#ParsedReport #CompletenessHigh
29-10-2024

Inside the Open Directory of the "You Dun" Threat Group

https://thedfirreport.com/2024/10/28/inside-the-open-directory-of-the-you-dun-threat-group

Report completeness: High

Actors/Campaigns:
You_dun

Threats:
Cobalt_strike
Opendir
Weblogicscan_tool
Vulmap_tool
Viper
Taowu_tool
Ladon_tool
Lockbit
Metasploit_tool
Sliver_c2_tool
Sqlmap_tool
Dirsearch_tool
Browserghost_tool
Efspotato_tool
Juicypotato_tool
Lazagne_tool
Minidump_tool
Safetykatz_tool
Seatbelt_tool
Sessiongopher_tool
Sharpersist_tool
Sharphide_tool
Bloodhound_tool
Sharpshares_tool
Sweetpotato_tool
Frpc_tool
Fscan_tool
Printspoofer_tool

Industry:
Government, Healthcare, Logistic, Telco, Education

Geo:
Iranian, Korea, Chinese, Korean, Thailand, Iran, China, Taiwan

CVEs:
CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (1903, 1909)
- microsoft windows server 2016 (1903, 1909)

CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.18967)
- microsoft windows 10 1607 (<10.0.14393.4467)
- microsoft windows 10 1809 (<10.0.17763.1999)
- microsoft windows 10 1909 (<10.0.18363.1621)
- microsoft windows 10 2004 (<10.0.19041.1052)
have more...
CVE-2021-25003 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wptaskforce wpcargo track & trace (<6.9.0)

CVE-2016-0051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (-, 1511)
- microsoft windows 7 (*)
- microsoft windows 8.1 (*)
- microsoft windows rt 8.1 (*)
- microsoft windows server 2008 (*, r2)
have more...
CVE-2014-4113 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (-)
- microsoft windows 8 (-)
- microsoft windows 8.1 (-)
- microsoft windows rt (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2015-1701 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 2003 server (-, r2)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-)
- microsoft windows vista (-)


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 4
IP: 9
Path: 2
Hash: 178
Url: 4

Soft:
Telegram, Linux, docker, WebLogic, WordPress, Redis, curl, Twitter, WhatsApp

Algorithms:
sha256, md5, sha1, zip

Win API:
CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread

Languages:
php, python

Platforms:
apple, intel, x86, x64

Links:
https://github.com/cdk-team/CDK
https://github.com/liamg/traitor
https://github.com/rabbitmask/WeblogicScan
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что китайскоязычная хакерская группа, известная как "You Dun", занимается масштабной вредоносной деятельностью, такой как разведка, использование веб-ресурсов, уязвимых серверов, атаки с использованием SQL-инъекций и программы-вымогатели, нацеленные на организации в различных странах. Злоумышленники использовали ряд инструментов и платформ, включая WebLogicScan, Vulmap, Xray, Cobalt Strike, Viper C2 и LockBit, для проведения своих операций, демонстрируя высокий уровень сложности и организационных возможностей. Анализ действий злоумышленника выявил закономерность постоянных и целенаправленных кибератак в разных регионах.
-----

OpenDir, обнаруженный командой DFIR Report Threat Intel, выявил наличие инструментария для создания угроз на китайском языке и подробную историю вредоносных действий. Этот злоумышленник, известный как "You Dun", проводил масштабные операции по сканированию и использованию данных, нацеленные на организации в таких странах, как Южная Корея, Китай, Таиланд, Тайвань и Иран. Для сканирования и использования данных использовались такие инструменты, как WebLogicScan, Vulmap и Xray. Кроме того, злоумышленник использовал платформу Viper C2 framework, Cobalt Strike kit с расширениями TaoWu и Ladon и просочившийся в сеть LockBit 3 builder для создания пользовательских полезных программ-вымогателей.

