#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сообщении в блоге обсуждается успешный случай, когда команда реагирования на инциденты DCSO помогла жертве программы-вымогателя Akira восстановить критически важные для бизнеса данные, извлекая разделы NTFS с частично зашифрованных виртуальных дисков. В нем подчеркивается важность готовности к реагированию на инциденты с программами-вымогателями, освещается тактика частичного шифрования, используемая программой-вымогателем Akira, и предлагается общий подход с использованием инструментов с открытым исходным кодом для облегчения восстановления данных из зашифрованных гипервизорных систем.
-----

Сообщение в блоге группы реагирования на инциденты DCSO (DIRT) посвящено успешному случаю оказания помощи жертве программы-вымогателя Akira в восстановлении критически важных бизнес-данных путем извлечения разделов NTFS с частично зашифрованных виртуальных дисков. В статье представлен общий подход с использованием инструментов с открытым исходным кодом для облегчения восстановления данных из зашифрованных систем с гипервизором, особенно эффективный для частично зашифрованных файлов. Кроме того, в статье подчеркивается важность готовности к реагированию на инциденты с программами-вымогателями, поскольку организации, не имеющие надежной защиты, сталкиваются со значительными трудностями при восстановлении.

В ходе инцидента с программой-вымогателем, о котором сообщалось, злоумышленники получили доступ к гипервизору ESXi, что позволило им развернуть Linux-версию программы-вымогателя Akira и зашифровать файлы .vmdk виртуальных машин. Чтобы помочь жертве восстановить свои данные, группа реагирования на инциденты внедрила процесс, который включал загрузку операционной системы Linux на хосте ESXi без установки, используя запасной диск в качестве хранилища данных ESXi для целей восстановления. Команда подчеркнула важность обеспечения бесперебойного взаимодействия с клиентами в таких критических ситуациях, когда бизнес-операции приостанавливаются из-за кибератак.

После загрузки в ОС Linux первой задачей команды было идентифицировать хранилище данных ESXi, использующее файловую систему "VMware VMFS", где хранились зашифрованные виртуальные диски. Используя исправленную версию "vmfs-tools", они успешно получили доступ к содержимому зашифрованных дисков, признав частичный успех, достигнутый в этом аспекте. Было подчеркнуто, что возможность восстановления файлов, зашифрованных с помощью программ-вымогателей, зависит от таких факторов, как тип шифрования, размер файла и процесс шифрования, используемый злоумышленниками.

Программа-вымогатель Akira использовала тактику частичного шифрования, при которой шифруются только части файла, чтобы повысить эффективность и затруднить усилия по обнаружению и реагированию. Программа-вымогатель выборочно шифрует файлы в зависимости от размера и расширения, при этом некоторые типы файлов шифруются полностью, в то время как другие, особенно те, которые относятся к виртуальным машинам, таким как vhdx, vmdk и vdi, шифруются частично. В ходе тестирования на примере файла в частично зашифрованном файле был идентифицирован допустимый раздел NTFS, что подчеркивает потенциал восстановления данных даже из частично зашифрованных файлов, которые часто используются при атаках программ-вымогателей.

В сообщении подчеркивалась распространенность частичного шифрования как тактики, используемой различными вариантами программ-вымогателей, подчеркивая важность поиска разделов NTFS на виртуальных дисках, зашифрованных программами-вымогателями, для облегчения восстановления данных. Было рекомендовано, чтобы пользователи, придерживающиеся этого подхода, обеспечили применение необходимых исправлений к таким инструментам, как "vmfs-tools", если они получены из репозиториев дистрибутива Linux.

#ParsedReport #CompletenessHigh
04-11-2024

From Pyongyang to Your Payroll: The Rise of North Korean Remote Workers in the West

https://www.zscaler.com/blogs/security-research/pyongyang-your-payroll-rise-north-korean-remote-workers-west

Report completeness: High

Actors/Campaigns:
Contagious_interview
Wagemole

Threats:
Beavertail
Invisibleferret
Sphinx
Anydesk_tool
Spear-phishing_technique

Victims:
Web developers, Cryptocurrency developers, Ai developers, Developers

Industry:
Education, Aerospace, Retail, Healthcare, Software_development, Financial

