#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Microsoft обнаружила серию атак с использованием спрея паролей, исходящих из инфраструктуры CovertNetwork-1658, связанной с китайскими злоумышленниками, такими как Storm-0940. Эти атаки нацелены на нескольких клиентов Microsoft, использующих скомпрометированные маршрутизаторы SOHO для осуществления вредоносных действий. Корпорация Майкрософт стремится повысить осведомленность, усилить защиту и пресечь эти действия, предоставляя рекомендации пострадавшим клиентам. Сотрудничество между CovertNetwork-1658 и такими участниками угроз, как Storm-0940, представляет значительный риск для организаций по всему миру, что подчеркивает важность внедрения мер по смягчению последствий и средств обнаружения.
-----

Корпорация Майкрософт обнаружила атаки CovertNetwork-1658 с использованием спрея паролей, нацеленные на нескольких клиентов, с уклончивой и успешной кражей учетных данных.

CovertNetwork-1658, также известный как xlogin и Quad7 (7777), является источником этих атак и включает в себя скомпрометированные маршрутизаторы малого и домашнего бизнеса, в основном устройства TP-Link.

Учетные данные, полученные от CovertNetwork-1658, используются китайскими злоумышленниками, в частности Storm-0940, для получения доступа к организациям в Северной Америке и Европе.

CovertNetwork-1658 проводит кампании по распространению паролей с помощью сменяющихся IP-адресов, что затрудняет мониторинг.

Storm-0940 тесно сотрудничает с операторами CovertNetwork-1658, используя скомпрометированные учетные данные для первоначального доступа, осуществляя боковые перемещения, устанавливая удаленные инструменты и осуществляя эксфильтрацию данных.

Корпорация Майкрософт проинформировала пострадавших клиентов, опубликовала информацию для повышения осведомленности и предоставила рекомендации по устранению последствий и инструменты для борьбы с угрозами, исходящими от CovertNetwork-1658 и связанных с ними участников угроз.

#technique

Новый интересный разбор техники T1055.003 от коллег.

Thread execution hijacking. Исполнение шелл-кода в удаленном процессе

https://habr.com/ru/articles/855710/

#ParsedReport #CompletenessHigh
04-11-2024

TeamTNT s Docker Gatling Gun Campaign

https://www.aquasec.com/blog/threat-alert-teamtnts-docker-gatling-gun-campaign

Report completeness: High

Actors/Campaigns:
Teamtnt
Chimaera
Silentbob

Threats:
Sliver_c2_tool
Tsunami_botnet
Tdgg
Masscan_tool
Zgrab_scanner_tool
Chimaera
Ngrok_tool
T_rex_miner
Xmrig_miner
Cgrminer
Bfgminer
Sgminer
Dead_drop_technique

Industry:
Software_development

TTPs:
Tactics: 7
Technics: 0

IOCs:
Domain: 6
IP: 6
Hash: 8
Url: 1

Soft:
Docker, systemd, Docker Swarm, Alpine Linux, WireGuard, Pidgin, PostgreSQL, Dockerswarm

Algorithms:
md5

Languages:
perl

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, table: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа TeamTNT проводит масштабную атаку на облачные среды, нацеливаясь на уязвимых демонов Docker для развертывания вредоносных программ Sliver и криптоминеров, используя скомпрометированные серверы и инфраструктуру Docker Hub. Группа совершенствует свою тактику, используя расширенные возможности и уделяя особое внимание обходу защиты для осуществления своих вредоносных действий. В тексте также освещаются усилия исследователей Aqua Nautilus во главе с Assaf по сбору информации об угрозах и защите облачных инфраструктур от таких угроз.
-----

Исследователи Aqua Nautilus выявили, что известная хакерская группа TeamTNT готовится к крупномасштабной атаке на облачные среды в рамках новой кампании. В этой кампании TeamTNT нацелена на уязвимых демонов Docker для развертывания вредоносных программ Sliver и криптоминеров с использованием скомпрометированных серверов и инфраструктуры Docker Hub. Они используют возможности облачной среды, добавляя скомпрометированные экземпляры Docker в Docker Swarm и используя Docker Hub для хранения и распространения вредоносного ПО. Кроме того, они сдают в аренду вычислительные мощности жертв третьим лицам для криптомайнинга, косвенно зарабатывая деньги.

