#ParsedReport #CompletenessLow
02-11-2024

Inside LameDuck: analyzing Anonymous Sudan s threat operations

https://www.cloudflare.com/en-au/threat-intelligence/research/report/inside-lameduck-analyzing-anonymous-sudans-threat-operations

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: politically_motivated, cyber_criminal, hacktivism, financially_motivated, propaganda)
Ddos-for-hire (motivation: cyber_criminal, financially_motivated, politically_motivated)
Turk_hack_team (motivation: hacktivism)
Killnet (motivation: hacktivism)
Siegedsec (motivation: hacktivism)

Threats:
Skynet_botnet
Godzilla_webshell
Httpflood_technique

Victims:
Cloudflare, Microsoft, Scandinavian airlines, Archive of our own, U.s. companies, Kenyan organizations, Egyptian isps, Swedish organizations, Israeli organizations

Industry:
Critical_infrastructure, Financial, Aerospace, Government, Transport, Telco, Iot, Military, Education, Healthcare

Geo:
Ukrainian, Israeli, Africa, Asia, Sudan, Russian, Egyptian, Swedish, Ukraine, Russia, Middle east, American, Canada, Kenya, Germany, Australia

ChatGPT TTPs:
do not use without manual check
T1498, T1583.003, T1071.004

Soft:
OpenAI

Crypto:
bitcoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в хакерской группе LameDuck, которая появилась в январе 2023 года и занимается политически мотивированными кибератаками, нацеленными на произраильские организации. Группа использовала распределенный облачный инструмент атаки под названием "Ботнет Skynet" для проведения многочисленных DDoS-атак и была вовлечена в киберпреступления с финансовой подоплекой, предлагая услуги по организации DDoS-атак по найму и занимаясь вымогательством. Операции группы были сложными, нацеленными на различные секторы и страны по всему миру, а их сложные возможности были продемонстрированы в ходе разрушительных киберопераций.
-----

Хакерская группа LameDuck, возникшая в январе 2023 года, занимается широким спектром вредоносных действий, уделяя особое внимание политически мотивированным кибератакам. После нападения ХАМАСА в октябре 2023 года группа особенно активно атаковала произраильские организации. LameDuck использовал инструмент распределенной облачной атаки, известный как "Ботнет Skynet", для проведения более 35 000 подтвержденных DDoS-атак в период с января 2023 по март 2024 года. Примечательно, что группа была вовлечена в киберпреступления с финансовой подоплекой, предлагая услуги по организации DDoS-атак по найму и занимаясь вымогательством. В обвинительном заключении, обнародованном Министерством юстиции Соединенных Штатов, говорится, что "Ламедак" был организован двумя братьями-суданцами, что опровергает предыдущие обвинения, связывающие эту группу с деятельностью, спонсируемой российским государством. Несмотря на их антизападный и происламский характер, мотивы Ламедака были сложными, и его операции были нацелены на различные сектора и страны по всему миру. Использование группой различных тактик и методов, включая использование арендованных серверов для атак и развертывание дорогостоящих конечных точек, продемонстрировало их передовые возможности в проведении подрывных киберопераций. Кроме того, склонность Ламедака к публичным угрозам и пропаганде намекает на то, что они нуждаются во внимании и усилении своих идеологических мотивов.

#ParsedReport #CompletenessLow
03-11-2024

Typosquat Campaign Targeting npm Developers. Overview. Typosquat Campaign Targeting npm Developers

https://blog.phylum.io/supply-chain-security-typosquat-campaign-targeting-puppeteer-users

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers

Industry:
Financial, Software_development

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1059, T1195.002

IOCs:
File: 4
Coin: 2
IP: 4
Hash: 3

Soft:
Chrome, linux

Wallets:
mainnet

Crypto:
ethereum

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Аналитик по анализу киберугроз обнаружил кампанию typosquat, направленную на разработчиков с помощью вредоносных пакетов в реестрах с открытым исходным кодом с целью получения первоначального доступа к их системам. Стратегия злоумышленника заключалась в сокрытии вредоносного ПО в поддельных пакетах, напоминающих популярные библиотеки, такие как Puppeteer, с целью сбора системной информации и скрытого запуска вредоносного ПО на целевых компьютерах. Эта продолжающаяся кампания подчеркивает эволюцию тактики злоумышленников по обману разработчиков и подчеркивает необходимость повышения бдительности в сообществе разработчиков программного обеспечения для предотвращения подобных атак на цепочки поставок.
-----