Geo:
Italy, Netherlands, Kenya, North korean, North korea, Switzerland, India, Estonia, Nigeria, Lithuania, Spain, Russia, Pakistan, Japan, Japanese, Germany, Dprk

TTPs:

IOCs:
File: 143
Url: 30
Path: 2
IP: 22
Domain: 5
Hash: 297
Email: 32

Soft:
macOS, Telegram, Linux, Node.js, WordPress, ASP.NET, Flutter, Android, Laravel

Wallets:
harmony_wallet

Algorithms:
exhibit, zip, aes

Languages:
javascript, php, python, java, typescript

Platforms:
x86

Links:
have more...
https://github.com/javascript-obfuscator/javascript-obfuscator
https://github.com/ThreatLabz/iocs/tree/main/contagiousinterview
https://github.com/ThreatLabz/iocs/tree/main/wagemole

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1, chart: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские исполнители угроз используют изощренную тактику, в том числе кампании "Contagious Interview" и "WageMole", чтобы обеспечить возможности удаленного трудоустройства в западных странах, тем самым избегая финансовых санкций против Северной Кореи. Эти кампании включают кражу конфиденциальной информации, нацеливание на жертв в нескольких операционных системах, использование расширенных возможностей вредоносного ПО и использование искусственного интеллекта для создания поддельных идентификационных данных. Злоумышленники активно контактируют с потенциальными жертвами, особенно в таких отраслях, как веб-разработка, криптовалюта и искусственный интеллект, через социальные сети и платформы для публикации кода. Предприятиям и частным лицам настоятельно рекомендуется усилить свои меры безопасности, чтобы эффективно противостоять этим развивающимся угрозам.
-----

Северокорейские злоумышленники используют кампании "Contagious Interview" и "WageMole" для обеспечения возможностей удаленного трудоустройства в западных странах в обход финансовых санкций против Северной Кореи (КНДР).

Кампания "Contagious Interview" предполагает кражу данных, в то время как WageMole использует украденные данные и тактику социальной инженерии, чтобы помочь найти удаленную работу.

Злоумышленники усовершенствовали свою тактику в кампании "Заразное интервью", применив передовые методы обфускации сценариев и динамической загрузки. Они нацелены на жертв как в системах Windows, так и macOS.

Более 100 устройств были заражены, что привело к краже конфиденциальной информации, такой как исходный код и криптовалютные кошельки.

Злоумышленники создают поддельные удостоверения личности, используя украденные данные, для обеспечения безопасности удаленных рабочих мест, используя для этой цели генеративный искусственный интеллект.

Целевые жертвы заманиваются поддельными вакансиями на платформах для найма на неполный рабочий день. В процессе собеседования кандидаты должны решить проблемы с кодированием на платформах, контролируемых злоумышленниками.

Вредоносные скрипты на JavaScript и Python используются для кражи данных, регистрации нажатий клавиш, захвата содержимого буфера обмена и эксфильтрации файлов. Бэкдор-скрипт InvisibleFerret получил новые возможности для сбора данных браузера и передачи файлов.

В течение двух месяцев было выявлено более 140 жертв кампании по опросу заразных людей, причем жертвы были распределены по разным системам.

Кампания WageMole направлена на создание поддельных личностей, резюме и идентификационных данных с использованием технологии искусственного интеллекта для поиска удаленных рабочих мест в различных отраслях с помощью агрессивного поиска работы и тактики социальной инженерии, ориентированной на такие отрасли, как IT, здравоохранение, финансы и розничная торговля.

Эти кампании освещают эволюцию стратегий северокорейских злоумышленников в области кражи данных, трудоустройства и обхода финансовых санкций, подчеркивая важность надежных мер безопасности и постоянного информирования для эффективного противодействия угрозам.

