#ParsedReport #CompletenessLow
27-10-2024

WarmCookie Malware Emerges as TA866's Latest Espionage Tool

https://www.secureblink.com/cyber-security-news/warm-cookie-malware-emerges-as-ta-866-s-latest-espionage-tool

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: cyber_espionage)
Asylum_ambuscade

Threats:
Warmcookie
Cobalt_strike
Streamerrat
Bitsadmin_tool
Resident
Adfind_tool
Rhadamanthys
Anydesk_tool
Ahkbot
Screenshotter

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1027, T1057, T1218.011

IOCs:
File: 1

Algorithms:
rc4

Languages:
javascript, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые методы, которые создают постоянные и изощренные киберугрозы с помощью вредоносного спама и вредоносной рекламы. WarmCookie служит начальной точкой доступа и механизмом сохранения, позволяя злоумышленникам поддерживать долгосрочный доступ, развертывать дополнительные вредоносные программы и устанавливать связь с серверами C2. Рекомендации по защите от WarmCookie включают внедрение расширенной фильтрации электронной почты, мер веб-безопасности, защиту конечных точек, мониторинг сети, обучение безопасности, политики для USB-устройств, резервное копирование и интеграцию анализа угроз.
-----

хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые технологии.

WarmCookie, также известный как BadSpace, появился в апреле 2024 года и активно распространяется с помощью вредоносного спама и рекламных кампаний.

Для распространения WarmCookie используются вредоносные электронные письма с тематикой, связанной со счетами-фактурами, содержащие вложения в формате PDF, которые приводят жертв на веб-серверы, на которых размещены замаскированные загрузчики JavaScript.

Вредоносные кампании, использующие системы распределения трафика, такие как LandUpdates808, также распространяют WarmCookie через вредоносные файлы JavaScript на взломанных веб-сайтах.

Начальная стадия заражения включает в себя запутанный файл JavaScript, выполняющий команду PowerShell для загрузки и запуска библиотеки DLL WarmCookie.

Основная полезная нагрузка WarmCookie предлагает функциональные возможности для развертывания полезной нагрузки, манипулирования файлами, выполнения команд, сбора скриншотов и сохранения данных, что позволяет злоумышленникам осуществлять удаленное управление.

Дополнительные вредоносные программы, такие как CSharp-Streamer-RAT и Cobalt Strike, внедряются после взлома для утечки данных и их перемещения в сети.

Последние образцы WarmCookie демонстрируют эволюцию параметров выполнения, механизмов сохранения и методов обхода, включая улучшенное обнаружение в изолированной среде и механизмы самообновления с помощью серверов C2.

WarmCookie и резидентный бэкдор имеют сходство на уровне кода, что позволяет предположить, что они могли быть разработаны одними и теми же злоумышленниками.

Кампании WarmCookie от TA866 включают в себя развертывание дополнительных инструментов и вредоносных программ, а также действия после взлома для расширения возможностей, при этом инфраструктурные и операционные дублирования связывают их с историческими событиями.

Рекомендации по защите от таких угроз, как WarmCookie, включают расширенную фильтрацию электронной почты, меры веб-безопасности, защиту конечных точек, мониторинг сети, обучение пользователей безопасности, политики USB-устройств, стратегии резервного копирования и адаптацию средств защиты на основе анализа угроз.

#ParsedReport #CompletenessLow
28-10-2024

In-depth study of the advanced injection technology StepBear of APT organization Storm0978

https://www.ctfiot.com/211992.html

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Step_bear_technique

Geo:
Korean, Russian

ChatGPT TTPs:
do not use without manual check
T1055, T1211, T1140

IOCs:
File: 32
Coin: 2

Soft:
Windows kernel, Chromium, wordpress, WeChat

Functions:
Ndr64pFreeParams, SetClassLong, GetClassLong

Win API:
NdrServerCallAll, SetClassWord, GetClassWord, NtUserSetClassLong, GetLastError, ZwQueryVirtualMemory, GetProcAddress, PostMessageA, virtualprotect, NdrStubCall2, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается сложный метод атаки под названием "Кошмар EDR: Storm-0978", который использует новую технологию внедрения в ядро под названием "Step Bear" для загрузки троянских бэкдоров для целенаправленных атак на основные продукты EDR. Этот продвинутый метод включает в себя сложные манипуляции со структурами памяти и параметрами для выполнения вредоносной полезной нагрузки, демонстрируя глубокие знания злоумышленников во внутренней части ядра Windows и Chromium. В анализе подчеркивается важность знаний в области обратного проектирования и операций на уровне ядра для эффективного противодействия таким продвинутым APT.
-----

