#ParsedReport #CompletenessHigh
28-10-2024

SideWinder's ( T-APT-04 ) Sri Lanka Adventure

https://www.nimanthadeshappriya.com/post/sidewinder-s-t-apt-04-sri-lanka-adventure

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: financially_motivated, cyber_espionage)

Threats:
Spear-phishing_technique
Polymorphism_technique

Victims:
Sri lankan government institutions, Sri lankan government entities, Diplomatic and military organizations

Industry:
Aerospace, Maritime, Government, Military

Geo:
Chinese, Indian, Pakistan, Australia, Sri lanka, China, Africa, Nepal, Antarctica, Asia, India

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:

IOCs:
Url: 7
Domain: 14
Hash: 7
File: 1

Soft:
Microsoft Office, Microsoft Word

Algorithms:
xor, zip, base64

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Шри-Ланка, традиционно не являющаяся главной мишенью для кибератак, недавно столкнулась с изощренной деятельностью по кибершпионажу со стороны группы APT, известной как SideWinder, что связано с их геополитическими отношениями с Индией и опасениями по поводу влияния Китая в регионе.
-----

Исторически сложилось так, что Шри-Ланка не была основной мишенью для кибератак, и о случаях использования программ-вымогателей сообщалось меньше, чем в западных странах. Дружелюбный и неопасный имидж страны в сочетании с прочными дипломатическими связями позволяет ей оставаться относительно незаметной с точки зрения киберугроз. Однако недавние политические решения в Шри-Ланке привели к изменению этого представления, что привело к изощренным кибератакам на правительственные учреждения со стороны группы APT, известной как SideWinder.

SideWinder, также известная как Rattlesnake, Razor Tiger и T-APT-04, является государственной кибершпионажной группой, которая, как полагают, возникла в Индии. SideWinder действует как минимум с 2012 года и нацелена на такие страны региона, как Пакистан, Непал, Китай и Шри-Ланка. Основной целью группировки, по-видимому, является шпионаж, направленный на кражу разведывательных данных и конфиденциальной информации у правительственных организаций, подрядчиков и предприятий. Они нацелены на сбор геополитической информации, особенно в контексте недавней политической динамики в отношениях между Индией и Шри-Ланкой.

Политическая динамика в отношениях между Индией и Шри-Ланкой привлекла внимание SideWinder, особенно в свете значительных инфраструктурных проектов, разработанных Китаем в Шри-Ланке. Такие проекты, как порт Хамбантота, аэропорт Маттала и проект расширения Южной гавани Коломбо стоимостью более 6 миллиардов долларов США, вызвали обеспокоенность по поводу стратегического влияния Китая в регионе. Ходят слухи о потенциальном использовании порта Хамбантота в качестве китайской военно-морской базы, что вызвало опасения в Индии по поводу расширения присутствия Китая в Индийском океане.

Кибершпионажная деятельность SideWinder на Шри-Ланке включает в себя сложные методы, позволяющие сохранять постоянство и избегать обнаружения. Группа инициирует кампании с использованием фишинговых электронных писем, содержащих вредоносные вложения, нацеленные на государственные учреждения Шри-Ланки. Используя уязвимости, подобные CVE-2017-0199 в Microsoft Office, SideWinder получает первоначальный доступ к целевым системам. Эта уязвимость позволяет удаленно выполнять код с помощью специально созданных документов в формате RTF или OLE-объектов, которые по-прежнему широко распространены в государственных учреждениях Шри-Ланки из-за ограниченных инвестиций в технологии и осведомленности о безопасности.

Вредоносная программа SideWinder использует различные тактики для поддержания постоянства, включая создание значений в реестре и настройку запланированных задач. Группа использует динамические домены DNS для доставки вредоносных документов, маскируя поддомены под законные, относящиеся к целевым организациям. Узлы TOR используются для сокрытия сетевой активности, что усложняет анализ. Кроме того, серверная инфраструктура C2 работает с перебоями, используя диапазоны IP-адресов, зависящие от конкретной страны, для ограничения доступа к вредоносной полезной нагрузке.