В ходе анализа были выявлены различные действия злоумышленника, включая разведку, использование веб-ресурсов и уязвимых серверов с использованием таких инструментов, как WebLogicScan, Vulmap и Xray. Атаки с использованием SQL-инъекций проводились с использованием SQLmap, в частности, на веб-сайты, на которых установлено программное обеспечение Zhiyuan OA. Злоумышленник также использовал файлы Cobalt Strike и Viper framework, уделив особое внимание архиву сервера Cobalt Strike team, содержащему расширения TaoWu и Ladon. Расследование показало, что злоумышленник проводил активные операции командования и контроля с 18 января по 10 февраля 2024 года, используя кластер IP-адресов в качестве прокси-серверов.

Дальнейший анализ действий привел к обнаружению связи злоумышленника с группой "You Dun" и их участия в различных вредоносных действиях, выходящих за рамки тестирования на проникновение, включая незаконную продажу данных, DDoS-атаки и операции с программами-вымогателями. Злоумышленник использовал инструменты WebLogicScan, Vulmap и Xray для сканирования уязвимостей, их использования и рекогносцировки, нацеливаясь на серверы в разных странах, уделяя особое внимание Китаю, Южной Корее и Ирану. Примечательно, что злоумышленник использовал различные инструменты и методы, включая платформу Viper C2 framework для действий после использования на скомпрометированных хостах.

Действия злоумышленника распространялись на компрометацию веб-сайтов с использованием SQLmap, использование уязвимостей в экземплярах Zhiyuan OA и развертывание Cobalt Strike с расширениями TaoWu и Ladon для расширенных действий по вторжению. Наличие разработчика программ-вымогателей LockBit и связанные с ними действия указывают на более широкий спектр вредоносных операций, предпринимаемых злоумышленником. Использование Viper C2 для последующей эксплуатации, включая использование Metasploit для выполнения команд и загрузки файлов, подчеркнуло сложный характер операций злоумышленника.

Анализ opendir позволил получить представление об инфраструктуре и инструментах, используемых злоумышленниками, а также об их операционных схемах и методологиях. Связанные с этим действия, включая операции по командованию и контролю, эксплуатации и вымогательству, указывали на наличие высокоорганизованной и стойкой хакерской группы, обладающей возможностями для проведения целенаправленных кибератак в различных географических регионах.

#ParsedReport #CompletenessLow
29-10-2024

New WarmCookie Backdoor Hides in Fake Updates Across France

https://www.secureblink.com/cyber-security-news/new-warm-cookie-backdoor-hides-in-fake-updates-across-france

Report completeness: Low

Threats:
Warmcookie
Socgholish_loader

Geo:
France, French

ChatGPT TTPs:
do not use without manual check
T1204, T1071, T1059, T1082, T1012, T1113, T1105, T1497

IOCs:
Domain: 2

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Windows Registry, Chrome

Languages:
javascript, java, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и распространении во Франции новой вредоносной программы-бэкдора под названием "WarmCookie", распространяемой хакерской группой SocGolish посредством атак FakeUpdate с использованием поддельных уведомлений об обновлениях браузера. Это сложное вредоносное ПО позволяет злоумышленникам удаленно управлять системами, собирать конфиденциальные данные и выполнять различные операции с расширенными возможностями, чтобы избежать обнаружения, что создает значительный риск для безопасности данных. Исследователи подчеркивают необходимость бдительности и осведомленности о меняющихся тактиках вредоносного ПО для защиты от таких целенаправленных и постоянных угроз.
-----

В тексте содержится подробный обзор новой вредоносной программы, известной как "WarmCookie", которая распространяется во Франции с помощью поддельных обновлений браузера, представляя значительную угрозу безопасности данных. Это вредоносное ПО с бэкдором распространяется хакерской группой SocGolish, использующей стратегию под названием "FakeUpdate", при которой на взломанных веб-сайтах отображаются поддельные уведомления об обновлениях для популярных приложений, таких как Google Chrome, Mozilla Firefox, Microsoft Edge и Java, чтобы обманом заставить пользователей загрузить вредоносное ПО.