В тексте обсуждается новый метод атаки, обнаруженный командой анализа угроз компании qax и названный "Кошмаром EDR: Storm-0978", использующий новую технологию внедрения в ядро, известную как "Step Bear". Злоумышленники, использующие этот метод, называются производителями загрузчиков, которые покупают некачественные загрузчики у аутсорсинговых компаний для загрузки троянских бэкдоров для запуска атак. Этот метод атаки отличается сложностью технологии внедрения в ядро, которая включает в себя использование методов, не часто встречающихся в истории вредоносных программ.

Технология внедрения "Step Bear" предполагает перехват процесса выполнения с помощью функции Ndr64pFreeParams и запуск пользовательского сообщения 0x405 в неизвестном скрытом окне. Этот сложный подход демонстрирует глубокое знание внутренних компонентов ядер Windows и Chromium, что позволяет проводить целенаправленные атаки на основные продукты EDR. Фреймворк, разработанный для этого метода внедрения опытным исследователем ядра Windows, позволяет повторно использовать логику внедрения и запуска в различных сценариях атаки.

Техника атаки заключается в использовании обратного вызова EM_SETWORDBREAKPROC для выполнения вредоносной полезной нагрузки по любому функциональному адресу. Этот метод включает манипулирование параметрами для управления процессом выполнения и облегчения внедрения шелл-кода. Далее в тексте рассматриваются технические тонкости установки адреса обратного вызова в I_RpcFreePipeBuffer и управления параметрами, позволяющими вызывать любой адрес с указанными параметрами. Подход включает в себя обработку структур памяти и атрибутов для достижения желаемого выполнения вредоносного кода.

В тексте подчеркивается сложность метода атаки, требующего глубокого понимания управления памятью и манипулирования параметрами для успешного выполнения вредоносной полезной нагрузки. В нем подчеркивается необходимость экспертных знаний в области обратного проектирования, обнаружения уязвимостей и операций на уровне ядра для разработки таких передовых методов атаки. Злоумышленники, стоящие за такими сложными APTS, обладают глубокими знаниями о программном обеспечении безопасности и внутренностях операционной системы, что позволяет им эффективно обходить меры безопасности.

Вкратце, в тексте описываются технические детали метода внедрения в ядро "Step Bear", который проливает свет на сложные стратегии, используемые APT для обхода систем безопасности. Подробный анализ манипуляций с памятью, контроля параметров и последовательности выполнения демонстрирует уровень знаний, необходимый для успешной реализации таких целенаправленных атак. Этот текст служит ценным источником для понимания меняющегося ландшафта киберугроз и необходимости принятия надежных мер безопасности для противодействия сложным методам атак, таким как "Шаг медведя"..

#ParsedReport #CompletenessLow
28-10-2024

Pig Butchers Join the Gig Economy: Cryptocurrency Scammers Target Job Seekers

https://www.proofpoint.com/us/blog/threat-insight/pig-butchers-join-gig-economy-cryptocurrency-scammers-target-job-seekers

Report completeness: Low

Actors/Campaigns:
Pig_butchering

Industry:
Financial

Geo:
Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1586.001, T1589

IOCs:
Domain: 312
Coin: 6

Soft:
WhatsApp, Telegram, TikTok

Crypto:
bitcoin, ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Proofpoint выявила рост случаев мошенничества с криптовалютами, нацеленного на отдельных лиц с помощью поддельных предложений о работе, выдаваемых за авторитетные организации, которые используют узнаваемость популярных брендов для быстрого установления доверия. Этот тип мошенничества, связанный с субъектами, вовлеченными в мошенничество с инвестициями в криптовалюту на романтической основе или забой свиней, приносит меньшую, но более частую прибыль по сравнению с традиционными мошенничествами. Мошенники привлекают жертв через социальные сети, SMS и приложения для обмена сообщениями, обучая их выполнению заданий на вредоносных веб-сайтах с обещаниями заработка, что в конечном итоге приводит к финансовым потерям. Чтобы бороться с этими мошенниками, частным лицам рекомендуется с осторожностью относиться к незапрашиваемым предложениям о работе и подвергать сомнению законность предложений, которые кажутся слишком хорошими, чтобы быть правдой.
-----