#ParsedReport #CompletenessHigh
27-10-2024

Analysis of the latest attack cases of Kimsuky group exploiting PebbleDash and RDP Wrapper

https://asec.ahnlab.com/ko/84066

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: information_theft)
Lazarus

Threats:
Spear-phishing_technique
Appleseed
Happydoor
Runkeys_technique
Alphaseed
Ratclient
Asyncrat
Rdpwrapper_tool
Uac_bypass_technique

Industry:
Government, Education

Geo:
North korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.001, T1053.005, T1021.001, T1574.001, T1055.001, T1070.001

IOCs:
File: 6
Hash: 5
Url: 3
IP: 5

Soft:
task scheduler, Windows Local Security Authority

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа Kimsuky, идентифицированная аналитическим центром безопасности AhnLab (ASEC), проводит целенаправленные кибератаки с использованием таких инструментов, как PebbleDash, RDP Wrapper и различных вредоносных программ, для кражи внутренней информации и технологий организаций из разных секторов. Группа в основном использует тактику скрытого фишинга для получения начального доступа, предпочитая вредоносные программы на основе LNK, а не на основе документов. Они используют PowerShell и различные инструменты для сохранения и контроля, включая такие бэкдоры, как PebbleDash и RDP Wrapper. Цель отчета - детализировать тактику, инструменты и методы кибершпионажа, применяемые группой, подчеркивая необходимость эффективных мер безопасности для предотвращения подобных угроз.
-----

Группа Kimsuky выявила использование PebbleDash и RDP Wrapper в недавних атаках на оборонные ведомства, СМИ, дипломатию, правительственные учреждения и научные круги.

Целью группы является кража внутренней информации и технологий у целевых организаций.

Для первоначального доступа использовались точечные фишинговые атаки, а в недавних атаках участвовало вредоносное ПО LNK, замаскированное под файлы документов.

Вредоносное ПО PowerShell, размещенное на зараженных системах с помощью LNK, позволяет загружать и выполнять дополнительную полезную нагрузку.

Начиная с первой половины 2024 года, компания Kimsuky внедрила PebbleDash наряду с RDP Wrapper в качестве бэкдора.

Примеры атак от Kimsuky, начиная с 2024 года и далее, с подробным описанием тактики фишинга spear, сценариев PowerShell и анализа бэкдоров.

Проникновение, инициированное с помощью скрытого фишинга с вредоносными вложениями LNK, нацелено на конкретных пользователей.

Постоянство устанавливается с помощью планировщика задач и автозапускаемых разделов реестра для постоянного доступа.

Развертывание вредоносных программ RDP Wrapper и PebbleDash для полного контроля над скомпрометированными системами.

Группировка "Кимсуки", поддерживаемая Северной Кореей, нацелена на отдельных лиц и организации в различных секторах.

Рекомендации по устранению угроз включают осторожное обращение с электронной почтой, регулярные обновления и меры безопасности.

#ParsedReport #CompletenessHigh
28-10-2024

Hybrid Russian Espionage and Influence Campaign Aims to Compromise Ukrainian Military Recruits and Deliver Anti-Mobilization Narratives

https://cloud.google.com/blog/topics/threat-intelligence/russian-espionage-influence-ukrainian-military-recruits-anti-mobilization-narratives

Report completeness: High

Actors/Campaigns:
Unc5812 (motivation: cyber_espionage)
Purecoder

Threats:
Sunspinner
Pronsis
Purestealer
Craxsrat
Credential_harvesting_technique

Industry:
Government, Military

Geo:
Russia, South africa, Russian, Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1185, T1071, T1072, T1553, T1566, T1568, T1059

IOCs:
Domain: 3
Url: 11
Hash: 26
File: 3
IP: 2

Soft:
Android, Telegram, macOS, Flutter, Chrome

Algorithms:
md5

Languages:
php, java

Platforms:
apple

Links:
https://github.com/jphp-group/jphp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии предполагаемой российской гибридной операции по шпионажу и влиянию, идентифицированной как UNC5812, проводимой через Telegram-аккаунт под названием "Гражданская оборона". Эта операция включает в себя доставку вредоносного ПО для Windows и Android, предназначенного для потенциальных призывников в украинскую армию и подрывающего усилия Украины по мобилизации. Вредоносное ПО распространяется через веб-сайт "Гражданская оборона" и Telegram-канал, а для обмана пользователей и загрузки вредоносного программного обеспечения используется тактика социальной инженерии. Своей деятельностью UNC5812 стремится распространять информацию, направленную против мобилизации, и красть конфиденциальные данные с устройств жертв, подчеркивая сохраняющиеся угрозы кибербезопасности, с которыми сталкивается Украина.
-----

Группа Google по анализу угроз совместно с TAG и Mandiant обнаружила UNC5812, предполагаемую российскую шпионскую операцию с использованием Telegram под псевдонимом "Гражданская оборона" для распространения вредоносных программ для Windows и Android.

