#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе предполагаемой фишинговой кампании, связанной с Северной Кореей, нацеленной на южнокорейскую технологическую платформу Naver и кластер инфраструктуры, выдающий себя за Apple. В кампании использовались фишинговые страницы, предназначенные для кражи учетных данных пользователей Naver, а также тактика, обычно ассоциируемая с северокорейскими злоумышленниками. В исследовании освещаются различные тактики, используемые этими участниками угроз, включая использование бесплатных центров сертификации и ротацию доменов, а также подчеркивается важность раннего обнаружения угроз и мониторинга для эффективной защиты от таких киберугроз.
-----

В тексте подробно описывается обнаружение предполагаемой фишинговой кампании, связанной с Северной Кореей, нацеленной на южнокорейскую технологическую платформу Naver и отдельный кластер инфраструктуры, выдающий себя за Apple. Первоначальное обнаружение касалось открытого каталога, содержащего фишинговые страницы, предназначенные для кражи учетных данных пользователей Naver. Каталог, размещенный в Сеуле, содержал подпапки с именами "Изменение", "cookie" и "логин", что обычно используется в кампаниях по краже учетных данных. В ходе расследования было выявлено несколько IP-адресов, что потенциально указывает на отслеживание посетителей злоумышленником. Файлы PHP в каталоге, по-видимому, были заполнителями, а один файл имитировал страницу смены пароля Naver.

Фишинговая операция, нацеленная на Naver, согласуется с известной тактикой северокорейских злоумышленников, таких как Lazarus и Kimsuky, которые ориентируются на южнокорейские компании и используют недорогие домены для создания вредоносной инфраструктуры. Сертификаты Let's Encrypt были привязаны к IP-адресу, что является обычной тактикой для придания легитимности вредоносным действиям при минимизации затрат. Обнаружение домена ulta.appleplus.store, размещенного в Иране и предназначенного для обмана пользователей, которые ищут контент, связанный с Apple, положило начало параллельному расследованию.

Домен ulta.appleplus.store был связан с ASN в Иране и выдал уникальный HTTP-ответ на порт 2052. Были обнаружены соединения с UAT-5394 Talos, что указывает на возможные связи с северокорейскими террористическими организациями, спонсируемыми государством. Расследование привело к обнаружению дополнительных серверов в Иране, которые, если подтвердится, что они связаны с лицами, создающими угрозы из КНДР, будут означать отход от их обычной практики хостинга. Было выявлено больше доменов, подменяющих Apple, что указывает на последовательный выбор инфраструктуры, соответствующий поведению лиц, создающих угрозы из КНДР.

Исследование выявило различные тактики, применяемые северокорейскими злоумышленниками при проведении вредоносных киберопераций, в частности, использование бесплатных центров сертификации и ротации доменов для уклонения от обнаружения. Это открытие подчеркивает важность мониторинга и обнаружения таких угроз на ранней стадии для эффективной адаптации средств защиты. Аналитики продолжат внимательно следить за этой деятельностью и настоятельно призывают сообщество использовать инструменты для определения дальнейших признаков потенциальной причастности к конкретным хакерским группам.

#ParsedReport #CompletenessLow
30-10-2024

Midnight Blizzard conducts large-scale spear-phishing campaign using RDP files

https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)
Uac-0215

Threats:
Spear-phishing_technique
Supply_chain_technique
Foggyweb
Magicweb
Sim_swapping_technique
Credential_harvesting_technique

Victims:
Governments, Diplomatic entities, Non-governmental organizations, It service providers, Individuals in government, Academia, Defense, Higher education

Industry:
Government, Education, Ngo

Geo:
Ukraine, Russian federation, Japan, Australia, Russian, United kingdom

ChatGPT TTPs:
do not use without manual check
T1566.001, T1078, T1105, T1110

IOCs:
Domain: 281
File: 7

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Office 365, Office 365, Active Directory, Windows Hello, Windows Firewall, Microsoft Edge, Twitter

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности российской хакерской группировки Midnight Blizzard, связанной с СВР, которая нацелена на правительства, дипломатические учреждения, НПО и поставщиков ИТ-услуг в США и Европе посредством изощренных фишинговых кампаний с использованием вредоносных электронных писем, содержащих подписанные файлы конфигурации RDP. Группа нацелена на сбор разведывательной информации, используя новые методы доступа и приемы социальной инженерии, связанные с Microsoft, AWS и концепциями нулевого доверия. Для защиты от этих угроз особое внимание уделяется тщательным мерам кибербезопасности, включая строгую аутентификацию, сетевую защиту и обучение пользователей.
-----

Midnight Blizzard - российская организация, представляющая угрозу, связанная с СВР, известная тем, что с начала 2018 года нацеливалась на правительства, дипломатические учреждения, НПО и поставщиков ИТ-услуг в США и Европе для сбора разведывательной информации.