Первоначально обнаруженный компанией eSentire, занимающейся кибербезопасностью, в середине 2023 года, WarmCookie представляет собой сложный бэкдор с разнообразными возможностями, предназначенный для систем Windows. Традиционно она распространялась с помощью фишинговых электронных писем, но теперь перешла к атакам с использованием поддельных обновлений, чтобы расширить свой охват. После установки в систему WarmCookie позволяет злоумышленникам удаленно управлять системой, находить и извлекать конфиденциальные данные, собирать подробную системную информацию, выполнять команды, делать скриншоты и внедрять дополнительные вредоносные программы.

Вредоносная программа была дополнена новыми функциями, которые затрудняют ее обнаружение и удаление. Эти обновления включают в себя возможность хранить и запускать библиотеки динамической компоновки (DLL) из временных каталогов, передавать и запускать EXE-файлы и PowerShell для удаленного управления, а также проводить проверки на защиту от виртуальных машин, чтобы избежать обнаружения в виртуализированных средах. Эти усовершенствования демонстрируют эволюционную природу WarmCookie, делая его более устойчивым и опасным при целенаправленных атаках.

Процесс заражения системы WarmCookie заключается в том, что пользователи нажимают на поддельные запросы об обновлении, которые запускают загрузку вредоносного ПО, замаскированного под законный установщик. Затем вредоносная программа выполняет проверку на защиту от виртуальных машин, отправляет системную информацию на сервер управления и ожидает дальнейших инструкций, не предупреждая пользователя о своем присутствии. Такая скрытность и сложность затрудняют пользователям самостоятельное обнаружение и устранение угрозы.

Кампания SocGolish, ориентированная на французских пользователей, укрепляет доверие пользователей к таким популярным брендам, как Chrome и Java, подчеркивая необходимость бдительности отдельных лиц и организаций. Понимание и постоянное информирование об изменяющихся тактиках вредоносных программ, таких как FakeUpdate, имеет решающее значение для защиты от таких угроз, как WarmCookie, которые продолжают развиваться, предоставляя новые возможности для более целенаправленных и постоянных атак в будущем.

#ParsedReport #CompletenessHigh
30-10-2024

CloudScout: Evasive Panda scouting cloud services

https://www.welivesecurity.com/en/eset-research/cloudscout-evasive-panda-scouting-cloud-services

Report completeness: High

Actors/Campaigns:
Daggerfly (motivation: cyber_espionage)

Threats:
Cloudscout_tool
Mgbot
Dns_hijacking_technique
Supply_chain_technique
Watering_hole_technique
Nightdoor
Uac_bypass_technique

Victims:
Government entity, Religious organization

Industry:
Government

Geo:
Myanmar, Korea, Ukraine, Tibetan diaspora, China, In the tibetan, The tibetan, Taiwan, Vietnam, Hong kong, Taiwanese, Tibetan diaspora religious

TTPs:
Tactics: 10
Technics: 18

IOCs:
Path: 9
File: 2
IP: 1
Hash: 16

Soft:
Gmail, Outlook, Microsoft Office, Confluence, macOS, Android, Chrome, Twitter, Firefox, Microsoft Outlook, have more...

