#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении открытого каталога, содержащего набор мощных инструментов, таких как Cobalt Strike, Goblin и BrowserGhost, которые обычно используются в вредоносных целях красными командами и противниками. Представленные инструменты нацелены на последующую эксплуатацию, кражу учетных данных, фишинг и утечку данных из сети. Каталог, размещенный в Гонконге, предлагает информацию о комплексном наборе инструментов для эксплуатации и сохранения данных, а также показатели потенциальной координации между серверами или участниками.
-----

Недавнее открытие открытого каталога в духе Хэллоуина выявило набор инструментов с серьезными возможностями, включая Cobalt Strike, Goblin и BrowserGhost. Хотя названия могут показаться шутливыми, эти инструменты часто используются красными командами и противниками в злонамеренных целях. В open directory был обнаружен Cobalt Strike 4.2, платформа для последующей эксплуатации, а также код для использования уязвимостей, датируемый 2014 годом. BrowserGhost, инструмент для извлечения сохраненных паролей из веб-браузеров, предлагает сосредоточиться на краже учетных данных. В каталоге также был обнаружен фишинговый инструмент Goblin, который, возможно, использовался для таргетинга на образовательные платформы, говорящие на китайском языке.

Открытый каталог, размещенный по адресу 199.187.25.57:8899 на ASN компании Cloudie Limited в Гонконге, позволял получить представление о коллекции потенциально вредоносных инструментов. Наряду с Cobalt Strike 4.2 и папкой Goblin, сервер регистрирует историю команд и выводимые данные. Сервер, по-видимому, работает под управлением операционной системы на базе Linux и использует Python 3.8.10 simpleHTTP версии 0.6 для размещения каталога. Сканеры Hunt выявили несколько серверов Cobalt Strike team, расположенных на разных портах, а также дополнительную полезную нагрузку, связанную с уязвимостями, такими как CVE-2014-4113 и CVE-2020-0796, размещенными в папке cs4.2. Наличие исторического кода эксплойта и полезной нагрузки веб-оболочки указывает на наличие комплексного инструментария, ориентированного на эксплуатацию и сохраняемость.

15 октября на сервере ненадолго был размещен TLS-сертификат Cobalt Strike, который использовался только с другим IP-адресом, что указывает на потенциальную координацию между серверами или участниками. Фишинговый инструмент Goblin, разработанный для командных учений red и blue, использует прокси-трафик для имитации взаимодействия пользователей во время попыток фишинга. Конфигурационный файл YAML выявил проксирование трафика через домены, связанные с платформой Yunxiao DevOps от Alibaba Cloud, и недавно зарегистрированный домен, потенциально имитирующий учебное заведение.

BrowserGhost, который находится в папке Cobalt Strike, представляет собой инструмент для извлечения сохраненных паролей из популярных веб-браузеров. Каталог также содержал HackBrowserData, инструмент для извлечения и расшифровки конфиденциальной информации о браузере. Такое сочетание инструментов позволяет предположить, что оператор заинтересован в получении сохраненных в браузере учетных данных, что указывает на хорошо оснащенную команду red team или злоумышленника, сосредоточенного на утечке данных.

#ParsedReport #CompletenessLow
02-11-2024

Malicious "RedAlert - Rocket Alerts" application targets Israeli phone calls, SMS, and user information

https://www.cloudflare.com/en-au/threat-intelligence/research/report/malicious-redalert-rocket-alerts-application-targets-israeli-phone-calls-sms-and-user-information

Report completeness: Low

Actors/Campaigns:
Anonghost (motivation: hacktivism)

Threats:
Fake_redalert

Victims:
Redalert app users

Geo:
Israel, Israeli

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1569.002, T1056.001

IOCs:
Url: 5
File: 14
Coin: 1

Soft:
Android

Algorithms:
sha256, cbc, aes

Functions:
FindDebugger, startService, onCreate, RegisterPushAsync, getData, FindEmulator, FindMonkey, isUserAMonkey

Win API:
getMessage

Languages:
java

Platforms:
arm, apple

Links:
https://github.com/eladnava/redalert-android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении вредоносного веб-сайта, на котором размещена поддельная версия приложения RedAlert - Rocket Alerts, выдающего себя за законное приложение, разработанное Эладом Навой. Вредоносное приложение собирает конфиденциальные пользовательские данные и было обнаружено на веб-сайте, полностью имитирующем сайт законного приложения, при этом версия для Android представляет значительный риск из-за загрузки вредоносного APK-файла. Пользователям рекомендуется удалить вредоносное приложение, проверить права доступа и переустановить законную версию из авторизованных источников. Код злоумышленника, встроенный в код законного приложения, инициирует вредоносные действия по сбору пользовательской информации, ее шифрованию и загрузке на HTTP-сервер. Функции защиты от анализа в вредоносном приложении предотвращают попытки анализа во время выполнения, но не статический анализ.
-----

Команда по борьбе с угрозами Cloudforce One в Cloudflare обнаружила вредоносный веб-сайт, на котором размещена поддельная версия приложения RedAlert - Rocket Alerts, выдающего себя за законное приложение RedAlert от Elad Nava.

