#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового варианта бэкдорного трояна Melofee, разработанного для Red Hat Enterprise Linux, с подробным описанием его возможностей, изменений и потенциальных последствий для кибербезопасности. В этом варианте значительно улучшены функциональные возможности, методы шифрования и тактика обхода, что свидетельствует о продолжающихся усилиях его создателей по предотвращению обнаружения. В тексте подчеркивается важность сотрудничества в рамках сообщества кибербезопасности для эффективного устранения угрозы, исходящей от Melofee и аналогичных вредоносных инструментов.
-----

27 июля 2024 года система оповещения о крупных сетевых угрозах XLab идентифицировала IP-адрес 45.92.156.166, по которому распространялся ELF-файл с именем pskt, который ранее не был обнаружен в VirusTotal. Этот файл вызвал два срабатывания сигнализации: его нахождение в разделе Overlay и использование доменного имени, предположительно имитирующего Microsoft. Анализ показал, что это был новый вариант бэкдорного трояна Melofee, специально разработанного для Red Hat Enterprise Linux (RHEL) 7.9. Melofee - это бэкдорный троян на C++, связанный с APT group Winnti, впервые раскрытый ExaTrack в марте 2023 года. Последний образец показал значительные улучшения в плане файловой структуры и функциональности по сравнению с предыдущими версиями.

Новый вариант Melofee включает в себя зашифрованный модуль драйвера на уровне ядра, использующий шифрование RC4 для скрытия таких действий, как файлы, процессы и сетевые коммуникации. Функционально новый вариант демонстрирует изменения в сохраняемости, механизме создания единого экземпляра и дизайне функциональных номеров, демонстрируя потенциальные текущие усилия его создателей по разработке, направленные на то, чтобы избежать обнаружения. Сравнение информации о типе среды выполнения (RTTI) в образцах выявило изменения на уровне исходного кода, что указывает на непрерывную эволюцию во избежание мониторинга безопасности.

Интересным открытием в ходе анализа стала связь с адресом C2, filemanage.micrsofts-file.com. Этот домен имеет общий IP-адрес 91.195.240.123 с другими подозрительными доменами, такими как www.micrsofts-file.com. Однако этот IP-адрес был идентифицирован как IP-адрес для парковки, предоставленный регистратором домена NameSilo, что привело к потенциальным ложным срабатываниям, которые позволили связать его с вредоносными действиями. Исследовательская группа подчеркнула важность получения дополнительной информации для улучшения понимания тактики и целей злоумышленника.

В статье описывались способы заражения и управления Melofee, подчеркивались его возможности по сокрытию процессов и установлению связи с серверами C2 в ожидании инструкций. Технические подробности были сосредоточены на процессе дешифрования, модулях драйверов и бэкдорных функциях Melofee. Было обнаружено, что модуль драйвера kworkerx, уникальный для этого примера, является модификацией project Reptile с открытым исходным кодом, позволяющей использовать различные скрытые функции для сокрытия TCP-соединений, процессов, каталогов и обеспечения постоянства.

Функции Melofee, несмотря на относительную простоту, обладают мощными возможностями маскировки, что делает его потенциально опасным инструментом в руках кибер-хакеров. Низкий уровень обнаружения образцов и доменных имен Melofee в сочетании с его высокой анонимностью свидетельствует о важности сотрудничества в рамках сообщества кибербезопасности для эффективного противодействия таким угрозам. Специалисты по безопасности могут идентифицировать заражение Melofee по наличию определенных файлов и объектов и предпринять соответствующие действия по исправлению ситуации для защиты своих систем.

#ParsedReport #CompletenessHigh
13-11-2024

Stealthy Attributes of APT Lazarus: Evading Detection with Extended Attributes

https://www.group-ib.com/blog/stealthy-attributes-of-apt-lazarus

Report completeness: High

Actors/Campaigns:
Lazarus
Energeticbear

Threats:
Bundlore
Smuggling_technique
Rustbucket

Industry:
Financial

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 15
Url: 4
Domain: 3
IP: 2
Hash: 10

