#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1, chart: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские исполнители угроз используют изощренную тактику, в том числе кампании "Contagious Interview" и "WageMole", чтобы обеспечить возможности удаленного трудоустройства в западных странах, тем самым избегая финансовых санкций против Северной Кореи. Эти кампании включают кражу конфиденциальной информации, нацеливание на жертв в нескольких операционных системах, использование расширенных возможностей вредоносного ПО и использование искусственного интеллекта для создания поддельных идентификационных данных. Злоумышленники активно контактируют с потенциальными жертвами, особенно в таких отраслях, как веб-разработка, криптовалюта и искусственный интеллект, через социальные сети и платформы для публикации кода. Предприятиям и частным лицам настоятельно рекомендуется усилить свои меры безопасности, чтобы эффективно противостоять этим развивающимся угрозам.
-----

Северокорейские злоумышленники используют кампании "Contagious Interview" и "WageMole" для обеспечения возможностей удаленного трудоустройства в западных странах в обход финансовых санкций против Северной Кореи (КНДР).

Кампания "Contagious Interview" предполагает кражу данных, в то время как WageMole использует украденные данные и тактику социальной инженерии, чтобы помочь найти удаленную работу.

Злоумышленники усовершенствовали свою тактику в кампании "Заразное интервью", применив передовые методы обфускации сценариев и динамической загрузки. Они нацелены на жертв как в системах Windows, так и macOS.

Более 100 устройств были заражены, что привело к краже конфиденциальной информации, такой как исходный код и криптовалютные кошельки.

Злоумышленники создают поддельные удостоверения личности, используя украденные данные, для обеспечения безопасности удаленных рабочих мест, используя для этой цели генеративный искусственный интеллект.

Целевые жертвы заманиваются поддельными вакансиями на платформах для найма на неполный рабочий день. В процессе собеседования кандидаты должны решить проблемы с кодированием на платформах, контролируемых злоумышленниками.

Вредоносные скрипты на JavaScript и Python используются для кражи данных, регистрации нажатий клавиш, захвата содержимого буфера обмена и эксфильтрации файлов. Бэкдор-скрипт InvisibleFerret получил новые возможности для сбора данных браузера и передачи файлов.

В течение двух месяцев было выявлено более 140 жертв кампании по опросу заразных людей, причем жертвы были распределены по разным системам.

Кампания WageMole направлена на создание поддельных личностей, резюме и идентификационных данных с использованием технологии искусственного интеллекта для поиска удаленных рабочих мест в различных отраслях с помощью агрессивного поиска работы и тактики социальной инженерии, ориентированной на такие отрасли, как IT, здравоохранение, финансы и розничная торговля.

Эти кампании освещают эволюцию стратегий северокорейских злоумышленников в области кражи данных, трудоустройства и обхода финансовых санкций, подчеркивая важность надежных мер безопасности и постоянного информирования для эффективного противодействия угрозам.

#ParsedReport #CompletenessLow
04-11-2024

Crooks bank on Microsoft s search engine to phish customers

https://www.malwarebytes.com/blog/scams/2024/11/crooks-bank-on-microsofts-search-engine-to-phish-customers

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Keybank customers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1071.001, T1102

IOCs:
Domain: 8
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в фишинговой кампании, которая нацелена на клиентов Keybank с использованием вредоносных ссылок, появляющихся в результатах поиска Bing. Киберпреступники, стоящие за кампанией, используют поисковую систему Bing, чтобы обманом заставить пользователей вводить свои банковские данные на поддельных страницах входа в Keybank. Несмотря на использование HTTPS-шифрования на фишинговом сайте, информация, введенная жертвами, передается злоумышленникам в виде обычного текста. Преступники используют различные тактики для обмана жертв, в том числе перенаправляют пользователей на страницы, которые выглядят безобидно, и симулируют плохое подключение к Интернету. В тексте подчеркивается важность мер кибербезопасности и рекомендуется пользователям проявлять бдительность, обращаться в свои финансовые учреждения и сбрасывать пароли, если они подозревают, что их информация была скомпрометирована.
-----

Новая волна фишинга нацелена на банковские учетные данные через поисковую систему Microsoft Bing, при этом вредоносные ссылки, выдающие себя за страницы входа в систему Keybank, появляются в верхней части результатов поиска.

