#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносной кампании, организованной хакерской группой LUNAR SPIDER, в ходе которой использовался запутанный загрузчик JavaScript под названием Latrodectus для доставки вредоносной полезной нагрузки, связанной с вредоносным по Brute Ratel C4. Несмотря на действия правоохранительных органов, нарушающие работу инфраструктуры, LUNAR SPIDER продолжала свою деятельность, сотрудничая с другими группами программ-вымогателей, такими как WIZARD SPIDER. Аналитики отметили адаптивность группы, эволюцию киберопераций, общую инфраструктуру с аффилированными с ALPHV компаниями-вымогателями и изощренную тактику в отношении финансовых услуг. Составление карты тактики и процедур LUNAR SPIDER помогает защитникам выявлять модели поведения, улучшать стратегии обнаружения угроз и смягчения их последствий для группы.
-----

В октябре 2024 года была обнаружена вредоносная рекламная кампания, использующая Latrodectus для доставки Brute Ratel C4, которая, вероятно, связана с русскоязычной хакерской группой LUNAR SPIDER.

LUNAR SPIDER имеет опыт разработки семейств вредоносных программ, таких как IcedID и Latrodectus, и продолжает свою деятельность, несмотря на действия правоохранительных органов в 2024 году, сотрудничая с группами вымогателей, такими как WIZARD SPIDER.

Группа сменила тактику с IcedID на Latrodectus и Brute Ratel C4, при этом было выявлено более 200 связанных вредоносных инфраструктур, что свидетельствует об эффективной координации.

Аналитики EclecticIQ наблюдали за серверами Latrodectus, управляемыми членами LUNAR SPIDER, и связали их с рекламными кампаниями злоумышленников и совместными действиями по вымогательству с ALPHV.

LUNAR SPIDER нацелился на финансовые сервисы, используя SEO-отравление, используя запутанные файлы JavaScript, загрузки MSI и выполнение вредоносных библиотек DLL для скоординированной атаки.

Составление карты тактики LUNAR SPIDER с использованием платформы MITRE ATT&CK framework помогает защитникам в разработке стратегий упреждающего поиска угроз и смягчения их последствий, ускоряя сбор разведывательной информации и время реагирования на киберугрозы.

#ParsedReport #CompletenessHigh
31-10-2024

Strela Stealer targets Central and Southwestern Europe through Stealthy Execution via WebDAV

https://cyble.com/blog/strela-stealer-targets-europe-stealthily-via-webdav

Report completeness: High

Threats:
Strela_stealer
Polyglot_technique
Spear-phishing_technique
Credential_dumping_technique

Geo:
German, Germany, Spain, Spanish

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 7
IP: 1
Hash: 95
Domain: 5

Soft:
Outlook, Microsoft Outlook, Mozilla Thunderbird

Algorithms:
sha256, xor, zip, base64

Win API:
ShowWindow, GetKeyboardLayout, CryptUnprotectData

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной фишинговой кампании, проводимой вредоносной программой Strela Stealer, нацеленной на пользователей в Центральной и Юго-Западной Европе. Кампания использует различные тактики, такие как отправка фишинговых электронных писем с запутанными файлами JavaScript, для развертывания своей полезной нагрузки и кражи конфиденциальных учетных данных, уделяя особое внимание краже сведений о конфигурации электронной почты и проведению разведки скомпрометированных систем. Вредоносная программа способна собирать и шифровать конфиденциальную информацию из профилей Thunderbird и Outlook, отправляя ее на сервер управления, контролируемый злоумышленниками. Кампания демонстрирует передовые методы доставки вредоносных программ и представляет серьезную угрозу для конфиденциальной информации пользователей, что требует принятия превентивных мер защиты.
-----

Лаборатории Cyble Research and Intelligence Labs раскрыли сложную фишинговую кампанию вредоносного ПО Strela Stealer, нацеленную на пользователей в Центральной и Юго-Западной Европе.

Кампания использует скрытую тактику, выдавая себя за уведомления о выставлении счетов в фишинговых электронных письмах с вложениями ZIP-файлов, содержащих запутанные файлы JavaScript, для развертывания вредоносного ПО.

Программа Strela Stealer нацелена на системы в Германии и Испании, фокусируясь на краже сведений о конфигурации электронной почты и сборе подробной системной информации для разведывательных целей.