Пропалестинская хактивистская группа AnonGhost использовала предыдущее приложение для оповещения о ракетном ударе для отправки поддельных предупреждений, включая ложные сообщения о "ядерной бомбе", и утверждала, что атаковала другие приложения для оповещения о ракетном ударе.

Появился новый вредоносный веб-сайт (hxxps://redalerts . me), предлагающий загрузку приложения RedAlert, которое полностью имитирует веб-сайт законного приложения с разницей всего в одну букву в доменном имени. На поддельном сайте был размещен вредоносный APK-файл для версии Android, в то время как ссылка на Apple App Store вела на подлинное приложение.

Вредоносная версия приложения RedAlert собирала конфиденциальные пользовательские данные, включая доступ к контактам, журналам вызовов, SMS-сообщениям, информации учетной записи и т.д., и пользователям, которые ее загрузили, рекомендуется немедленно удалить приложение.

Вредоносный APK-файл при установке инициирует вредоносные действия по сбору пользовательских данных и включает функции защиты от анализа, направленные на обнаружение попыток анализа во время выполнения.

Вредоносный код злоумышленника встроен в законный код повторного оповещения в com.red.alert.activities: Main.java файл, сбор и шифрование конфиденциальных пользовательских данных перед их загрузкой на HTTP-сервер для дополнительной защиты.

#ParsedReport #CompletenessMedium
03-11-2024

Jumpy Pisces Engages in Play Ransomware

https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware

Report completeness: Medium

Actors/Campaigns:
Andariel (motivation: cyber_espionage)
Play_ransomware

Threats:
Playcrypt
Cobalt_strike
Dtrack_rat
Mimikatz_tool
Sliver_c2_tool
Mauicrypt
Credential_harvesting_technique
Impacket_tool
Credential_dumping_technique
Underground_ransomware

Geo:
Dprk, North korea, Korean, North korean

ChatGPT TTPs:
do not use without manual check
T1078, T1021.002, T1562, T1036, T1071.001, T1078.002, T1003, T1136

IOCs:
Command: 1
IP: 1
Domain: 1
Path: 2
Hash: 10

Soft:
PsExec, Chrome

Algorithms:
sha256

Links:
https://github.com/S1ckB0y1337/TokenPlayer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение 42 выявило значительное сотрудничество между северокорейской хакерской группой Jumpy Pisces, спонсируемой государством, и Play ransomware group, что указывает на заметный сдвиг в тактике Jumpy Pisces в сторону более глубокого вовлечения в сферу угроз, связанных с программами-вымогателями. Это сотрудничество привело к расширению охвата более широкого круга жертв во всем мире, что подчеркивает необходимость повышения бдительности сетевых защитников.
-----

Подразделение 42 выявило хакерскую группу Jumpy Pisces, спонсируемую северокорейским государством и связанную с Главным разведывательным управлением Корейской народной армии, в качестве ключевого игрока в недавнем инциденте с программами-вымогателями, связанном с сотрудничеством с группой программ-вымогателей Play (Fiddling Scorpius). Это знаменует собой заметный сдвиг в тактике Jumpy Pisces, указывающий на потенциальную более глубокую вовлеченность в сферу угроз со стороны программ-вымогателей. Компания Jumpy Pisces, исторически занимавшаяся кибершпионажем, финансовыми преступлениями и атаками с использованием программ-вымогателей, в настоящее время была замечена за использованием существующей инфраструктуры программ-вымогателей, такой как программа-вымогатель Maui. Группа, по-видимому, расширяет свою деятельность, охватывая более широкий круг жертв по всему миру, что подчеркивает необходимость повышения бдительности среди сетевых защитников.