Цель UNC5812 - привести жертв на веб-сайт, предлагающий бесплатное программное обеспечение, что приведет к загрузке вредоносных программ, адаптированных для каждой операционной системы.

Группа оказывает влияние, чтобы подорвать усилия Украины по набору военнослужащих, распространяя материалы, направленные против мобилизации.

UNC5812 управляет двумя цепочками доставки вредоносных программ для устройств Windows и Android с общим элементом картографического приложения SUNSPINNER.

Полезная нагрузка Windows устанавливает PURESTEALER, в то время как APK-файл для Android содержит бэкдор CRAXSRAT, оба из которых предназначены для кражи данных.

Google обнаружил угрозу и поделился результатами с украинскими властями, что привело к блокировке веб-сайта "Гражданской обороны" на национальном уровне.

UNC5812 нацелен на украинских военных-новобранцев, что согласуется с более широкими усилиями пророссийских сил по подрыву украинского законодательства о мобилизации.

Эта кампания демонстрирует, что Россия уделяет особое внимание достижению когнитивных эффектов с помощью кибервозможностей, используя приложения для обмена сообщениями для доставки вредоносных программ.

Всем привет.

Стартовал последний набор на курсы в 2024 году:

→ Threat Intelligence, 9 ноября
→ Digital Forensics & Incident Response, 9 ноября
→ Vulnerability management, 16 ноября
→ Threat Hunting, 16 ноября


❗️Аналитик SOC, 18 января 2025 - сразу после Нового года, поэтому формируем группу уже сейчас.

💥Наконец-то приступили к разработке курса по Malware analysis.
Ориентировочная дата старта первого потока - февраль 2025.

A collection of CVEs weaponized by ransomware operators

https://github.com/BushidoUK/Ransomware-Vulnerability-Matrix

#technique

Privilege escalation through TPM Sniffing when BitLocker PIN is enabled

https://blog.scrt.ch/2024/10/28/privilege-escalation-through-tpm-sniffing-when-bitlocker-pin-is-enabled/

#technique

Exception Junction - Where All Exceptions Meet Their Handler

https://bruteratel.com/research/2024/10/20/Exception-Junction/

#ParsedReport #CompletenessHigh
29-10-2024

Katz and Mouse Game: MaaS Infostealers Adapt to Patched ChromeDefenses. Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses

https://www.elastic.co/security-labs/katz-and-mouse-game

Report completeness: High

Threats:
Stealc
Vidar_stealer
Meta_stealer
Phemedrone
Xenostealer
Lumma_stealer
Chromekatz_tool
Seth_locker
Raccoon_stealer
Cookiemonster
Process_injection_technique

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 12
Hash: 9

Soft:
Chrome, google chrome, Chromium, UNIX, Telegram

Algorithms:
xor, sha256, base64, zip

Win API:
ReadProcessMemory, OpenDesktopA, CreateDesktopA, CreateToolhelp32Snapshot, CreateProcessW, NtReadVirtualMemory, CoCreateInstance

Win Services:
GoogleChromeElevationService

Platforms:
x86

YARA: Found

Links:
have more...
https://github.com/elastic/protections-artifacts/blob/da25aa57994ee265583227dbe6fe02261b65415c/behavior/rules/windows/credential\_access\_access\_to\_browser\_credentials\_from\_suspicious\_memory.toml#L8
https://github.com/elastic/protections-artifacts/blob/da25aa57994ee265583227dbe6fe02261b65415c/behavior/rules/windows/credential\_access\_web\_browser\_credential\_access\_via\_unusual\_process.toml#L8
https://github.com/elastic/protections-artifacts/blob/da25aa57994ee265583227dbe6fe02261b65415c/behavior/rules/windows/credential\_access\_web\_browser\_credential\_access\_via\_unsigned\_process.toml#L8