Первоначально кампания была нацелена на испаноязычных пользователей с помощью рассылки спама по электронной почте, а затем перешла к использованию фишинговых писем с вложениями в ZIP-файлы, содержащих запутанный код JavaScript.

Strela Stealer собирает данные из профилей Thunderbird и Outlook, шифрует информацию и отправляет ее на сервер управления, контролируемый злоумышленниками.

Недавние итерации кампании Strela Stealer демонстрируют возросшую сложность методов доставки вредоносных программ, позволяющих избежать обнаружения средствами защиты.

Cyble предлагает пакеты поиска угроз с пользовательскими правилами YARA для обнаружения подозрительных действий, связанных с Strela Stealer, повышения уровня безопасности и обеспечения проактивной защиты от передовых тактик вредоносных программ.

#ParsedReport #CompletenessMedium
01-11-2024

New Tradecraft of Iranian Cyber Group Aria Sepehr Ayandehsazan aka Emennet Pasargad

https://www.ic3.gov/CSA/2024/241030.pdf

Report completeness: Medium

Actors/Campaigns:
Marnanbridge (motivation: hacktivism, disinformation)

Threats:
Masscan_tool
Acunetix_tool
Sqlmap_tool

Victims:
French commercial dynamic display provider, Israeli hostages' families, Israeli athletes, Israeli fighter pilots, Uav operators

Industry:
Military, Government

Geo:
Tokyo, France, French, Israel, Israeli, Iran, Usa, Swedish, Japan, Palestinians, Iranian, Sweden, Israelis, United kingdom, Lithuania, Moldova, Lebanon

TTPs:
Tactics: 5
Technics: 16

IOCs:
Email: 1
Domain: 13
IP: 27
File: 1
Hash: 2

Soft:
Telegram, Instagram, Burp Suite, Google Chrome

Win API:
Pie

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в рекомендациях по кибербезопасности, подготовленных ФБР, Министерством финансов США и Национальным управлением по кибербезопасности Израиля, в которых основное внимание уделяется деятельности иранской кибергруппы Emennet Pasargad (ASA), освещаются их киберпреступность, тактика, методы и процедуры (TTP), а также участие в кибер-обеспечивал проведение информационных операций, нацеленных на различные организации, включая летние Олимпийские игры 2024 года, а также израильских частных лиц и организации. В рекомендациях содержится информация об управлении инфраструктурой ASA, использовании скрытых хостинг-провайдеров, участии в операциях по оказанию влияния, разведывательной деятельности и использовании таких инструментов, как VPN-сервисы и трояны для удаленного доступа. Организациям рекомендуется следовать рекомендациям по устранению последствий и обращаться в ФБР, если они подозревают, что ASA является их мишенью.
-----

Иранская кибергруппировка Emennet Pasargad действует под именем Aria Sepehr Ayandehsazan (ASA) и пользуется такими псевдонимами, как Cotton Sandstorm, Marnanbridge и Haywire Kitten.

ASA продемонстрировала новые кибер-технологии при проведении информационных операций с использованием киберпространства, нацеленных на такие мероприятия, как летние Олимпийские игры 2024 года, где они скомпрометировали французского коммерческого поставщика динамических дисплеев.

Компания Emennet Pasargad проявила интерес к сбору контента с IP-камер, использованию онлайн-ресурсов, связанных с искусственным интеллектом, а также к веб-сайтам и средствам массовой информации, связанным с выборами, для оказания потенциального влияния.

ASA использует подставных лиц и фиктивных реселлеров хостинга для обеспечения оперативной серверной инфраструктуры, сотрудничая с такими поставщиками, как Server-Speed, VPS-Agent, BAcloud и Stark Industries Solutions/PQ Hosting, для обфускации.

Группа участвовала в различных информационных операциях с использованием киберпространства, включая деятельность, связанную с конфликтом между Израилем и ХАМАСОМ, используя таких персонажей, как "Кибер-флуд" и "Контакт-HSTG", для оказания воздействия с помощью психологической тактики.

ASA проводила кибератаки на коммерческие организации и занималась разведывательной деятельностью, нацеленной на израильских пилотов истребителей и операторов беспилотных летательных аппаратов, используя коммерческие VPN-сервисы и программы RAT, такие как "bd", для первоначального доступа и эксплуатации.

Организациям рекомендуется следовать рекомендациям по устранению последствий, приведенным в рекомендациях, исследовать и проверять IP-адреса на предмет наличия признаков компрометации и сообщать в ФБР о любых подозрениях в том, что они могут стать мишенью или быть скомпрометированы.