В начале сентября 2024 года подразделение 42 оказало услуги по реагированию на инциденты клиенту, пострадавшему от программы-вымогателя Play, которая, как полагают, принадлежит Fiddling Scorpius group. Программа-вымогатель Play, о которой впервые сообщалось в середине 2022 года, возможно, перешла на модель "программа-вымогатель как услуга" (RaaS), хотя группа отрицает, что предоставляла такую экосистему на своем сайте утечек. В ходе расследования с высокой степенью достоверности было установлено, что Jumpy Pisces получила первоначальный доступ к игре через взломанную учетную запись пользователя в мае 2024 года. Группа использовала такие инструменты, как Sliver и DTrack, для перемещения по сети и поддержания постоянства, что привело к внедрению программы-вымогателя Play.

Данные из хронологии атак показали, что злоумышленники использовали различные инструменты и вредоносное ПО, в том числе настроенную версию Sliver для целей управления, DTrack в качестве инфокрада, Mimikatz для сброса учетных данных и троянский двоичный файл для кражи данных браузера. Эти вредоносные программы были связаны с недействительными сертификатами, ранее связанными с Jumpy Pisces, что позволяло им маскироваться под законные организации. Сотрудничество между Jumpy Pisces и Play Ransomware в этом инциденте было поддержано такими факторами, как использование одной и той же скомпрометированной учетной записи для первоначального доступа и распространения инструментов, связанных с Jumpy Pisces, а также наблюдаемое взаимодействие с Sliver C2 непосредственно перед развертыванием программы-вымогателя.

Несмотря на неопределенность в отношении характера их сотрудничества, независимо от того, является ли Jumpy Pisces аффилированным лицом или посредником в получении первоначального доступа к программе-вымогателю Play, этот инцидент представляет собой первое документально подтвержденное партнерство между северокорейской государственной группой и подпольной сетью программ-вымогателей. Это развитие событий указывает на потенциальную тенденцию, при которой северокорейские хакерские группировки могут все активнее участвовать в более масштабных кампаниях по вымогательству, создавая больший риск широкомасштабных и разрушительных атак в глобальном масштабе.

#ParsedReport #CompletenessLow
02-11-2024

Threat actors use copyright infringement phishing lure to deploy infostealers. Phishing email campaign targets Taiwan

https://blog.talosintelligence.com/threat-actors-use-copyright-infringement-phishing-lure-to-deploy-infostealers

Report completeness: Low

Threats:
Lumma_stealer
Rhadamanthys
Process_injection_technique

Geo:
Taiwan, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1105, T1027, T1055.001, T1071.001, T1218

IOCs:
Domain: 36
File: 7
Registry: 1
Hash: 23
IP: 2

Soft:
Dropbox, Windows Registry

Win API:
CreateFileMappingA

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, chart: 1, schema: 1, code: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cisco Talos выявила злоумышленника, проводящего сложную фишинговую кампанию, нацеленную на бизнес-пользователей Facebook и рекламные аккаунты на Тайване. Злоумышленник использует различные методы уклонения для распространения вредоносного ПО через фишинговые электронные письма и поддельные PDF-файлы, используя средства для кражи информации, такие как LummaC2 и Rhadamanthys, встроенные в законные двоичные файлы. Кампания ориентирована на носителей традиционного китайского языка и использует такие тактические приемы, как выдача себя за известные технологические и медиа-компании, требование удаления контента из-за предполагаемого нарушения авторских прав и использование нескольких доменов управления (C2) для поддержания непрерывной работы. Варианты вредоносного ПО, LummaC2 Stealer и Rhadamanthys information stealer, предназначены для извлечения конфиденциальной информации, используя методы обфускации и антианализа, чтобы избежать обнаружения и обеспечить долговечность зараженных систем. Организованные и тщательно продуманные действия злоумышленников направлены на кражу данных и потенциальную финансовую выгоду, демонстрируя их тщательное планирование и технические возможности в отношении конкретных целей на Тайване.
-----

Cisco Talos выявила неизвестного злоумышленника, проводящего фишинговую кампанию, нацеленную на бизнес-пользователей Facebook и рекламные аккаунты на Тайване.

Кампания предполагает использование фишинговых электронных писем и поддельных PDF-файлов под видом юридического отдела компании, чтобы обманом заставить жертв загрузить и запустить вредоносное ПО.

Злоумышленник использует такие методы обхода, как обфускация кода, шифрование с помощью шелл-кода и встраивание средств кражи информации, таких как LummaC2 и Rhadamanthys, в легитимные двоичные файлы, чтобы обойти меры безопасности.

