#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что речь идет об инциденте кибератаки, связанном с несанкционированной установкой вредоносного программного обеспечения, использованием уязвимостей, развертыванием различных инструментов для горизонтального перемещения и последующей эксплуатации, а также постоянным нарушением целостности данных в сети организации. Атака была сложной и включала в себя взломы, использование уязвимостей, таких как CVE-2024-38094, методы обхода средств контроля безопасности и попытки взлома резервных копий. В тексте подчеркивается важность поддержания надежной системы безопасности, регулярного проведения оценки уязвимостей и проявления бдительности в отношении современных киберугроз.
-----

Ключевые факты:.

Обнаружена кибератака, связанная с несанкционированной установкой антивируса Horoung на учетную запись службы Microsoft Exchange, что привело к конфликтам с существующими продуктами безопасности.

Злоумышленник попытался установить Impacket для бокового перемещения и последующей эксплуатации, но был остановлен мерами безопасности.

Компрометация учетной записи Exchange была связана со взломанным контроллером домена, доступ к которому осуществлялся через протокол RDP, где был отключен защитник Windows и внедрен вредоносный двоичный протокол FRP.

Злоумышленник использовал такие инструменты, как Mimikatz, для сбора учетных данных и воспользовался уязвимостью CVE-2024-38094 для удаленного выполнения кода.

Злоумышленник использовал веб-оболочки и двоичные файлы для поиска файлов, перебора запросов Kerberos и пытался взломать сторонние резервные копии.

Злоумышленник использовал обходные методы, такие как установка внешних антивирусных продуктов и пользовательских скриптов, чтобы обойти средства контроля безопасности.

Rapid7 предлагает проверки на обнаружение уязвимостей для клиентов, использующих сервисы InsightVM и Nexpose, и рекомендует использовать Insight Agent для улучшения видимости и охвата обнаружения.

Механизмы обнаружения охватывают поведение, связанное с использованием выявленной уязвимости, такое как подозрительные команды, взаимодействия с веб-сервером и инструменты злоумышленников, такие как Impacket и Mimikatz.

Правила обнаружения также учитывают методы злоумышленников, такие как сброс хэша и очистка журнала событий, а также тактику уклонения от защиты.

Инцидент подчеркивает важность надежной системы безопасности, регулярной оценки уязвимостей и осведомленности о сложных источниках угроз, нацеленных на организационные сети.

#ParsedReport #CompletenessLow
03-11-2024

Finding the unknown unknowns, part 2 (unc3707)

https://strikeready.com/blog/finding-the-unknown-unknowns-part-2

Report completeness: Low

Actors/Campaigns:
Unc3707 (motivation: disinformation)

Industry:
Telco

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1583.006, T1596.004, T1590.005

IOCs:
Domain: 32
Hash: 1
IP: 4

Crypto:
chainlink

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2024-10-27%20unknown%20unknowns%20unc3707

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние кампании российской APT group unc3707, направленные на анализ вредоносного контента, выявление связанных доменов, проверку IP-адресов, обнаружение вредоносной активности на основе объема IP-адресов, использование объявлений о маршрутах для анализа трафика, отслеживание объявлений BGP для анализа сети и атрибуцию артефактов хакерским группам.
-----

В тексте обсуждаются недавние кампании предполагаемой российской APT-группы unc3707, направленные на анализ вредоносного контента и выявление связанных доменов. В нем подчеркивается важность изучения IP-адресов, чтобы определить, предназначены ли они злоумышленникам или используются законными службами. Обсуждаются различные типы распределения IP-адресов, такие как VPS с одним IP-адресом, серверы с блоком /29 и центры коллокации с блоком /24. В тексте подчеркивается важность понимания объема доменов на IP-адресе для обнаружения потенциальной вредоносной активности. Кроме того, в нем упоминается использование объявлений о маршрутах с единым исходным кодом в качестве полезного индикатора для выявления подозрительного трафика.

В анализе упоминается веб-сайт ukr-setting.com в качестве общего шаблона, используемого unc3707 для фишинговых кампаний. В нем подчеркивается необходимость выявления аналогичного фишингового контента в других местах и важность отслеживания объявлений BGP для сетевого анализа. Конкретный выброс, ukraine-story.com упомянут за то, что он не имеет отношения к кампании и вместо этого связан с российской дезинформацией.

В тексте дается информация об определении характера IP-адресов, анализе фишинговых кампаний и использовании сетевых индикаторов для анализа данных об угрозах. В нем подчеркивается важность тщательного расследования и аналитической скрупулезности для точной идентификации артефактов хакерскими группами.