В этой кампании группа эволюционировала, заменив свой традиционный бэкдор Tsunami на более скрытную вредоносную программу Sliver. Они получают первоначальный доступ, используя незащищенных демонов Docker на различных портах и развертывая контейнеры из своей взломанной учетной записи Docker Hub с помощью вредоносных команд. Кампания направлена на захват ресурсов путем развертывания cryptominer и продажи скомпрометированной инфраструктуры другим лицам, что позволяет избежать проблем, связанных с проведением операций по добыче полезных ископаемых.

Использование TeamTNT вредоносного ПО Sliver включает в себя возможности управления по нескольким протоколам, таким как mTLS, WireGuard, HTTP(S) и DNS, что затрудняет его обнаружение по сравнению с предыдущим вредоносным ПО Tsunami. Они продолжают следовать своим установленным соглашениям об именовании операций, включая Chimaera, TDGG и bioset. Группа также использует anondns для обеспечения анонимности и конфиденциальности при разрешении DNS-запросов, указывая на свой веб-сервер с помощью devnull.anondns.net.

Кампания включает регистрацию новых вредоносных доменов, на которых размещаются двоичные файлы и скрипты, поддерживающие их работу. TeamTNT уже неоднократно компрометировала учетные записи Docker Hub, используя их для размещения вредоносных программ и криптомайнеров. Они активно предоставляют экземпляры Docker Swarm для сохранения в среде. Группа использует тактику обхода защиты с использованием вредоносных программ Sliver, маскирующихся под законные процессы и использующих возможности руткитов.

Кроме того, TeamTNT сканирует на наличие уязвимых демонов Docker и уязвимых систем с помощью таких инструментов, как Massscan, и использует Docker Hub и веб-серверы для хранения и распространения вредоносных программ. Вредоносная программа Sliver поддерживает DNS для передачи команд и контроля, а также HTTP и mTLS. Адаптивные возможности TeamTNT и использование современных инструментов, таких как Sliver malware, демонстрируют меняющийся ландшафт угроз.

Ассаф, директор по анализу угроз в Aqua Nautilus, руководит сбором аналитических данных об угрозах, связанных с облачными средами, и поддерживает потребности команды в данных. Его исследования были отмечены в ведущих изданиях по информационной безопасности, и он внес свой вклад в разработку новой платформы MITRE ATT&CK Container Framework. Ассаф подчеркивает важность защиты облачных инфраструктур для устранения угроз, таких как текущая кампания TeamTNT.

#ParsedReport #CompletenessMedium
04-11-2024

Supply Chain Attack Using Ethereum Smart Contracts to Distribute Multi-Platform Malware

https://checkmarx.com/blog/supply-chain-attack-using-ethereum-smart-contracts-to-distribute-multi-platform-malware

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Development environments

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.004, T1027, T1548.002, T1005, T1105

IOCs:
Coin: 2
Hash: 3
Url: 4

Soft:
Linux, macOS

Crypto:
ethereum

Algorithms:
sha256

Languages:
javascript

Platforms:
cross-platform

Links:
https://gist.github.com/masteryoda101/d4e90eb8004804d062bc04cf1aec4bc0

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении серьезной киберугрозы, связанной с вредоносным пакетом под названием "jest-fet-mock", который использует смарт-контракты Ethereum для командно-контрольных операций в экосистеме npm, что знаменует собой заметный сдвиг в стратегиях атак на цепочки поставок. Ключевые моменты включают инновационное использование технологии блокчейн, методы поиска опечаток, кроссплатформенные возможности, неэффективное обнаружение поставщиками средств безопасности и последствия для методов обеспечения безопасности при защите от развивающихся киберугроз.
-----

В тексте обсуждается важное открытие в области киберугроз, связанное с вредоносным пакетом под названием "jest-fet-mock", который использует смарт-контракты Ethereum для управления операциями. Этот вредоносный пакет выдает себя за легальную утилиту для тестирования, в то время как на самом деле распространяет вредоносное ПО на платформах Windows, Linux и macOS. Он знаменует собой заметный сдвиг в стратегиях атак на цепочки поставок, сочетая технологию блокчейн с традиционными методами атаки в экосистеме npm.

Ключевые моменты, выделенные в тексте:.

**Обнаружена новая методология атаки**: "jest-fet-mock" представляет собой первый экземпляр вредоносного ПО, использующего смарт-контракты Ethereum для распределения адресов серверов C2 в экосистеме NPM. Этот инновационный подход расширяет возможности злоумышленников избегать обнаружения и сохранять контроль над зараженными системами.

