#ParsedReport #CompletenessMedium
13-11-2024

Analysis of OceanLotus's attack activities on the legal system of the South China Sea

https://www.ctfiot.com/214872.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Duke
Winnti

Threats:
Spear-phishing_technique
Cobalt_strike
Supply_chain_technique

Industry:
Transport, Financial, Education, Maritime, Government

Geo:
China, Thailand, Laos, Asian, Cambodia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1073, T1105, T1219

IOCs:
File: 11
IP: 1

Soft:
WeChat

Algorithms:
base64

Functions:
GetNumberOfMethods

Win API:
ReadFile, WriteFile, VirtualProtect

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: OceanLotus, также известная как APT32, - это организация APT из Юго-Восточной Азии, которая занимается кибершпионажем, нацеленным на отрасли и организации в соседних странах, особенно те, которые связаны с морскими делами. Группа использует сложные методы атаки, в том числе фишинговые электронные письма с вредоносными вложениями, перехват DLL-файлов и инструкции по удаленному управлению с помощью таких инструментов, как CobaltStrike Beacon. Источники в области анализа угроз сообщили о текущей деятельности OceanLotus и о важности соблюдения осторожности при работе с вложениями электронной почты из неизвестных источников, рекомендовав использовать инструменты безопасности для анализа образцов и проявлять бдительность в отношении киберугроз.
-----

OceanLotus, также известная как APT32, - это организация APT из Юго-Восточной Азии, ориентированная на соседние страны, такие как Китай, Камбоджа, Таиланд и Лаос.

Организация специализируется на таких отраслях, как правительство, финансы, морские агентства, морские строительные департаменты, судоходные компании, научно-исследовательские институты и отечественные университеты.

Было обнаружено, что OceanLotus участвует в продолжающихся атаках с помощью фишинговых электронных писем, направленных против национальных морских агентств.

Процесс атаки включает в себя использование фишинговых вложений электронной почты, замаскированных под файлы формата DOCX, внутри сжатых файлов, содержащих вредоносные файлы, такие как Warp.exe и 7z.dll.

OceanLotus использует перехват DLL-файлов для осуществления вредоносных действий.

Вредоносный DLL-файл загружается с помощью Warp.exe для запуска CobaltStrikeBeacon и установления соединения с сервером C2.

Кобальтовый ударный маяк используется для получения инструкций по дистанционному управлению на заключительном этапе атаки.

Публичные источники информации об угрозах идентифицировали сервер C2 как принадлежащий OceanLotus.

Пользователям рекомендуется быть осторожными с вложениями электронной почты из неизвестных источников и использовать такие инструменты, как Ahnheng Cloud Sandbox, для обнаружения подозрительных образцов.

The Hunting Lab рекомендует не запускать вложения электронной почты из незнакомых источников и не отправлять неизвестные образцы на анализ.

#ParsedReport #CompletenessLow
13-11-2024

GoIssue - The Tool Behind Recent GitHub Phishing Attacks

https://slashnext.com/blog/goissue-github-phishing-attacks

Report completeness: Low

Threats:
Goissue_tool
Supply_chain_technique
Gitloker
Bec_technique
Credential_stealing_technique

Victims:
Developers, Github users, Organizations

ChatGPT TTPs:
do not use without manual check
T1589.002, T1566.002, T1071.003, T1090.002

Soft:
Telegram

Crypto:
ripple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении нового инструмента под названием GoIssue, его возможностях, рисках, которые он представляет для организаций в результате фишинговых атак на разработчиков на GitHub, и рекомендации организациям сохранять бдительность в отношении таких угроз, применяя упреждающие меры безопасности.
-----

В тексте обсуждается появление нового инструмента под названием GoIssue, который продается на форуме по киберпреступности. Этот инструмент позволяет злоумышленникам извлекать адреса электронной почты из профилей пользователей GitHub и проводить массовые кампании по электронной почте, нацеленные на разработчиков. GoIssue представляет собой серьезную угрозу, поскольку он выходит за рамки отдельных разработчиков и потенциально может скомпрометировать целые организации в результате кражи исходного кода, атак на цепочки поставок и сетевых взломов, которым способствуют скомпрометированные учетные данные разработчика.

Этот инструмент стоит 700 долларов за пользовательскую сборку или 3000 долларов за полный доступ к исходному коду и предлагает возможности массовой рассылки по электронной почте и расширенные функции сбора данных, сохраняя анонимность оператора через прокси-сети. Его возможности позволяют злоумышленникам проводить масштабные индивидуальные фишинговые кампании, которые обходят спам-фильтры и нацелены на конкретные сообщества разработчиков. Типичный сценарий атаки включает сбор адресов электронной почты из профилей на GitHub и отправку фишинговых писем с вредоносными ссылками, которые могут привести к краже учетных данных, загрузке вредоносных программ или несанкционированному доступу к частным хранилищам с помощью несанкционированных авторизаций приложений OAuth.

