#ParsedReport #CompletenessHigh
27-10-2024

Operation Cobalt Whisper: Threat Actor Targets Multiple Industries Across Hong Kong and Pakistan.

https://www.seqrite.com/blog/operation-cobalt-whisper-targets-industries-hong-kong-pakistan

Report completeness: High

Actors/Campaigns:
Cobalt_whisper (motivation: cyber_espionage)

Threats:
Cobalt_strike
Synergy_tool
Spear-phishing_technique
Process_injection_technique

Victims:
Researchers, Electrotechnical researchers, Professors, Key entities

Industry:
Military, Energy, Education, Aerospace, Healthcare

Geo:
India, Pakistan, Chinese, China, Pakistani, Asian, Hong kong

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 9
IP: 8
Hash: 113
Path: 1

Algorithms:
base64

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-команда SEQRITE Labs раскрыла сложную кампанию кибершпионажа под названием Operation Cobalt Whisper, направленную на оборонный сектор Пакистана и исследователей в Гонконге. В кампании используется инструмент Cobalt Strike для последующей эксплуатации, предоставляемый с помощью обфусцированного VBScript, с акцентом на такие отрасли, как электротехника, энергетическая инфраструктура, гражданская авиация и экологическая инженерия. Были выявлены многочисленные цепочки заражения с использованием согласованной тактики, методов и процедур (TTP), используемых субъектом угрозы для компрометации конфиденциальных исследований и интеллектуальной собственности в странах Южной Азии.
-----

APT-команда SEQRITE Labs недавно раскрыла сложную кампанию кибершпионажа под названием Operation Cobalt Whisper, направленную против оборонного сектора в Пакистане и исследователей в Гонконге. Кампания в значительной степени основана на использовании инструмента Cobalt Strike, который используется для последующей эксплуатации и поставляется с помощью запутанного VBScript. Было выявлено в общей сложности 20 цепочек заражения, 18 из которых были нацелены на Гонконг, а 2 - на Пакистан, с использованием более 30 файлов-приманок.

Основное внимание в кампании уделяется таким отраслям, как электротехническая промышленность, энергетическая инфраструктура, гражданская авиация и экологическая инженерия. В качестве вспомогательных документов в кампании использовались рекомендации по процессу выдвижения кандидатов на премии в области науки и техники в Китае, в которых излагались требования к подаче заявок, критерии оценки и виды наград. В документах также подчеркивается общественное влияние и достижения, достигнутые благодаря таким наградам, способствующим вкладу в область электротехники.

Цепочка заражения начинается с вредоносного архива RAR, содержащего файлы-приманки PDF и LNK, а также имплантат Cobalt Strike. Вредоносный LNK-файл с именем "1 2024 (2024 8 ).pdf.lnk" содержит VBScript с именем O365.vbs, который отвечает за декодирование и выполнение файла Cobalt Strike beacon cache.bak. В кампании используются согласованные соглашения об именах и конфигурации для нескольких имплантатов, что подчеркивает методологию сторонних разработчиков угроз и использование маяков Cobalt Strike с общими временными метками компиляции.

Анализ радиомаяка Cobalt Strike выявил попытки подключения к серверу управления, что указывает на продолжающуюся связь с субъектом угрозы. Идентификация идентификаторов компьютеров, содержащихся в нескольких файлах LNK, помогает связать различные кампании, нацеленные на Гонконг, Исламабад и другие населенные пункты. Приманки из различных кампаний нацелены на такие отрасли, как оборона, образование в области электронной инженерии и медицинские институты, с особым акцентом на такие темы, как военные операции и получение докторской степени в инженерных областях.

Злоумышленник демонстрирует стратегический подход к кибершпионажу, нацеливаясь на ключевые организации в технических секторах с помощью специальных приманок и используя согласованные TTP, включая использование вредоносных LNK, VBScript и полезных программ Cobalt Strike. Анализ показывает, что группа APT целенаправленно пытается скомпрометировать важные исследования и интеллектуальную собственность в странах Южной Азии. Кампания, начатая в мае 2024 года, нацелена на инженеров-исследователей, профессоров и критически важные отрасли промышленности в Гонконге, материковом Китае и Пакистане.