Soft:
macOS, Mac OS, curl, macOS Gatekeeper, Gatekeeper, Unix

Algorithms:
exhibit

Languages:
rust, javascript

Platforms:
arm, apple, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи из Group-IB выявили новую технологию, называемую контрабандой кода с использованием расширенных атрибутов, используемую APT Lazarus для сокрытия вредоносного кода в системах macOS с целью уклонения. Эта технология предполагает хранение вредоносного кода в пользовательских расширенных атрибутах, что обеспечивает скрытность и возможность уклонения. Вредоносная программа, получившая название RustyAttr, разработана с использованием платформы Tauri и представляет серьезную угрозу из-за сложного процесса выполнения и потенциальных будущих атак, связанных с APT Lazarus. В тексте подчеркивается важность системной защиты macOS и отмечаются возможные будущие усовершенствования технологии обхода.
-----

В блоге обсуждается новая технология, недавно выявленная исследователями Group-IB, которая заключается в использовании расширенных атрибутов в системах macOS для сокрытия вредоносного кода в целях уклонения. Эта технология, называемая контрабандой кода с использованием расширенных атрибутов, еще не интегрирована в платформу MITRE ATT&CK. Это открытие связано с APT Lazarus, хакерской группой, известной своими передовыми кибероперациями.

Расширенные атрибуты, которые представляют собой метаданные, связанные с файлами и каталогами в различных файловых системах, используются для хранения дополнительной информации, выходящей за рамки стандартных атрибутов, таких как размер файла, временные метки и разрешения. Этот подход предполагает скрытие кода в пользовательских расширенных атрибутах, используя метод, ранее использовавшийся рекламным по Bundlore в 2020 году, который скрывал свою полезную нагрузку в форках ресурсов в старых системах macOS.

Исследователи обнаружили нового троянца для macOS под названием RustyAttr, разработанного с использованием платформы Tauri и подписанного утечкой сертификата, который впоследствии был отозван. Эти вредоносные файлы остались необнаруженными на VirusTotal, что указывает на высокий уровень скрытности и возможностей уклонения. В настоящее время эта деятельность со средней степенью уверенности приписывается APT Lazarus.

Процесс выполнения включает использование расширенных атрибутов для хранения вредоносного кода, доступ к которому получают приложения, разработанные с использованием платформы Tauri. Tauri позволяет создавать легкие настольные приложения с веб-интерфейсом и серверной частью Rust, облегчая выполнение вредоносного скрипта, расположенного в расширенных атрибутах.

Хакер реализовал сложный метод запуска выполнения кода, включающий рендеринг веб-страницы HTML с компонентом WebView, который загружает подозрительный файл JavaScript с именем "preload.js". Этот файл JavaScript взаимодействует с функциями Rust через интерфейс внешних функций платформы Tauri framework, позволяя выполнять сценарии оболочки, скрытые в расширенных атрибутах.

Хотя во время исследования точная цель следующего этапа вредоносной программы была недоступна, промежуточный сервер был подключен к инфраструктуре Lazarus, что вызывало опасения по поводу потенциальных будущих атак. В ходе анализа были выявлены поддельные PDF-файлы, размещенные на общедоступном сервисе обмена файлами, тематически схожие с операциями Lazarus, но подтвержденных жертв обнаружено не было.

Технология сокрытия кода в расширенных атрибутах оказалась эффективной для предотвращения обнаружения антивирусными сканерами, что подчеркивает важность системных средств защиты macOS, таких как Gatekeeper. Для запуска атаки может потребоваться отключить Gatekeeper, чтобы обойти защиту от вредоносных программ, что потенциально потребует применения тактики социальной инженерии, позволяющей убедить жертв предпринять такие шаги. Будущие версии этого метода могут включать в себя подписание кода, нотариальное заверение, обфускацию и улучшенные механизмы скрытности, чтобы повысить его эффективность при уклонении от обнаружения и установления авторства.

#ParsedReport #CompletenessLow
13-11-2024

Iranian "Dream Job" Campaign 11.24

https://www.clearskysec.com/irdreamjob24

Report completeness: Low

Actors/Campaigns:
Dream_job (motivation: cyber_espionage)
Unc1549
Charming_kitten
Lazarus
Kimsuky

Threats:
Snailresin
Dll_sideloading_technique

Industry:
Aerospace

Geo:
Israel, North korean, United arab emirates, Arab emirates, Iran, Turkey, Albania, Iranian, Middle east, North korea, India