Фишинговые электронные письма предназначены для носителей традиционного китайского языка и содержат заявления о нарушении авторских прав, связанных с продвижением продукта, что грозит юридическими последствиями.

Используется несколько доменов управления (C2), что говорит о продолжающейся кампании.

Цепочка заражения начинается с фишингового электронного письма, содержащего вредоносную ссылку для скачивания, ведущую к файлу RAR с поддельным PDF-исполняемым вредоносным ПО и файлом для печати изображений.

Варианты вредоносного ПО нацелены на конфиденциальную информацию, включая сведения о системе, веб-браузерах, криптовалютных кошельках и расширениях браузера.

Злоумышленник стратегически внедряет вредоносный код в различные разделы двоичных файлов и использует объекты mutex для управления экземплярами вредоносного ПО на зараженных хостах.

Кампания демонстрирует хорошо продуманные и организованные усилия, направленные на конкретных жертв кражи данных и потенциальной финансовой выгоды на Тайване, с использованием известных компаний и передовых методов уклонения от уплаты налогов.

#ParsedReport #CompletenessLow
03-11-2024

Flash Notice: Hackers Exploit Docker API Servers for Crypto Mining Attackers

https://www.avertium.com/flash-notices/hackers-exploit-docker-api-servers-for-crypto-mining-attacks

Report completeness: Low

TTPs:

IOCs:
Url: 1
Hash: 19
IP: 6

Soft:
Docker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности упреждающих мер кибербезопасности, раннего обнаружения киберугроз и использования передовых решений для управляемого обнаружения и реагирования (MDR), таких как Fusion MXDR, для повышения уровня безопасности. Кроме того, в нем подчеркивается комплексный подход Avertium к стратегии кибербезопасности, включающий внедрение системы управления информацией о безопасности и событиями (SIEM), анализ угроз и планирование киберустойчивости, что позволяет организациям защищать свои цифровые активы от развивающихся киберугроз.
-----

В тексте обсуждаются действия по борьбе с киберугрозами, нацеленные на общедоступные хосты Docker API, где злоумышленники стремятся избежать обнаружения и мер безопасности для развертывания решений для крипто-майнинга для захвата сетевых ресурсов. Он представляет Fusion MXDR в качестве решения для управляемого обнаружения и реагирования (MDR), которое объединяет различные операции по обеспечению безопасности в усовершенствованное решение XDR. Используя результаты анализа угроз, оценки безопасности и управления уязвимостями, Fusion MXDR повышает готовность и эффективность в области кибербезопасности, превосходя возможности отдельных компонентов.

Эффективное обнаружение программ-вымогателей и вредоносных программных атак имеет решающее значение для минимизации их последствий. В тексте подчеркивается важность раннего обнаружения с использованием систем защиты информации и управления событиями (SIEM). Avertium предлагает комплексный подход на основе SIEM для повышения вероятности обнаружения программ-вымогателей до того, как они нанесут ущерб. SIEM предоставляет централизованное представление об ИТ-среде компании, позволяя осуществлять упреждающий мониторинг событий безопасности и выявлять аномалии. Avertium обеспечивает соответствие между стратегиями кибербезопасности и бизнеса, подчеркивая, что инвестиции в безопасность также приносят пользу бизнесу.

Услуга "Стратегия кибербезопасности", предлагаемая компанией Avertium, включает в себя несколько ключевых компонентов для укрепления позиций безопасности и повышения устойчивости к киберугрозам. Эти компоненты включают в себя стратегическую оценку безопасности, составление карт угроз с использованием информации о киберугрозах для оценки вероятных сценариев атак, а также дорожную карту киберзрелости, описывающую структурированный подход к постоянному совершенствованию системы кибербезопасности. Дорожная карта киберзрелости включает в себя разработку политики и процедур, услуги виртуального директора по информационной безопасности (VCISO), мероприятия по обучению и внедрению, практические занятия, а также планирование обеспечения непрерывности бизнеса и аварийного восстановления.

Приведены конкретные тактические приемы злоумышленников, в том числе интерпретатор команд и сценариев (T1059), используемый злоумышленниками для выполнения вредоносных команд через интерфейсы командной строки или скрипты. Методы маскировки (T1036) включают маскировку вредоносных процессов или файлов под законные, что повышает скрытность при атаках. Тактика передачи средств проникновения (T1105) используется для загрузки или переноса инструментов или вредоносного ПО на скомпрометированные системы для дальнейшего использования, что позволяет злоумышленникам сохранять доступ и осуществлять вредоносные действия.