#ParsedReport #CompletenessMedium
03-11-2024

APT Group - Konni Launches New Attacks on South Korea. APT Group Analysis

https://threatbook.io/blog/id/1094

Report completeness: Medium

Actors/Campaigns:
Scarcruft

Threats:
Spear-phishing_technique

Victims:
Rtp company employees

Industry:
Government

Geo:
Russia, Korean, North korean, Korea, North korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204, T1059.001, T1564.001, T1105

IOCs:
Hash: 12
File: 6
Path: 2
IP: 1

Soft:
curl

Algorithms:
sha1, sha256, md5

Win Services:
AvastSvc

Languages:
powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе кампании вредоносных кибератак, проводимой Konni group против южнокорейских организаций, в частности компании RTP. Группа использовала различные тактики, включая распространение образцов вредоносного ПО корейской тематики, использование автоматизированных инструментов для массового производства, размещение основных полезных данных на взломанных веб-сайтах и использование инструмента AutoIt для выполнения вредоносных действий в системах Windows. Анализ также показывает использование группой скриптов PowerShell, взаимодействие с сервером C&C и хронологию кампании атак с момента ее возникновения в декабре 2023 года до распространения в 2024 году.
-----

Анализ ThreatBook выявил образец вредоносного по под названием "Материалы для собраний", предназначенный для сотрудников южнокорейской RTP-компании с целью сбора конфиденциальной информации.

Группа "Конни", предположительно поддерживаемая конкретным правительством, действует с 2014 года, осуществляя целенаправленные кибератаки в основном в России и Южной Корее.

Konni group использует актуальные темы в социальных сетях для проведения фишинговых атак, уделяя особое внимание Южной Корее, в частности инженерному отделу RTP и персоналу, занимающемуся налоговым анализом и анализом рынка Северной Кореи.

Группа использовала автоматизированные инструменты для массового создания вредоносных образцов по таким темам, как "материалы для собраний", "уклонение от уплаты налогов" и "рыночные цены", которые были созданы 25 декабря 2023 года.

Konni group размещала основную полезную нагрузку на взломанных веб-сайтах, используя скрипты AutoIt3 для уклонения, в результате чего были обнаружены шесть образцов, последний из которых был обнаружен 6 июля 2024 года.

Образцы показали, что файл Lnk постоянно выполняет скрипты PowerShell для загрузки вредоносной полезной нагрузки, связываясь с сервером C&C для загрузки файлов.

#ParsedReport #CompletenessLow
03-11-2024

Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network

https://www.microsoft.com/en-us/security/blog/2024/10/31/chinese-threat-actor-storm-0940-uses-credentials-from-password-spray-attacks-from-a-covert-network

Report completeness: Low

Actors/Campaigns:
Storm-0940

Threats:
Password_spray_technique
Quad7
Credential_dumping_technique
Mfa_bombing_technique

Industry:
Telco, Healthcare, Ngo, Government

Geo:
America, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1110.003, T1090, T1046, T1003, T1071.001, T1027

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Windows Hello, Azure AD, ADFS, Microsoft 365 Defender, Twitter

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Microsoft обнаружила серию атак с использованием спрея паролей, исходящих из инфраструктуры CovertNetwork-1658, связанной с китайскими злоумышленниками, такими как Storm-0940. Эти атаки нацелены на нескольких клиентов Microsoft, использующих скомпрометированные маршрутизаторы SOHO для осуществления вредоносных действий. Корпорация Майкрософт стремится повысить осведомленность, усилить защиту и пресечь эти действия, предоставляя рекомендации пострадавшим клиентам. Сотрудничество между CovertNetwork-1658 и такими участниками угроз, как Storm-0940, представляет значительный риск для организаций по всему миру, что подчеркивает важность внедрения мер по смягчению последствий и средств обнаружения.
-----

Корпорация Майкрософт обнаружила атаки CovertNetwork-1658 с использованием спрея паролей, нацеленные на нескольких клиентов, с уклончивой и успешной кражей учетных данных.

CovertNetwork-1658, также известный как xlogin и Quad7 (7777), является источником этих атак и включает в себя скомпрометированные маршрутизаторы малого и домашнего бизнеса, в основном устройства TP-Link.

Учетные данные, полученные от CovertNetwork-1658, используются китайскими злоумышленниками, в частности Storm-0940, для получения доступа к организациям в Северной Америке и Европе.

CovertNetwork-1658 проводит кампании по распространению паролей с помощью сменяющихся IP-адресов, что затрудняет мониторинг.

Storm-0940 тесно сотрудничает с операторами CovertNetwork-1658, используя скомпрометированные учетные данные для первоначального доступа, осуществляя боковые перемещения, устанавливая удаленные инструменты и осуществляя эксфильтрацию данных.

Корпорация Майкрософт проинформировала пострадавших клиентов, опубликовала информацию для повышения осведомленности и предоставила рекомендации по устранению последствий и инструменты для борьбы с угрозами, исходящими от CovertNetwork-1658 и связанных с ними участников угроз.