Группа использует такие тактические приемы, как компрометация действительных учетных записей и использование передовых методов для взлома механизмов аутентификации.

Недавняя кампания по борьбе с фишингом, организованная компанией Midnight Blizzard, была нацелена на представителей правительства, научных кругов, оборонного комплекса и других секторов, которые использовали вредоносные электронные письма, содержащие подписанные файлы конфигурации RDP, выдавая себя за сотрудников Microsoft и ссылаясь на других облачных провайдеров для проверки достоверности.

Фишинговые электронные письма были целенаправленными, в них использовались приемы социальной инженерии, связанные с концепциями Microsoft, AWS и нулевого доверия, а файлы конфигурации RDP облегчали двунаправленное сопоставление и потенциальную установку вредоносного ПО на целевые системы.

Корпорация Майкрософт рекомендует такие меры, как использование брандмауэра Windows для ограничения исходящих RDP-подключений, внедрение MFA и использование методов аутентификации, защищенных от фишинга, таких как токены FIDO, для защиты от подобных угроз.

Клиентам следует отслеживать предупреждения, связанные с вредоносными файлами RDP, и использовать отчеты в продуктах Microsoft для получения актуальной информации об угрозах и защите от действий Midnight Blizzard.

#ParsedReport #CompletenessMedium
30-10-2024

LightSpy: Implant for iOS

https://www.threatfabric.com/blogs/lightspy-implant-for-ios

Report completeness: Medium

Threats:
Lightspy
Frameworkloader
Watering_hole_technique

Geo:
Chinese, Hong kong, China

CVEs:
CVE-2020-9802 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple icloud (<7.19, <11.2)
- apple itunes (<12.10.7)
- apple safari (<13.1.1)
- apple ipados (<13.5)
- apple iphone os (<13.5)
have more...
CVE-2020-9910 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple icloud (<7.20, <11.3)
- apple itunes (<12.10.8)
- apple safari (<13.1.2)
- apple ipados (<13.6)
- apple iphone os (<13.6)
have more...
CVE-2020-9870 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<13.6)
- apple iphone os (<13.6)
- apple mac os x (<10.15.6)
- apple tvos (<13.4.8)

CVE-2020-3837 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<13.3.1)
- apple iphone os (<13.3.1)
- apple mac os x (<10.15.3)
- apple tvos (<13.3.1)
- apple watchos (<6.1.2)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1203, T1190, T1574, T1553, T1071, T1140, T1027, T1053, T1070, have more...

IOCs:
File: 26
Url: 6
Hash: 109
IP: 5

Soft:
Telegram, WeChat, WhatsApp, macOS, Android, Outlook

Algorithms:
aes, md5, zip, sha256

Functions:
DeleteKernelFile, DeleteSpring

Languages:
objective_c

Platforms:
apple

Links:
https://github.com/jakeajames/time\_waste
https://github.com/jakeajames/jelbrekLib
have more...
https://github.com/Odyssey-Team/Odyssey/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - отчет ThreatFabric, в котором подробно описывается кампания LightSpy iOS, нацеленная на устройства iOS и использующая деструктивные плагины, общедоступные эксплойты и интеграцию кода джейлбрейка для получения доступа и повышения привилегий. В отчете подчеркивается использование злоумышленниками как известных, так и неизвестных плагинов, многоэтапная цепочка заражения, уязвимость данных из-за нарушения безопасности и акцент на удалении доказательств с зараженных устройств. Кроме того, в отчете подчеркивается важность обновления системы для устранения таких угроз, как LightSpy, и предполагается потенциальное китайское происхождение злоумышленника, основанное на функциях шпионского ПО, связанных с определением местоположения.
-----

Кампании LightSpy для macOS и iOS использовали один и тот же сервер, версия iOS была обновлена с "6.0.0" до "7.9.0" и содержала 28 плагинов, в том числе семь с разрушительными возможностями, предназначенными для устройств до версии iOS 13.3.

Злоумышленник использовал общедоступные эксплойты и наборы для джейлбрейка для первоначального доступа и повышения привилегий, что указывает на глубокую интеграцию кода джейлбрейка в структуру шпионского ПО.