Algorithms:
zip, rc4

Links:
https://github.com/icsharpcode/SharpZipLib
https://github.com/WICG/dbsc
https://github.com/eset/malware-ioc/tree/master/evasive\_panda
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 11, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: исследователи ESET выявили сложный набор инструментов под названием CloudScout, который используется разработчиком киберугроз Evasive Panda для целенаправленных атак на государственные учреждения и организации Тайваня, в первую очередь для кражи данных из облачных сервисов, таких как Google Drive, Gmail и Outlook. Связанная с Китаем группа APT Evasive Panda, известная проведением кампаний кибершпионажа с 2012 года, использует передовые тактики и методы для борьбы с организациями, выступающими против интересов Китая, включая группы тибетской диаспоры, религиозные учреждения и сторонников демократии. Недавние усовершенствования безопасности Google направлены на противодействие таким атакам, как CloudScout, которые используют украденные файлы cookie веб-сессии для получения несанкционированного доступа к данным, хранящимся в облаке.
-----

Исследователи ESET обнаружили новый набор инструментов под названием CloudScout, который используется разработчиком киберугроз Evasive Panda для целенаправленных атак на Тайване.

CloudScout предназначен для извлечения данных из популярных облачных сервисов, таких как Google Drive, Gmail и Outlook, с помощью украденных файлов cookie веб-сессий и интегрируется с платформой вредоносного по MgBot.

CloudScout был специально использован для борьбы с тайваньскими пользователями, используя жестко закодированные поля в веб-запросах для кражи сообщений электронной почты Outlook.

Evasive Panda - это связанная с Китаем группа APT, действующая по меньшей мере с 2012 года, известная тем, что нацелена на организации, выступающие против интересов Китая в различных регионах, таких как Тайвань, Гонконг и Китай, а также в таких странах, как Вьетнам, Мьянма и Южная Корея.

В начале 2023 года Evasive Panda внедрила три новых модуля .NET в правительственной организации на Тайване для доступа к облачным сервисам с использованием украденных файлов cookie в обход таких мер безопасности, как двухфакторная аутентификация и отслеживание IP-адресов.

Google выпустила усовершенствования безопасности для противодействия атакам на основе файлов cookie, таким как CloudScout, включая проект "Учетные данные для сеанса, привязанные к устройству" и функцию шифрования, привязанную к приложению.

Набор инструментов CloudScout состоит из нескольких модулей, предназначенных для различных облачных сервисов, разработанных примерно в 2020 году и использующих общий ключ шифрования и архитектуру для сбора и эксфильтрации данных.

Модули CloudScout имитируют поведение пользователей в скомпрометированных облачных учетных записях, позволяют перемещаться по сервисам, собирать данные и упаковывать их для последующей фильтрации, добавляя при этом метаданные, что позволяет эффективно извлекать конфиденциальную информацию, хранящуюся в облачных сервисах.

#ParsedReport #CompletenessLow
29-10-2024

Heightened risk of online scams and phishing attacks amidst 2024 Diwali celebration

https://www.cloudsek.com/blog/heightened-risk-of-online-scams-and-phishing-attacks-amidst-2024-diwali-celebration

Report completeness: Low

Industry:
E-commerce, Telco, Government, Financial

Geo:
Indian, India

TTPs:
Tactics: 1
Technics: 0

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4

#ParsedReport #CompletenessLow
30-10-2024

ConfuciusADS. Analysis of Confucius' attack activities using ADS hiding technology

https://www.ctfiot.com/212595.html

Report completeness: Low

Actors/Campaigns:
Apt59

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Government

Geo:
Pakistan

ChatGPT TTPs:
do not use without manual check
T1564.004, T1204.002, T1574.002, T1055.001

IOCs:
File: 9
Hash: 4
Registry: 1

Soft:
WeChat

Wallets:
harmony_wallet

Algorithms:
zip, md5

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении деятельности организации Confucius, также известной как "Mala Shu", с акцентом на использование ими функции альтернативных потоков данных (ADS) для сокрытия вредоносных файлов при атаках, нацеленных в основном на Пакистан. Принцип работы группы заключается в рассылке фишинговых электронных писем с вредоносными сжатыми пакетами, содержащими файлы LNK со скрытыми вредоносными компонентами, с подробным объяснением того, как злоумышленники обеспечивают сохранение данных через реестр. В тексте также подчеркивается роль Института перспективных исследований угроз 360 в мониторинге и обнаружении киберугроз, включая деятельность организации Конфуция.
-----