#ParsedReport #CompletenessMedium
01-11-2024

Ngioweb Remains Active 7 Years Later

https://cybersecurity.att.com/blogs/labs-research/ngioweb-remains-active-7-years-later

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Ngioweb
Residential_proxy_technique
Ramnit

Victims:
Linear emerge, Zyxel routers, Neato vacuums, Edgeos infected systems

Industry:
Telco, Government, Iot, Financial, Healthcare

Geo:
Australia, India, Oceania, Japan, Asia, Canada, Canadian

CVEs:
CVE-2023-28769 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)

CVE-2019-7256 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nortekcontrol linear emerge essential firmware (le1.00-06)

CVE-2022-45440 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel ax7501-b0 firmware (<5.17\(abpc.3\)c0)

CVE-2023-28770 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)


TTPs:
Tactics: 7
Technics: 15

IOCs:
Hash: 2
File: 5
IP: 2

Soft:
Linux, Zyxel, EdgeOS, curl

Crypto:
bitcoin, litecoin

Algorithms:
zip, base64, md5

Languages:
php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в активности, возможностях и влиянии ботнета прокси-серверов Ngioweb, который действует уже семь лет и постоянно сканирует уязвимые устройства для заражения и превращения в прокси-серверы. Злоумышленники продают зараженные системы в качестве локальных прокси-серверов через такие платформы, как Nsocks, ориентируясь на пользователей локальных интернет-провайдеров и используя различные эксплойты для уклонения от обнаружения и совершения вредоносных действий. Связь ботнета с банковским вредоносным ПО и его рост в размерах, а также использование зараженных устройств различными участниками угроз подчеркивают сохраняющуюся угрозу, исходящую от Ngioweb, и проблемы с обнаружением и смягчением последствий его действий.
-----

Ботнет прокси-серверов Ngioweb работает уже семь лет, постоянно сканируя уязвимые устройства и используя различные эксплойты для их заражения и превращения в прокси-серверы. Злоумышленники, стоящие за Ngioweb, продают зараженные системы в качестве локальных прокси-серверов через Nsocks по цене менее 1,50 доллара за 24 часа доступа. Основными объектами атаки являются пользователи интернет-провайдеров, в том числе такие устройства, как Linear eMerge, маршрутизаторы Zyxel и пылесосы Neato. В августе 2018 года Check Point опубликовала подробный анализ Ngioweb, подчеркнув его связь с семейством банковских вредоносных программ Ramnit. Netlab продолжила исследование Ngioweb, раскрывая подробности об алгоритме генерации доменов, коммуникационных протоколах, инфраструктуре командования и контроля, а также используемых уязвимостях.

В 2024 году TrendMicro сообщила об использовании киберпреступниками и государственными структурами местных прокси-провайдеров для вредоносных действий. Примечательно, что вредоносная программа Ngioweb была обнаружена на зараженных устройствах наряду с другими угрозами, такими как Pawn Storm и канадская аптечная банда. Недавнее исследование, проведенное LevelBlue Labs в том же году, выявило продолжающиеся действия по сканированию уязвимых устройств, передающих полезную нагрузку Ngioweb. Троянец работает аналогично предыдущим версиям, с небольшими изменениями, позволяющими избежать обнаружения.

Nsocks, платформа черного рынка, продающая зараженные системы в качестве прокси-серверов, появилась в 2022 году после устранения других известных конкурентов. Она предлагает широкий ассортимент прокси-серверов SOCKS5 по всему миру, цены на которые зависят от типа устройства и продолжительности заражения. Для обеспечения анонимности платежи принимаются только в биткоинах или лайткоинах. Ботнет Ngioweb значительно расширился за последние годы, и в настоящее время в его пуле насчитывается около 30 000 ежедневных IP-адресов, которые в основном скомпрометированы местными интернет-провайдерами и мобильными провайдерами.

Вредоносная программа нацелена на различные устройства, в частности, на маршрутизаторы и устройства интернета вещей, такие как Linear eMerge systems, маршрутизаторы Zyxel, пылесосы Neato и другие. Для развертывания полезной нагрузки Ngioweb используются специальные эксплойты, нацеленные на уязвимости в этих устройствах. Использование вредоносной программой алгоритмов генерации доменов и уникальных методов связи C&C помогает ей избежать обнаружения.