Таким образом, в тексте подчеркивается важность упреждающих мер кибербезопасности, раннего обнаружения киберугроз и использования передовых решений MDR, таких как Fusion MXDR, для повышения уровня безопасности. Комплексный подход Avertium к стратегии кибербезопасности, включающий внедрение SIEM, анализ угроз и планирование киберустойчивости, направлен на расширение возможностей организаций по защите своих цифровых активов и операций от развивающихся киберугроз. Понимая тактику противника, такую как выполнение команд, маскировка и передача инструментов, организации могут лучше подготовиться и защититься от сложных кибератак.

#ParsedReport #CompletenessHigh
02-11-2024

Kids, Don't Cheat! "New" Techniques of the PhaseShifters Group

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/deti-ne-spisyvaem-novye-tehniki-gruppirovki-phase-shifters/

Report completeness: High

Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Uac-0050
Ta558
Blindeagle
Handala-hacking-team
Sapphire_werewolf

Threats:
Steganography_technique
Darktrack_rat
Meta_stealer
Rhadamanthys
Ande_loader
Asyncrat
Redline_stealer
Remcos_rat
Njrat
Xworm_rat
Upcry
Quasar_rat
Meduza
Handala_loader
Darktrack
Amethyst
Spear-phishing_technique
Upx_tool
Themida_tool

Victims:
Russian companies, Polish government organizations, Ukrainian organizations

Industry:
Financial, Government

Geo:
Spanish, Ukrainian, Russian, Chile, Bulgarian, Portuguese, Polish, Moldova, Russian federation, Ukraine, Poland, Russia, Belarus

TTPs:
Tactics: 7
Technics: 16

IOCs:
File: 8
Hash: 30
IP: 3
Url: 11
Domain: 2

Soft:
Telegram

Algorithms:
base64, zip

Languages:
visual_basic, autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение новых атак, проводимых группой PhaseShifters, их тактики и приемов, включая использование стеганографии, сотрудничество с другими группами, такими как Blind Eagle, нацеливание вредоносных программ на различные сектора в России, Беларуси и Польше, фишинговые электронные письма и использование репозиториев. Кроме того, в тексте исследуются сходства между группами, использующими фазовые переходы, и группами UAC-0050 с точки зрения тактики, методов и потенциального сотрудничества, что позволяет предположить их влияние на меняющийся ландшафт киберугроз.
-----

В тексте обсуждаются новые атаки, приписываемые группе PhaseShifters, связанные с использованием методов стеганографии, аналогичных тем, которые используются группой TA558. Группа PhaseShifters использует испаноязычных шифровальщиков из группы Blind Eagle для хранения закодированной полезной информации в репозиториях BitBucket и GitHub. Атаки группы, которые наблюдаются с весны 2023 года, нацелены на различные сектора в России, Беларуси и Польше с использованием вредоносных программ, таких как Rhadamanthys, DarkTrack RAT и Meta Stealer. Тактика группы включает в себя фишинговые электронные письма от предполагаемых должностных лиц с просьбой ознакомиться с документами и подписать их, а также вложения, содержащие архивы, защищенные паролем.

Кроме того, в тексте говорится об обнаружении в июне 2024 года архива под названием "Копия labor.docx.rar", распространяющего вредоносные файлы среди российских компаний. Обнаруженный файл выполнял скрипты PowerShell для загрузки изображений с загрузчиками вредоносных программ и полезной нагрузки из репозиториев BitBucket. Анализ выявил причастность DarkTrack RAT и других семейств вредоносных программ, таких как AsyncRAT и njRAT, что указывает на связи с другими хакерскими группами, такими как TA558 и Blind Eagle.

Исследование выявило сходство методов обфускации в сценариях и файлах PowerShell, используемых группами PhaseShifters и UAC-0050, что указывает на потенциальную взаимосвязь или общую подписку на шифровальщики и обфускаторы. Обе группы демонстрируют совпадения в методах, таких как использование теневых форумов для распространения инструментов обфускации и использование схожих репозиториев для хранения полезной информации и доступа к ней. В качестве вероятного сценария также обсуждается возможность копирования методов другими группами.

Кроме того, в тексте рассказывается об истории группы UAC-0050, которая атаковала правительственные организации в Украине, Польше, Беларуси и России, используя фишинговые электронные письма и вредоносные программы, такие как Remcos RAT, Quasar RAT и Meduza Stealer. Тактика UAC-0050 включает маскировку вредоносных программ под законные приложения, такие как CCleaner, и использование BitBucket для хранения вредоносных архивов, на которые даны ссылки в электронных письмах. Связи между UAC-0050 и фазовыми переключателями устанавливаются на основе пересекающихся шаблонов атак, связанных с криптографией и использованием хранилища.