Накануне, 31 октября 2024 года, автоматизированная платформа обнаружения киберугроз аналитика cyber threat intelligence выявила ряд подозрительных пакетов в реестрах пакетов с открытым исходным кодом. Эти пакеты были частью кампании typosquat, нацеленной на разработчиков, которые намеревались использовать популярные библиотеки, такие как Puppeteer, Bignum.js и различные библиотеки криптовалют. План злоумышленника состоял в том, чтобы обманом заставить разработчиков установить эти вредоносные пакеты, чтобы получить первоначальный доступ к их системам.

Хотя вредоносные пакеты содержали обфусцированный JavaScript, файл, необходимый для выполнения атаки, не был включен, что указывает на недосмотр автора вредоносного пакета. Деобфусцированный код выявил типичное поведение вредоносного ПО, включая получение удаленных исполняемых файлов и их запуск на целевой машине. Код взаимодействовал со смарт-контрактом Ethereum, используя библиотеку ethers.js, чтобы получить IP-адрес, связанный с определенным адресом контракта в основной сети Ethereum. Цель злоумышленника состояла в том, чтобы собрать системную информацию, такую как графический процессор, ЦП, оперативная память, имя пользователя и версия операционной системы, и отправить ее обратно на удаленный сервер, в конечном итоге запустив вредоносную программу в фоновом режиме на целевом компьютере.

Кампания включала публикацию пакетов typosquat, полностью имитирующих легальные, с такими названиями, как "pupeter" и "pupetier", в попытке обмануть разработчиков. Решение опубликовать эти пакеты вредоносных программ под тем же номером версии, что и у легального пакета Puppeteer, скорее всего, было преднамеренным. В ходе продолжающейся кампании было опубликовано значительное количество вредоносных пакетов, что свидетельствует о постоянных усилиях злоумышленника.

Авторы вредоносных программ, участвующие в таких атаках на цепочки поставок, постоянно совершенствуют свою тактику, чтобы скрыть свои намерения и спрятать вредоносный код в, казалось бы, законных программных пакетах. Это подчеркивает важность бдительности в сообществе разработчиков программного обеспечения для предотвращения подобных атак. Используя блокчейн Ethereum для связи с вредоносными серверами, злоумышленники могут вести неизменяемый учет своих действий, что позволяет проводить ретроспективный анализ IP-адресов, которые они использовали в своих вредоносных кампаниях.

#ParsedReport #CompletenessHigh
03-11-2024

Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns. Cyberoam intrusion

https://news.sophos.com/en-us/2024/10/31/pacific-rim-timeline

Report completeness: High

Actors/Campaigns:
Personal_panda
Asnarok (motivation: sabotage)
Winnti
Apt31
Driftingcloud
Cloud_snooper
Volt_typhoon

Threats:
Barracuda_tool
Netis
Asnarok
Lolbin_technique
Gh0st_rat
Ragnarok
Masscan_tool
Dropbear_tool
Sliver_c2_tool
Dcsync_technique
Fscan_tool
Chisel_tool
Netcat_tool
Supply_chain_technique
Microsocks_tool
Credential_dumping_technique

Victims:
Sophos, Cyberoam, Government entities, Military facilities, Intelligence agencies, Critical infrastructure providers, Research organizations, Ivanti

Industry:
Education, Healthcare, Critical_infrastructure, Telco, Retail, Energy, Aerospace, Financial, Military, Government

Geo:
Tibetan targets and, India, Asia-pacific, Tibetan target attacked, Support to tibetan, Japan, 31 2020 tibetan, Same tibetan, 2020 tibetan, Tibetan targets, Dutch, Netherlands, Chinese, Hong kong, Tibetan exiles, Asian, China, French, To tibetan, Tibetan target, Asia, The same tibetan, Pacific

CVEs:
CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (le18.5.3)

CVE-2020-29574 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos cyberoamos (le2020-12-04)

CVE-2020-15069 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos xg firewall firmware (<17.5)