Фишинговая кампания, нацеленная на клиентов Keybank, была впервые замечена 29 ноября, когда была проведена серия перенаправлений с безобидной на вид страницы на реальный фишинговый сайт.

Фишинговый сайт использует HTTPS-шифрование, но передает злоумышленникам введенную информацию в виде обычного текста.

Преступники запрашивают уведомления, когда новые жертвы вводят свои регистрационные данные, используя такую тактику, как симуляция плохого подключения к Интернету, чтобы скрыть свою деятельность.

Уязвимости в двухфакторной аутентификации на основе SMS и секретных вопросах используются злоумышленниками для сброса паролей или получения дополнительных подтверждений для входа в систему.

Bing подвергся манипуляциям, чтобы проиндексировать мошеннический веб-сайт, выдававший себя за законный, с помощью таких инструментов, как Malwarebytes Browser Guard, которые превентивно защищали пользователей от этой фишинговой кампании.

#ParsedReport #CompletenessMedium
04-11-2024

Cloudy With a Chance of RATs: Unveiling APT36 and the Evolution of ElizaRAT

https://research.checkpoint.com/2024/the-evolution-of-transparent-tribes-new-malware

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Circle
Google_drive

Threats:
Elizarat
Apolostealer
Circle_dropper
Connectx
Shakti
Costura_tool
Spear-phishing_technique
Slackfiles

Victims:
Indian government organizations, Diplomatic personnel, Military facilities

Industry:
Military, Government

Geo:
Indian, Pakistan, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1105, T1573, T1027, T1090, T1071, T1005, T1560

IOCs:
Url: 6
File: 21
Path: 1
Email: 2
IP: 5
Hash: 18

Soft:
Windows Remote Access, Telegram, Slack, Linux, Android

Wallets:
harmony_wallet

Algorithms:
zip, sha256, sha1, md5

Functions:
DownloadFile, Awake, ReceiveMsgsInList, SendMsg, SendFile, ExtractFile, RunFile

Links:
https://github.com/Fody/Costura

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании ElizaRAT, инструмента удаленного доступа для Windows, используемого организацией Transparent Tribe для проведения кампаний кибершпионажа, нацеленных на правительственные организации Индии, дипломатический персонал и военные объекты. В тексте обсуждается эволюция ElizaRAT, его методы распространения, коммуникации командования и контроля, характеристики в различных кампаниях, новые варианты, такие как Circle с расширенными возможностями уклонения, и дополнительные полезные функции, такие как ApoloStealer, extensionhelper_64.dll, и ConnectX.dll, используемые для кражи информации и вывода данных из игры.
-----

ElizaRAT, инструмент удаленного доступа для Windows (RAT), впервые представленный в сентябре 2023 года, используется злоумышленником Transparent Tribe, также известным как APT36. Эта группировка, базирующаяся в Пакистане, известна тем, что нацелена на правительственные организации Индии, дипломатический персонал и военные объекты с помощью кампаний кибершпионажа. Заражение ElizaRAT часто начинается с распространения CPL-файлов по ссылкам в Google Storage, что, вероятно, вызвано фишинговыми атаками. С течением времени вредоносная программа совершенствовала свои методы уклонения и методы коммуникации командования и контроля (C2).