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1574.002, T1568

IOCs:
File: 1

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследование ClearSky Cyber Security, посвященное "Иранской кампании по поиску работы мечты", показывает, как иранский хакер TA455 нацелился на аэрокосмическую отрасль с помощью поддельных предложений о работе, используя вредоносные программы SnailResin и SlugResin. Расследование также выявило потенциальную связь между Очаровательным котенком и Лазарусом, что наводит на мысль о совместном воплощении или сотрудничестве. Кроме того, кампания, действующая как минимум с сентября 2023 года, демонстрирует сложную тактику социальной инженерии TA455 и использование поддельных веб-сайтов по подбору персонала и профилей LinkedIn для распространения вредоносных файлов.
-----

ClearSky Cyber Security провела исследование "Иранской кампании по поиску работы мечты", нацеленной на аэрокосмическую промышленность иранским хакером TA455.

Кампания включала распространение вредоносных программ SnailResin и SlugResin, связанных с хакерской группой Charming Kitten.

Другие компании, занимающиеся кибербезопасностью, приписали те же вредоносные файлы северокорейской группе Kimsuky/Lazarus APT.

В ходе кампании использовались методы социальной инженерии, такие как поддельные предложения о работе, поддельные рекрутеры, профили LinkedIn и мошеннические веб-сайты для доставки вредоносных файлов.

Жертвам предоставлялось руководство в формате PDF для доступа к поддельному сайту по подбору персонала, содержащему вредоносные файлы.

TA455 использовал методы сторонней загрузки библиотеки DLL для загрузки вредоносного DLL-файла с именем "secur32.dll" для получения информации о жертве.

Кампания проводится как минимум с сентября 2023 года и нацелена на аэрокосмическую промышленность стран Ближнего Востока.

Расследование выявило потенциальные связи или сотрудничество между различными хакерами, что подчеркивает сложность киберопераций TA455.

#ParsedReport #CompletenessLow
13-11-2024

DPRK Malware Exploits Flutter Apps to Breach macOS Security

https://www.secureblink.com/cyber-security-news/dprk-malware-exploits-flutter-apps-to-breach-mac-os-security

Report completeness: Low

Threats:
Applescript

Geo:
Dprk

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1059.002, T1216

IOCs:
Domain: 1

Soft:
Flutter, macOS, Flutter's, Android, Microsoft Defender for Endpoint

Languages:
python, golang

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что была раскрыта вредоносная кампания для macOS, связанная с лицами, поддерживаемыми КНДР, при этом злоумышленники использовали приложения, созданные на основе Flutter, и сложные методы обфускации, нацеленные на пользователей macOS. Эта кампания демонстрирует растущую угрозу, исходящую от действующих лиц из КНДР, которые используют тактику социальной инженерии и запутывания кода для получения конфиденциальных данных. Вредоносное ПО, обнаруженное в формах Go, Python и Flutter, служит полезной нагрузкой первого этапа в многоэтапных атаках, направленных на закрепление или сбор информации для более сложных задач. Это подчеркивает способность злоумышленников адаптироваться к использованию различных языков программирования и экосистем, а использование Flutter демонстрирует их готовность экспериментировать с различными фреймворками, чтобы обойти меры безопасности. Рекомендации по защите от таких угроз включают более строгие требования к подписи приложений, средства обнаружения аномалий на основе машинного обучения и расширенные средства поиска угроз для выявления уязвимостей и обнаружения необычных шаблонов.
-----

Вредоносная кампания для macOS, связанная с лицами, поддерживаемыми КНДР, использует приложения, созданные на основе Flutter, со сложным вредоносным ПО, используя передовые методы обфускации, чтобы избежать обнаружения.

Вредоносная программа была обнаружена в версиях Go, Python и Flutter, причем вариант Flutter был особенно сложен в анализе из-за своих возможностей обфускации.

Вредоносное ПО функционирует как полезная нагрузка первого этапа при многоэтапных атаках, создавая плацдарм или собирая информацию для более сложных задач.

Одно замаскированное приложение при запуске инициировало сетевые запросы к домену, связанному с КНДР, позволяя злоумышленникам выполнять удаленные команды AppleScript и управлять зараженными устройствами.

Варианты вредоносной программы, созданные с использованием Golang и Python, демонстрировали схожие сетевые запросы и методы выполнения полезной нагрузки, демонстрируя адаптивность при использовании различных языков программирования.