Зараженные пылесосы Neato, несмотря на снятие с производства, остаются подключенными к Интернету и входят в число устройств, скомпрометированных Ngioweb. Широкое распространение зараженных систем, продаваемых в качестве прокси-серверов, подчеркивает доступность анонимизации вредоносных действий для участников угроз. Технические показатели, связанные с Ngioweb, охватывают различные тактические приемы, включая первоначальный доступ, настойчивость, уклонение от защиты, обнаружение, командование и контроль, а также воздействие.

#ParsedReport #CompletenessMedium
03-11-2024

Tricks, Treats, and Threats: Cobalt Strike & the Goblin Lurking in Plain Sight

https://hunt.io/blog/tricks-treats-threats-cobalt-strike-the-goblin-lurking-in-plain-sight

Report completeness: Medium

Threats:
Cobalt_strike
Browserghost_tool
Goblin_tool
Meterpreter_tool
Hackbrowserdata

Victims:
Educational platforms

Industry:
Education, E-commerce

Geo:
Chinese, Hong kong, Malaysia

CVEs:
CVE-2014-4113 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (-)
- microsoft windows 8 (-)
- microsoft windows 8.1 (-)
- microsoft windows rt (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (1903, 1909)
- microsoft windows server 2016 (1903, 1909)


ChatGPT TTPs:
do not use without manual check
T1203, T1071, T1021

IOCs:
IP: 13
Hash: 1
Domain: 9

Soft:
Nginx, Chrome, Firefox

Algorithms:
sha256

Languages:
python, javascript

Links:
have more...
https://github.com/QAX-A-Team/BrowserGhost
https://github.com/xiecat/goblin/blob/master/README\_EN.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении открытого каталога, содержащего набор мощных инструментов, таких как Cobalt Strike, Goblin и BrowserGhost, которые обычно используются в вредоносных целях красными командами и противниками. Представленные инструменты нацелены на последующую эксплуатацию, кражу учетных данных, фишинг и утечку данных из сети. Каталог, размещенный в Гонконге, предлагает информацию о комплексном наборе инструментов для эксплуатации и сохранения данных, а также показатели потенциальной координации между серверами или участниками.
-----

Недавнее открытие открытого каталога в духе Хэллоуина выявило набор инструментов с серьезными возможностями, включая Cobalt Strike, Goblin и BrowserGhost. Хотя названия могут показаться шутливыми, эти инструменты часто используются красными командами и противниками в злонамеренных целях. В open directory был обнаружен Cobalt Strike 4.2, платформа для последующей эксплуатации, а также код для использования уязвимостей, датируемый 2014 годом. BrowserGhost, инструмент для извлечения сохраненных паролей из веб-браузеров, предлагает сосредоточиться на краже учетных данных. В каталоге также был обнаружен фишинговый инструмент Goblin, который, возможно, использовался для таргетинга на образовательные платформы, говорящие на китайском языке.

Открытый каталог, размещенный по адресу 199.187.25.57:8899 на ASN компании Cloudie Limited в Гонконге, позволял получить представление о коллекции потенциально вредоносных инструментов. Наряду с Cobalt Strike 4.2 и папкой Goblin, сервер регистрирует историю команд и выводимые данные. Сервер, по-видимому, работает под управлением операционной системы на базе Linux и использует Python 3.8.10 simpleHTTP версии 0.6 для размещения каталога. Сканеры Hunt выявили несколько серверов Cobalt Strike team, расположенных на разных портах, а также дополнительную полезную нагрузку, связанную с уязвимостями, такими как CVE-2014-4113 и CVE-2020-0796, размещенными в папке cs4.2. Наличие исторического кода эксплойта и полезной нагрузки веб-оболочки указывает на наличие комплексного инструментария, ориентированного на эксплуатацию и сохраняемость.

15 октября на сервере ненадолго был размещен TLS-сертификат Cobalt Strike, который использовался только с другим IP-адресом, что указывает на потенциальную координацию между серверами или участниками. Фишинговый инструмент Goblin, разработанный для командных учений red и blue, использует прокси-трафик для имитации взаимодействия пользователей во время попыток фишинга. Конфигурационный файл YAML выявил проксирование трафика через домены, связанные с платформой Yunxiao DevOps от Alibaba Cloud, и недавно зарегистрированный домен, потенциально имитирующий учебное заведение.