В ходе различных кампаний, проводившихся с конца 2023 по начало 2024 года, было замечено, что ElizaRAT обладает отличительными особенностями, такими как написание на .NET, использование облачных сервисов, таких как Google, Telegram и Slack, для распространения и коммуникации C2, а также использование документов-приманок или видеороликов для заманивания жертв. SlackAPI.dll , вариант ElizaRAT, скомпилированный в 2023 году, использует каналы Slack в качестве своей инфраструктуры C2 и постоянно опрашивает канал в поисках новых команд. Кроме того, ApoloStealer, еще одна полезная нагрузка, развернутая Transparent Tribe, собирает и отправляет данные на сервер C2 в определенных кампаниях.

В более поздней кампании Circle, которая проводилась в январе 2024 года, был представлен новый вариант ElizaRAT с расширенными возможностями уклонения, использующий компонент dropper для снижения частоты обнаружения. В этой кампании не использовались облачные сервисы для инфраструктуры C2, а вместо этого использовался простой виртуальный частный сервер (VPS) для связи. Вариант Circle включал в себя такие функции, как регистрация жертв, проверка часовых поясов и связь с сервером C2 через определенные URL-адреса.

Кампания Circle также представила функцию "BringCircle", которая отвечает за распаковку вредоносной программы ElizaRAT из встроенного zip-файла. Вредоносная программа создала файл LNK для запуска, но не указала его использование. Кроме того, в рамках кампании ElizaRAT выполнялись стандартные проверки, регистрировались данные жертв и осуществлялся обмен данными с сервером C2 для получения команд. Полезная нагрузка в этой кампании была сосредоточена на загрузке определенных файлов и поддержании постоянства в скомпрометированных системах.

Более того, в различных кампаниях были замечены различные полезные приложения, такие как extensionhelper_64.dll и ConnectX.dll, которые действовали как похитители информации, нацеленные на сбор определенных типов файлов и их отправку на сервер C2. Эти полезные приложения хранили метаданные в базах данных SQLite, взаимодействовали с облачными сервисами для обмена данными и ориентировались на определенные расширения файлов на внешних дисках для сбора данных.

#technique

Storm-0978 использует новую технологию внедрения ядра «Step Bear

https://github.com/huoji120/APT_Step_Bear_Inject

Сама техника описана еще весной тут https://ti-qianxin-com.translate.goog/blog/articles/The-Nightmare-of-EDR-Storm-0978-Utilizing-New-Kernel-Injection-Technique-Step-Bear-CN/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp&_x_tr_hist=true

Ну и так, немного по OSINT-у

Tracking the FBI’s Most Wanted: "RedLine" Info-Stealer Creator Maxim Rudometov

https://www.osinord.com/post/tracking-the-fbi-s-most-wanted-redline-info-stealer-creator-maxim-rudometov

#ParsedReport #CompletenessMedium
06-11-2024

Analyzing Cyber Reconnaissance Activities Behind APT37 Threats

https://www.genians.co.kr/blog/threat_intelligence/apt37_recon

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage, cyber_terrorism)

Threats:
Rokrat
Spear-phishing_technique

Victims:
North korean human rights groups, Defectors, Reporters covering north korea, Experts, Professors

Industry:
Government, Education

Geo:
North korean, Usa, North korea, Korean, Korea, Gyeonggi-do

CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19567)
- microsoft windows 10 1607 (<10.0.14393.5501)
- microsoft windows 10 1809 (<10.0.17763.3650)
- microsoft windows 10 20h2 (<10.0.19042.2251)
- microsoft windows 10 21h1 (<10.0.19043.2251)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1036, T1204, T1566, T1140, T1082, T1059, T1190

IOCs:
File: 18
IP: 13
Domain: 3
Email: 5
Hash: 7

Soft:
Slack, Instagram, macOS, Gmail, Dropbox

Algorithms:
md5, base64, xor

Win API:
ShellExecuteW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, dump: 3, schema: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ деятельности по киберразведке, проводимой поддерживаемой государством хакерской группой APT37, с акцентом на их тактику, такую как фишинговые атаки с использованием вредоносных файлов lnk, замаскированных под законные документы. Злоумышленники используют различные методы, включая тактику социальной инженерии и шифрование файлов, для борьбы с организациями в Южной Корее, особенно с теми, кто вовлечен в дела Северной Кореи. В тексте подчеркивается важность внедрения передовых технологий обнаружения угроз для усиления защиты от такой скрытой кибератаки.
-----