В тексте обсуждается деятельность организации Confucius, также известной как "Mala Shu", которая действует с 2013 года с основной целью получения конфиденциальной информации. Группа постоянно занимается ежедневным поиском угроз, уделяя основное внимание Пакистану и используя функцию альтернативных потоков данных (ADS) для сокрытия вредоносных файлов в своих атаках - метод, ранее не применявшийся в их операциях. Этот текст призван пролить свет на использование группой рекламы для загрузки вредоносных компонентов, что позволит пользователям вовремя обнаружить ее и предотвратить потенциальные атаки.

Принцип работы организации Confucius заключается в инициировании атак путем отправки фишинговых электронных писем целевым организациям, содержащих вредоносный сжатый пакет, который включает в себя файл LNK с несколькими потоками данных. Используя рекламу, группа скрывает вредоносные библиотеки DLL и документы-приманки в файле LNK, делая их невидимыми для пользователя при распаковке. Сжатый пакет, по-видимому, содержит только файл LNK, размер которого эквивалентен размеру самого файла LNK. Однако при нажатии на файл LNK запускаются данные потока документов hidden bait, DLL-файл и копирование fixmapi.exe для дополнительной загрузки, что обеспечивает сохранение данных через реестр.

Злоумышленники используют технологию ADS exchange data stream для объединения двух потоков данных, называемых Banana и Apple, в файл LNK. Эти потоки соответствуют вредоносной библиотеке DLL и документу-приманке, соответственно, хотя они остаются скрытыми от просмотра, даже если в системных настройках отображаются скрытые файлы. Выполнение команды dir /r в CMD открывает доступ к этим скрытым потокам. Примечательно, что, хотя размер файла LNK составляет 4 КБАЙТ, при более тщательном рассмотрении оказывается, что он занимает 188 КБАЙТ пространства, что указывает на наличие данных вредоносного файлового потока.

Дальнейший анализ показывает, что потоки файлов в Hajj_Advisory.pdf.lnk:Banana соответствуют файлу PDF, содержащему заявление Министерства по делам религий и межконфессиональному согласию Пакистана об увеличении бюджета на хадж. Файл ClassLibrary1.dll загружается из удаленного хранилища mapistub.библиотека dll загружается в память и служит в качестве троянской программы, крадущей файлы, написанной на C#.

Процесс загрузки, образцы полезной нагрузки и целевая информация, несомненно, соответствуют характеристикам и тактике организации Confucius. Деятельность группы тщательно контролируется Институтом перспективных исследований угроз 360, который является важнейшим подразделением Группы 360 Government and Enterprise Security Group, состоящей из опытных экспертов по безопасности, специализирующихся на обнаружении, защите от киберугроз, смягчении их последствий и исследовании передовых киберугроз. Институт успешно выявил известные атаки нулевого дня, раскрыл действия различных национальных APT-групп, включая Double Kill, Double Star и Nightmare Formula, и сыграл значительную роль в обеспечении национальной сетевой безопасности, получив признание как внутри, так и за пределами индустрии кибербезопасности за свои усилия.

#ParsedReport #CompletenessLow
29-10-2024

Lumma/Amadey: fake CAPTCHAs want to know if you re human

https://securelist.com/fake-captcha-delivers-lumma-amadey/114312

Report completeness: Low

Threats:
Lumma_stealer
Amadey
Remcos_rat

Geo:
Russia, Italy, Spain, Brazil

ChatGPT TTPs:
do not use without manual check
T1140, T1059.001, T1560.002, T1005, T1113, T1219