Для кампании LightSpy iOS были определены пять активных серверов управления (C2), последнее развертывание которых было отмечено 26 октября 2022 года.

Цепочка заражения включала в себя многоэтапный процесс, начинающийся с первоначального URL-адреса эксплойта на веб-страницах с известными и неизвестными плагинами, некоторые из которых способны удалять данные или отключать устройства.

В отчете подчеркивалось сходство кода между версиями LightSpy для macOS и iOS, что говорит об общей команде разработчиков.

Специальные плагины были нацелены на такие приложения, как Mail Master от NetEase, которые получали доступ к данным с помощью SQL-запросов и поддерживали ограниченный список версий iOS, возможно, используя различные векторы атак.

Сбой в системе безопасности на сервере управления привел к утечке данных от 15 жертв, причем 8 из них были заражены LightSpy Core версии 7.9.0, демонстрирующим такие закономерности, как подключение к определенным сетям Wi-Fi и использование VPN для подмены IP-адресов.

Злоумышленники делали упор на удалении улик с зараженных устройств, демонстрируя разрушительные возможности и изощренность, что потенциально может указывать на китайское происхождение, основываясь на функциях шпионского ПО, связанных с определением местоположения.

#ParsedReport #CompletenessLow
29-10-2024

Uncovering the Lounge Pass Scam Campaign: Targeted Android SMS Stealer Preying on Air Travellers

https://www.cloudsek.com/blog/uncovering-the-lounge-pass-scam-campaign-targeted-android-sms-stealer-preying-on-air-travellers

Report completeness: Low

Threats:
Sms_stealer

Victims:
Air travelers

Industry:
Financial, Aerospace

ChatGPT TTPs:
do not use without manual check
T1409, T1512

IOCs:
File: 1
Hash: 3
Domain: 3

Soft:
Android, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что модуль поддельных URL-адресов и фишинга XVigil от CloudSEK обнаружил сложную аферу, направленную против авиапутешественников с помощью мошеннического приложения для Android под названием "Lounge Pass", что привело к раскрытию вредоносной схемы, при которой перехватывались SMS-сообщения и похищались деньги жертв.
-----

Недавно команда исследователей угроз CloudSEK раскрыла сложную аферу, направленную против авиапутешественников с помощью мошеннического приложения для Android под названием "Lounge Pass". Это расследование было начато после того, как в социальных сетях появилось сообщение, в котором рассказывалось о том, как женщина стала жертвой мошенничества в аэропорту Бангалора. В отличие от обычных СМС-рассылок, которые выдают себя за банковские или кредитные заявки, эта кампания была специально разработана для путешественников из аэропорта.

Вредоносное приложение "Lounge Pass" после установки тайно перехватывало и пересылало мошенникам все входящие SMS-сообщения с устройства жертвы. В ходе тщательного расследования OSINT исследовательская группа выявила несколько доменов, связанных с мошенничеством, в разных доменах верхнего уровня. После реверс-инжиниринга APK-файла было обнаружено, что мошенники непреднамеренно раскрыли свою конечную точку Firebase, которая использовалась для хранения всех перехваченных SMS-сообщений от жертв.

Анализ полученных данных выявил тревожные масштабы этой аферы. С июля по август 2024 года около 450 ничего не подозревающих путешественников стали жертвами вредоносного приложения. Перехваченные SMS-сообщения раскрыли ошеломляющие масштабы аферы, показав, что мошенникам удалось украсть у своих жертв более 9 тысяч индийских рупий (около 11 000 долларов) за этот короткий период. Важно отметить, что эта сумма, скорее всего, составляет лишь часть от общего нанесенного ущерба, учитывая, что она включает только задокументированные случаи, связанные с уязвимой конечной точкой, обнаруженной в коде SMS-похитителя, в течение анализируемого периода времени.

Вредоносные APK-файлы распространялись через различные домены, что подтверждается краудсорсинговыми платформами для сканирования. Дальнейший анализ APK-файла Android SMS stealer, получившего название LOUNGEPASS.apk, выявил обширные права доступа, перечисленные в файле манифеста, что пролило свет на истинные намерения приложения. Проверка также выявила жестко закодированные секреты и конечную точку URL-адреса службы обмена сообщениями Firebase, продемонстрировав, как мошенники получали несанкционированный доступ к устройствам жертв и способствовали краже денежных средств, извлекая SMS-сообщения с их номеров.