#technique

Новый интересный разбор техники T1055.003 от коллег.

Thread execution hijacking. Исполнение шелл-кода в удаленном процессе

https://habr.com/ru/articles/855710/

#ParsedReport #CompletenessHigh
04-11-2024

TeamTNT s Docker Gatling Gun Campaign

https://www.aquasec.com/blog/threat-alert-teamtnts-docker-gatling-gun-campaign

Report completeness: High

Actors/Campaigns:
Teamtnt
Chimaera
Silentbob

Threats:
Sliver_c2_tool
Tsunami_botnet
Tdgg
Masscan_tool
Zgrab_scanner_tool
Chimaera
Ngrok_tool
T_rex_miner
Xmrig_miner
Cgrminer
Bfgminer
Sgminer
Dead_drop_technique

Industry:
Software_development

TTPs:
Tactics: 7
Technics: 0

IOCs:
Domain: 6
IP: 6
Hash: 8
Url: 1

Soft:
Docker, systemd, Docker Swarm, Alpine Linux, WireGuard, Pidgin, PostgreSQL, Dockerswarm

Algorithms:
md5

Languages:
perl

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, table: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа TeamTNT проводит масштабную атаку на облачные среды, нацеливаясь на уязвимых демонов Docker для развертывания вредоносных программ Sliver и криптоминеров, используя скомпрометированные серверы и инфраструктуру Docker Hub. Группа совершенствует свою тактику, используя расширенные возможности и уделяя особое внимание обходу защиты для осуществления своих вредоносных действий. В тексте также освещаются усилия исследователей Aqua Nautilus во главе с Assaf по сбору информации об угрозах и защите облачных инфраструктур от таких угроз.
-----

Исследователи Aqua Nautilus выявили, что известная хакерская группа TeamTNT готовится к крупномасштабной атаке на облачные среды в рамках новой кампании. В этой кампании TeamTNT нацелена на уязвимых демонов Docker для развертывания вредоносных программ Sliver и криптоминеров с использованием скомпрометированных серверов и инфраструктуры Docker Hub. Они используют возможности облачной среды, добавляя скомпрометированные экземпляры Docker в Docker Swarm и используя Docker Hub для хранения и распространения вредоносного ПО. Кроме того, они сдают в аренду вычислительные мощности жертв третьим лицам для криптомайнинга, косвенно зарабатывая деньги.

В этой кампании группа эволюционировала, заменив свой традиционный бэкдор Tsunami на более скрытную вредоносную программу Sliver. Они получают первоначальный доступ, используя незащищенных демонов Docker на различных портах и развертывая контейнеры из своей взломанной учетной записи Docker Hub с помощью вредоносных команд. Кампания направлена на захват ресурсов путем развертывания cryptominer и продажи скомпрометированной инфраструктуры другим лицам, что позволяет избежать проблем, связанных с проведением операций по добыче полезных ископаемых.

Использование TeamTNT вредоносного ПО Sliver включает в себя возможности управления по нескольким протоколам, таким как mTLS, WireGuard, HTTP(S) и DNS, что затрудняет его обнаружение по сравнению с предыдущим вредоносным ПО Tsunami. Они продолжают следовать своим установленным соглашениям об именовании операций, включая Chimaera, TDGG и bioset. Группа также использует anondns для обеспечения анонимности и конфиденциальности при разрешении DNS-запросов, указывая на свой веб-сервер с помощью devnull.anondns.net.

Кампания включает регистрацию новых вредоносных доменов, на которых размещаются двоичные файлы и скрипты, поддерживающие их работу. TeamTNT уже неоднократно компрометировала учетные записи Docker Hub, используя их для размещения вредоносных программ и криптомайнеров. Они активно предоставляют экземпляры Docker Swarm для сохранения в среде. Группа использует тактику обхода защиты с использованием вредоносных программ Sliver, маскирующихся под законные процессы и использующих возможности руткитов.

Кроме того, TeamTNT сканирует на наличие уязвимых демонов Docker и уязвимых систем с помощью таких инструментов, как Massscan, и использует Docker Hub и веб-серверы для хранения и распространения вредоносных программ. Вредоносная программа Sliver поддерживает DNS для передачи команд и контроля, а также HTTP и mTLS. Адаптивные возможности TeamTNT и использование современных инструментов, таких как Sliver malware, демонстрируют меняющийся ландшафт угроз.

Ассаф, директор по анализу угроз в Aqua Nautilus, руководит сбором аналитических данных об угрозах, связанных с облачными средами, и поддерживает потребности команды в данных. Его исследования были отмечены в ведущих изданиях по информационной безопасности, и он внес свой вклад в разработку новой платформы MITRE ATT&CK Container Framework. Ассаф подчеркивает важность защиты облачных инфраструктур для устранения угроз, таких как текущая кампания TeamTNT.