**Опечатка и олицетворение**: Вредоносный пакет выдает себя за две популярные утилиты тестирования JavaScript, намеренно вводя ключевые термины с ошибками. Нацеливаясь на среды тестирования, где разработчики часто имеют повышенные привилегии, злоумышленники стремятся скомпрометировать инфраструктуру разработки, включая конвейеры CI/CD.

** Использование блокчейна Ethereum**: Вредоносное ПО использует блокчейн Ethereum для получения адреса своего сервера C2 из смарт-контракта. Используя эту децентрализованную инфраструктуру, злоумышленники обеспечивают устойчивость и гибкость своей системы командования и контроля, что затрудняет защитникам нарушение связи и разрушение инфраструктуры.

**Модульное и кроссплатформенное вредоносное ПО**: Вредоносное ПО динамически корректирует свое поведение в зависимости от операционной системы хоста во время установки. Оно включает в себя различные возможности, такие как разведка системы, кража учетных данных и механизмы сохранения данных на разных платформах, что повышает его способность компрометировать среды разработки.

**Неэффективное обнаружение**: Несмотря на свои сложные возможности, ни один из вариантов вредоносного ПО, связанных с "jest-fet-mock", не был помечен поставщиками средств безопасности в VirusTotal как вредоносный. Это указывает на значительный пробел в существующих механизмах обнаружения, усиливающий угрозу, исходящую от этого вредоносного ПО для сред разработки.

**Значение для практик обеспечения безопасности **: Открытие подчеркивает важность строгих мер безопасности, связанных с управлением пакетами и проверкой утилит тестирования командами разработчиков. Интеграция технологии блокчейн в инфраструктуру C2 представляет собой уникальную проблему для защитников, требующую усовершенствованных стратегий обнаружения угроз и смягчения их последствий.

Таким образом, появление "шутки ради" иллюстрирует эволюцию тактики, используемой злоумышленниками для проникновения в цепочки поставок программного обеспечения, и подчеркивает острую необходимость в механизмах непрерывного мониторинга, обнаружения и реагирования для защиты от таких сложных киберугроз.

#ParsedReport #CompletenessLow
04-11-2024

Unransomware: From Zero to Full Recovery in a Blink. Hypervisor CPR. Unransomware: From Zero to Full Recovery in a Blink

https://medium.com/@DCSO_CyTec/unransomware-from-zero-to-full-recovery-in-a-blink-8a47dd031df3?source=rss-7c32125308fc------2

Report completeness: Low

Threats:
Akira_ransomware

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 4
Hash: 1

Soft:
ESXi, Linux, sudo, BOOTNXT

Algorithms:
zip, sha256

Platforms:
x86

Links:
https://github.com/glandium/vmfs-tools/issues/12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сообщении в блоге обсуждается успешный случай, когда команда реагирования на инциденты DCSO помогла жертве программы-вымогателя Akira восстановить критически важные для бизнеса данные, извлекая разделы NTFS с частично зашифрованных виртуальных дисков. В нем подчеркивается важность готовности к реагированию на инциденты с программами-вымогателями, освещается тактика частичного шифрования, используемая программой-вымогателем Akira, и предлагается общий подход с использованием инструментов с открытым исходным кодом для облегчения восстановления данных из зашифрованных гипервизорных систем.
-----

Сообщение в блоге группы реагирования на инциденты DCSO (DIRT) посвящено успешному случаю оказания помощи жертве программы-вымогателя Akira в восстановлении критически важных бизнес-данных путем извлечения разделов NTFS с частично зашифрованных виртуальных дисков. В статье представлен общий подход с использованием инструментов с открытым исходным кодом для облегчения восстановления данных из зашифрованных систем с гипервизором, особенно эффективный для частично зашифрованных файлов. Кроме того, в статье подчеркивается важность готовности к реагированию на инциденты с программами-вымогателями, поскольку организации, не имеющие надежной защиты, сталкиваются со значительными трудностями при восстановлении.