Продавец GoIssue, cyberluffy, идентифицирован как член команды GitLoker, которая связана с предыдущей кампанией с использованием уведомлений GitHub для распространения вредоносных приложений OAuth. Это позволяет предположить, что GoIssue может быть расширением или усовершенствованной версией инструментов, используемых в кампании GitLoker. В ветке форума, рекламирующей GoIssue, содержатся ссылки на блоги по безопасности, в которых подробно описываются атаки GitLoker, что указывает на потенциальную взаимосвязь между двумя направлениями угроз.

Организациям рекомендуется проявлять бдительность в отношении таких типов фишинговых угроз, поскольку они могут скомпрометировать инициативы по цифровой трансформации и привести к раскрытию конфиденциальных данных. CISO и специалистам по безопасности рекомендуется запланировать демонстрацию, чтобы узнать, как защититься от GoIssue и аналогичных угроз, нацеленных на разработчиков на таких платформах, как GitHub. Использование сложных фишинговых инструментов, таких как GoIssue, означает сдвиг в тактике киберпреступности в сторону использования доступа разработчиков для более широкого воздействия на организацию.

В ответ на эти растущие угрозы организации могут использовать такие решения, как интегрированная облачная система безопасности обмена сообщениями SlashNext, для защиты от кражи данных, финансовых махинаций и передовых методов фишинга на платформах электронной почты, в браузерах и мобильных устройствах. Оставаясь в курсе новых угроз, таких как GoIssue, и применяя упреждающие меры безопасности, организации могут снизить риск стать жертвами целенаправленных кибератак.

#ParsedReport #CompletenessLow
11-11-2024

Fabrice Malware: Python Typosquatting Targeting AWS via Supply Chain on Linux & Windows

https://www.secureblink.com/threat-research/fabrice-malware-python-typosquatting-targeting-aws-via-supply-chain-on-linux-and-windows-1

Report completeness: Low

Threats:
Supply_chain_technique
Fabrice
Typosquatting_technique

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 1
Path: 1

Soft:
Linux, chrome

Algorithms:
base64

Functions:
linuxThread, winThread, test

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ вредоносной программы Fabrice, использующей Python для перехвата опечаток в цепочке поставок, нацеленной на учетные данные AWS в системах Linux и Windows. Злоумышленники, стоящие за Fabrice, стремятся украсть учетные данные AWS с целью получения финансовой выгоды, несанкционированного доступа к облачным ресурсам и, возможно, шпионажа, утечки данных или захвата ресурсов. Фабрис демонстрирует изощренность в уклонении от обнаружения с помощью обфускации, скрытого выполнения команд и механизмов сохранения, создавая значительную угрозу для отдельных лиц и организаций, используя уязвимости в экосистемах с открытым исходным кодом. В тексте подчеркивается важность понимания таких атак на цепочки поставок и реагирования на них для усиления защиты от кибербезопасности.
-----

Fabrice - это атака на цепочку поставок с использованием опечаток на языке Python, нацеленная на учетные данные AWS в системах Linux и Windows с использованием скомпрометированной библиотеки Fabric.

Более 37 000 пользователей были заражены Fabrice с момента его появления на PyPI в 2021 году.

Фабрис совершает кражу учетных данных, создает бэкдоры и выполняет сценарии, зависящие от платформы.

Злоумышленники стремятся получить несанкционированный доступ к облачным ресурсам и финансовую выгоду с помощью украденных учетных данных AWS.

Фабрис избегает обнаружения с помощью скрытых каталогов, запутанных URL-адресов и методов обфускации.

Вредоносная программа использует кодировку base64, скрытое выполнение и удаление скриптов, чтобы затруднить судебно-медицинский анализ и избежать обнаружения.

Понимание методов Фабриса и реагирование на них имеют решающее значение, поскольку они служат примером атаки на цепочку поставок, которая может оказать широкое воздействие на отдельных лиц и организации.