BrowserGhost, который находится в папке Cobalt Strike, представляет собой инструмент для извлечения сохраненных паролей из популярных веб-браузеров. Каталог также содержал HackBrowserData, инструмент для извлечения и расшифровки конфиденциальной информации о браузере. Такое сочетание инструментов позволяет предположить, что оператор заинтересован в получении сохраненных в браузере учетных данных, что указывает на хорошо оснащенную команду red team или злоумышленника, сосредоточенного на утечке данных.

#ParsedReport #CompletenessLow
02-11-2024

Malicious "RedAlert - Rocket Alerts" application targets Israeli phone calls, SMS, and user information

https://www.cloudflare.com/en-au/threat-intelligence/research/report/malicious-redalert-rocket-alerts-application-targets-israeli-phone-calls-sms-and-user-information

Report completeness: Low

Actors/Campaigns:
Anonghost (motivation: hacktivism)

Threats:
Fake_redalert

Victims:
Redalert app users

Geo:
Israel, Israeli

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1569.002, T1056.001

IOCs:
Url: 5
File: 14
Coin: 1

Soft:
Android

Algorithms:
sha256, cbc, aes

Functions:
FindDebugger, startService, onCreate, RegisterPushAsync, getData, FindEmulator, FindMonkey, isUserAMonkey

Win API:
getMessage

Languages:
java

Platforms:
arm, apple

Links:
https://github.com/eladnava/redalert-android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении вредоносного веб-сайта, на котором размещена поддельная версия приложения RedAlert - Rocket Alerts, выдающего себя за законное приложение, разработанное Эладом Навой. Вредоносное приложение собирает конфиденциальные пользовательские данные и было обнаружено на веб-сайте, полностью имитирующем сайт законного приложения, при этом версия для Android представляет значительный риск из-за загрузки вредоносного APK-файла. Пользователям рекомендуется удалить вредоносное приложение, проверить права доступа и переустановить законную версию из авторизованных источников. Код злоумышленника, встроенный в код законного приложения, инициирует вредоносные действия по сбору пользовательской информации, ее шифрованию и загрузке на HTTP-сервер. Функции защиты от анализа в вредоносном приложении предотвращают попытки анализа во время выполнения, но не статический анализ.
-----

Команда по борьбе с угрозами Cloudforce One в Cloudflare обнаружила вредоносный веб-сайт, на котором размещена поддельная версия приложения RedAlert - Rocket Alerts, выдающего себя за законное приложение RedAlert от Elad Nava.

Пропалестинская хактивистская группа AnonGhost использовала предыдущее приложение для оповещения о ракетном ударе для отправки поддельных предупреждений, включая ложные сообщения о "ядерной бомбе", и утверждала, что атаковала другие приложения для оповещения о ракетном ударе.

Появился новый вредоносный веб-сайт (hxxps://redalerts . me), предлагающий загрузку приложения RedAlert, которое полностью имитирует веб-сайт законного приложения с разницей всего в одну букву в доменном имени. На поддельном сайте был размещен вредоносный APK-файл для версии Android, в то время как ссылка на Apple App Store вела на подлинное приложение.

Вредоносная версия приложения RedAlert собирала конфиденциальные пользовательские данные, включая доступ к контактам, журналам вызовов, SMS-сообщениям, информации учетной записи и т.д., и пользователям, которые ее загрузили, рекомендуется немедленно удалить приложение.

Вредоносный APK-файл при установке инициирует вредоносные действия по сбору пользовательских данных и включает функции защиты от анализа, направленные на обнаружение попыток анализа во время выполнения.

Вредоносный код злоумышленника встроен в законный код повторного оповещения в com.red.alert.activities: Main.java файл, сбор и шифрование конфиденциальных пользовательских данных перед их загрузкой на HTTP-сервер для дополнительной защиты.

#ParsedReport #CompletenessMedium
03-11-2024

Jumpy Pisces Engages in Play Ransomware

https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware

Report completeness: Medium

Actors/Campaigns:
Andariel (motivation: cyber_espionage)
Play_ransomware

Threats:
Playcrypt
Cobalt_strike
Dtrack_rat
Mimikatz_tool
Sliver_c2_tool
Mauicrypt
Credential_harvesting_technique
Impacket_tool
Credential_dumping_technique
Underground_ransomware

Geo:
Dprk, North korea, Korean, North korean

ChatGPT TTPs:
do not use without manual check
T1078, T1021.002, T1562, T1036, T1071.001, T1078.002, T1003, T1136