CVE-2022-1292 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openssl (<1.0.2ze, <1.1.1o, <3.0.3)

CVE-2020-12271 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (17.0, 17.1, 17.5, 18.0)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)


TTPs:
Tactics: 6
Technics: 37

IOCs:
Email: 1
File: 2
Url: 1
Domain: 1
IP: 2
Hash: 1

Soft:
Tenda, Zyxel, Linux, Mac OS, Ivanti, OpenSSL, Active Directory, Unix, Linux s

Algorithms:
aes, des

Languages:
perl, python, java

Links:
have more...
https://github.com/cisagov/Decider/
https://github.com/sophoslabs/NetDeviceCVEs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста сосредоточена на пятилетнем расследовании, проведенном Sophos X-Ops в отношении базирующихся в Китае злоумышленников, нацеленных на устройства периметра, включая брандмауэры Sophos, с использованием передовых тактик и эксплойтов, таких как Gh0st RAT, руткиты и уязвимости CVE. В анализе освещаются выявленные угрозы, меры по их устранению, совместные действия с отраслевыми партнерами и рекомендации для организаций по усилению защиты от этих изощренных злоумышленников в области кибербезопасности.
-----

Sophos X-Ops провела пятилетнее расследование действий китайских злоумышленников, нацеленных на устройства периметра, включая брандмауэры Sophos. Первая атака была направлена на индийскую дочернюю компанию Cyberoam, которая использовала уязвимости нулевого дня во время расширения удаленного доступа из-за пандемии COVID-19. Злоумышленники установили на устройства вредоносное ПО с правами root. Впоследствии злоумышленники переключили внимание на конкретные организации в различных секторах Азиатско-Тихоокеанского региона, используя передовые тактики, такие как развертывание Gh0st RAT, злоупотребление AWS SSM и разработка сложных руткитов.

Sophos X-Ops выявляла и устраняла инциденты с помощью исправлений, патчей и активного поиска угроз, выявления SQL-инъекций, повышения привилегий, троянских программ, таких как Asnark, и пользовательских руткитов. Сотрудничество с такими организациями, как Volexity и NCSC-NL, помогло захватить серверы C2, удалить вредоносные домены и поделиться информацией об угрозах. Совместные усилия с командой реагирования на инциденты Microsoft позволили выявить скомпрометированные устройства в таких важных секторах, как финансы и здравоохранение.

Были обнаружены новые эксплойты, такие как CVE-2022-1040 и CVE-2022-3236, которые выявили руткиты, RAT и скрытые JAR-файлы, используемые для кражи учетных данных. Был обнаружен загрузочный комплект UEFI BIOS и сложные методы защиты, демонстрирующие расширенные возможности злоумышленников. Злоумышленники атаковали правительственные учреждения, поставщиков критически важной инфраструктуры и военные объекты в регионе, используя сочетание инструментов с открытым исходным кодом и пользовательских инструментов, чтобы избежать обнаружения и сохранить защиту.

В ответ Sophos X-Ops выпустила рекомендации, внедрила исправления и сотрудничала с агентствами по кибербезопасности и отраслевыми партнерами, чтобы пресечь вредоносную деятельность. Однако устаревшие устройства EOL, уязвимые для CVE-атак, таких как CVE-2022-3236, остались, что создает риск дальнейших атак, особенно на организации, связанные с Ivanti. Скомпрометированные устройства управляли SSH-серверами Dropbear на определенном порту, что затрудняло усилия по обнаружению путем отключения функций телеметрии и удаленного обновления.

Организациям рекомендуется проводить оценку безопасности, исправлять устаревшие системы и расширять возможности мониторинга, чтобы снизить риск их использования. Сотрудничество между специалистами в области безопасности, группами по анализу угроз и заинтересованными сторонами имеет решающее значение для борьбы с угрозой, исходящей от устройств EOL, выполняющих функции оперативных ретрансляторов. Оставаясь в курсе событий, устраняя уязвимости и усиливая защиту, организации могут смягчать воздействие киберугроз на свою деятельность и репутацию.