#ParsedReport #CompletenessLow
13-11-2024

Warning: A new variant of the Melofee Trojan with 0 detections is exposed, specializing in RHEL 7.9 systems

https://www.ctfiot.com/215115.html

Report completeness: Low

Actors/Campaigns:
Winnti
Sidewinder

Threats:
Melofee

Victims:
Red hat enterprise linux (rhel) 7.9

ChatGPT TTPs:
do not use without manual check
T1057, T1573.001

IOCs:
IP: 2
File: 1

Soft:
Linux, crontab, WeChat

Algorithms:
rc4

Win API:
readfile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового варианта бэкдорного трояна Melofee, разработанного для Red Hat Enterprise Linux, с подробным описанием его возможностей, изменений и потенциальных последствий для кибербезопасности. В этом варианте значительно улучшены функциональные возможности, методы шифрования и тактика обхода, что свидетельствует о продолжающихся усилиях его создателей по предотвращению обнаружения. В тексте подчеркивается важность сотрудничества в рамках сообщества кибербезопасности для эффективного устранения угрозы, исходящей от Melofee и аналогичных вредоносных инструментов.
-----

27 июля 2024 года система оповещения о крупных сетевых угрозах XLab идентифицировала IP-адрес 45.92.156.166, по которому распространялся ELF-файл с именем pskt, который ранее не был обнаружен в VirusTotal. Этот файл вызвал два срабатывания сигнализации: его нахождение в разделе Overlay и использование доменного имени, предположительно имитирующего Microsoft. Анализ показал, что это был новый вариант бэкдорного трояна Melofee, специально разработанного для Red Hat Enterprise Linux (RHEL) 7.9. Melofee - это бэкдорный троян на C++, связанный с APT group Winnti, впервые раскрытый ExaTrack в марте 2023 года. Последний образец показал значительные улучшения в плане файловой структуры и функциональности по сравнению с предыдущими версиями.

Новый вариант Melofee включает в себя зашифрованный модуль драйвера на уровне ядра, использующий шифрование RC4 для скрытия таких действий, как файлы, процессы и сетевые коммуникации. Функционально новый вариант демонстрирует изменения в сохраняемости, механизме создания единого экземпляра и дизайне функциональных номеров, демонстрируя потенциальные текущие усилия его создателей по разработке, направленные на то, чтобы избежать обнаружения. Сравнение информации о типе среды выполнения (RTTI) в образцах выявило изменения на уровне исходного кода, что указывает на непрерывную эволюцию во избежание мониторинга безопасности.

Интересным открытием в ходе анализа стала связь с адресом C2, filemanage.micrsofts-file.com. Этот домен имеет общий IP-адрес 91.195.240.123 с другими подозрительными доменами, такими как www.micrsofts-file.com. Однако этот IP-адрес был идентифицирован как IP-адрес для парковки, предоставленный регистратором домена NameSilo, что привело к потенциальным ложным срабатываниям, которые позволили связать его с вредоносными действиями. Исследовательская группа подчеркнула важность получения дополнительной информации для улучшения понимания тактики и целей злоумышленника.

В статье описывались способы заражения и управления Melofee, подчеркивались его возможности по сокрытию процессов и установлению связи с серверами C2 в ожидании инструкций. Технические подробности были сосредоточены на процессе дешифрования, модулях драйверов и бэкдорных функциях Melofee. Было обнаружено, что модуль драйвера kworkerx, уникальный для этого примера, является модификацией project Reptile с открытым исходным кодом, позволяющей использовать различные скрытые функции для сокрытия TCP-соединений, процессов, каталогов и обеспечения постоянства.

Функции Melofee, несмотря на относительную простоту, обладают мощными возможностями маскировки, что делает его потенциально опасным инструментом в руках кибер-хакеров. Низкий уровень обнаружения образцов и доменных имен Melofee в сочетании с его высокой анонимностью свидетельствует о важности сотрудничества в рамках сообщества кибербезопасности для эффективного противодействия таким угрозам. Специалисты по безопасности могут идентифицировать заражение Melofee по наличию определенных файлов и объектов и предпринять соответствующие действия по исправлению ситуации для защиты своих систем.

#ParsedReport #CompletenessHigh
13-11-2024

Stealthy Attributes of APT Lazarus: Evading Detection with Extended Attributes

https://www.group-ib.com/blog/stealthy-attributes-of-apt-lazarus

Report completeness: High

Actors/Campaigns:
Lazarus
Energeticbear

Threats:
Bundlore
Smuggling_technique
Rustbucket

Industry:
Financial

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 15
Url: 4
Domain: 3
IP: 2
Hash: 10