#ParsedReport #CompletenessLow
27-10-2024

WarmCookie Malware Emerges as TA866's Latest Espionage Tool

https://www.secureblink.com/cyber-security-news/warm-cookie-malware-emerges-as-ta-866-s-latest-espionage-tool

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: cyber_espionage)
Asylum_ambuscade

Threats:
Warmcookie
Cobalt_strike
Streamerrat
Bitsadmin_tool
Resident
Adfind_tool
Rhadamanthys
Anydesk_tool
Ahkbot
Screenshotter

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1027, T1057, T1218.011

IOCs:
File: 1

Algorithms:
rc4

Languages:
javascript, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые методы, которые создают постоянные и изощренные киберугрозы с помощью вредоносного спама и вредоносной рекламы. WarmCookie служит начальной точкой доступа и механизмом сохранения, позволяя злоумышленникам поддерживать долгосрочный доступ, развертывать дополнительные вредоносные программы и устанавливать связь с серверами C2. Рекомендации по защите от WarmCookie включают внедрение расширенной фильтрации электронной почты, мер веб-безопасности, защиту конечных точек, мониторинг сети, обучение безопасности, политики для USB-устройств, резервное копирование и интеграцию анализа угроз.
-----

хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые технологии.

WarmCookie, также известный как BadSpace, появился в апреле 2024 года и активно распространяется с помощью вредоносного спама и рекламных кампаний.

Для распространения WarmCookie используются вредоносные электронные письма с тематикой, связанной со счетами-фактурами, содержащие вложения в формате PDF, которые приводят жертв на веб-серверы, на которых размещены замаскированные загрузчики JavaScript.

Вредоносные кампании, использующие системы распределения трафика, такие как LandUpdates808, также распространяют WarmCookie через вредоносные файлы JavaScript на взломанных веб-сайтах.

Начальная стадия заражения включает в себя запутанный файл JavaScript, выполняющий команду PowerShell для загрузки и запуска библиотеки DLL WarmCookie.

Основная полезная нагрузка WarmCookie предлагает функциональные возможности для развертывания полезной нагрузки, манипулирования файлами, выполнения команд, сбора скриншотов и сохранения данных, что позволяет злоумышленникам осуществлять удаленное управление.

Дополнительные вредоносные программы, такие как CSharp-Streamer-RAT и Cobalt Strike, внедряются после взлома для утечки данных и их перемещения в сети.

Последние образцы WarmCookie демонстрируют эволюцию параметров выполнения, механизмов сохранения и методов обхода, включая улучшенное обнаружение в изолированной среде и механизмы самообновления с помощью серверов C2.

WarmCookie и резидентный бэкдор имеют сходство на уровне кода, что позволяет предположить, что они могли быть разработаны одними и теми же злоумышленниками.

Кампании WarmCookie от TA866 включают в себя развертывание дополнительных инструментов и вредоносных программ, а также действия после взлома для расширения возможностей, при этом инфраструктурные и операционные дублирования связывают их с историческими событиями.

Рекомендации по защите от таких угроз, как WarmCookie, включают расширенную фильтрацию электронной почты, меры веб-безопасности, защиту конечных точек, мониторинг сети, обучение пользователей безопасности, политики USB-устройств, стратегии резервного копирования и адаптацию средств защиты на основе анализа угроз.

#ParsedReport #CompletenessLow
28-10-2024

In-depth study of the advanced injection technology StepBear of APT organization Storm0978

https://www.ctfiot.com/211992.html

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Step_bear_technique

Geo:
Korean, Russian

ChatGPT TTPs:
do not use without manual check
T1055, T1211, T1140

IOCs:
File: 32
Coin: 2

Soft:
Windows kernel, Chromium, wordpress, WeChat

Functions:
Ndr64pFreeParams, SetClassLong, GetClassLong

Win API:
NdrServerCallAll, SetClassWord, GetClassWord, NtUserSetClassLong, GetLastError, ZwQueryVirtualMemory, GetProcAddress, PostMessageA, virtualprotect, NdrStubCall2, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается сложный метод атаки под названием "Кошмар EDR: Storm-0978", который использует новую технологию внедрения в ядро под названием "Step Bear" для загрузки троянских бэкдоров для целенаправленных атак на основные продукты EDR. Этот продвинутый метод включает в себя сложные манипуляции со структурами памяти и параметрами для выполнения вредоносной полезной нагрузки, демонстрируя глубокие знания злоумышленников во внутренней части ядра Windows и Chromium. В анализе подчеркивается важность знаний в области обратного проектирования и операций на уровне ядра для эффективного противодействия таким продвинутым APT.
-----

В тексте обсуждается новый метод атаки, обнаруженный командой анализа угроз компании qax и названный "Кошмаром EDR: Storm-0978", использующий новую технологию внедрения в ядро, известную как "Step Bear". Злоумышленники, использующие этот метод, называются производителями загрузчиков, которые покупают некачественные загрузчики у аутсорсинговых компаний для загрузки троянских бэкдоров для запуска атак. Этот метод атаки отличается сложностью технологии внедрения в ядро, которая включает в себя использование методов, не часто встречающихся в истории вредоносных программ.