В ходе инцидента с программой-вымогателем, о котором сообщалось, злоумышленники получили доступ к гипервизору ESXi, что позволило им развернуть Linux-версию программы-вымогателя Akira и зашифровать файлы .vmdk виртуальных машин. Чтобы помочь жертве восстановить свои данные, группа реагирования на инциденты внедрила процесс, который включал загрузку операционной системы Linux на хосте ESXi без установки, используя запасной диск в качестве хранилища данных ESXi для целей восстановления. Команда подчеркнула важность обеспечения бесперебойного взаимодействия с клиентами в таких критических ситуациях, когда бизнес-операции приостанавливаются из-за кибератак.

После загрузки в ОС Linux первой задачей команды было идентифицировать хранилище данных ESXi, использующее файловую систему "VMware VMFS", где хранились зашифрованные виртуальные диски. Используя исправленную версию "vmfs-tools", они успешно получили доступ к содержимому зашифрованных дисков, признав частичный успех, достигнутый в этом аспекте. Было подчеркнуто, что возможность восстановления файлов, зашифрованных с помощью программ-вымогателей, зависит от таких факторов, как тип шифрования, размер файла и процесс шифрования, используемый злоумышленниками.

Программа-вымогатель Akira использовала тактику частичного шифрования, при которой шифруются только части файла, чтобы повысить эффективность и затруднить усилия по обнаружению и реагированию. Программа-вымогатель выборочно шифрует файлы в зависимости от размера и расширения, при этом некоторые типы файлов шифруются полностью, в то время как другие, особенно те, которые относятся к виртуальным машинам, таким как vhdx, vmdk и vdi, шифруются частично. В ходе тестирования на примере файла в частично зашифрованном файле был идентифицирован допустимый раздел NTFS, что подчеркивает потенциал восстановления данных даже из частично зашифрованных файлов, которые часто используются при атаках программ-вымогателей.

В сообщении подчеркивалась распространенность частичного шифрования как тактики, используемой различными вариантами программ-вымогателей, подчеркивая важность поиска разделов NTFS на виртуальных дисках, зашифрованных программами-вымогателями, для облегчения восстановления данных. Было рекомендовано, чтобы пользователи, придерживающиеся этого подхода, обеспечили применение необходимых исправлений к таким инструментам, как "vmfs-tools", если они получены из репозиториев дистрибутива Linux.

#ParsedReport #CompletenessHigh
04-11-2024

From Pyongyang to Your Payroll: The Rise of North Korean Remote Workers in the West

https://www.zscaler.com/blogs/security-research/pyongyang-your-payroll-rise-north-korean-remote-workers-west

Report completeness: High

Actors/Campaigns:
Contagious_interview
Wagemole

Threats:
Beavertail
Invisibleferret
Sphinx
Anydesk_tool
Spear-phishing_technique

Victims:
Web developers, Cryptocurrency developers, Ai developers, Developers

Industry:
Education, Aerospace, Retail, Healthcare, Software_development, Financial

Geo:
Italy, Netherlands, Kenya, North korean, North korea, Switzerland, India, Estonia, Nigeria, Lithuania, Spain, Russia, Pakistan, Japan, Japanese, Germany, Dprk

TTPs:

IOCs:
File: 143
Url: 30
Path: 2
IP: 22
Domain: 5
Hash: 297
Email: 32

Soft:
macOS, Telegram, Linux, Node.js, WordPress, ASP.NET, Flutter, Android, Laravel

Wallets:
harmony_wallet

Algorithms:
exhibit, zip, aes

Languages:
javascript, php, python, java, typescript

Platforms:
x86

Links:
have more...
https://github.com/javascript-obfuscator/javascript-obfuscator
https://github.com/ThreatLabz/iocs/tree/main/contagiousinterview
https://github.com/ThreatLabz/iocs/tree/main/wagemole

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1, chart: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские исполнители угроз используют изощренную тактику, в том числе кампании "Contagious Interview" и "WageMole", чтобы обеспечить возможности удаленного трудоустройства в западных странах, тем самым избегая финансовых санкций против Северной Кореи. Эти кампании включают кражу конфиденциальной информации, нацеливание на жертв в нескольких операционных системах, использование расширенных возможностей вредоносного ПО и использование искусственного интеллекта для создания поддельных идентификационных данных. Злоумышленники активно контактируют с потенциальными жертвами, особенно в таких отраслях, как веб-разработка, криптовалюта и искусственный интеллект, через социальные сети и платформы для публикации кода. Предприятиям и частным лицам настоятельно рекомендуется усилить свои меры безопасности, чтобы эффективно противостоять этим развивающимся угрозам.
-----

Северокорейские злоумышленники используют кампании "Contagious Interview" и "WageMole" для обеспечения возможностей удаленного трудоустройства в западных странах в обход финансовых санкций против Северной Кореи (КНДР).