Soft:
macOS, Mac OS, curl, macOS Gatekeeper, Gatekeeper, Unix

Algorithms:
exhibit

Languages:
rust, javascript

Platforms:
arm, apple, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи из Group-IB выявили новую технологию, называемую контрабандой кода с использованием расширенных атрибутов, используемую APT Lazarus для сокрытия вредоносного кода в системах macOS с целью уклонения. Эта технология предполагает хранение вредоносного кода в пользовательских расширенных атрибутах, что обеспечивает скрытность и возможность уклонения. Вредоносная программа, получившая название RustyAttr, разработана с использованием платформы Tauri и представляет серьезную угрозу из-за сложного процесса выполнения и потенциальных будущих атак, связанных с APT Lazarus. В тексте подчеркивается важность системной защиты macOS и отмечаются возможные будущие усовершенствования технологии обхода.
-----

В блоге обсуждается новая технология, недавно выявленная исследователями Group-IB, которая заключается в использовании расширенных атрибутов в системах macOS для сокрытия вредоносного кода в целях уклонения. Эта технология, называемая контрабандой кода с использованием расширенных атрибутов, еще не интегрирована в платформу MITRE ATT&CK. Это открытие связано с APT Lazarus, хакерской группой, известной своими передовыми кибероперациями.

Расширенные атрибуты, которые представляют собой метаданные, связанные с файлами и каталогами в различных файловых системах, используются для хранения дополнительной информации, выходящей за рамки стандартных атрибутов, таких как размер файла, временные метки и разрешения. Этот подход предполагает скрытие кода в пользовательских расширенных атрибутах, используя метод, ранее использовавшийся рекламным по Bundlore в 2020 году, который скрывал свою полезную нагрузку в форках ресурсов в старых системах macOS.

Исследователи обнаружили нового троянца для macOS под названием RustyAttr, разработанного с использованием платформы Tauri и подписанного утечкой сертификата, который впоследствии был отозван. Эти вредоносные файлы остались необнаруженными на VirusTotal, что указывает на высокий уровень скрытности и возможностей уклонения. В настоящее время эта деятельность со средней степенью уверенности приписывается APT Lazarus.

Процесс выполнения включает использование расширенных атрибутов для хранения вредоносного кода, доступ к которому получают приложения, разработанные с использованием платформы Tauri. Tauri позволяет создавать легкие настольные приложения с веб-интерфейсом и серверной частью Rust, облегчая выполнение вредоносного скрипта, расположенного в расширенных атрибутах.

Хакер реализовал сложный метод запуска выполнения кода, включающий рендеринг веб-страницы HTML с компонентом WebView, который загружает подозрительный файл JavaScript с именем "preload.js". Этот файл JavaScript взаимодействует с функциями Rust через интерфейс внешних функций платформы Tauri framework, позволяя выполнять сценарии оболочки, скрытые в расширенных атрибутах.

Хотя во время исследования точная цель следующего этапа вредоносной программы была недоступна, промежуточный сервер был подключен к инфраструктуре Lazarus, что вызывало опасения по поводу потенциальных будущих атак. В ходе анализа были выявлены поддельные PDF-файлы, размещенные на общедоступном сервисе обмена файлами, тематически схожие с операциями Lazarus, но подтвержденных жертв обнаружено не было.

Технология сокрытия кода в расширенных атрибутах оказалась эффективной для предотвращения обнаружения антивирусными сканерами, что подчеркивает важность системных средств защиты macOS, таких как Gatekeeper. Для запуска атаки может потребоваться отключить Gatekeeper, чтобы обойти защиту от вредоносных программ, что потенциально потребует применения тактики социальной инженерии, позволяющей убедить жертв предпринять такие шаги. Будущие версии этого метода могут включать в себя подписание кода, нотариальное заверение, обфускацию и улучшенные механизмы скрытности, чтобы повысить его эффективность при уклонении от обнаружения и установления авторства.

#ParsedReport #CompletenessLow
13-11-2024

Iranian "Dream Job" Campaign 11.24

https://www.clearskysec.com/irdreamjob24

Report completeness: Low

Actors/Campaigns:
Dream_job (motivation: cyber_espionage)
Unc1549
Charming_kitten
Lazarus
Kimsuky

Threats:
Snailresin
Dll_sideloading_technique

Industry:
Aerospace

Geo:
Israel, North korean, United arab emirates, Arab emirates, Iran, Turkey, Albania, Iranian, Middle east, North korea, India

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1574.002, T1568

IOCs:
File: 1

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследование ClearSky Cyber Security, посвященное "Иранской кампании по поиску работы мечты", показывает, как иранский хакер TA455 нацелился на аэрокосмическую отрасль с помощью поддельных предложений о работе, используя вредоносные программы SnailResin и SlugResin. Расследование также выявило потенциальную связь между Очаровательным котенком и Лазарусом, что наводит на мысль о совместном воплощении или сотрудничестве. Кроме того, кампания, действующая как минимум с сентября 2023 года, демонстрирует сложную тактику социальной инженерии TA455 и использование поддельных веб-сайтов по подбору персонала и профилей LinkedIn для распространения вредоносных файлов.
-----

ClearSky Cyber Security провела исследование "Иранской кампании по поиску работы мечты", нацеленной на аэрокосмическую промышленность иранским хакером TA455.

