-вымогателя иранской хакерской группировки hackersadism, который нацелен на отдельных жертв с относительно низким требованием выкупа в криптовалюте Binance coin. Вредоносная программа лишена обфускации, что облегчает аналитикам понимание ее работы. Она включает проверку региона, чтобы избежать шифрования файлов в определенных регионах, и предоставляет прямой способ связи через Telegram для переговоров и оплаты. SonicWall Capture Labs предлагает защиту от этой программы-вымогателя и проводит тщательные исследования для выявления и устранения уязвимостей и вредоносных программ. Они также вносят свой вклад в более широкое сообщество по анализу угроз, предоставляя подробные аналитические материалы, которые помогают защитникам усилить меры сетевой безопасности.
-----

Исследовательская группа SonicWall Capture Labs по изучению угроз выявила новый вариант программы-вымогателя, выпущенный иранской хакерской группой, известной как hackersadism. В отличие от многих групп программ-вымогателей, нацеленных на крупные корпорации, hackersadism взимает всего 2000 долларов в криптовалюте Binance coin за восстановление файлов с возможностью переговоров. Вредоносная программа шифрует файлы в системе, присваивая файлу новое расширение, состоящее из 4 буквенно-цифровых символов. Примечательно, что вредоносную программу относительно легко декомпилировать, она не обфусцированна, что позволяет аналитикам понять ее внутреннюю работу и намерения.

Вредоносная программа включает в себя функцию, при которой она выполняет проверку региона перед шифрованием и завершает работу, если обнаруживает в системе определенные языки, такие как az-Latn-AZ (латиница, Азербайджан) и tr-TR (турецкий). В сообщении с требованием выкупа жертвам предлагается связаться с оператором @hackerSadism через Telegram, предоставив прямую линию связи для переговоров и оплаты. В ходе анализа также был идентифицирован пользовательский имидж оператора.

SonicWall Capture Labs обеспечивает защиту от этой вредоносной программы-вымогателя с помощью специальной сигнатуры. Команда проводит углубленные исследования для сбора, анализа и проверки информации об угрозах из сети SonicWall Capture Threat network, состоящей из более чем 1 миллиона датчиков безопасности по всему миру, расположенных почти в 200 странах и территориях. Этот тщательный анализ позволяет команде ежедневно выявлять и устранять критические уязвимости и вредоносные программы, обеспечивая защиту всех клиентов SonicWall.

Помимо защиты глобальных сетей, команда исследователей угроз SonicWall Capture Labs вносит свой вклад в более широкое сообщество аналитиков угроз, еженедельно публикуя подробные технические анализы значимых угроз, особенно тех, которые нацелены на малый бизнес. Эта информация имеет решающее значение для защитников, которые улучшают свои меры сетевой безопасности и опережают развитие киберугроз.

#ParsedReport #CompletenessHigh
27-10-2024

Operation Cobalt Whisper: Threat Actor Targets Multiple Industries Across Hong Kong and Pakistan.

https://www.seqrite.com/blog/operation-cobalt-whisper-targets-industries-hong-kong-pakistan

Report completeness: High

Actors/Campaigns:
Cobalt_whisper (motivation: cyber_espionage)

Threats:
Cobalt_strike
Synergy_tool
Spear-phishing_technique
Process_injection_technique

Victims:
Researchers, Electrotechnical researchers, Professors, Key entities

Industry:
Military, Energy, Education, Aerospace, Healthcare

Geo:
India, Pakistan, Chinese, China, Pakistani, Asian, Hong kong

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 9
IP: 8
Hash: 113
Path: 1

Algorithms:
base64

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-команда SEQRITE Labs раскрыла сложную кампанию кибершпионажа под названием Operation Cobalt Whisper, направленную на оборонный сектор Пакистана и исследователей в Гонконге. В кампании используется инструмент Cobalt Strike для последующей эксплуатации, предоставляемый с помощью обфусцированного VBScript, с акцентом на такие отрасли, как электротехника, энергетическая инфраструктура, гражданская авиация и экологическая инженерия. Были выявлены многочисленные цепочки заражения с использованием согласованной тактики, методов и процедур (TTP), используемых субъектом угрозы для компрометации конфиденциальных исследований и интеллектуальной собственности в странах Южной Азии.
-----

APT-команда SEQRITE Labs недавно раскрыла сложную кампанию кибершпионажа под названием Operation Cobalt Whisper, направленную против оборонного сектора в Пакистане и исследователей в Гонконге. Кампания в значительной степени основана на использовании инструмента Cobalt Strike, который используется для последующей эксплуатации и поставляется с помощью запутанного VBScript. Было выявлено в общей сложности 20 цепочек заражения, 18 из которых были нацелены на Гонконг, а 2 - на Пакистан, с использованием более 30 файлов-приманок.