#ParsedReport #CompletenessLow
04-11-2024

Crooks bank on Microsoft s search engine to phish customers

https://www.malwarebytes.com/blog/scams/2024/11/crooks-bank-on-microsofts-search-engine-to-phish-customers

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Keybank customers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1071.001, T1102

IOCs:
Domain: 8
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в фишинговой кампании, которая нацелена на клиентов Keybank с использованием вредоносных ссылок, появляющихся в результатах поиска Bing. Киберпреступники, стоящие за кампанией, используют поисковую систему Bing, чтобы обманом заставить пользователей вводить свои банковские данные на поддельных страницах входа в Keybank. Несмотря на использование HTTPS-шифрования на фишинговом сайте, информация, введенная жертвами, передается злоумышленникам в виде обычного текста. Преступники используют различные тактики для обмана жертв, в том числе перенаправляют пользователей на страницы, которые выглядят безобидно, и симулируют плохое подключение к Интернету. В тексте подчеркивается важность мер кибербезопасности и рекомендуется пользователям проявлять бдительность, обращаться в свои финансовые учреждения и сбрасывать пароли, если они подозревают, что их информация была скомпрометирована.
-----

Новая волна фишинга нацелена на банковские учетные данные через поисковую систему Microsoft Bing, при этом вредоносные ссылки, выдающие себя за страницы входа в систему Keybank, появляются в верхней части результатов поиска.

Фишинговая кампания, нацеленная на клиентов Keybank, была впервые замечена 29 ноября, когда была проведена серия перенаправлений с безобидной на вид страницы на реальный фишинговый сайт.

Фишинговый сайт использует HTTPS-шифрование, но передает злоумышленникам введенную информацию в виде обычного текста.

Преступники запрашивают уведомления, когда новые жертвы вводят свои регистрационные данные, используя такую тактику, как симуляция плохого подключения к Интернету, чтобы скрыть свою деятельность.

Уязвимости в двухфакторной аутентификации на основе SMS и секретных вопросах используются злоумышленниками для сброса паролей или получения дополнительных подтверждений для входа в систему.

Bing подвергся манипуляциям, чтобы проиндексировать мошеннический веб-сайт, выдававший себя за законный, с помощью таких инструментов, как Malwarebytes Browser Guard, которые превентивно защищали пользователей от этой фишинговой кампании.

#ParsedReport #CompletenessMedium
04-11-2024

Cloudy With a Chance of RATs: Unveiling APT36 and the Evolution of ElizaRAT

https://research.checkpoint.com/2024/the-evolution-of-transparent-tribes-new-malware

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Circle
Google_drive

Threats:
Elizarat
Apolostealer
Circle_dropper
Connectx
Shakti
Costura_tool
Spear-phishing_technique
Slackfiles

Victims:
Indian government organizations, Diplomatic personnel, Military facilities

Industry:
Military, Government

Geo:
Indian, Pakistan, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1105, T1573, T1027, T1090, T1071, T1005, T1560

IOCs:
Url: 6
File: 21
Path: 1
Email: 2
IP: 5
Hash: 18

Soft:
Windows Remote Access, Telegram, Slack, Linux, Android

Wallets:
harmony_wallet

Algorithms:
zip, sha256, sha1, md5

Functions:
DownloadFile, Awake, ReceiveMsgsInList, SendMsg, SendFile, ExtractFile, RunFile

Links:
https://github.com/Fody/Costura

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании ElizaRAT, инструмента удаленного доступа для Windows, используемого организацией Transparent Tribe для проведения кампаний кибершпионажа, нацеленных на правительственные организации Индии, дипломатический персонал и военные объекты. В тексте обсуждается эволюция ElizaRAT, его методы распространения, коммуникации командования и контроля, характеристики в различных кампаниях, новые варианты, такие как Circle с расширенными возможностями уклонения, и дополнительные полезные функции, такие как ApoloStealer, extensionhelper_64.dll, и ConnectX.dll, используемые для кражи информации и вывода данных из игры.
-----

ElizaRAT, инструмент удаленного доступа для Windows (RAT), впервые представленный в сентябре 2023 года, используется злоумышленником Transparent Tribe, также известным как APT36. Эта группировка, базирующаяся в Пакистане, известна тем, что нацелена на правительственные организации Индии, дипломатический персонал и военные объекты с помощью кампаний кибершпионажа. Заражение ElizaRAT часто начинается с распространения CPL-файлов по ссылкам в Google Storage, что, вероятно, вызвано фишинговыми атаками. С течением времени вредоносная программа совершенствовала свои методы уклонения и методы коммуникации командования и контроля (C2).

