#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что была раскрыта вредоносная кампания для macOS, связанная с лицами, поддерживаемыми КНДР, при этом злоумышленники использовали приложения, созданные на основе Flutter, и сложные методы обфускации, нацеленные на пользователей macOS. Эта кампания демонстрирует растущую угрозу, исходящую от действующих лиц из КНДР, которые используют тактику социальной инженерии и запутывания кода для получения конфиденциальных данных. Вредоносное ПО, обнаруженное в формах Go, Python и Flutter, служит полезной нагрузкой первого этапа в многоэтапных атаках, направленных на закрепление или сбор информации для более сложных задач. Это подчеркивает способность злоумышленников адаптироваться к использованию различных языков программирования и экосистем, а использование Flutter демонстрирует их готовность экспериментировать с различными фреймворками, чтобы обойти меры безопасности. Рекомендации по защите от таких угроз включают более строгие требования к подписи приложений, средства обнаружения аномалий на основе машинного обучения и расширенные средства поиска угроз для выявления уязвимостей и обнаружения необычных шаблонов.
-----

Вредоносная кампания для macOS, связанная с лицами, поддерживаемыми КНДР, использует приложения, созданные на основе Flutter, со сложным вредоносным ПО, используя передовые методы обфускации, чтобы избежать обнаружения.

Вредоносная программа была обнаружена в версиях Go, Python и Flutter, причем вариант Flutter был особенно сложен в анализе из-за своих возможностей обфускации.

Вредоносное ПО функционирует как полезная нагрузка первого этапа при многоэтапных атаках, создавая плацдарм или собирая информацию для более сложных задач.

Одно замаскированное приложение при запуске инициировало сетевые запросы к домену, связанному с КНДР, позволяя злоумышленникам выполнять удаленные команды AppleScript и управлять зараженными устройствами.

Варианты вредоносной программы, созданные с использованием Golang и Python, демонстрировали схожие сетевые запросы и методы выполнения полезной нагрузки, демонстрируя адаптивность при использовании различных языков программирования.

Кампания вредоносных программ, использующих Flutter в качестве механизма доставки, может послужить тестовым запуском для будущих, более масштабных атак, направленных на обход мер безопасности с помощью законно выглядящих приложений и сложной обфускации.

Рекомендации по защите включают более строгие требования к подписи приложений, использование инструментов обнаружения аномалий и расширенных средств поиска угроз для выявления уязвимостей и необычных моделей поведения.

Постоянный мониторинг и анализ, проводимый лабораторией Jamf Threat Labs, имеет решающее значение для защиты пользователей macOS от возникающих угроз.

#ParsedReport #CompletenessMedium
13-11-2024

APT Profile - MUDDYWATER

https://www.cyfirma.com/research/apt-profile-muddywater

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: information_theft, cyber_espionage)

Threats:
Powerstats
Remadmin
Chisel_tool
Quarks
Pwdump_tool
Powgoop
Mimikatz_tool
Redrum
Atera_tool
Spear-phishing_technique
Muddyrot

Industry:
Education, Ngo, Entertainment, Financial, Healthcare, Petroleum, Telco, Aerospace, Transport, Foodtech, Military, Government, Energy

Geo:
Iraq, Jordan, Ukraine, United arab emirates, Lebanon, Israel, Arab emirates, Turkey, Iranian, Portugal, Albania, Israeli, Russia, Saudi arabia, Qatar, America, Mali, India, Azerbaijan, Middle east, Austria, Pakistan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)


TTPs:
Tactics: 9
Technics: 42

IOCs:
File: 2

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группировка APT, связанная с правительством, занимается шпионажем, нацеливаясь на жертв на Ближнем Востоке. Они используют технологии "в памяти", такие как PowerShell, и тактику "жизни за пределами земли", чтобы избежать обнаружения. Фокусируясь на таких странах, как Саудовская Аравия, ОАЭ и Ирак, они нацелены на широкий спектр отраслей, используя фишинговые кампании. Недавно группа расширила свои цели, включив в них организации в нескольких странах, используя новую вредоносную программу BugSleep для удаленного управления и передачи файлов.
-----

MuddyWater - это группа APT, связанная с иранским правительством, известная тем, что нацеливается на жертв на Ближнем Востоке, используя встроенные в память векторы, такие как PowerShell. Их атаки относятся к категории "несанкционированных", что означает, что они не создают новые двоичные файлы на компьютере жертвы, что приводит к низкой степени обнаружения и следствию. Деятельность группы, скорее всего, мотивирована шпионажем.

В то время как MuddyWater имеет большое число жертв в Пакистане, их наиболее активные цели, по-видимому, находятся в Саудовской Аравии, ОАЭ и Ираке. В число отраслей, на которые нацелена MuddyWater, входят аэрокосмическая, оборонная, сельскохозяйственная, финансовая, энергетическая, медиа, военная, криптовалютная, образовательная, государственная, здравоохранительная и другие. Деятельность группы охватывает различные страны, включая Саудовскую Аравию, ОАЭ, Ирак, Индию, Соединенные Штаты и другие.