#ParsedReport #CompletenessMedium
04-11-2024

Supply Chain Attack Using Ethereum Smart Contracts to Distribute Multi-Platform Malware

https://checkmarx.com/blog/supply-chain-attack-using-ethereum-smart-contracts-to-distribute-multi-platform-malware

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Development environments

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.004, T1027, T1548.002, T1005, T1105

IOCs:
Coin: 2
Hash: 3
Url: 4

Soft:
Linux, macOS

Crypto:
ethereum

Algorithms:
sha256

Languages:
javascript

Platforms:
cross-platform

Links:
https://gist.github.com/masteryoda101/d4e90eb8004804d062bc04cf1aec4bc0

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении серьезной киберугрозы, связанной с вредоносным пакетом под названием "jest-fet-mock", который использует смарт-контракты Ethereum для командно-контрольных операций в экосистеме npm, что знаменует собой заметный сдвиг в стратегиях атак на цепочки поставок. Ключевые моменты включают инновационное использование технологии блокчейн, методы поиска опечаток, кроссплатформенные возможности, неэффективное обнаружение поставщиками средств безопасности и последствия для методов обеспечения безопасности при защите от развивающихся киберугроз.
-----

В тексте обсуждается важное открытие в области киберугроз, связанное с вредоносным пакетом под названием "jest-fet-mock", который использует смарт-контракты Ethereum для управления операциями. Этот вредоносный пакет выдает себя за легальную утилиту для тестирования, в то время как на самом деле распространяет вредоносное ПО на платформах Windows, Linux и macOS. Он знаменует собой заметный сдвиг в стратегиях атак на цепочки поставок, сочетая технологию блокчейн с традиционными методами атаки в экосистеме npm.

Ключевые моменты, выделенные в тексте:.

**Обнаружена новая методология атаки**: "jest-fet-mock" представляет собой первый экземпляр вредоносного ПО, использующего смарт-контракты Ethereum для распределения адресов серверов C2 в экосистеме NPM. Этот инновационный подход расширяет возможности злоумышленников избегать обнаружения и сохранять контроль над зараженными системами.

**Опечатка и олицетворение**: Вредоносный пакет выдает себя за две популярные утилиты тестирования JavaScript, намеренно вводя ключевые термины с ошибками. Нацеливаясь на среды тестирования, где разработчики часто имеют повышенные привилегии, злоумышленники стремятся скомпрометировать инфраструктуру разработки, включая конвейеры CI/CD.

** Использование блокчейна Ethereum**: Вредоносное ПО использует блокчейн Ethereum для получения адреса своего сервера C2 из смарт-контракта. Используя эту децентрализованную инфраструктуру, злоумышленники обеспечивают устойчивость и гибкость своей системы командования и контроля, что затрудняет защитникам нарушение связи и разрушение инфраструктуры.

**Модульное и кроссплатформенное вредоносное ПО**: Вредоносное ПО динамически корректирует свое поведение в зависимости от операционной системы хоста во время установки. Оно включает в себя различные возможности, такие как разведка системы, кража учетных данных и механизмы сохранения данных на разных платформах, что повышает его способность компрометировать среды разработки.

**Неэффективное обнаружение**: Несмотря на свои сложные возможности, ни один из вариантов вредоносного ПО, связанных с "jest-fet-mock", не был помечен поставщиками средств безопасности в VirusTotal как вредоносный. Это указывает на значительный пробел в существующих механизмах обнаружения, усиливающий угрозу, исходящую от этого вредоносного ПО для сред разработки.

**Значение для практик обеспечения безопасности **: Открытие подчеркивает важность строгих мер безопасности, связанных с управлением пакетами и проверкой утилит тестирования командами разработчиков. Интеграция технологии блокчейн в инфраструктуру C2 представляет собой уникальную проблему для защитников, требующую усовершенствованных стратегий обнаружения угроз и смягчения их последствий.

Таким образом, появление "шутки ради" иллюстрирует эволюцию тактики, используемой злоумышленниками для проникновения в цепочки поставок программного обеспечения, и подчеркивает острую необходимость в механизмах непрерывного мониторинга, обнаружения и реагирования для защиты от таких сложных киберугроз.

#ParsedReport #CompletenessLow
04-11-2024

Unransomware: From Zero to Full Recovery in a Blink. Hypervisor CPR. Unransomware: From Zero to Full Recovery in a Blink

https://medium.com/@DCSO_CyTec/unransomware-from-zero-to-full-recovery-in-a-blink-8a47dd031df3?source=rss-7c32125308fc------2

Report completeness: Low

Threats:
Akira_ransomware

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 4
Hash: 1

Soft:
ESXi, Linux, sudo, BOOTNXT

Algorithms:
zip, sha256

Platforms:
x86

Links:
https://github.com/glandium/vmfs-tools/issues/12