Рост мошенничества с криптовалютами, направленного против частных лиц с поддельными предложениями о работе, которые выдают себя за различные организации.

Мошенники используют узнаваемость популярного бренда для быстрого установления доверия.

Мошенничество в основном распространяется через социальные сети, SMS и приложения для обмена сообщениями, такие как WhatsApp и Telegram.

Мошенничество с работой используется в качестве новой стратегии мошенниками-мясниками для эксплуатации жертв.

Жертв просили зарегистрироваться на вредоносных веб-сайтах, используя реферальные коды.

Манипулирование жертвами с помощью таких психологических механизмов, как заблуждение о заниженных затратах и неприятие потерь.

Мошенники контролируют процесс оплаты, позволяя жертвам выводить только ограниченные суммы.

Совместные усилия с Chainalysis выявили эффективность схем.

Один из примеров поддельного сайта вакансий принес более 300 000 долларов в биткоинах и Эфириуме в течение двух месяцев.

Частным лицам рекомендуется с осторожностью относиться к незапрашиваемым предложениям о работе, подвергать сомнению их законность и распространять информацию о борьбе с мошенническими схемами.

#ParsedReport #CompletenessHigh
28-10-2024

SideWinder's ( T-APT-04 ) Sri Lanka Adventure

https://www.nimanthadeshappriya.com/post/sidewinder-s-t-apt-04-sri-lanka-adventure

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: financially_motivated, cyber_espionage)

Threats:
Spear-phishing_technique
Polymorphism_technique

Victims:
Sri lankan government institutions, Sri lankan government entities, Diplomatic and military organizations

Industry:
Aerospace, Maritime, Government, Military

Geo:
Chinese, Indian, Pakistan, Australia, Sri lanka, China, Africa, Nepal, Antarctica, Asia, India

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:

IOCs:
Url: 7
Domain: 14
Hash: 7
File: 1

Soft:
Microsoft Office, Microsoft Word

Algorithms:
xor, zip, base64

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Шри-Ланка, традиционно не являющаяся главной мишенью для кибератак, недавно столкнулась с изощренной деятельностью по кибершпионажу со стороны группы APT, известной как SideWinder, что связано с их геополитическими отношениями с Индией и опасениями по поводу влияния Китая в регионе.
-----

Исторически сложилось так, что Шри-Ланка не была основной мишенью для кибератак, и о случаях использования программ-вымогателей сообщалось меньше, чем в западных странах. Дружелюбный и неопасный имидж страны в сочетании с прочными дипломатическими связями позволяет ей оставаться относительно незаметной с точки зрения киберугроз. Однако недавние политические решения в Шри-Ланке привели к изменению этого представления, что привело к изощренным кибератакам на правительственные учреждения со стороны группы APT, известной как SideWinder.

SideWinder, также известная как Rattlesnake, Razor Tiger и T-APT-04, является государственной кибершпионажной группой, которая, как полагают, возникла в Индии. SideWinder действует как минимум с 2012 года и нацелена на такие страны региона, как Пакистан, Непал, Китай и Шри-Ланка. Основной целью группировки, по-видимому, является шпионаж, направленный на кражу разведывательных данных и конфиденциальной информации у правительственных организаций, подрядчиков и предприятий. Они нацелены на сбор геополитической информации, особенно в контексте недавней политической динамики в отношениях между Индией и Шри-Ланкой.

