#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и распространении во Франции новой вредоносной программы-бэкдора под названием "WarmCookie", распространяемой хакерской группой SocGolish посредством атак FakeUpdate с использованием поддельных уведомлений об обновлениях браузера. Это сложное вредоносное ПО позволяет злоумышленникам удаленно управлять системами, собирать конфиденциальные данные и выполнять различные операции с расширенными возможностями, чтобы избежать обнаружения, что создает значительный риск для безопасности данных. Исследователи подчеркивают необходимость бдительности и осведомленности о меняющихся тактиках вредоносного ПО для защиты от таких целенаправленных и постоянных угроз.
-----

В тексте содержится подробный обзор новой вредоносной программы, известной как "WarmCookie", которая распространяется во Франции с помощью поддельных обновлений браузера, представляя значительную угрозу безопасности данных. Это вредоносное ПО с бэкдором распространяется хакерской группой SocGolish, использующей стратегию под названием "FakeUpdate", при которой на взломанных веб-сайтах отображаются поддельные уведомления об обновлениях для популярных приложений, таких как Google Chrome, Mozilla Firefox, Microsoft Edge и Java, чтобы обманом заставить пользователей загрузить вредоносное ПО.

Первоначально обнаруженный компанией eSentire, занимающейся кибербезопасностью, в середине 2023 года, WarmCookie представляет собой сложный бэкдор с разнообразными возможностями, предназначенный для систем Windows. Традиционно она распространялась с помощью фишинговых электронных писем, но теперь перешла к атакам с использованием поддельных обновлений, чтобы расширить свой охват. После установки в систему WarmCookie позволяет злоумышленникам удаленно управлять системой, находить и извлекать конфиденциальные данные, собирать подробную системную информацию, выполнять команды, делать скриншоты и внедрять дополнительные вредоносные программы.

Вредоносная программа была дополнена новыми функциями, которые затрудняют ее обнаружение и удаление. Эти обновления включают в себя возможность хранить и запускать библиотеки динамической компоновки (DLL) из временных каталогов, передавать и запускать EXE-файлы и PowerShell для удаленного управления, а также проводить проверки на защиту от виртуальных машин, чтобы избежать обнаружения в виртуализированных средах. Эти усовершенствования демонстрируют эволюционную природу WarmCookie, делая его более устойчивым и опасным при целенаправленных атаках.

Процесс заражения системы WarmCookie заключается в том, что пользователи нажимают на поддельные запросы об обновлении, которые запускают загрузку вредоносного ПО, замаскированного под законный установщик. Затем вредоносная программа выполняет проверку на защиту от виртуальных машин, отправляет системную информацию на сервер управления и ожидает дальнейших инструкций, не предупреждая пользователя о своем присутствии. Такая скрытность и сложность затрудняют пользователям самостоятельное обнаружение и устранение угрозы.

Кампания SocGolish, ориентированная на французских пользователей, укрепляет доверие пользователей к таким популярным брендам, как Chrome и Java, подчеркивая необходимость бдительности отдельных лиц и организаций. Понимание и постоянное информирование об изменяющихся тактиках вредоносных программ, таких как FakeUpdate, имеет решающее значение для защиты от таких угроз, как WarmCookie, которые продолжают развиваться, предоставляя новые возможности для более целенаправленных и постоянных атак в будущем.

#ParsedReport #CompletenessHigh
30-10-2024

CloudScout: Evasive Panda scouting cloud services

https://www.welivesecurity.com/en/eset-research/cloudscout-evasive-panda-scouting-cloud-services

Report completeness: High

Actors/Campaigns:
Daggerfly (motivation: cyber_espionage)

Threats:
Cloudscout_tool
Mgbot
Dns_hijacking_technique
Supply_chain_technique
Watering_hole_technique
Nightdoor
Uac_bypass_technique

Victims:
Government entity, Religious organization

Industry:
Government

Geo:
Myanmar, Korea, Ukraine, Tibetan diaspora, China, In the tibetan, The tibetan, Taiwan, Vietnam, Hong kong, Taiwanese, Tibetan diaspora religious

TTPs:
Tactics: 10
Technics: 18

IOCs:
Path: 9
File: 2
IP: 1
Hash: 16

Soft:
Gmail, Outlook, Microsoft Office, Confluence, macOS, Android, Chrome, Twitter, Firefox, Microsoft Outlook, have more...