IOCs:
Command: 1
IP: 1
Domain: 1
Path: 2
Hash: 10

Soft:
PsExec, Chrome

Algorithms:
sha256

Links:
https://github.com/S1ckB0y1337/TokenPlayer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение 42 выявило значительное сотрудничество между северокорейской хакерской группой Jumpy Pisces, спонсируемой государством, и Play ransomware group, что указывает на заметный сдвиг в тактике Jumpy Pisces в сторону более глубокого вовлечения в сферу угроз, связанных с программами-вымогателями. Это сотрудничество привело к расширению охвата более широкого круга жертв во всем мире, что подчеркивает необходимость повышения бдительности сетевых защитников.
-----

Подразделение 42 выявило хакерскую группу Jumpy Pisces, спонсируемую северокорейским государством и связанную с Главным разведывательным управлением Корейской народной армии, в качестве ключевого игрока в недавнем инциденте с программами-вымогателями, связанном с сотрудничеством с группой программ-вымогателей Play (Fiddling Scorpius). Это знаменует собой заметный сдвиг в тактике Jumpy Pisces, указывающий на потенциальную более глубокую вовлеченность в сферу угроз со стороны программ-вымогателей. Компания Jumpy Pisces, исторически занимавшаяся кибершпионажем, финансовыми преступлениями и атаками с использованием программ-вымогателей, в настоящее время была замечена за использованием существующей инфраструктуры программ-вымогателей, такой как программа-вымогатель Maui. Группа, по-видимому, расширяет свою деятельность, охватывая более широкий круг жертв по всему миру, что подчеркивает необходимость повышения бдительности среди сетевых защитников.

В начале сентября 2024 года подразделение 42 оказало услуги по реагированию на инциденты клиенту, пострадавшему от программы-вымогателя Play, которая, как полагают, принадлежит Fiddling Scorpius group. Программа-вымогатель Play, о которой впервые сообщалось в середине 2022 года, возможно, перешла на модель "программа-вымогатель как услуга" (RaaS), хотя группа отрицает, что предоставляла такую экосистему на своем сайте утечек. В ходе расследования с высокой степенью достоверности было установлено, что Jumpy Pisces получила первоначальный доступ к игре через взломанную учетную запись пользователя в мае 2024 года. Группа использовала такие инструменты, как Sliver и DTrack, для перемещения по сети и поддержания постоянства, что привело к внедрению программы-вымогателя Play.

Данные из хронологии атак показали, что злоумышленники использовали различные инструменты и вредоносное ПО, в том числе настроенную версию Sliver для целей управления, DTrack в качестве инфокрада, Mimikatz для сброса учетных данных и троянский двоичный файл для кражи данных браузера. Эти вредоносные программы были связаны с недействительными сертификатами, ранее связанными с Jumpy Pisces, что позволяло им маскироваться под законные организации. Сотрудничество между Jumpy Pisces и Play Ransomware в этом инциденте было поддержано такими факторами, как использование одной и той же скомпрометированной учетной записи для первоначального доступа и распространения инструментов, связанных с Jumpy Pisces, а также наблюдаемое взаимодействие с Sliver C2 непосредственно перед развертыванием программы-вымогателя.

Несмотря на неопределенность в отношении характера их сотрудничества, независимо от того, является ли Jumpy Pisces аффилированным лицом или посредником в получении первоначального доступа к программе-вымогателю Play, этот инцидент представляет собой первое документально подтвержденное партнерство между северокорейской государственной группой и подпольной сетью программ-вымогателей. Это развитие событий указывает на потенциальную тенденцию, при которой северокорейские хакерские группировки могут все активнее участвовать в более масштабных кампаниях по вымогательству, создавая больший риск широкомасштабных и разрушительных атак в глобальном масштабе.

#ParsedReport #CompletenessLow
02-11-2024

Threat actors use copyright infringement phishing lure to deploy infostealers. Phishing email campaign targets Taiwan

https://blog.talosintelligence.com/threat-actors-use-copyright-infringement-phishing-lure-to-deploy-infostealers

Report completeness: Low

Threats:
Lumma_stealer
Rhadamanthys
Process_injection_technique

Geo:
Taiwan, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1105, T1027, T1055.001, T1071.001, T1218

IOCs:
Domain: 36
File: 7
Registry: 1
Hash: 23
IP: 2

Soft:
Dropbox, Windows Registry

Win API:
CreateFileMappingA

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, chart: 1, schema: 1, code: 1, table: 1