IOCs:
Command: 1
File: 2
Hash: 3

Soft:
Chrome, BitLocker

Algorithms:
base64

Languages:
powershell

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-08-28-IOCs-for-Lumman-Stealer-from-fake-human-captcha-copy-paste-script.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератакующие используют поддельную капчу в качестве тактики распространения вредоносного ПО, нацеленного на пользователей различных онлайн-платформ, включая игровые, сайты для взрослых, файлообменные сервисы и платформы для ставок. Вредоносная КАПЧА предписывает пользователям выполнять действия, которые в конечном итоге приводят к загрузке и запуску вредоносных программ, таких как Lumma stealer и троян Amadey. Целью злоумышленников является кража конфиденциальных данных, манипулирование трафиком интернет-магазина с целью получения прибыли и получение полного контроля над зараженными устройствами. Эта кампания подчеркивает сложную природу современных киберугроз и важность понимания тактики злоумышленников для защиты от развивающихся методов распространения вредоносных программ.
-----

Было замечено, что кибератакеры используют поддельную капчу в качестве средства распространения вредоносного ПО, в частности, изначально нацеливаясь на геймеров с помощью Lumma stealer. Однако вредоносная КАПЧА теперь распространилась на различные онлайн-платформы, не связанные с играми, такие как сайты для взрослых, файлообменные сервисы и платформы для ставок, распространяя не только Lumma, но и троянскую программу Amadey. Сеть распространения работает путем включения законных предложений наряду с вредоносной капчей, перенаправляя пользователей на страницы, рекламирующие программное обеспечение для обеспечения безопасности или средства блокировки рекламы, прежде чем они могут попасть на страницу с поддельной капчей.

КАПЧА предписывает пользователям выполнять такие действия, как сканирование QR-кодов или нажатие на кнопки, которые выполняют вредоносные команды PowerShell, что в конечном итоге приводит к загрузке и запуску вредоносного ПО. Например, Lumma stealer маскируется под легальную утилиту под названием BitLockerToGo.exe для кражи криптовалютных кошельков, учетных данных браузера и архивов менеджера паролей. После фильтрации конфиденциальных данных вредоносная программа генерирует трафик для интернет-магазинов, что потенциально может принести дополнительный доход злоумышленникам, демонстрируя сходство с моделями рекламного ПО.

Недавно началась кампания по распространению троянца Amadey, известного своими возможностями кражи учетных данных из браузеров и виртуальных сетевых вычислительных систем, а также способностью манипулировать данными из буфера обмена и делать скриншоты. В некоторых случаях троянец загружает инструмент удаленного доступа Remcos, чтобы предоставить злоумышленникам полный контроль над зараженными устройствами. В период с 22 сентября по 14 октября 2024 года более 140 000 пользователей столкнулись с вредоносными рекламными скриптами, более 20 000 из них были перенаправлены на зараженные сайты, где они, возможно, столкнулись с поддельными капчами или уведомлениями об обновлениях.

Злоумышленники используют доверие пользователей к CAPTCHA, чтобы обманом заставить их выполнять рискованные действия, в то же время используя законные утилиты, такие как BitLocker, для сокрытия своих вредоносных действий. Крадя учетные данные, крипто-кошельки и манипулируя трафиком интернет-магазинов с целью получения денежной выгоды, операторы вредоносных программ стремятся обогатиться незаконными способами. В этой кампании освещаются тонкости современных киберугроз, подчеркивается важность понимания тактики злоумышленников и защиты от новых методов распространения вредоносных программ в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
30-10-2024

Lazarus' Espionage-related Cryptocurrency Activities Remain Active, With A Significant Amount of Assets Still in Circulation

https://threatbook.io/blog/id/1093

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft, financially_motivated)

Threats:
Anydesk_tool

Geo:
Asia, Korean

ChatGPT TTPs:
do not use without manual check
T1218, T1059, T1203, T1105, T1027, T1057, T1056, T1204

IOCs:
File: 2
IP: 48
Hash: 24

Soft:
Linux, macOS, Twitter, Telegram, Node.js, Chrome, Opera, mirotalk

Algorithms:
sha1, md5, base64, sha256

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4