Algorithms:
zip, rc4

Links:
https://github.com/icsharpcode/SharpZipLib
https://github.com/WICG/dbsc
https://github.com/eset/malware-ioc/tree/master/evasive\_panda
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 11, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: исследователи ESET выявили сложный набор инструментов под названием CloudScout, который используется разработчиком киберугроз Evasive Panda для целенаправленных атак на государственные учреждения и организации Тайваня, в первую очередь для кражи данных из облачных сервисов, таких как Google Drive, Gmail и Outlook. Связанная с Китаем группа APT Evasive Panda, известная проведением кампаний кибершпионажа с 2012 года, использует передовые тактики и методы для борьбы с организациями, выступающими против интересов Китая, включая группы тибетской диаспоры, религиозные учреждения и сторонников демократии. Недавние усовершенствования безопасности Google направлены на противодействие таким атакам, как CloudScout, которые используют украденные файлы cookie веб-сессии для получения несанкционированного доступа к данным, хранящимся в облаке.
-----

Исследователи ESET обнаружили новый набор инструментов под названием CloudScout, который используется разработчиком киберугроз Evasive Panda для целенаправленных атак на Тайване.

CloudScout предназначен для извлечения данных из популярных облачных сервисов, таких как Google Drive, Gmail и Outlook, с помощью украденных файлов cookie веб-сессий и интегрируется с платформой вредоносного по MgBot.

CloudScout был специально использован для борьбы с тайваньскими пользователями, используя жестко закодированные поля в веб-запросах для кражи сообщений электронной почты Outlook.

Evasive Panda - это связанная с Китаем группа APT, действующая по меньшей мере с 2012 года, известная тем, что нацелена на организации, выступающие против интересов Китая в различных регионах, таких как Тайвань, Гонконг и Китай, а также в таких странах, как Вьетнам, Мьянма и Южная Корея.

В начале 2023 года Evasive Panda внедрила три новых модуля .NET в правительственной организации на Тайване для доступа к облачным сервисам с использованием украденных файлов cookie в обход таких мер безопасности, как двухфакторная аутентификация и отслеживание IP-адресов.

Google выпустила усовершенствования безопасности для противодействия атакам на основе файлов cookie, таким как CloudScout, включая проект "Учетные данные для сеанса, привязанные к устройству" и функцию шифрования, привязанную к приложению.

Набор инструментов CloudScout состоит из нескольких модулей, предназначенных для различных облачных сервисов, разработанных примерно в 2020 году и использующих общий ключ шифрования и архитектуру для сбора и эксфильтрации данных.

Модули CloudScout имитируют поведение пользователей в скомпрометированных облачных учетных записях, позволяют перемещаться по сервисам, собирать данные и упаковывать их для последующей фильтрации, добавляя при этом метаданные, что позволяет эффективно извлекать конфиденциальную информацию, хранящуюся в облачных сервисах.

#ParsedReport #CompletenessLow
29-10-2024

Heightened risk of online scams and phishing attacks amidst 2024 Diwali celebration

https://www.cloudsek.com/blog/heightened-risk-of-online-scams-and-phishing-attacks-amidst-2024-diwali-celebration

Report completeness: Low

Industry:
E-commerce, Telco, Government, Financial

Geo:
Indian, India

TTPs:
Tactics: 1
Technics: 0

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4

#ParsedReport #CompletenessLow
30-10-2024

ConfuciusADS. Analysis of Confucius' attack activities using ADS hiding technology

https://www.ctfiot.com/212595.html

Report completeness: Low

Actors/Campaigns:
Apt59

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Government

Geo:
Pakistan

ChatGPT TTPs:
do not use without manual check
T1564.004, T1204.002, T1574.002, T1055.001

IOCs:
File: 9
Hash: 4
Registry: 1

Soft:
WeChat

Wallets:
harmony_wallet

Algorithms:
zip, md5

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении деятельности организации Confucius, также известной как "Mala Shu", с акцентом на использование ими функции альтернативных потоков данных (ADS) для сокрытия вредоносных файлов при атаках, нацеленных в основном на Пакистан. Принцип работы группы заключается в рассылке фишинговых электронных писем с вредоносными сжатыми пакетами, содержащими файлы LNK со скрытыми вредоносными компонентами, с подробным объяснением того, как злоумышленники обеспечивают сохранение данных через реестр. В тексте также подчеркивается роль Института перспективных исследований угроз 360 в мониторинге и обнаружении киберугроз, включая деятельность организации Конфуция.
-----

В тексте обсуждается деятельность организации Confucius, также известной как "Mala Shu", которая действует с 2013 года с основной целью получения конфиденциальной информации. Группа постоянно занимается ежедневным поиском угроз, уделяя основное внимание Пакистану и используя функцию альтернативных потоков данных (ADS) для сокрытия вредоносных файлов в своих атаках - метод, ранее не применявшийся в их операциях. Этот текст призван пролить свет на использование группой рекламы для загрузки вредоносных компонентов, что позволит пользователям вовремя обнаружить ее и предотвратить потенциальные атаки.