Основное внимание в кампании уделяется таким отраслям, как электротехническая промышленность, энергетическая инфраструктура, гражданская авиация и экологическая инженерия. В качестве вспомогательных документов в кампании использовались рекомендации по процессу выдвижения кандидатов на премии в области науки и техники в Китае, в которых излагались требования к подаче заявок, критерии оценки и виды наград. В документах также подчеркивается общественное влияние и достижения, достигнутые благодаря таким наградам, способствующим вкладу в область электротехники.

Цепочка заражения начинается с вредоносного архива RAR, содержащего файлы-приманки PDF и LNK, а также имплантат Cobalt Strike. Вредоносный LNK-файл с именем "1 2024 (2024 8 ).pdf.lnk" содержит VBScript с именем O365.vbs, который отвечает за декодирование и выполнение файла Cobalt Strike beacon cache.bak. В кампании используются согласованные соглашения об именах и конфигурации для нескольких имплантатов, что подчеркивает методологию сторонних разработчиков угроз и использование маяков Cobalt Strike с общими временными метками компиляции.

Анализ радиомаяка Cobalt Strike выявил попытки подключения к серверу управления, что указывает на продолжающуюся связь с субъектом угрозы. Идентификация идентификаторов компьютеров, содержащихся в нескольких файлах LNK, помогает связать различные кампании, нацеленные на Гонконг, Исламабад и другие населенные пункты. Приманки из различных кампаний нацелены на такие отрасли, как оборона, образование в области электронной инженерии и медицинские институты, с особым акцентом на такие темы, как военные операции и получение докторской степени в инженерных областях.

Злоумышленник демонстрирует стратегический подход к кибершпионажу, нацеливаясь на ключевые организации в технических секторах с помощью специальных приманок и используя согласованные TTP, включая использование вредоносных LNK, VBScript и полезных программ Cobalt Strike. Анализ показывает, что группа APT целенаправленно пытается скомпрометировать важные исследования и интеллектуальную собственность в странах Южной Азии. Кампания, начатая в мае 2024 года, нацелена на инженеров-исследователей, профессоров и критически важные отрасли промышленности в Гонконге, материковом Китае и Пакистане.

#ParsedReport #CompletenessLow
27-10-2024

WarmCookie Malware Emerges as TA866's Latest Espionage Tool

https://www.secureblink.com/cyber-security-news/warm-cookie-malware-emerges-as-ta-866-s-latest-espionage-tool

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: cyber_espionage)
Asylum_ambuscade

Threats:
Warmcookie
Cobalt_strike
Streamerrat
Bitsadmin_tool
Resident
Adfind_tool
Rhadamanthys
Anydesk_tool
Ahkbot
Screenshotter

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1027, T1057, T1218.011

IOCs:
File: 1

Algorithms:
rc4

Languages:
javascript, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые методы, которые создают постоянные и изощренные киберугрозы с помощью вредоносного спама и вредоносной рекламы. WarmCookie служит начальной точкой доступа и механизмом сохранения, позволяя злоумышленникам поддерживать долгосрочный доступ, развертывать дополнительные вредоносные программы и устанавливать связь с серверами C2. Рекомендации по защите от WarmCookie включают внедрение расширенной фильтрации электронной почты, мер веб-безопасности, защиту конечных точек, мониторинг сети, обучение безопасности, политики для USB-устройств, резервное копирование и интеграцию анализа угроз.
-----

хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые технологии.

WarmCookie, также известный как BadSpace, появился в апреле 2024 года и активно распространяется с помощью вредоносного спама и рекламных кампаний.

Для распространения WarmCookie используются вредоносные электронные письма с тематикой, связанной со счетами-фактурами, содержащие вложения в формате PDF, которые приводят жертв на веб-серверы, на которых размещены замаскированные загрузчики JavaScript.