#ParsedReport #CompletenessMedium
30-10-2024

Attacker Abuses Victim Resources to Reap Rewards from Titan Network

https://www.trendmicro.com/en_us/research/24/j/titan-network.html

Report completeness: Medium

Threats:
Cassini
Dynamic_linker_hijacking_technique

Industry:
Financial

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 5
Technics: 9

IOCs:
IP: 3
File: 2
Domain: 1
Url: 10

Soft:
Confluence, Linux, curl, Unix

Links:
https://github.com/Titannet-dao/titan-node/releases/download/v0.1.19/titan-l2edge\_v0.1.19\_patch\_linux\_amd64.tar.gz

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленник использует уязвимость в Atlassian Confluence (CVE-2023-22527) для подключения серверов к сети Titan в целях криптомайнинга. Используя уязвимость, злоумышленник добился удаленного выполнения кода, загрузил и запустил сценарии оболочки для установки двоичных файлов Titan и подключил скомпрометированные компьютеры к тестовой сети Cassini, чтобы получать вознаграждение за делегированные действия proof of stake. Сеть Titan описывается как децентрализованная платформа, которая позволяет пользователям преобразовывать аппаратные ресурсы в ценные цифровые активы, такие как вычислительная мощность, хранилище и пропускная способность, вознаграждая участников за их ресурсы. В тексте также подчеркивается важность использования передовых технологий безопасности, таких как Trend Vision One, для устранения подобных угроз.
-----

В записи блога рассказывается о том, как злоумышленник воспользовался уязвимостью в Atlassian Confluence (CVE-2023-22527) для подключения серверов к сети Titan в целях криптомайнинга. Исследователи Trend Micro наблюдали за этой атакой, в ходе которой злоумышленник с помощью уязвимости добился удаленного выполнения кода, что позволило ему использовать сеть Titan для криптомайнинга. Злоумышленник использовал общедоступные службы поиска IP-адресов и системные команды для сбора информации о взломанном компьютере, прежде чем продолжить атаку.

Процесс включал загрузку и выполнение нескольких командных скриптов для установки двоичных файлов Titan и установления соединения с сетью Titan, используя идентификационные данные злоумышленника. Взломанные компьютеры были подключены к тестовой сети Cassini, через которую участники могли выполнять делегированные действия proof of stake, чтобы заработать призовые токены. Сеть Titan - это децентрализованная платформа, которая позволяет пользователям совместно использовать аппаратные ресурсы и развертывать их, превращая их в ценные цифровые активы, такие как вычислительная мощность, хранилище и пропускная способность. Конструкция сети гарантирует, что участники получают вознаграждение за свои ресурсы, обеспечивая при этом высокое качество результатов, сопоставимое с современными облачными сервисами.

В ходе атаки злоумышленник воспользовался уязвимостью CVE-2023-22527, которая представляет собой уязвимость, связанную с неавторизованным внедрением шаблона в Atlassian Confluence. Полезная нагрузка атаки заключалась в установке заголовка ответа с надписью "Cmd" для отображения результатов выполненных команд. Злоумышленник инициировал команды, такие как "ls", для отображения списка файлов в каталоге и загрузил файлы сценариев командной оболочки на взломанный компьютер.

Злоумышленник также установил узлы Titan edge на скомпрометированных компьютерах, чтобы воспользоваться преимуществами сети. Злоумышленник подключился к тестовой сети Cassini, которая состоит из блокчейн-сети, основанной на делегированном доказательстве участия (DPO) для получения вознаграждений за счет размещения токенов, и ресурсной сети, где пользователи могут запускать узлы Titan для получения вознаграждений.

Более того, злоумышленник развернул клиент "aleo-pool" для подключения к серверу "zkRush Pool" и "Aleo TestNet Beta" для проведения криптомайнинга. Кроме того, был обнаружен вариант файла с именем "7", выполняющий обратное подключение оболочки bash к C&C-серверу через TCP-порт 80.

Чтобы смягчить такие угрозы, организации могут использовать передовые технологии безопасности, такие как Trend Vision One, которые обеспечивают многоуровневую защиту и обнаружение поведения, предотвращая нанесение вреда компьютерам и системам пользователей вредоносными инструментами и службами.