Политическая динамика в отношениях между Индией и Шри-Ланкой привлекла внимание SideWinder, особенно в свете значительных инфраструктурных проектов, разработанных Китаем в Шри-Ланке. Такие проекты, как порт Хамбантота, аэропорт Маттала и проект расширения Южной гавани Коломбо стоимостью более 6 миллиардов долларов США, вызвали обеспокоенность по поводу стратегического влияния Китая в регионе. Ходят слухи о потенциальном использовании порта Хамбантота в качестве китайской военно-морской базы, что вызвало опасения в Индии по поводу расширения присутствия Китая в Индийском океане.

Кибершпионажная деятельность SideWinder на Шри-Ланке включает в себя сложные методы, позволяющие сохранять постоянство и избегать обнаружения. Группа инициирует кампании с использованием фишинговых электронных писем, содержащих вредоносные вложения, нацеленные на государственные учреждения Шри-Ланки. Используя уязвимости, подобные CVE-2017-0199 в Microsoft Office, SideWinder получает первоначальный доступ к целевым системам. Эта уязвимость позволяет удаленно выполнять код с помощью специально созданных документов в формате RTF или OLE-объектов, которые по-прежнему широко распространены в государственных учреждениях Шри-Ланки из-за ограниченных инвестиций в технологии и осведомленности о безопасности.

Вредоносная программа SideWinder использует различные тактики для поддержания постоянства, включая создание значений в реестре и настройку запланированных задач. Группа использует динамические домены DNS для доставки вредоносных документов, маскируя поддомены под законные, относящиеся к целевым организациям. Узлы TOR используются для сокрытия сетевой активности, что усложняет анализ. Кроме того, серверная инфраструктура C2 работает с перебоями, используя диапазоны IP-адресов, зависящие от конкретной страны, для ограничения доступа к вредоносной полезной нагрузке.

#ParsedReport #CompletenessHigh
27-10-2024

Analysis of the latest attack cases of Kimsuky group exploiting PebbleDash and RDP Wrapper

https://asec.ahnlab.com/ko/84066

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: information_theft)
Lazarus

Threats:
Spear-phishing_technique
Appleseed
Happydoor
Runkeys_technique
Alphaseed
Ratclient
Asyncrat
Rdpwrapper_tool
Uac_bypass_technique

Industry:
Government, Education

Geo:
North korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.001, T1053.005, T1021.001, T1574.001, T1055.001, T1070.001

IOCs:
File: 6
Hash: 5
Url: 3
IP: 5

Soft:
task scheduler, Windows Local Security Authority

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа Kimsuky, идентифицированная аналитическим центром безопасности AhnLab (ASEC), проводит целенаправленные кибератаки с использованием таких инструментов, как PebbleDash, RDP Wrapper и различных вредоносных программ, для кражи внутренней информации и технологий организаций из разных секторов. Группа в основном использует тактику скрытого фишинга для получения начального доступа, предпочитая вредоносные программы на основе LNK, а не на основе документов. Они используют PowerShell и различные инструменты для сохранения и контроля, включая такие бэкдоры, как PebbleDash и RDP Wrapper. Цель отчета - детализировать тактику, инструменты и методы кибершпионажа, применяемые группой, подчеркивая необходимость эффективных мер безопасности для предотвращения подобных угроз.
-----

Группа Kimsuky выявила использование PebbleDash и RDP Wrapper в недавних атаках на оборонные ведомства, СМИ, дипломатию, правительственные учреждения и научные круги.

Целью группы является кража внутренней информации и технологий у целевых организаций.

Для первоначального доступа использовались точечные фишинговые атаки, а в недавних атаках участвовало вредоносное ПО LNK, замаскированное под файлы документов.

Вредоносное ПО PowerShell, размещенное на зараженных системах с помощью LNK, позволяет загружать и выполнять дополнительную полезную нагрузку.

Начиная с первой половины 2024 года, компания Kimsuky внедрила PebbleDash наряду с RDP Wrapper в качестве бэкдора.

Примеры атак от Kimsuky, начиная с 2024 года и далее, с подробным описанием тактики фишинга spear, сценариев PowerShell и анализа бэкдоров.

Проникновение, инициированное с помощью скрытого фишинга с вредоносными вложениями LNK, нацелено на конкретных пользователей.

Постоянство устанавливается с помощью планировщика задач и автозапускаемых разделов реестра для постоянного доступа.