Технология внедрения "Step Bear" предполагает перехват процесса выполнения с помощью функции Ndr64pFreeParams и запуск пользовательского сообщения 0x405 в неизвестном скрытом окне. Этот сложный подход демонстрирует глубокое знание внутренних компонентов ядер Windows и Chromium, что позволяет проводить целенаправленные атаки на основные продукты EDR. Фреймворк, разработанный для этого метода внедрения опытным исследователем ядра Windows, позволяет повторно использовать логику внедрения и запуска в различных сценариях атаки.

Техника атаки заключается в использовании обратного вызова EM_SETWORDBREAKPROC для выполнения вредоносной полезной нагрузки по любому функциональному адресу. Этот метод включает манипулирование параметрами для управления процессом выполнения и облегчения внедрения шелл-кода. Далее в тексте рассматриваются технические тонкости установки адреса обратного вызова в I_RpcFreePipeBuffer и управления параметрами, позволяющими вызывать любой адрес с указанными параметрами. Подход включает в себя обработку структур памяти и атрибутов для достижения желаемого выполнения вредоносного кода.

В тексте подчеркивается сложность метода атаки, требующего глубокого понимания управления памятью и манипулирования параметрами для успешного выполнения вредоносной полезной нагрузки. В нем подчеркивается необходимость экспертных знаний в области обратного проектирования, обнаружения уязвимостей и операций на уровне ядра для разработки таких передовых методов атаки. Злоумышленники, стоящие за такими сложными APTS, обладают глубокими знаниями о программном обеспечении безопасности и внутренностях операционной системы, что позволяет им эффективно обходить меры безопасности.

Вкратце, в тексте описываются технические детали метода внедрения в ядро "Step Bear", который проливает свет на сложные стратегии, используемые APT для обхода систем безопасности. Подробный анализ манипуляций с памятью, контроля параметров и последовательности выполнения демонстрирует уровень знаний, необходимый для успешной реализации таких целенаправленных атак. Этот текст служит ценным источником для понимания меняющегося ландшафта киберугроз и необходимости принятия надежных мер безопасности для противодействия сложным методам атак, таким как "Шаг медведя"..

#ParsedReport #CompletenessLow
28-10-2024

Pig Butchers Join the Gig Economy: Cryptocurrency Scammers Target Job Seekers

https://www.proofpoint.com/us/blog/threat-insight/pig-butchers-join-gig-economy-cryptocurrency-scammers-target-job-seekers

Report completeness: Low

Actors/Campaigns:
Pig_butchering

Industry:
Financial

Geo:
Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1586.001, T1589

IOCs:
Domain: 312
Coin: 6

Soft:
WhatsApp, Telegram, TikTok

Crypto:
bitcoin, ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Proofpoint выявила рост случаев мошенничества с криптовалютами, нацеленного на отдельных лиц с помощью поддельных предложений о работе, выдаваемых за авторитетные организации, которые используют узнаваемость популярных брендов для быстрого установления доверия. Этот тип мошенничества, связанный с субъектами, вовлеченными в мошенничество с инвестициями в криптовалюту на романтической основе или забой свиней, приносит меньшую, но более частую прибыль по сравнению с традиционными мошенничествами. Мошенники привлекают жертв через социальные сети, SMS и приложения для обмена сообщениями, обучая их выполнению заданий на вредоносных веб-сайтах с обещаниями заработка, что в конечном итоге приводит к финансовым потерям. Чтобы бороться с этими мошенниками, частным лицам рекомендуется с осторожностью относиться к незапрашиваемым предложениям о работе и подвергать сомнению законность предложений, которые кажутся слишком хорошими, чтобы быть правдой.
-----

Рост мошенничества с криптовалютами, направленного против частных лиц с поддельными предложениями о работе, которые выдают себя за различные организации.

Мошенники используют узнаваемость популярного бренда для быстрого установления доверия.