Кампания вредоносных программ, использующих Flutter в качестве механизма доставки, может послужить тестовым запуском для будущих, более масштабных атак, направленных на обход мер безопасности с помощью законно выглядящих приложений и сложной обфускации.

Рекомендации по защите включают более строгие требования к подписи приложений, использование инструментов обнаружения аномалий и расширенных средств поиска угроз для выявления уязвимостей и необычных моделей поведения.

Постоянный мониторинг и анализ, проводимый лабораторией Jamf Threat Labs, имеет решающее значение для защиты пользователей macOS от возникающих угроз.

#ParsedReport #CompletenessMedium
13-11-2024

APT Profile - MUDDYWATER

https://www.cyfirma.com/research/apt-profile-muddywater

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: information_theft, cyber_espionage)

Threats:
Powerstats
Remadmin
Chisel_tool
Quarks
Pwdump_tool
Powgoop
Mimikatz_tool
Redrum
Atera_tool
Spear-phishing_technique
Muddyrot

Industry:
Education, Ngo, Entertainment, Financial, Healthcare, Petroleum, Telco, Aerospace, Transport, Foodtech, Military, Government, Energy

Geo:
Iraq, Jordan, Ukraine, United arab emirates, Lebanon, Israel, Arab emirates, Turkey, Iranian, Portugal, Albania, Israeli, Russia, Saudi arabia, Qatar, America, Mali, India, Azerbaijan, Middle east, Austria, Pakistan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)


TTPs:
Tactics: 9
Technics: 42

IOCs:
File: 2

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группировка APT, связанная с правительством, занимается шпионажем, нацеливаясь на жертв на Ближнем Востоке. Они используют технологии "в памяти", такие как PowerShell, и тактику "жизни за пределами земли", чтобы избежать обнаружения. Фокусируясь на таких странах, как Саудовская Аравия, ОАЭ и Ирак, они нацелены на широкий спектр отраслей, используя фишинговые кампании. Недавно группа расширила свои цели, включив в них организации в нескольких странах, используя новую вредоносную программу BugSleep для удаленного управления и передачи файлов.
-----

MuddyWater - это группа APT, связанная с иранским правительством, известная тем, что нацеливается на жертв на Ближнем Востоке, используя встроенные в память векторы, такие как PowerShell. Их атаки относятся к категории "несанкционированных", что означает, что они не создают новые двоичные файлы на компьютере жертвы, что приводит к низкой степени обнаружения и следствию. Деятельность группы, скорее всего, мотивирована шпионажем.

В то время как MuddyWater имеет большое число жертв в Пакистане, их наиболее активные цели, по-видимому, находятся в Саудовской Аравии, ОАЭ и Ираке. В число отраслей, на которые нацелена MuddyWater, входят аэрокосмическая, оборонная, сельскохозяйственная, финансовая, энергетическая, медиа, военная, криптовалютная, образовательная, государственная, здравоохранительная и другие. Деятельность группы охватывает различные страны, включая Саудовскую Аравию, ОАЭ, Ирак, Индию, Соединенные Штаты и другие.

В ходе недавней кампании MuddyWater расширила свои цели на организации в Саудовской Аравии, Турции, Азербайджане, Индии и Португалии. Группа использовала взломанные учетные записи электронной почты организаций для проведения фишинговых атак, сосредоточившись на внедрении законных инструментов удаленного управления, таких как Atera Agent и Screen Connect. Эти фишинговые кампании, которые начались в феврале 2024 года, были нацелены на правительственные учреждения, муниципалитеты, средства массовой информации и туристические агентства. Было выявлено более 50 электронных писем с фишинговыми рассылками, предназначенных для конкретных секторов, каждое из которых было направлено на то, чтобы обманом получить удаленный доступ с помощью законного программного обеспечения. Такой подход позволяет MuddyWater поддерживать доступ, не вызывая подозрений.

С октября 2024 года MuddyWater активизировала свои кибероперации против израильских организаций, внедрив новую вредоносную программу-бэкдор под названием BugSleep. Этот специализированный имплантат позволяет MuddyWater выполнять удаленные команды и передавать файлы на взломанных системах, в отличие от ранее использовавшихся ими законных инструментов, таких как Atera Agent и Screen Connect. BugSleep предназначен для удаленного выполнения команд и передачи файлов между зараженными системами и сервером управления. Вредоносная программа все еще находится в стадии разработки, и постоянные обновления направлены на улучшение ее функциональности и возможностей уклонения.