Анализ сосредоточен на деятельности в области киберразведки поддерживаемой государством хакерской группы APT37, известной тем, что она занимается кибершпионажем, нацеленным в первую очередь на организации в Южной Корее, такие как северокорейские правозащитные группы, перебежчиков, репортеров, освещающих Северную Корею, экспертов в различных смежных областях и профессоров в таких областях, как объединение и национальная оборона, иностранные дела и безопасность в Северной Корее. Группа использует различные тактические приемы, одним из которых является использование вредоносных файлов lnk в качестве основной стратегии.

В одном случае, обнаруженном в апреле, злоумышленники замаскировали атаку под электронное письмо, якобы отправленное университетским профессором с государственным образованием, содержащее документ под названием "Северная Корея Trends.docx". Распространение вредоносного файла было замаскировано под обычный документ, прикрепленный к электронному письму, отправленному с домена, похожего на сайт внутреннего портала. Вредоносный файл "North Korea Trends.lnk" использовал команду PowerShell для обмана пользователей, скрывая вредоносный модуль RoKRAT внутри файла lnk с помощью шифрования с помощью логики XOR. Модуль RoKRAT, распространяемый в различных файлах lnk, выполнял команды для управления целевой системой и манипулирования ею, такие как сбор файлов и передача их на сервер C2.

После фишинговой атаки spear в апреле были замечены последующие разведывательные действия, связанные с электронными письмами различного содержания, такими как кибертерроризм и похищение гражданских лиц Северной Кореей. Эти действия были направлены на сбор информации, необходимой для проникновения, иногда с использованием вложений или сокращенных URL-адресов для поиска целей. Злоумышленники предприняли целенаправленные усилия по снижению уровня подозрительности, включив обычный контент в дополнение к вредоносным файлам, продемонстрировав сложный подход к разведке и тактике социальной инженерии.

Злоумышленники использовали различные методы для сокрытия своей деятельности, такие как использование IP-адресов VPN и разных имен файлов для сокрытия своих вредоносных намерений. Кроме того, они выдавали себя за таких людей, как бывшие правительственные чиновники, журналисты и эксперты по делам Северной Кореи, чтобы повысить достоверность своих попыток фишинга. Проведенный анализ подчеркивает важность внедрения решений для обнаружения аномального поведения и реагирования на него, таких как активное внедрение Genian EDR, для повышения безопасности терминалов и эффективного противодействия такой скрытой деятельности в области киберразведки.

Перед лицом растущих киберугроз, исходящих от спонсируемых государством хакерских группировок, таких как APT37, организациям важно усилить свою защиту, используя передовые технологии обнаружения угроз, способные выявлять изощренные атаки и смягчать их последствия. Такие решения, как Genian EDR, оказываются полезными при обнаружении и реагировании на вредоносные программы без использования файлов и облачные коммуникации C2, обеспечивая дополнительный уровень защиты от APT-атак. Тщательно отслеживая доступ к вредоносным файлам и выявляя ненормальное поведение, организации могут повысить свою киберустойчивость и активно реагировать на возникающие угрозы.

#ParsedReport #CompletenessHigh
05-11-2024

Venture Wolf attempts to disrupt Russian businesses with MetaStealer

https://bi.zone/eng/expertise/blog/venture-wolf-ispolzuet-metastealer-v-atakakh-na-rossiyskie-kompanii

Report completeness: High

Actors/Campaigns:
Venture_wolf

Threats:
Meta_stealer
Themida_tool
Vmprotect_tool
Redline_stealer
Process_injection_technique

Industry:
Telco, Financial

Geo:
Chinese, Russian

TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 15
IP: 5
File: 5
Url: 1

Soft:
Chromium, Google Chrome, Opera, CentBrowser, Chedot, Vivaldi, Kometa, Yandex Browser, Mozilla Firefox, Mozilla Thunderbird, Steam, have more...