Мошенничество в основном распространяется через социальные сети, SMS и приложения для обмена сообщениями, такие как WhatsApp и Telegram.

Мошенничество с работой используется в качестве новой стратегии мошенниками-мясниками для эксплуатации жертв.

Жертв просили зарегистрироваться на вредоносных веб-сайтах, используя реферальные коды.

Манипулирование жертвами с помощью таких психологических механизмов, как заблуждение о заниженных затратах и неприятие потерь.

Мошенники контролируют процесс оплаты, позволяя жертвам выводить только ограниченные суммы.

Совместные усилия с Chainalysis выявили эффективность схем.

Один из примеров поддельного сайта вакансий принес более 300 000 долларов в биткоинах и Эфириуме в течение двух месяцев.

Частным лицам рекомендуется с осторожностью относиться к незапрашиваемым предложениям о работе, подвергать сомнению их законность и распространять информацию о борьбе с мошенническими схемами.

#ParsedReport #CompletenessHigh
28-10-2024

SideWinder's ( T-APT-04 ) Sri Lanka Adventure

https://www.nimanthadeshappriya.com/post/sidewinder-s-t-apt-04-sri-lanka-adventure

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: financially_motivated, cyber_espionage)

Threats:
Spear-phishing_technique
Polymorphism_technique

Victims:
Sri lankan government institutions, Sri lankan government entities, Diplomatic and military organizations

Industry:
Aerospace, Maritime, Government, Military

Geo:
Chinese, Indian, Pakistan, Australia, Sri lanka, China, Africa, Nepal, Antarctica, Asia, India

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:

IOCs:
Url: 7
Domain: 14
Hash: 7
File: 1

Soft:
Microsoft Office, Microsoft Word

Algorithms:
xor, zip, base64

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Шри-Ланка, традиционно не являющаяся главной мишенью для кибератак, недавно столкнулась с изощренной деятельностью по кибершпионажу со стороны группы APT, известной как SideWinder, что связано с их геополитическими отношениями с Индией и опасениями по поводу влияния Китая в регионе.
-----

Исторически сложилось так, что Шри-Ланка не была основной мишенью для кибератак, и о случаях использования программ-вымогателей сообщалось меньше, чем в западных странах. Дружелюбный и неопасный имидж страны в сочетании с прочными дипломатическими связями позволяет ей оставаться относительно незаметной с точки зрения киберугроз. Однако недавние политические решения в Шри-Ланке привели к изменению этого представления, что привело к изощренным кибератакам на правительственные учреждения со стороны группы APT, известной как SideWinder.

SideWinder, также известная как Rattlesnake, Razor Tiger и T-APT-04, является государственной кибершпионажной группой, которая, как полагают, возникла в Индии. SideWinder действует как минимум с 2012 года и нацелена на такие страны региона, как Пакистан, Непал, Китай и Шри-Ланка. Основной целью группировки, по-видимому, является шпионаж, направленный на кражу разведывательных данных и конфиденциальной информации у правительственных организаций, подрядчиков и предприятий. Они нацелены на сбор геополитической информации, особенно в контексте недавней политической динамики в отношениях между Индией и Шри-Ланкой.

Политическая динамика в отношениях между Индией и Шри-Ланкой привлекла внимание SideWinder, особенно в свете значительных инфраструктурных проектов, разработанных Китаем в Шри-Ланке. Такие проекты, как порт Хамбантота, аэропорт Маттала и проект расширения Южной гавани Коломбо стоимостью более 6 миллиардов долларов США, вызвали обеспокоенность по поводу стратегического влияния Китая в регионе. Ходят слухи о потенциальном использовании порта Хамбантота в качестве китайской военно-морской базы, что вызвало опасения в Индии по поводу расширения присутствия Китая в Индийском океане.

Кибершпионажная деятельность SideWinder на Шри-Ланке включает в себя сложные методы, позволяющие сохранять постоянство и избегать обнаружения. Группа инициирует кампании с использованием фишинговых электронных писем, содержащих вредоносные вложения, нацеленные на государственные учреждения Шри-Ланки. Используя уязвимости, подобные CVE-2017-0199 в Microsoft Office, SideWinder получает первоначальный доступ к целевым системам. Эта уязвимость позволяет удаленно выполнять код с помощью специально созданных документов в формате RTF или OLE-объектов, которые по-прежнему широко распространены в государственных учреждениях Шри-Ланки из-за ограниченных инвестиций в технологии и осведомленности о безопасности.