Кампания включала распространение вредоносных программ SnailResin и SlugResin, связанных с хакерской группой Charming Kitten.

Другие компании, занимающиеся кибербезопасностью, приписали те же вредоносные файлы северокорейской группе Kimsuky/Lazarus APT.

В ходе кампании использовались методы социальной инженерии, такие как поддельные предложения о работе, поддельные рекрутеры, профили LinkedIn и мошеннические веб-сайты для доставки вредоносных файлов.

Жертвам предоставлялось руководство в формате PDF для доступа к поддельному сайту по подбору персонала, содержащему вредоносные файлы.

TA455 использовал методы сторонней загрузки библиотеки DLL для загрузки вредоносного DLL-файла с именем "secur32.dll" для получения информации о жертве.

Кампания проводится как минимум с сентября 2023 года и нацелена на аэрокосмическую промышленность стран Ближнего Востока.

Расследование выявило потенциальные связи или сотрудничество между различными хакерами, что подчеркивает сложность киберопераций TA455.

#ParsedReport #CompletenessLow
13-11-2024

DPRK Malware Exploits Flutter Apps to Breach macOS Security

https://www.secureblink.com/cyber-security-news/dprk-malware-exploits-flutter-apps-to-breach-mac-os-security

Report completeness: Low

Threats:
Applescript

Geo:
Dprk

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1059.002, T1216

IOCs:
Domain: 1

Soft:
Flutter, macOS, Flutter's, Android, Microsoft Defender for Endpoint

Languages:
python, golang

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что была раскрыта вредоносная кампания для macOS, связанная с лицами, поддерживаемыми КНДР, при этом злоумышленники использовали приложения, созданные на основе Flutter, и сложные методы обфускации, нацеленные на пользователей macOS. Эта кампания демонстрирует растущую угрозу, исходящую от действующих лиц из КНДР, которые используют тактику социальной инженерии и запутывания кода для получения конфиденциальных данных. Вредоносное ПО, обнаруженное в формах Go, Python и Flutter, служит полезной нагрузкой первого этапа в многоэтапных атаках, направленных на закрепление или сбор информации для более сложных задач. Это подчеркивает способность злоумышленников адаптироваться к использованию различных языков программирования и экосистем, а использование Flutter демонстрирует их готовность экспериментировать с различными фреймворками, чтобы обойти меры безопасности. Рекомендации по защите от таких угроз включают более строгие требования к подписи приложений, средства обнаружения аномалий на основе машинного обучения и расширенные средства поиска угроз для выявления уязвимостей и обнаружения необычных шаблонов.
-----

Вредоносная кампания для macOS, связанная с лицами, поддерживаемыми КНДР, использует приложения, созданные на основе Flutter, со сложным вредоносным ПО, используя передовые методы обфускации, чтобы избежать обнаружения.

Вредоносная программа была обнаружена в версиях Go, Python и Flutter, причем вариант Flutter был особенно сложен в анализе из-за своих возможностей обфускации.

Вредоносное ПО функционирует как полезная нагрузка первого этапа при многоэтапных атаках, создавая плацдарм или собирая информацию для более сложных задач.

Одно замаскированное приложение при запуске инициировало сетевые запросы к домену, связанному с КНДР, позволяя злоумышленникам выполнять удаленные команды AppleScript и управлять зараженными устройствами.

Варианты вредоносной программы, созданные с использованием Golang и Python, демонстрировали схожие сетевые запросы и методы выполнения полезной нагрузки, демонстрируя адаптивность при использовании различных языков программирования.

Кампания вредоносных программ, использующих Flutter в качестве механизма доставки, может послужить тестовым запуском для будущих, более масштабных атак, направленных на обход мер безопасности с помощью законно выглядящих приложений и сложной обфускации.

Рекомендации по защите включают более строгие требования к подписи приложений, использование инструментов обнаружения аномалий и расширенных средств поиска угроз для выявления уязвимостей и необычных моделей поведения.

Постоянный мониторинг и анализ, проводимый лабораторией Jamf Threat Labs, имеет решающее значение для защиты пользователей macOS от возникающих угроз.