Принцип работы организации Confucius заключается в инициировании атак путем отправки фишинговых электронных писем целевым организациям, содержащих вредоносный сжатый пакет, который включает в себя файл LNK с несколькими потоками данных. Используя рекламу, группа скрывает вредоносные библиотеки DLL и документы-приманки в файле LNK, делая их невидимыми для пользователя при распаковке. Сжатый пакет, по-видимому, содержит только файл LNK, размер которого эквивалентен размеру самого файла LNK. Однако при нажатии на файл LNK запускаются данные потока документов hidden bait, DLL-файл и копирование fixmapi.exe для дополнительной загрузки, что обеспечивает сохранение данных через реестр.

Злоумышленники используют технологию ADS exchange data stream для объединения двух потоков данных, называемых Banana и Apple, в файл LNK. Эти потоки соответствуют вредоносной библиотеке DLL и документу-приманке, соответственно, хотя они остаются скрытыми от просмотра, даже если в системных настройках отображаются скрытые файлы. Выполнение команды dir /r в CMD открывает доступ к этим скрытым потокам. Примечательно, что, хотя размер файла LNK составляет 4 КБАЙТ, при более тщательном рассмотрении оказывается, что он занимает 188 КБАЙТ пространства, что указывает на наличие данных вредоносного файлового потока.

Дальнейший анализ показывает, что потоки файлов в Hajj_Advisory.pdf.lnk:Banana соответствуют файлу PDF, содержащему заявление Министерства по делам религий и межконфессиональному согласию Пакистана об увеличении бюджета на хадж. Файл ClassLibrary1.dll загружается из удаленного хранилища mapistub.библиотека dll загружается в память и служит в качестве троянской программы, крадущей файлы, написанной на C#.

Процесс загрузки, образцы полезной нагрузки и целевая информация, несомненно, соответствуют характеристикам и тактике организации Confucius. Деятельность группы тщательно контролируется Институтом перспективных исследований угроз 360, который является важнейшим подразделением Группы 360 Government and Enterprise Security Group, состоящей из опытных экспертов по безопасности, специализирующихся на обнаружении, защите от киберугроз, смягчении их последствий и исследовании передовых киберугроз. Институт успешно выявил известные атаки нулевого дня, раскрыл действия различных национальных APT-групп, включая Double Kill, Double Star и Nightmare Formula, и сыграл значительную роль в обеспечении национальной сетевой безопасности, получив признание как внутри, так и за пределами индустрии кибербезопасности за свои усилия.

#ParsedReport #CompletenessLow
29-10-2024

Lumma/Amadey: fake CAPTCHAs want to know if you re human

https://securelist.com/fake-captcha-delivers-lumma-amadey/114312

Report completeness: Low

Threats:
Lumma_stealer
Amadey
Remcos_rat

Geo:
Russia, Italy, Spain, Brazil

ChatGPT TTPs:
do not use without manual check
T1140, T1059.001, T1560.002, T1005, T1113, T1219

IOCs:
Command: 1
File: 2
Hash: 3

Soft:
Chrome, BitLocker

Algorithms:
base64

Languages:
powershell

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-08-28-IOCs-for-Lumman-Stealer-from-fake-human-captcha-copy-paste-script.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератакующие используют поддельную капчу в качестве тактики распространения вредоносного ПО, нацеленного на пользователей различных онлайн-платформ, включая игровые, сайты для взрослых, файлообменные сервисы и платформы для ставок. Вредоносная КАПЧА предписывает пользователям выполнять действия, которые в конечном итоге приводят к загрузке и запуску вредоносных программ, таких как Lumma stealer и троян Amadey. Целью злоумышленников является кража конфиденциальных данных, манипулирование трафиком интернет-магазина с целью получения прибыли и получение полного контроля над зараженными устройствами. Эта кампания подчеркивает сложную природу современных киберугроз и важность понимания тактики злоумышленников для защиты от развивающихся методов распространения вредоносных программ.
-----

Было замечено, что кибератакеры используют поддельную капчу в качестве средства распространения вредоносного ПО, в частности, изначально нацеливаясь на геймеров с помощью Lumma stealer. Однако вредоносная КАПЧА теперь распространилась на различные онлайн-платформы, не связанные с играми, такие как сайты для взрослых, файлообменные сервисы и платформы для ставок, распространяя не только Lumma, но и троянскую программу Amadey. Сеть распространения работает путем включения законных предложений наряду с вредоносной капчей, перенаправляя пользователей на страницы, рекламирующие программное обеспечение для обеспечения безопасности или средства блокировки рекламы, прежде чем они могут попасть на страницу с поддельной капчей.