Wallets:
electrum, exodus_wallet

Crypto:
bitcoin

Algorithms:
rc4, zip

Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, ResumeThread

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что BI выявила новый кластер угроз под названием Venture Wolf, которая распространяет вредоносное ПО MetaStealer на целевые системы в различных отраслях промышленности. Эта вредоносная программа известна своей эффективностью при краже данных, а тактика Venture Wolf заключается в использовании нескольких загрузчиков с изощренными методами внедрения. Кроме того, в тексте подчеркивается отсутствие ограничений на использование российских компаний, что делает эти вредоносные действия более привлекательными для участников угроз.
-----

BI.ZONE Threat Intelligence выявила новый кластер угроз под названием Venture Wolf, который, как выяснилось, действует с ноября 2023 года. Этот кластер использует несколько загрузчиков для распространения вредоносного ПО MetaStealer на целевые системы в различных отраслях, таких как производство, строительство, информационные технологии и телекоммуникации. MetaStealer относится к категории вредоносных программ-похитителей, которые пользуются популярностью у злоумышленников из-за своей эффективности в краже данных. Примечательно, что некоторые вредоносные программы, в том числе MetaStealer, не имеют ограничений на их использование против российских компаний, что повышает их привлекательность для злоумышленников.

Принцип работы Venture Wolf заключается в распространении архивов, содержащих загрузчики с расширениями .com или .exe, а также фишинговые документы. При запуске загрузчик либо создает фиктивный .NET-файл для внедрения вредоносной полезной нагрузки, либо внедряет его в процесс RegAsm.exe. Эти загрузчики упакованы в виде переносимых исполняемых файлов (PE) с запутанным кодом и зашифрованными именами функций WinAPI для вредоносных программ. В зависимости от типа загрузчика полезная нагрузка и фиктивный файл шифруются с использованием RC4 и хранятся в теле загрузчика.

Некоторые загрузчики вводят вредоносную полезную нагрузку в приостановленный процесс фиктивного файла .NET, в то время как другие вводят ее напрямую в RegAsm.exe. Расшифрованная полезная нагрузка вводится с использованием различных этапов, включая создание процесса в приостановленном режиме, выделение памяти, запись данных полезной нагрузки и манипулирование контекстом потока для выполнения полезной нагрузки. Кроме того, было замечено, что компания Venture Wolf использует такие средства защиты, как Enigma, VMProtect и Themida, для загрузочных секций.

MetaStealer, написанный на C#, идентифицируется как ответвление RedLine stealer, отличающееся отсутствием ограничений на таргетинг на организации из России и других стран СНГ. Кроме того, Venture Wolf использует .NET Reactor protector для маскировки кода MetaStealer, что затрудняет его обнаружение и анализ.

#ParsedReport #CompletenessHigh
06-11-2024

Bengal cat lovers in Australia get psspsspss d in Google-driven Gootloader campaign

https://news.sophos.com/en-us/2024/11/06/bengal-cat-lovers-in-australia-get-psspsspssd-in-google-driven-gootloader-campaign

Report completeness: High

Threats:
Gootkit
Seo_poisoning_technique
Revil
Cobalt_strike
Process_hacker_tool
Raccoon_stealer

Industry:
Financial, Aerospace

Geo:
Australia

TTPs:
Tactics: 14
Technics: 8

IOCs:
Url: 13
Path: 7
File: 12
Hash: 4

Soft:
Sysinternals

Algorithms:
sha256, zip, base64

Functions:
CreateFile

Languages:
python, powershell, cscript, php, javascript

Links:
https://github.com/mandiant/gootloader/blob/main/GootLoaderAutoJsDecode.py
https://github.com/sophoslabs/IoCs/blob/master/gootloader\_cats\_iocs.csv