Вредоносные кампании, использующие системы распределения трафика, такие как LandUpdates808, также распространяют WarmCookie через вредоносные файлы JavaScript на взломанных веб-сайтах.

Начальная стадия заражения включает в себя запутанный файл JavaScript, выполняющий команду PowerShell для загрузки и запуска библиотеки DLL WarmCookie.

Основная полезная нагрузка WarmCookie предлагает функциональные возможности для развертывания полезной нагрузки, манипулирования файлами, выполнения команд, сбора скриншотов и сохранения данных, что позволяет злоумышленникам осуществлять удаленное управление.

Дополнительные вредоносные программы, такие как CSharp-Streamer-RAT и Cobalt Strike, внедряются после взлома для утечки данных и их перемещения в сети.

Последние образцы WarmCookie демонстрируют эволюцию параметров выполнения, механизмов сохранения и методов обхода, включая улучшенное обнаружение в изолированной среде и механизмы самообновления с помощью серверов C2.

WarmCookie и резидентный бэкдор имеют сходство на уровне кода, что позволяет предположить, что они могли быть разработаны одними и теми же злоумышленниками.

Кампании WarmCookie от TA866 включают в себя развертывание дополнительных инструментов и вредоносных программ, а также действия после взлома для расширения возможностей, при этом инфраструктурные и операционные дублирования связывают их с историческими событиями.

Рекомендации по защите от таких угроз, как WarmCookie, включают расширенную фильтрацию электронной почты, меры веб-безопасности, защиту конечных точек, мониторинг сети, обучение пользователей безопасности, политики USB-устройств, стратегии резервного копирования и адаптацию средств защиты на основе анализа угроз.

#ParsedReport #CompletenessLow
28-10-2024

In-depth study of the advanced injection technology StepBear of APT organization Storm0978

https://www.ctfiot.com/211992.html

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Step_bear_technique

Geo:
Korean, Russian

ChatGPT TTPs:
do not use without manual check
T1055, T1211, T1140

IOCs:
File: 32
Coin: 2

Soft:
Windows kernel, Chromium, wordpress, WeChat

Functions:
Ndr64pFreeParams, SetClassLong, GetClassLong

Win API:
NdrServerCallAll, SetClassWord, GetClassWord, NtUserSetClassLong, GetLastError, ZwQueryVirtualMemory, GetProcAddress, PostMessageA, virtualprotect, NdrStubCall2, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается сложный метод атаки под названием "Кошмар EDR: Storm-0978", который использует новую технологию внедрения в ядро под названием "Step Bear" для загрузки троянских бэкдоров для целенаправленных атак на основные продукты EDR. Этот продвинутый метод включает в себя сложные манипуляции со структурами памяти и параметрами для выполнения вредоносной полезной нагрузки, демонстрируя глубокие знания злоумышленников во внутренней части ядра Windows и Chromium. В анализе подчеркивается важность знаний в области обратного проектирования и операций на уровне ядра для эффективного противодействия таким продвинутым APT.
-----

В тексте обсуждается новый метод атаки, обнаруженный командой анализа угроз компании qax и названный "Кошмаром EDR: Storm-0978", использующий новую технологию внедрения в ядро, известную как "Step Bear". Злоумышленники, использующие этот метод, называются производителями загрузчиков, которые покупают некачественные загрузчики у аутсорсинговых компаний для загрузки троянских бэкдоров для запуска атак. Этот метод атаки отличается сложностью технологии внедрения в ядро, которая включает в себя использование методов, не часто встречающихся в истории вредоносных программ.

Технология внедрения "Step Bear" предполагает перехват процесса выполнения с помощью функции Ndr64pFreeParams и запуск пользовательского сообщения 0x405 в неизвестном скрытом окне. Этот сложный подход демонстрирует глубокое знание внутренних компонентов ядер Windows и Chromium, что позволяет проводить целенаправленные атаки на основные продукты EDR. Фреймворк, разработанный для этого метода внедрения опытным исследователем ядра Windows, позволяет повторно использовать логику внедрения и запуска в различных сценариях атаки.

Техника атаки заключается в использовании обратного вызова EM_SETWORDBREAKPROC для выполнения вредоносной полезной нагрузки по любому функциональному адресу. Этот метод включает манипулирование параметрами для управления процессом выполнения и облегчения внедрения шелл-кода. Далее в тексте рассматриваются технические тонкости установки адреса обратного вызова в I_RpcFreePipeBuffer и управления параметрами, позволяющими вызывать любой адрес с указанными параметрами. Подход включает в себя обработку структур памяти и атрибутов для достижения желаемого выполнения вредоносного кода.