КАПЧА предписывает пользователям выполнять такие действия, как сканирование QR-кодов или нажатие на кнопки, которые выполняют вредоносные команды PowerShell, что в конечном итоге приводит к загрузке и запуску вредоносного ПО. Например, Lumma stealer маскируется под легальную утилиту под названием BitLockerToGo.exe для кражи криптовалютных кошельков, учетных данных браузера и архивов менеджера паролей. После фильтрации конфиденциальных данных вредоносная программа генерирует трафик для интернет-магазинов, что потенциально может принести дополнительный доход злоумышленникам, демонстрируя сходство с моделями рекламного ПО.

Недавно началась кампания по распространению троянца Amadey, известного своими возможностями кражи учетных данных из браузеров и виртуальных сетевых вычислительных систем, а также способностью манипулировать данными из буфера обмена и делать скриншоты. В некоторых случаях троянец загружает инструмент удаленного доступа Remcos, чтобы предоставить злоумышленникам полный контроль над зараженными устройствами. В период с 22 сентября по 14 октября 2024 года более 140 000 пользователей столкнулись с вредоносными рекламными скриптами, более 20 000 из них были перенаправлены на зараженные сайты, где они, возможно, столкнулись с поддельными капчами или уведомлениями об обновлениях.

Злоумышленники используют доверие пользователей к CAPTCHA, чтобы обманом заставить их выполнять рискованные действия, в то же время используя законные утилиты, такие как BitLocker, для сокрытия своих вредоносных действий. Крадя учетные данные, крипто-кошельки и манипулируя трафиком интернет-магазинов с целью получения денежной выгоды, операторы вредоносных программ стремятся обогатиться незаконными способами. В этой кампании освещаются тонкости современных киберугроз, подчеркивается важность понимания тактики злоумышленников и защиты от новых методов распространения вредоносных программ в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
30-10-2024

Lazarus' Espionage-related Cryptocurrency Activities Remain Active, With A Significant Amount of Assets Still in Circulation

https://threatbook.io/blog/id/1093

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft, financially_motivated)

Threats:
Anydesk_tool

Geo:
Asia, Korean

ChatGPT TTPs:
do not use without manual check
T1218, T1059, T1203, T1105, T1027, T1057, T1056, T1204

IOCs:
File: 2
IP: 48
Hash: 24

Soft:
Linux, macOS, Twitter, Telegram, Node.js, Chrome, Opera, mirotalk

Algorithms:
sha1, md5, base64, sha256

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Lazarus, поддерживаемая государством группа APT из Северо-Восточной Азии, в первую очередь сосредоточена на финансовой выгоде, особенно в секторе криптовалют. Они используют различные тактики для поиска жертв, включая размещение поддельных объявлений о работе и распространение поддельных криптовалютных проектов. Lazarus использует троянские программы и вредоносное ПО, разработанные на Python и JavaScript, для атак на различные операционные системы и имеет опыт разработки стойких и эффективных вредоносных программ, несмотря на публичное раскрытие информации об их атаках. Усилия по анализу угроз направлены на выявление признаков компрометации, связанных с деятельностью Lazarus, для усиления защиты кибербезопасности от их угроз.
-----

Lazarus - это изощренная группа APT, поддерживаемая государством, ориентированная в первую очередь на финансовую выгоду, а не на политические или идеологические мотивы.

В последние годы они проявили особый интерес к криптовалютному сектору.

Lazarus использует различные тактики для поиска жертв, такие как размещение поддельных объявлений о работе и возможностях реализации проектов на популярных платформах социальных сетей.

Заметный инцидент был связан с отравлением PyPI, что привело к более широкому использованию облегченных арсеналов Python и JavaScript в их работе.

Lazarus использует троянские программы, разработанные на платформе QT6, Python и JavaScript, нацеленные на системы Windows, Linux и macOS.