Вредоносная программа SideWinder использует различные тактики для поддержания постоянства, включая создание значений в реестре и настройку запланированных задач. Группа использует динамические домены DNS для доставки вредоносных документов, маскируя поддомены под законные, относящиеся к целевым организациям. Узлы TOR используются для сокрытия сетевой активности, что усложняет анализ. Кроме того, серверная инфраструктура C2 работает с перебоями, используя диапазоны IP-адресов, зависящие от конкретной страны, для ограничения доступа к вредоносной полезной нагрузке.

#ParsedReport #CompletenessHigh
27-10-2024

Analysis of the latest attack cases of Kimsuky group exploiting PebbleDash and RDP Wrapper

https://asec.ahnlab.com/ko/84066

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: information_theft)
Lazarus

Threats:
Spear-phishing_technique
Appleseed
Happydoor
Runkeys_technique
Alphaseed
Ratclient
Asyncrat
Rdpwrapper_tool
Uac_bypass_technique

Industry:
Government, Education

Geo:
North korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.001, T1053.005, T1021.001, T1574.001, T1055.001, T1070.001

IOCs:
File: 6
Hash: 5
Url: 3
IP: 5

Soft:
task scheduler, Windows Local Security Authority

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа Kimsuky, идентифицированная аналитическим центром безопасности AhnLab (ASEC), проводит целенаправленные кибератаки с использованием таких инструментов, как PebbleDash, RDP Wrapper и различных вредоносных программ, для кражи внутренней информации и технологий организаций из разных секторов. Группа в основном использует тактику скрытого фишинга для получения начального доступа, предпочитая вредоносные программы на основе LNK, а не на основе документов. Они используют PowerShell и различные инструменты для сохранения и контроля, включая такие бэкдоры, как PebbleDash и RDP Wrapper. Цель отчета - детализировать тактику, инструменты и методы кибершпионажа, применяемые группой, подчеркивая необходимость эффективных мер безопасности для предотвращения подобных угроз.
-----

Группа Kimsuky выявила использование PebbleDash и RDP Wrapper в недавних атаках на оборонные ведомства, СМИ, дипломатию, правительственные учреждения и научные круги.

Целью группы является кража внутренней информации и технологий у целевых организаций.

Для первоначального доступа использовались точечные фишинговые атаки, а в недавних атаках участвовало вредоносное ПО LNK, замаскированное под файлы документов.

Вредоносное ПО PowerShell, размещенное на зараженных системах с помощью LNK, позволяет загружать и выполнять дополнительную полезную нагрузку.

Начиная с первой половины 2024 года, компания Kimsuky внедрила PebbleDash наряду с RDP Wrapper в качестве бэкдора.

Примеры атак от Kimsuky, начиная с 2024 года и далее, с подробным описанием тактики фишинга spear, сценариев PowerShell и анализа бэкдоров.

Проникновение, инициированное с помощью скрытого фишинга с вредоносными вложениями LNK, нацелено на конкретных пользователей.

Постоянство устанавливается с помощью планировщика задач и автозапускаемых разделов реестра для постоянного доступа.

Развертывание вредоносных программ RDP Wrapper и PebbleDash для полного контроля над скомпрометированными системами.

Группировка "Кимсуки", поддерживаемая Северной Кореей, нацелена на отдельных лиц и организации в различных секторах.

Рекомендации по устранению угроз включают осторожное обращение с электронной почтой, регулярные обновления и меры безопасности.

#ParsedReport #CompletenessHigh
28-10-2024

Hybrid Russian Espionage and Influence Campaign Aims to Compromise Ukrainian Military Recruits and Deliver Anti-Mobilization Narratives

https://cloud.google.com/blog/topics/threat-intelligence/russian-espionage-influence-ukrainian-military-recruits-anti-mobilization-narratives

Report completeness: High

Actors/Campaigns:
Unc5812 (motivation: cyber_espionage)
Purecoder

Threats:
Sunspinner
Pronsis
Purestealer
Craxsrat
Credential_harvesting_technique

Industry:
Government, Military

Geo:
Russia, South africa, Russian, Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1185, T1071, T1072, T1553, T1566, T1568, T1059

IOCs:
Domain: 3
Url: 11
Hash: 26
File: 3
IP: 2

Soft:
Android, Telegram, macOS, Flutter, Chrome

Algorithms:
md5

Languages:
php, java

Platforms:
apple

Links:
https://github.com/jphp-group/jphp