В тексте подчеркивается сложность метода атаки, требующего глубокого понимания управления памятью и манипулирования параметрами для успешного выполнения вредоносной полезной нагрузки. В нем подчеркивается необходимость экспертных знаний в области обратного проектирования, обнаружения уязвимостей и операций на уровне ядра для разработки таких передовых методов атаки. Злоумышленники, стоящие за такими сложными APTS, обладают глубокими знаниями о программном обеспечении безопасности и внутренностях операционной системы, что позволяет им эффективно обходить меры безопасности.

Вкратце, в тексте описываются технические детали метода внедрения в ядро "Step Bear", который проливает свет на сложные стратегии, используемые APT для обхода систем безопасности. Подробный анализ манипуляций с памятью, контроля параметров и последовательности выполнения демонстрирует уровень знаний, необходимый для успешной реализации таких целенаправленных атак. Этот текст служит ценным источником для понимания меняющегося ландшафта киберугроз и необходимости принятия надежных мер безопасности для противодействия сложным методам атак, таким как "Шаг медведя"..

#ParsedReport #CompletenessLow
28-10-2024

Pig Butchers Join the Gig Economy: Cryptocurrency Scammers Target Job Seekers

https://www.proofpoint.com/us/blog/threat-insight/pig-butchers-join-gig-economy-cryptocurrency-scammers-target-job-seekers

Report completeness: Low

Actors/Campaigns:
Pig_butchering

Industry:
Financial

Geo:
Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1586.001, T1589

IOCs:
Domain: 312
Coin: 6

Soft:
WhatsApp, Telegram, TikTok

Crypto:
bitcoin, ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Proofpoint выявила рост случаев мошенничества с криптовалютами, нацеленного на отдельных лиц с помощью поддельных предложений о работе, выдаваемых за авторитетные организации, которые используют узнаваемость популярных брендов для быстрого установления доверия. Этот тип мошенничества, связанный с субъектами, вовлеченными в мошенничество с инвестициями в криптовалюту на романтической основе или забой свиней, приносит меньшую, но более частую прибыль по сравнению с традиционными мошенничествами. Мошенники привлекают жертв через социальные сети, SMS и приложения для обмена сообщениями, обучая их выполнению заданий на вредоносных веб-сайтах с обещаниями заработка, что в конечном итоге приводит к финансовым потерям. Чтобы бороться с этими мошенниками, частным лицам рекомендуется с осторожностью относиться к незапрашиваемым предложениям о работе и подвергать сомнению законность предложений, которые кажутся слишком хорошими, чтобы быть правдой.
-----

Рост мошенничества с криптовалютами, направленного против частных лиц с поддельными предложениями о работе, которые выдают себя за различные организации.

Мошенники используют узнаваемость популярного бренда для быстрого установления доверия.

Мошенничество в основном распространяется через социальные сети, SMS и приложения для обмена сообщениями, такие как WhatsApp и Telegram.

Мошенничество с работой используется в качестве новой стратегии мошенниками-мясниками для эксплуатации жертв.

Жертв просили зарегистрироваться на вредоносных веб-сайтах, используя реферальные коды.

Манипулирование жертвами с помощью таких психологических механизмов, как заблуждение о заниженных затратах и неприятие потерь.

Мошенники контролируют процесс оплаты, позволяя жертвам выводить только ограниченные суммы.

Совместные усилия с Chainalysis выявили эффективность схем.

Один из примеров поддельного сайта вакансий принес более 300 000 долларов в биткоинах и Эфириуме в течение двух месяцев.

Частным лицам рекомендуется с осторожностью относиться к незапрашиваемым предложениям о работе, подвергать сомнению их законность и распространять информацию о борьбе с мошенническими схемами.