В ходе различных кампаний, проводившихся с конца 2023 по начало 2024 года, было замечено, что ElizaRAT обладает отличительными особенностями, такими как написание на .NET, использование облачных сервисов, таких как Google, Telegram и Slack, для распространения и коммуникации C2, а также использование документов-приманок или видеороликов для заманивания жертв. SlackAPI.dll , вариант ElizaRAT, скомпилированный в 2023 году, использует каналы Slack в качестве своей инфраструктуры C2 и постоянно опрашивает канал в поисках новых команд. Кроме того, ApoloStealer, еще одна полезная нагрузка, развернутая Transparent Tribe, собирает и отправляет данные на сервер C2 в определенных кампаниях.

В более поздней кампании Circle, которая проводилась в январе 2024 года, был представлен новый вариант ElizaRAT с расширенными возможностями уклонения, использующий компонент dropper для снижения частоты обнаружения. В этой кампании не использовались облачные сервисы для инфраструктуры C2, а вместо этого использовался простой виртуальный частный сервер (VPS) для связи. Вариант Circle включал в себя такие функции, как регистрация жертв, проверка часовых поясов и связь с сервером C2 через определенные URL-адреса.

Кампания Circle также представила функцию "BringCircle", которая отвечает за распаковку вредоносной программы ElizaRAT из встроенного zip-файла. Вредоносная программа создала файл LNK для запуска, но не указала его использование. Кроме того, в рамках кампании ElizaRAT выполнялись стандартные проверки, регистрировались данные жертв и осуществлялся обмен данными с сервером C2 для получения команд. Полезная нагрузка в этой кампании была сосредоточена на загрузке определенных файлов и поддержании постоянства в скомпрометированных системах.

Более того, в различных кампаниях были замечены различные полезные приложения, такие как extensionhelper_64.dll и ConnectX.dll, которые действовали как похитители информации, нацеленные на сбор определенных типов файлов и их отправку на сервер C2. Эти полезные приложения хранили метаданные в базах данных SQLite, взаимодействовали с облачными сервисами для обмена данными и ориентировались на определенные расширения файлов на внешних дисках для сбора данных.

#technique

Storm-0978 использует новую технологию внедрения ядра «Step Bear

https://github.com/huoji120/APT_Step_Bear_Inject

Сама техника описана еще весной тут https://ti-qianxin-com.translate.goog/blog/articles/The-Nightmare-of-EDR-Storm-0978-Utilizing-New-Kernel-Injection-Technique-Step-Bear-CN/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp&_x_tr_hist=true

Ну и так, немного по OSINT-у

Tracking the FBI’s Most Wanted: "RedLine" Info-Stealer Creator Maxim Rudometov

https://www.osinord.com/post/tracking-the-fbi-s-most-wanted-redline-info-stealer-creator-maxim-rudometov

#ParsedReport #CompletenessMedium
06-11-2024

Analyzing Cyber Reconnaissance Activities Behind APT37 Threats

https://www.genians.co.kr/blog/threat_intelligence/apt37_recon

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage, cyber_terrorism)

Threats:
Rokrat
Spear-phishing_technique

Victims:
North korean human rights groups, Defectors, Reporters covering north korea, Experts, Professors

Industry:
Government, Education

Geo:
North korean, Usa, North korea, Korean, Korea, Gyeonggi-do

CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19567)
- microsoft windows 10 1607 (<10.0.14393.5501)
- microsoft windows 10 1809 (<10.0.17763.3650)
- microsoft windows 10 20h2 (<10.0.19042.2251)
- microsoft windows 10 21h1 (<10.0.19043.2251)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1036, T1204, T1566, T1140, T1082, T1059, T1190

IOCs:
File: 18
IP: 13
Domain: 3
Email: 5
Hash: 7

Soft:
Slack, Instagram, macOS, Gmail, Dropbox

Algorithms:
md5, base64, xor

Win API:
ShellExecuteW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, dump: 3, schema: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ деятельности по киберразведке, проводимой поддерживаемой государством хакерской группой APT37, с акцентом на их тактику, такую как фишинговые атаки с использованием вредоносных файлов lnk, замаскированных под законные документы. Злоумышленники используют различные методы, включая тактику социальной инженерии и шифрование файлов, для борьбы с организациями в Южной Корее, особенно с теми, кто вовлечен в дела Северной Кореи. В тексте подчеркивается важность внедрения передовых технологий обнаружения угроз для усиления защиты от такой скрытой кибератаки.
-----