#ParsedReport #CompletenessMedium
31-10-2024

Unmasking the SYS01 Infostealer Threat: Bitdefender Labs Tracks Global Malvertising Campaign Targeting Meta Business Pages

https://www.bitdefender.com/en-us/blog/labs/unmasking-the-sys01-infostealer-threat-bitdefender-labs-tracks-global-malvertising-campaign-targeting-meta-business-pages

Report completeness: Medium

Threats:
Sys01_stealer
Ioncube_tool

Industry:
Petroleum, E-commerce

Geo:
Australia, France, America, Spain, Italy, Asia, Romania, Germany

ChatGPT TTPs:
do not use without manual check
T1105, T1203, T1003, T1090.003, T1574.011, T1027

IOCs:
File: 8
Hash: 1
Url: 17

Soft:
CapCut, Office 365, Photoshop, Telegram, Task Scheduler, WhatsApp, Discord

Wallets:
electronjs

Algorithms:
7zip

Functions:
HTTP, Graph

Languages:
php, javascript, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют онлайн-рекламу для распространения вредоносного ПО, уделяя особое внимание вредоносной кампании SYS01 InfoStealer, нацеленной на пользователей по всему миру, с особым акцентом на выдачу себя за популярные бренды для кражи персональных данных. Кампания постоянно развивается и использует вредоносные домены для распространения, при этом вредоносное ПО доставляется через приложение ElectronJS. Киберпреступники, стоящие за кампанией, используют передовые тактики уклонения, включая обнаружение в изолированной среде, чтобы оставаться незамеченными и быстро обновлять свой код, чтобы избежать мер безопасности. Кроме того, успех кампании объясняется структурированной бизнес-моделью, направленной на сбор учетных данных Facebook, особенно бизнес-аккаунтов, для запуска большего количества вредоносной рекламы и монетизации украденных учетных данных на подпольных рынках. Кроме того, пользователи могут получить доступ к инструментам защиты от кибербезопасности, таким как Scamio, предлагаемым Bitdefender для защиты от различных киберугроз.
-----

Киберпреступники используют онлайн-рекламу для распространения вредоносных программ, в частности, с помощью вредоносных рекламных кампаний на платформе Meta, ориентированных в основном на мужчин в возрасте 45 лет и старше.

Вредоносная атака развивается, и вредоносное ПО SYS01 теперь распространяется через приложение ElectronJS, имитирующее популярные программные инструменты для расширения своего охвата.

Кампания использует около сотни вредоносных доменов для распространения вредоносных программ и управления ими в режиме реального времени.

Хакеры используют массовое олицетворение бренда, чтобы привлечь широкую аудиторию, и распространяют вредоносное ПО через ссылки MediaFire в zip-архивах, содержащих электронное приложение, которое работает в фоновом режиме.

Киберпреступники используют продвинутые тактики уклонения, такие как обнаружение в изолированной среде, чтобы оставаться скрытыми от инструментов кибербезопасности, и могут быстро обновлять свой код, чтобы избежать обнаружения.

Успех кампании обусловлен сбором учетных данных Facebook, особенно из бизнес-аккаунтов, для запуска большего количества вредоносной рекламы и расширения масштабов операций за счет монетизации украденных учетных данных на подпольных торговых площадках.

Bitdefender предлагает комплексную защиту от кибербезопасности, включая службу обнаружения мошенничества Scamio на базе искусственного интеллекта, доступную на различных платформах, чтобы помочь пользователям обезопасить себя от онлайн-мошенничества.

#ParsedReport #CompletenessMedium
31-10-2024

Inside Intelligence Center: LUNAR SPIDER Enabling Ransomware Attacks on Financial Sector with Brute Ratel C4 and Latrodectus

https://blog.eclecticiq.com/inside-intelligence-center-lunar-spider-enabling-ransomware-attacks-on-financial-sector-with-brute-ratel-c4-and-latrodectus

Report completeness: Medium

Actors/Campaigns:
Lunar_spider (motivation: financially_motivated)
Alpha_spider
Wizard_spider
Nemty
Twisted_spider

Threats:
Brc4_tool
Latrodectus
Icedid
Blackcat
Smokeloader
Pikabot
Bumblebee
Conti
Trickbot
Nemty
Impacket_tool
Wmiexec_tool
Screenconnect_tool
Cobalt_strike
Streamerrat
Csharp_streamer
Rclone_tool
Seo_poisoning_technique

Geo:
Switzerland, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1105, T1047, T1021, T1547, T1219, T1573

IOCs:
Domain: 12
IP: 1
File: 6
Registry: 1
Path: 1
Url: 8
Hash: 9

Soft:
Windows Installer

Algorithms:
sha256, zip

Languages:
javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4