Кампания "Contagious Interview" предполагает кражу данных, в то время как WageMole использует украденные данные и тактику социальной инженерии, чтобы помочь найти удаленную работу.

Злоумышленники усовершенствовали свою тактику в кампании "Заразное интервью", применив передовые методы обфускации сценариев и динамической загрузки. Они нацелены на жертв как в системах Windows, так и macOS.

Более 100 устройств были заражены, что привело к краже конфиденциальной информации, такой как исходный код и криптовалютные кошельки.

Злоумышленники создают поддельные удостоверения личности, используя украденные данные, для обеспечения безопасности удаленных рабочих мест, используя для этой цели генеративный искусственный интеллект.

Целевые жертвы заманиваются поддельными вакансиями на платформах для найма на неполный рабочий день. В процессе собеседования кандидаты должны решить проблемы с кодированием на платформах, контролируемых злоумышленниками.

Вредоносные скрипты на JavaScript и Python используются для кражи данных, регистрации нажатий клавиш, захвата содержимого буфера обмена и эксфильтрации файлов. Бэкдор-скрипт InvisibleFerret получил новые возможности для сбора данных браузера и передачи файлов.

В течение двух месяцев было выявлено более 140 жертв кампании по опросу заразных людей, причем жертвы были распределены по разным системам.

Кампания WageMole направлена на создание поддельных личностей, резюме и идентификационных данных с использованием технологии искусственного интеллекта для поиска удаленных рабочих мест в различных отраслях с помощью агрессивного поиска работы и тактики социальной инженерии, ориентированной на такие отрасли, как IT, здравоохранение, финансы и розничная торговля.

Эти кампании освещают эволюцию стратегий северокорейских злоумышленников в области кражи данных, трудоустройства и обхода финансовых санкций, подчеркивая важность надежных мер безопасности и постоянного информирования для эффективного противодействия угрозам.

#ParsedReport #CompletenessLow
04-11-2024

Crooks bank on Microsoft s search engine to phish customers

https://www.malwarebytes.com/blog/scams/2024/11/crooks-bank-on-microsofts-search-engine-to-phish-customers

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Keybank customers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1071.001, T1102

IOCs:
Domain: 8
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в фишинговой кампании, которая нацелена на клиентов Keybank с использованием вредоносных ссылок, появляющихся в результатах поиска Bing. Киберпреступники, стоящие за кампанией, используют поисковую систему Bing, чтобы обманом заставить пользователей вводить свои банковские данные на поддельных страницах входа в Keybank. Несмотря на использование HTTPS-шифрования на фишинговом сайте, информация, введенная жертвами, передается злоумышленникам в виде обычного текста. Преступники используют различные тактики для обмана жертв, в том числе перенаправляют пользователей на страницы, которые выглядят безобидно, и симулируют плохое подключение к Интернету. В тексте подчеркивается важность мер кибербезопасности и рекомендуется пользователям проявлять бдительность, обращаться в свои финансовые учреждения и сбрасывать пароли, если они подозревают, что их информация была скомпрометирована.
-----

Новая волна фишинга нацелена на банковские учетные данные через поисковую систему Microsoft Bing, при этом вредоносные ссылки, выдающие себя за страницы входа в систему Keybank, появляются в верхней части результатов поиска.

Фишинговая кампания, нацеленная на клиентов Keybank, была впервые замечена 29 ноября, когда была проведена серия перенаправлений с безобидной на вид страницы на реальный фишинговый сайт.

Фишинговый сайт использует HTTPS-шифрование, но передает злоумышленникам введенную информацию в виде обычного текста.

Преступники запрашивают уведомления, когда новые жертвы вводят свои регистрационные данные, используя такую тактику, как симуляция плохого подключения к Интернету, чтобы скрыть свою деятельность.

Уязвимости в двухфакторной аутентификации на основе SMS и секретных вопросах используются злоумышленниками для сброса паролей или получения дополнительных подтверждений для входа в систему.

Bing подвергся манипуляциям, чтобы проиндексировать мошеннический веб-сайт, выдававший себя за законный, с помощью таких инструментов, как Malwarebytes Browser Guard, которые превентивно защищали пользователей от этой фишинговой кампании.