Были выявлены индикаторы компрометации (IOCs), связанные с деятельностью Lazarus, которые помогают обнаруживать интеллектуальные угрозы.

Lazarus распространяет зараженные криптовалютные проекты для инициирования операций по краже данных в скомпрометированных системах.

Трояны, крадущие данные, используемые Lazarus, работают на нескольких платформах и поддерживают такие функции, как удаленное управление, ведение кейлогга и мониторинг окон.

Трояны Lazarus загружают полезную нагрузку на основе Python, включая трояны, отвечающие за различные функции, такие как удаленное управление, мониторинг окон и процессов, мониторинг буфера обмена и регистрация нажатий клавиш.

#ParsedReport #CompletenessMedium
30-10-2024

Suspected DPRK Phishing Campaign Targets Naver; Separate Apple Domain Spoofing Cluster Identified

https://hunt.io/blog/dprk-phishing-targets-naver-apple-domain-spoofing

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Lazarus
Uat-5394

Threats:
Credential_stealing_technique
Typosquatting_technique

Victims:
Naver, Apple

Geo:
Korean, Iran, Korea, North korean, Dprk, Netherlands

ChatGPT TTPs:
do not use without manual check
T1566, T1553, T1583

IOCs:
Url: 4
File: 5
IP: 8
Domain: 20
Hash: 2

Soft:
Debian

Algorithms:
sha256

Languages:
php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе предполагаемой фишинговой кампании, связанной с Северной Кореей, нацеленной на южнокорейскую технологическую платформу Naver и кластер инфраструктуры, выдающий себя за Apple. В кампании использовались фишинговые страницы, предназначенные для кражи учетных данных пользователей Naver, а также тактика, обычно ассоциируемая с северокорейскими злоумышленниками. В исследовании освещаются различные тактики, используемые этими участниками угроз, включая использование бесплатных центров сертификации и ротацию доменов, а также подчеркивается важность раннего обнаружения угроз и мониторинга для эффективной защиты от таких киберугроз.
-----

В тексте подробно описывается обнаружение предполагаемой фишинговой кампании, связанной с Северной Кореей, нацеленной на южнокорейскую технологическую платформу Naver и отдельный кластер инфраструктуры, выдающий себя за Apple. Первоначальное обнаружение касалось открытого каталога, содержащего фишинговые страницы, предназначенные для кражи учетных данных пользователей Naver. Каталог, размещенный в Сеуле, содержал подпапки с именами "Изменение", "cookie" и "логин", что обычно используется в кампаниях по краже учетных данных. В ходе расследования было выявлено несколько IP-адресов, что потенциально указывает на отслеживание посетителей злоумышленником. Файлы PHP в каталоге, по-видимому, были заполнителями, а один файл имитировал страницу смены пароля Naver.

Фишинговая операция, нацеленная на Naver, согласуется с известной тактикой северокорейских злоумышленников, таких как Lazarus и Kimsuky, которые ориентируются на южнокорейские компании и используют недорогие домены для создания вредоносной инфраструктуры. Сертификаты Let's Encrypt были привязаны к IP-адресу, что является обычной тактикой для придания легитимности вредоносным действиям при минимизации затрат. Обнаружение домена ulta.appleplus.store, размещенного в Иране и предназначенного для обмана пользователей, которые ищут контент, связанный с Apple, положило начало параллельному расследованию.

Домен ulta.appleplus.store был связан с ASN в Иране и выдал уникальный HTTP-ответ на порт 2052. Были обнаружены соединения с UAT-5394 Talos, что указывает на возможные связи с северокорейскими террористическими организациями, спонсируемыми государством. Расследование привело к обнаружению дополнительных серверов в Иране, которые, если подтвердится, что они связаны с лицами, создающими угрозы из КНДР, будут означать отход от их обычной практики хостинга. Было выявлено больше доменов, подменяющих Apple, что указывает на последовательный выбор инфраструктуры, соответствующий поведению лиц, создающих угрозы из КНДР.

Исследование выявило различные тактики, применяемые северокорейскими злоумышленниками при проведении вредоносных киберопераций, в частности, использование бесплатных центров сертификации и ротации доменов для уклонения от обнаружения. Это открытие подчеркивает важность мониторинга и обнаружения таких угроз на ранней стадии для эффективной адаптации средств защиты. Аналитики продолжат внимательно следить за этой деятельностью и настоятельно призывают сообщество использовать инструменты для определения дальнейших признаков потенциальной причастности к конкретным хакерским группам.