#ParsedReport #CompletenessHigh
28-10-2024

SideWinder's ( T-APT-04 ) Sri Lanka Adventure

https://www.nimanthadeshappriya.com/post/sidewinder-s-t-apt-04-sri-lanka-adventure

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: financially_motivated, cyber_espionage)

Threats:
Spear-phishing_technique
Polymorphism_technique

Victims:
Sri lankan government institutions, Sri lankan government entities, Diplomatic and military organizations

Industry:
Aerospace, Maritime, Government, Military

Geo:
Chinese, Indian, Pakistan, Australia, Sri lanka, China, Africa, Nepal, Antarctica, Asia, India

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:

IOCs:
Url: 7
Domain: 14
Hash: 7
File: 1

Soft:
Microsoft Office, Microsoft Word

Algorithms:
xor, zip, base64

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Шри-Ланка, традиционно не являющаяся главной мишенью для кибератак, недавно столкнулась с изощренной деятельностью по кибершпионажу со стороны группы APT, известной как SideWinder, что связано с их геополитическими отношениями с Индией и опасениями по поводу влияния Китая в регионе.
-----

Исторически сложилось так, что Шри-Ланка не была основной мишенью для кибератак, и о случаях использования программ-вымогателей сообщалось меньше, чем в западных странах. Дружелюбный и неопасный имидж страны в сочетании с прочными дипломатическими связями позволяет ей оставаться относительно незаметной с точки зрения киберугроз. Однако недавние политические решения в Шри-Ланке привели к изменению этого представления, что привело к изощренным кибератакам на правительственные учреждения со стороны группы APT, известной как SideWinder.

SideWinder, также известная как Rattlesnake, Razor Tiger и T-APT-04, является государственной кибершпионажной группой, которая, как полагают, возникла в Индии. SideWinder действует как минимум с 2012 года и нацелена на такие страны региона, как Пакистан, Непал, Китай и Шри-Ланка. Основной целью группировки, по-видимому, является шпионаж, направленный на кражу разведывательных данных и конфиденциальной информации у правительственных организаций, подрядчиков и предприятий. Они нацелены на сбор геополитической информации, особенно в контексте недавней политической динамики в отношениях между Индией и Шри-Ланкой.

Политическая динамика в отношениях между Индией и Шри-Ланкой привлекла внимание SideWinder, особенно в свете значительных инфраструктурных проектов, разработанных Китаем в Шри-Ланке. Такие проекты, как порт Хамбантота, аэропорт Маттала и проект расширения Южной гавани Коломбо стоимостью более 6 миллиардов долларов США, вызвали обеспокоенность по поводу стратегического влияния Китая в регионе. Ходят слухи о потенциальном использовании порта Хамбантота в качестве китайской военно-морской базы, что вызвало опасения в Индии по поводу расширения присутствия Китая в Индийском океане.

Кибершпионажная деятельность SideWinder на Шри-Ланке включает в себя сложные методы, позволяющие сохранять постоянство и избегать обнаружения. Группа инициирует кампании с использованием фишинговых электронных писем, содержащих вредоносные вложения, нацеленные на государственные учреждения Шри-Ланки. Используя уязвимости, подобные CVE-2017-0199 в Microsoft Office, SideWinder получает первоначальный доступ к целевым системам. Эта уязвимость позволяет удаленно выполнять код с помощью специально созданных документов в формате RTF или OLE-объектов, которые по-прежнему широко распространены в государственных учреждениях Шри-Ланки из-за ограниченных инвестиций в технологии и осведомленности о безопасности.

Вредоносная программа SideWinder использует различные тактики для поддержания постоянства, включая создание значений в реестре и настройку запланированных задач. Группа использует динамические домены DNS для доставки вредоносных документов, маскируя поддомены под законные, относящиеся к целевым организациям. Узлы TOR используются для сокрытия сетевой активности, что усложняет анализ. Кроме того, серверная инфраструктура C2 работает с перебоями, используя диапазоны IP-адресов, зависящие от конкретной страны, для ограничения доступа к вредоносной полезной нагрузке.

#ParsedReport #CompletenessHigh
27-10-2024

Analysis of the latest attack cases of Kimsuky group exploiting PebbleDash and RDP Wrapper

https://asec.ahnlab.com/ko/84066

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: information_theft)
Lazarus

Threats:
Spear-phishing_technique
Appleseed
Happydoor
Runkeys_technique
Alphaseed
Ratclient
Asyncrat
Rdpwrapper_tool
Uac_bypass_technique

Industry:
Government, Education

Geo:
North korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.001, T1053.005, T1021.001, T1574.001, T1055.001, T1070.001

IOCs:
File: 6
Hash: 5
Url: 3
IP: 5

Soft:
task scheduler, Windows Local Security Authority

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4