#ParsedReport #CompletenessLow
13-11-2024

ModeLeak: Privilege Escalation to LLM Model Exfiltration in Vertex AI

https://unit42.paloaltonetworks.com/privilege-escalation-llm-model-exfil-vertex-ai

Report completeness: Low

Geo:
Emea, Japan, America, Apac

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1430, T1078, T1203

IOCs:
File: 5

Soft:
Docker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении сценария потенциальной киберугрозы, связанного с внедрением вредоносной модели в среде машинного обучения, в частности в Google Vertex AI. Атака заключается в том, что злоумышленник загружает зараженную модель в общедоступный репозиторий, который затем импортируется и развертывается в среде организации специалистом по обработке данных. Вредоносная модель может проникать в уязвимые модели машинного обучения и адаптеры для работы с большими языковыми моделями, что подчеркивает важность надежных мер безопасности для предотвращения подобных атак и необходимость сотрудничества для улучшения обмена информацией об угрозах.
-----

В тексте обсуждается сценарий потенциальной киберугрозы, связанный с внедрением вредоносной модели в среде машинного обучения, в частности в Google Vertex AI. Злоумышленник загружает зараженную модель в общедоступный репозиторий, который затем импортируется и развертывается специалистом по обработке данных в среде организации. После активации эта вредоносная модель может отфильтровывать конфиденциальные модели машинного обучения и адаптеры large language model (LLM), потенциально раскрывая важную информацию, встроенную в эти модели.

Атака использует уязвимости в пользовательских разрешениях на выполнение заданий, позволяя злоумышленнику повысить свои привилегии и получить несанкционированный доступ ко всем службам передачи данных в рамках проекта. Вводя команды в конфигурацию JSON спецификации контейнера или создавая пользовательский образ, который открывает обратную оболочку, злоумышленник может создать черный ход для доступа к среде. Такой доступ обеспечивает видимость и возможность эксфильтрации различных моделей по всему проекту, что создает серьезный риск утечки данных.

Демонстрация атаки подчеркивает потенциальную серьезность последствий, включая утечку всех моделей ML и LLM в проекте, что может привести к компрометации тщательно настроенных моделей. Злоумышленник может повторить пользовательскую настройку и оптимизацию организации, что создает риск раскрытия конфиденциальных данных. Вредоносная модель запускается в кластере Kubernetes, в частности, в процессе развертывания конечной точки.

В тексте подчеркивается важность надежных мер безопасности при управлении развертыванием моделей для предотвращения подобных атак. Рекомендуется использовать среды разработки или тестирования отдельно от производственных сред, чтобы снизить риск несанкционированного доступа к небезопасным моделям. Проверка каждой модели перед развертыванием, будь то из внутренних команд или сторонних репозиториев, имеет решающее значение для защиты от атак на утечку моделей.

Результаты исследования были переданы членам Альянса по борьбе с киберугрозами (CTA), чтобы улучшить обмен информацией об угрозах и обеспечить быстрое внедрение средств защиты от таких вредоносных действий в киберпространстве. Сотрудничество в рамках CTA помогает систематически выявлять киберпреступников и защищать клиентов от возникающих угроз.

#ParsedReport #CompletenessMedium
12-11-2024

Strela Stealer: Today s invoice is tomorrow s phish

https://securityintelligence.com/x-force/strela-stealer-todays-invoice-tomorrows-phish

Report completeness: Medium

Actors/Campaigns:
Hive0145 (motivation: financially_motivated)
Ta577
Shathak
Ta570

Threats:
Strela_stealer
Stellar
Bec_technique
Emotet
Pikabot
Qakbot
Aldaray_rummage_tool

Industry:
Financial, E-commerce

Geo:
Ukraine, Brazil, Spain, Deutsche, Italy, Italian, German, Ukrainian, Australia, Brazilian, Spanish, Polish, Germany

ChatGPT TTPs:
do not use without manual check
T1566.001, T1071.001, T1027, T1553.002, T1059.007, T1203, T1218.011, T1074.001