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 2, code: 19, chats: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - реакция разработчиков вредоносных программ и киберпреступников на новую функцию шифрования Google в Chrome 127, связанную с приложениями, которая направлена на усиление защиты файлов cookie в Windows. Злоумышленники адаптируют свою тактику обхода этой защиты, чтобы продолжать красть конфиденциальную информацию из браузеров Chrome, что побуждает защитников проявлять бдительность и отслеживать методы, используемые инфокрадами. В тексте также рассказывается о конкретных инфокрадах и их методах обхода мер безопасности Chrome, подчеркивается важность понимания потенциальных угроз и усиления защиты от злоумышленников. Elastic Security Labs использует платформу MITRE ATT&CK для документирования тактики и процедур, используемых при угрозах корпоративным сетям.
-----

Elastic Security Labs отслеживает реакцию экосистемы infostealer на новую функцию шифрования Google, привязанную к приложениям, которая была реализована в Chrome 127 для улучшения защиты файлов cookie в Windows. Это повышение безопасности вынудило разработчиков вредоносных программ адаптироваться и найти способы обойти эту защиту, чтобы продолжать эффективно красть конфиденциальную информацию из браузеров Chrome. Различные похитители информации внедрили различные методы обхода шифрования, привязанного к приложению, такие как использование вредоносных средств безопасности, таких как ChromeKatz, использование COM для взаимодействия со службами Chrome для расшифровки и использование функций удаленной отладки в Chrome.

Киберпреступники используют инфокрадов для кражи токенов аутентификации, что позволяет им выдавать себя за пользователей и потенциально совершать вредоносные действия, такие как захват учетных записей, кража личных или финансовых данных или перевод финансовых активов. В результате защитникам крайне важно проявлять бдительность и активно отслеживать методы, используемые инфокрадами для обхода защиты Chrome от файлов cookie в Windows.

Устаревшие версии Google Chrome для Windows использовали API защиты данных (DPAPI) для шифрования файлов cookie, но этот метод содержал уязвимости, которые могли быть использованы вредоносным программным обеспечением. С внедрением шифрования, привязанного к приложениям, в Chrome 127 Google стремился усилить защиту файлов cookie путем шифрования файлов данных и использования службы, работающей как SYSTEM, для проверки попыток дешифрования. Хотя эта схема шифрования не является надежной, она побудила авторов вредоносных программ использовать более откровенно вредоносную тактику, что облегчает их идентификацию и реагирование на нее.

Было замечено, что некоторые инфокрады, такие как STEALC/VIDAR, METASTEALER, PHEMEDRONE и XENOSTEALER, используют методы обхода мер защиты файлов cookie Google. STEALC/VIDAR разработали новый код для обхода шифрования, привязанного к приложениям, в то время как METASTEALER улучшил свои возможности по извлечению конфиденциальной информации, несмотря на изменения в системе безопасности Chrome. PHEMEDRONE использует удаленную отладку в Chrome для извлечения файлов cookie, а XENOSTEALER расшифровывает файлы cookie в процессе Chrome, запуская экземпляр Chrome.exe и вводя код. Кроме того, LUMMA внедрила новый метод обхода защиты Chrome от файлов cookie, используя методы, аналогичные ChromeKatz, что позволяет красть данные файлов cookie из последней версии Google Chrome.

Elastic Security Labs использует платформу MITRE ATT&CK для документирования тактики, методов и процедур, используемых при угрозах корпоративным сетям. Анализируя поведение и тактику инфокрадов в ответ на меры безопасности, такие как шифрование с привязкой к приложениям Google, организации могут лучше понимать потенциальные угрозы и усиливать свою защиту от злоумышленников, стремящихся украсть конфиденциальную информацию из браузеров Chrome в Windows.

#ParsedReport #CompletenessLow
30-10-2024

Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware

https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware

Report completeness: Low

Threats:
Fakecall
Qshing_technique

Industry:
Financial

TTPs:
Tactics: 9
Technics: 14

IOCs:
File: 5

Soft:
Android

Functions:
onAccessibilityEvent, onCreate, getResultData, setResultData

Languages:
java

Links:
https://github.com/ant-media/LibRtmp-Client-for-Android
https://github.com/Zimperium/IOC/tree/master/2024-10-FakeCall

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4