#ParsedReport #CompletenessMedium
03-11-2024

Investigating a SharePoint Compromise: IR Tales from the Field

https://www.rapid7.com/blog/post/2024/10/30/investigating-a-sharepoint-compromise-ir-tales-from-the-field

Report completeness: Medium

Threats:
Impacket_tool
Mimikatz_tool
Ntdsutil_tool
Credential_dumping_technique
Credential_harvesting_technique
Crackmapexec_tool

Geo:
China

CVEs:
CVE-2024-38094 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint server (-, 2016, 2019)


TTPs:
Tactics: 6
Technics: 7

IOCs:
Path: 11
File: 3
IP: 2
Hash: 9

Soft:
Microsoft Exchange, SharePoint server, Microsoft Store, Windows Defender, Active Directory, Microsoft SharePoint, ADFS, Velociraptor

Algorithms:
sha256

Languages:
powershell, python

Links:
https://github.com/rapid7/Rapid7-Labs/tree/main/Vql
https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC/tree/main

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что речь идет об инциденте кибератаки, связанном с несанкционированной установкой вредоносного программного обеспечения, использованием уязвимостей, развертыванием различных инструментов для горизонтального перемещения и последующей эксплуатации, а также постоянным нарушением целостности данных в сети организации. Атака была сложной и включала в себя взломы, использование уязвимостей, таких как CVE-2024-38094, методы обхода средств контроля безопасности и попытки взлома резервных копий. В тексте подчеркивается важность поддержания надежной системы безопасности, регулярного проведения оценки уязвимостей и проявления бдительности в отношении современных киберугроз.
-----

Ключевые факты:.

Обнаружена кибератака, связанная с несанкционированной установкой антивируса Horoung на учетную запись службы Microsoft Exchange, что привело к конфликтам с существующими продуктами безопасности.

Злоумышленник попытался установить Impacket для бокового перемещения и последующей эксплуатации, но был остановлен мерами безопасности.

Компрометация учетной записи Exchange была связана со взломанным контроллером домена, доступ к которому осуществлялся через протокол RDP, где был отключен защитник Windows и внедрен вредоносный двоичный протокол FRP.

Злоумышленник использовал такие инструменты, как Mimikatz, для сбора учетных данных и воспользовался уязвимостью CVE-2024-38094 для удаленного выполнения кода.

Злоумышленник использовал веб-оболочки и двоичные файлы для поиска файлов, перебора запросов Kerberos и пытался взломать сторонние резервные копии.

Злоумышленник использовал обходные методы, такие как установка внешних антивирусных продуктов и пользовательских скриптов, чтобы обойти средства контроля безопасности.

Rapid7 предлагает проверки на обнаружение уязвимостей для клиентов, использующих сервисы InsightVM и Nexpose, и рекомендует использовать Insight Agent для улучшения видимости и охвата обнаружения.

Механизмы обнаружения охватывают поведение, связанное с использованием выявленной уязвимости, такое как подозрительные команды, взаимодействия с веб-сервером и инструменты злоумышленников, такие как Impacket и Mimikatz.

Правила обнаружения также учитывают методы злоумышленников, такие как сброс хэша и очистка журнала событий, а также тактику уклонения от защиты.

Инцидент подчеркивает важность надежной системы безопасности, регулярной оценки уязвимостей и осведомленности о сложных источниках угроз, нацеленных на организационные сети.

#ParsedReport #CompletenessLow
03-11-2024

Finding the unknown unknowns, part 2 (unc3707)

https://strikeready.com/blog/finding-the-unknown-unknowns-part-2

Report completeness: Low

Actors/Campaigns:
Unc3707 (motivation: disinformation)

Industry:
Telco

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1583.006, T1596.004, T1590.005

IOCs:
Domain: 32
Hash: 1
IP: 4

Crypto:
chainlink

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2024-10-27%20unknown%20unknowns%20unc3707

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние кампании российской APT group unc3707, направленные на анализ вредоносного контента, выявление связанных доменов, проверку IP-адресов, обнаружение вредоносной активности на основе объема IP-адресов, использование объявлений о маршрутах для анализа трафика, отслеживание объявлений BGP для анализа сети и атрибуцию артефактов хакерским группам.
-----

В тексте обсуждаются недавние кампании предполагаемой российской APT-группы unc3707, направленные на анализ вредоносного контента и выявление связанных доменов. В нем подчеркивается важность изучения IP-адресов, чтобы определить, предназначены ли они злоумышленникам или используются законными службами. Обсуждаются различные типы распределения IP-адресов, такие как VPS с одним IP-адресом, серверы с блоком /29 и центры коллокации с блоком /24. В тексте подчеркивается важность понимания объема доменов на IP-адресе для обнаружения потенциальной вредоносной активности. Кроме того, в нем упоминается использование объявлений о маршрутах с единым исходным кодом в качестве полезного индикатора для выявления подозрительного трафика.