Анализ выявляет тактику сетевой разведки, такую как обнаружение общих сетевых ресурсов, стратегии развертывания вредоносных программ, выполнение фишинговых атак, методы интерпретации команд, методы обфускации и обнаружения процессов, используемые как фазовыми переключателями, так и UAC-0050. У этих групп есть общие тактики уклонения, настойчивости, защиты и обнаружения, что указывает на возможные сходства и подразумевает потенциальное сотрудничество или обмен информацией между ними. Рекомендуется провести дальнейшие исследования, чтобы окончательно установить взаимосвязь между этими двумя группами и понять меняющийся ландшафт киберугроз, на который влияет их деятельность.

#ParsedReport #CompletenessMedium
03-11-2024

Dark Web Profile: Tropic Trooper (APT23)

https://socradar.io/dark-web-profile-tropic-trooper-apt23

Report completeness: Medium

Actors/Campaigns:
Pirate_panda (motivation: cyber_espionage)
Poison_ivy

Threats:
Spear-phishing_technique
Fscan_tool
Mimikatz_tool
Yahoyah
Chinachopper
Dllsearchorder_hijacking_technique
Shadowpad
Credential_harvesting_technique
Neo-regeorg_tool
Frpc_tool
Chisel_tool
Bloodhound_tool
Usbferry
Rclone_tool
Bitsadmin_tool
Cobalt_strike
Crowdoor
Quasar_rat
Dll_sideloading_technique
Credential_dumping_technique

Victims:
Government agencies, Healthcare organizations, Military entities, Human rights organizations, Telecommunications, Technology, High-tech sectors

Industry:
Military, Telco, Healthcare, Critical_infrastructure, Government, Transport

Geo:
Taiwan, Philippines, China, Chinese, Middle east, Asia, Hong kong

CVEs:
CVE-2023-26360 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe coldfusion (2018, 2021)


TTPs:
Tactics: 11
Technics: 35

IOCs:
File: 2

Soft:
Microsoft Office, Umbraco, Active Directory, Microsoft Exchange, Adobe ColdFusion, Windows Service

Win Services:
BITS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Tropic Trooper - это изощренная хакерская группа, спонсируемая китайским государством, специализирующаяся на шпионаже в особо важных секторах Юго-Восточной Азии, использующая передовые тактики, такие как скрытый фишинг, индивидуальные вредоносные атаки, эксплойты для повышения привилегий и постоянная утечка данных. Они нацелены на получение ценной разведывательной информации в интересах национальной безопасности Китая, нацеливаясь на правительственные, медицинские и военные структуры. Организации могут защититься от Tropic Trooper, применяя надежные меры безопасности и оставаясь в курсе их тактики.
-----

Tropic Trooper, также известная как Pirate Panda и APT 23, является спонсируемой китайским государством хакерской группой, специализирующейся на шпионаже с 2011 года.

Основными целями являются такие чувствительные секторы, как государственное управление, здравоохранение и транспорт, с акцентом на такие регионы, как Тайвань, Гонконг и Филиппины.

Использует передовые тактики, такие как фишинговые кампании, социальная инженерия и специализированные вредоносные атаки, чтобы скомпрометировать сети и извлечь ценную информацию.

Действует под псевдонимами Iron, KeyBoy и Bronze Hobart и согласовывает атаки с геополитическими интересами Китая.

Использует сложные пользовательские вредоносные программы, такие как TClient, Yahoyah и China Chopper, для сохранения и непрерывной фильтрации данных.

Использует уязвимости в приложениях и использует эксплойты для повышения привилегий в целевых сетях.

Осуществляет горизонтальное перемещение по взаимосвязанным устройствам и серверам, используя инструменты разведки для выявления уязвимостей для дальнейшего использования.

Нацелен на правительственные учреждения, организации здравоохранения и военные подразделения в Юго-Восточной Азии с целью получения разведывательных данных в интересах национальной безопасности Китая.

Рекомендации по защите от Tropic Trooper включают внедрение надежных решений для фильтрации электронной почты, проведение обучения сотрудников распознаванию попыток фишинга, обеспечение контроля привилегированного доступа, внедрение передовых решений для обнаружения конечных точек и поддержание обновленного программного обеспечения в исправленном состоянии.