IOCs:
Path: 1
Hash: 1

Soft:
Microsoft Outlook, Mozilla Thunderbird, Outlook

Algorithms:
zip, xor

Win API:
VirtualAlloc, CryptUnprotectData, GetKeyboardLayoutList, GetLocaleInfoA

Languages:
javascript, php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: IBM X-Force отслеживает деятельность кампании Hive0145, управляемой финансово мотивированным хакером, которая распространяет вредоносное ПО Strela Stealer с помощью изощренной фишинговой тактики, нацеленной на жертв в Европе. Группа продемонстрировала высокий уровень изощренности в разработке своих методов, особенно в использовании украденных электронных писем для повышения достоверности своих фишинговых кампаний. Сосредоточенность Hive 0145 на сборе учетных данных электронной почты и использовании украденных электронных писем для перехвата вложений представляет значительный риск для организаций в различных отраслях по всей Европе.
-----

IBM X-Force отслеживает активность кампаний Hive 0145 по распространению вредоносного ПО Strela Stealer в Европе, уделяя особое внимание таким странам, как Испания, Германия и Украина.

Вредоносная программа Strela Stealer предназначена для извлечения учетных данных пользователей из Microsoft Outlook и Mozilla Thunderbird.

Hive0145 - это финансово мотивированный брокер начального доступа (IAB), который работает с конца 2022 года и потенциально является единственным оператором Strela Stealer.

С середины апреля 2023 года наблюдается заметный рост активности Hive 0145, а также переход к более изощренной тактике, нацеленной на жертв по всей Европе.

Hive 0145 в первую очередь нацелен на жертв в итальянских, испанских, немецких и украиноязычных регионах, используя вложения в фишинговые электронные письма, замаскированные под счета или квитанции.

В июле 2024 года были замечены значительные изменения в тактике Hive 0145, включая использование украденных электронных писем для повышения достоверности своих фишинговых кампаний.

Hive 0145 обрабатывает украденные электронные письма, добавляя в них вредоносную информацию, и адаптирует их для каждой жертвы, ориентируясь на носителей немецкого, испанского и украинского языков.

У группы наблюдаются колебания в объемах рассылки электронной почты, за периодами активности и бездействия следуют широкомасштабные кампании, нацеленные на жертв в Испании, Германии и Украине.

Hive 0145 использует различные тактики уклонения, такие как отображение общих сообщений об ошибках, чтобы не вызывать подозрений у жертв.

Группа, стоящая за Hive 0145, использует различные сложные методы, чтобы избежать обнаружения и повысить успех своих кампаний, включая использование файлов на разных языках, действительных сертификатов подписи кода, индивидуальных имен файлов, запутанных скриптов и шифровальщика под названием "Stellar Crypter"..

Вредоносная программа Strela Stealer, используемая Hive 0145, по-прежнему успешно извлекает учетные данные электронной почты из Microsoft Outlook и Thunderbird, а в последних версиях поддерживаются дополнительные функции эксфильтрации для сбора системной информации и определения конкретных языков клавиатуры на хостах-жертвах.

Сосредоточенность Hive 0145 на сборе учетных данных электронной почты и использовании украденных писем для перехвата вложений отличает их от других хакеров, демонстрируя потенциальный акцент на финансовой мотивации за счет взлома деловой электронной почты.

Рекомендуется проявлять повышенную бдительность в отношении вложений электронной почты и тщательно проверять типы файлов, чтобы снизить риск, связанный с кампаниями Hive 0145, ориентированными на организации по всей Европе.

#ParsedReport #CompletenessMedium
12-11-2024

Harnessing Chisel for Covert Operations: Dissecting a Multi-Stage PowerShell Campaign

https://cyble.com/blog/dissecting-a-multi-stage-powershell-campaign-using-chisel

Report completeness: Medium

Actors/Campaigns:
Sandworm

Threats:
Chisel_tool
Lorenz
Mespinoza
Nmap_tool

TTPs:
Tactics: 5
Technics: 4

IOCs:
Url: 5
File: 1
IP: 1
Hash: 5

Soft:
Windows security

Algorithms:
sha256, base64

Languages:
powershell

Platforms:
intel

Links:
https://github.com/jpillora/chisel
have more...
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/chisel.txt
https://github.com/CRIL-Threat-Intelligence/Sigma\_rules/blob/main/Detection%20of%20Suspicious%20PowerShell%20and%20HOSTNAME.EXE%20Execution%20Patterns.txt