Анализ сосредоточен на деятельности в области киберразведки поддерживаемой государством хакерской группы APT37, известной тем, что она занимается кибершпионажем, нацеленным в первую очередь на организации в Южной Корее, такие как северокорейские правозащитные группы, перебежчиков, репортеров, освещающих Северную Корею, экспертов в различных смежных областях и профессоров в таких областях, как объединение и национальная оборона, иностранные дела и безопасность в Северной Корее. Группа использует различные тактические приемы, одним из которых является использование вредоносных файлов lnk в качестве основной стратегии.

В одном случае, обнаруженном в апреле, злоумышленники замаскировали атаку под электронное письмо, якобы отправленное университетским профессором с государственным образованием, содержащее документ под названием "Северная Корея Trends.docx". Распространение вредоносного файла было замаскировано под обычный документ, прикрепленный к электронному письму, отправленному с домена, похожего на сайт внутреннего портала. Вредоносный файл "North Korea Trends.lnk" использовал команду PowerShell для обмана пользователей, скрывая вредоносный модуль RoKRAT внутри файла lnk с помощью шифрования с помощью логики XOR. Модуль RoKRAT, распространяемый в различных файлах lnk, выполнял команды для управления целевой системой и манипулирования ею, такие как сбор файлов и передача их на сервер C2.

После фишинговой атаки spear в апреле были замечены последующие разведывательные действия, связанные с электронными письмами различного содержания, такими как кибертерроризм и похищение гражданских лиц Северной Кореей. Эти действия были направлены на сбор информации, необходимой для проникновения, иногда с использованием вложений или сокращенных URL-адресов для поиска целей. Злоумышленники предприняли целенаправленные усилия по снижению уровня подозрительности, включив обычный контент в дополнение к вредоносным файлам, продемонстрировав сложный подход к разведке и тактике социальной инженерии.

Злоумышленники использовали различные методы для сокрытия своей деятельности, такие как использование IP-адресов VPN и разных имен файлов для сокрытия своих вредоносных намерений. Кроме того, они выдавали себя за таких людей, как бывшие правительственные чиновники, журналисты и эксперты по делам Северной Кореи, чтобы повысить достоверность своих попыток фишинга. Проведенный анализ подчеркивает важность внедрения решений для обнаружения аномального поведения и реагирования на него, таких как активное внедрение Genian EDR, для повышения безопасности терминалов и эффективного противодействия такой скрытой деятельности в области киберразведки.

Перед лицом растущих киберугроз, исходящих от спонсируемых государством хакерских группировок, таких как APT37, организациям важно усилить свою защиту, используя передовые технологии обнаружения угроз, способные выявлять изощренные атаки и смягчать их последствия. Такие решения, как Genian EDR, оказываются полезными при обнаружении и реагировании на вредоносные программы без использования файлов и облачные коммуникации C2, обеспечивая дополнительный уровень защиты от APT-атак. Тщательно отслеживая доступ к вредоносным файлам и выявляя ненормальное поведение, организации могут повысить свою киберустойчивость и активно реагировать на возникающие угрозы.

#ParsedReport #CompletenessHigh
05-11-2024

Venture Wolf attempts to disrupt Russian businesses with MetaStealer

https://bi.zone/eng/expertise/blog/venture-wolf-ispolzuet-metastealer-v-atakakh-na-rossiyskie-kompanii

Report completeness: High

Actors/Campaigns:
Venture_wolf

Threats:
Meta_stealer
Themida_tool
Vmprotect_tool
Redline_stealer
Process_injection_technique

Industry:
Telco, Financial

Geo:
Chinese, Russian

TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 15
IP: 5
File: 5
Url: 1

Soft:
Chromium, Google Chrome, Opera, CentBrowser, Chedot, Vivaldi, Kometa, Yandex Browser, Mozilla Firefox, Mozilla Thunderbird, Steam, have more...

Wallets:
electrum, exodus_wallet

Crypto:
bitcoin

Algorithms:
rc4, zip

Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, ResumeThread