В анализе упоминается веб-сайт ukr-setting.com в качестве общего шаблона, используемого unc3707 для фишинговых кампаний. В нем подчеркивается необходимость выявления аналогичного фишингового контента в других местах и важность отслеживания объявлений BGP для сетевого анализа. Конкретный выброс, ukraine-story.com упомянут за то, что он не имеет отношения к кампании и вместо этого связан с российской дезинформацией.

В тексте дается информация об определении характера IP-адресов, анализе фишинговых кампаний и использовании сетевых индикаторов для анализа данных об угрозах. В нем подчеркивается важность тщательного расследования и аналитической скрупулезности для точной идентификации артефактов хакерскими группами.

#ParsedReport #CompletenessMedium
03-11-2024

APT Group - Konni Launches New Attacks on South Korea. APT Group Analysis

https://threatbook.io/blog/id/1094

Report completeness: Medium

Actors/Campaigns:
Scarcruft

Threats:
Spear-phishing_technique

Victims:
Rtp company employees

Industry:
Government

Geo:
Russia, Korean, North korean, Korea, North korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204, T1059.001, T1564.001, T1105

IOCs:
Hash: 12
File: 6
Path: 2
IP: 1

Soft:
curl

Algorithms:
sha1, sha256, md5

Win Services:
AvastSvc

Languages:
powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе кампании вредоносных кибератак, проводимой Konni group против южнокорейских организаций, в частности компании RTP. Группа использовала различные тактики, включая распространение образцов вредоносного ПО корейской тематики, использование автоматизированных инструментов для массового производства, размещение основных полезных данных на взломанных веб-сайтах и использование инструмента AutoIt для выполнения вредоносных действий в системах Windows. Анализ также показывает использование группой скриптов PowerShell, взаимодействие с сервером C&C и хронологию кампании атак с момента ее возникновения в декабре 2023 года до распространения в 2024 году.
-----

Анализ ThreatBook выявил образец вредоносного по под названием "Материалы для собраний", предназначенный для сотрудников южнокорейской RTP-компании с целью сбора конфиденциальной информации.

Группа "Конни", предположительно поддерживаемая конкретным правительством, действует с 2014 года, осуществляя целенаправленные кибератаки в основном в России и Южной Корее.

Konni group использует актуальные темы в социальных сетях для проведения фишинговых атак, уделяя особое внимание Южной Корее, в частности инженерному отделу RTP и персоналу, занимающемуся налоговым анализом и анализом рынка Северной Кореи.

Группа использовала автоматизированные инструменты для массового создания вредоносных образцов по таким темам, как "материалы для собраний", "уклонение от уплаты налогов" и "рыночные цены", которые были созданы 25 декабря 2023 года.

Konni group размещала основную полезную нагрузку на взломанных веб-сайтах, используя скрипты AutoIt3 для уклонения, в результате чего были обнаружены шесть образцов, последний из которых был обнаружен 6 июля 2024 года.

Образцы показали, что файл Lnk постоянно выполняет скрипты PowerShell для загрузки вредоносной полезной нагрузки, связываясь с сервером C&C для загрузки файлов.

#ParsedReport #CompletenessLow
03-11-2024

Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network

https://www.microsoft.com/en-us/security/blog/2024/10/31/chinese-threat-actor-storm-0940-uses-credentials-from-password-spray-attacks-from-a-covert-network

Report completeness: Low

Actors/Campaigns:
Storm-0940

Threats:
Password_spray_technique
Quad7
Credential_dumping_technique
Mfa_bombing_technique

Industry:
Telco, Healthcare, Ngo, Government

Geo:
America, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1110.003, T1090, T1046, T1003, T1071.001, T1027

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Windows Hello, Azure AD, ADFS, Microsoft 365 Defender, Twitter

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, table: 1