Развертывание вредоносных программ RDP Wrapper и PebbleDash для полного контроля над скомпрометированными системами.

Группировка "Кимсуки", поддерживаемая Северной Кореей, нацелена на отдельных лиц и организации в различных секторах.

Рекомендации по устранению угроз включают осторожное обращение с электронной почтой, регулярные обновления и меры безопасности.

#ParsedReport #CompletenessHigh
28-10-2024

Hybrid Russian Espionage and Influence Campaign Aims to Compromise Ukrainian Military Recruits and Deliver Anti-Mobilization Narratives

https://cloud.google.com/blog/topics/threat-intelligence/russian-espionage-influence-ukrainian-military-recruits-anti-mobilization-narratives

Report completeness: High

Actors/Campaigns:
Unc5812 (motivation: cyber_espionage)
Purecoder

Threats:
Sunspinner
Pronsis
Purestealer
Craxsrat
Credential_harvesting_technique

Industry:
Government, Military

Geo:
Russia, South africa, Russian, Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1185, T1071, T1072, T1553, T1566, T1568, T1059

IOCs:
Domain: 3
Url: 11
Hash: 26
File: 3
IP: 2

Soft:
Android, Telegram, macOS, Flutter, Chrome

Algorithms:
md5

Languages:
php, java

Platforms:
apple

Links:
https://github.com/jphp-group/jphp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии предполагаемой российской гибридной операции по шпионажу и влиянию, идентифицированной как UNC5812, проводимой через Telegram-аккаунт под названием "Гражданская оборона". Эта операция включает в себя доставку вредоносного ПО для Windows и Android, предназначенного для потенциальных призывников в украинскую армию и подрывающего усилия Украины по мобилизации. Вредоносное ПО распространяется через веб-сайт "Гражданская оборона" и Telegram-канал, а для обмана пользователей и загрузки вредоносного программного обеспечения используется тактика социальной инженерии. Своей деятельностью UNC5812 стремится распространять информацию, направленную против мобилизации, и красть конфиденциальные данные с устройств жертв, подчеркивая сохраняющиеся угрозы кибербезопасности, с которыми сталкивается Украина.
-----

Группа Google по анализу угроз совместно с TAG и Mandiant обнаружила UNC5812, предполагаемую российскую шпионскую операцию с использованием Telegram под псевдонимом "Гражданская оборона" для распространения вредоносных программ для Windows и Android.

Цель UNC5812 - привести жертв на веб-сайт, предлагающий бесплатное программное обеспечение, что приведет к загрузке вредоносных программ, адаптированных для каждой операционной системы.

Группа оказывает влияние, чтобы подорвать усилия Украины по набору военнослужащих, распространяя материалы, направленные против мобилизации.

UNC5812 управляет двумя цепочками доставки вредоносных программ для устройств Windows и Android с общим элементом картографического приложения SUNSPINNER.

Полезная нагрузка Windows устанавливает PURESTEALER, в то время как APK-файл для Android содержит бэкдор CRAXSRAT, оба из которых предназначены для кражи данных.

Google обнаружил угрозу и поделился результатами с украинскими властями, что привело к блокировке веб-сайта "Гражданской обороны" на национальном уровне.

UNC5812 нацелен на украинских военных-новобранцев, что согласуется с более широкими усилиями пророссийских сил по подрыву украинского законодательства о мобилизации.

Эта кампания демонстрирует, что Россия уделяет особое внимание достижению когнитивных эффектов с помощью кибервозможностей, используя приложения для обмена сообщениями для доставки вредоносных программ.

Всем привет.

Стартовал последний набор на курсы в 2024 году:

→ Threat Intelligence, 9 ноября
→ Digital Forensics & Incident Response, 9 ноября
→ Vulnerability management, 16 ноября
→ Threat Hunting, 16 ноября


❗️Аналитик SOC, 18 января 2025 - сразу после Нового года, поэтому формируем группу уже сейчас.

💥Наконец-то приступили к разработке курса по Malware analysis.
Ориентировочная дата старта первого потока - февраль 2025.

A collection of CVEs weaponized by ransomware operators

https://github.com/BushidoUK/Ransomware-Vulnerability-Matrix