В ходе недавней кампании MuddyWater расширила свои цели на организации в Саудовской Аравии, Турции, Азербайджане, Индии и Португалии. Группа использовала взломанные учетные записи электронной почты организаций для проведения фишинговых атак, сосредоточившись на внедрении законных инструментов удаленного управления, таких как Atera Agent и Screen Connect. Эти фишинговые кампании, которые начались в феврале 2024 года, были нацелены на правительственные учреждения, муниципалитеты, средства массовой информации и туристические агентства. Было выявлено более 50 электронных писем с фишинговыми рассылками, предназначенных для конкретных секторов, каждое из которых было направлено на то, чтобы обманом получить удаленный доступ с помощью законного программного обеспечения. Такой подход позволяет MuddyWater поддерживать доступ, не вызывая подозрений.

С октября 2024 года MuddyWater активизировала свои кибероперации против израильских организаций, внедрив новую вредоносную программу-бэкдор под названием BugSleep. Этот специализированный имплантат позволяет MuddyWater выполнять удаленные команды и передавать файлы на взломанных системах, в отличие от ранее использовавшихся ими законных инструментов, таких как Atera Agent и Screen Connect. BugSleep предназначен для удаленного выполнения команд и передачи файлов между зараженными системами и сервером управления. Вредоносная программа все еще находится в стадии разработки, и постоянные обновления направлены на улучшение ее функциональности и возможностей уклонения.

#ParsedReport #CompletenessLow
13-11-2024

ModeLeak: Privilege Escalation to LLM Model Exfiltration in Vertex AI

https://unit42.paloaltonetworks.com/privilege-escalation-llm-model-exfil-vertex-ai

Report completeness: Low

Geo:
Emea, Japan, America, Apac

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1430, T1078, T1203

IOCs:
File: 5

Soft:
Docker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении сценария потенциальной киберугрозы, связанного с внедрением вредоносной модели в среде машинного обучения, в частности в Google Vertex AI. Атака заключается в том, что злоумышленник загружает зараженную модель в общедоступный репозиторий, который затем импортируется и развертывается в среде организации специалистом по обработке данных. Вредоносная модель может проникать в уязвимые модели машинного обучения и адаптеры для работы с большими языковыми моделями, что подчеркивает важность надежных мер безопасности для предотвращения подобных атак и необходимость сотрудничества для улучшения обмена информацией об угрозах.
-----

В тексте обсуждается сценарий потенциальной киберугрозы, связанный с внедрением вредоносной модели в среде машинного обучения, в частности в Google Vertex AI. Злоумышленник загружает зараженную модель в общедоступный репозиторий, который затем импортируется и развертывается специалистом по обработке данных в среде организации. После активации эта вредоносная модель может отфильтровывать конфиденциальные модели машинного обучения и адаптеры large language model (LLM), потенциально раскрывая важную информацию, встроенную в эти модели.

Атака использует уязвимости в пользовательских разрешениях на выполнение заданий, позволяя злоумышленнику повысить свои привилегии и получить несанкционированный доступ ко всем службам передачи данных в рамках проекта. Вводя команды в конфигурацию JSON спецификации контейнера или создавая пользовательский образ, который открывает обратную оболочку, злоумышленник может создать черный ход для доступа к среде. Такой доступ обеспечивает видимость и возможность эксфильтрации различных моделей по всему проекту, что создает серьезный риск утечки данных.

Демонстрация атаки подчеркивает потенциальную серьезность последствий, включая утечку всех моделей ML и LLM в проекте, что может привести к компрометации тщательно настроенных моделей. Злоумышленник может повторить пользовательскую настройку и оптимизацию организации, что создает риск раскрытия конфиденциальных данных. Вредоносная модель запускается в кластере Kubernetes, в частности, в процессе развертывания конечной точки.

В тексте подчеркивается важность надежных мер безопасности при управлении развертыванием моделей для предотвращения подобных атак. Рекомендуется использовать среды разработки или тестирования отдельно от производственных сред, чтобы снизить риск несанкционированного доступа к небезопасным моделям. Проверка каждой модели перед развертыванием, будь то из внутренних команд или сторонних репозиториев, имеет решающее значение для защиты от атак на утечку моделей.

Результаты исследования были переданы членам Альянса по борьбе с киберугрозами (CTA), чтобы улучшить обмен информацией об угрозах и обеспечить быстрое внедрение средств защиты от таких вредоносных действий в киберпространстве. Сотрудничество в рамках CTA помогает систематически выявлять киберпреступников и защищать клиентов от возникающих угроз.

#ParsedReport #CompletenessMedium
12-11-2024

Strela Stealer: Today s invoice is tomorrow s phish

https://securityintelligence.com/x-force/strela-stealer-todays-invoice-tomorrows-phish

Report completeness: Medium

Actors/Campaigns:
Hive0145 (motivation: financially_motivated)
Ta577
Shathak
Ta570

Threats:
Strela_stealer
Stellar
Bec_technique
Emotet
Pikabot
Qakbot
Aldaray_rummage_tool

Industry:
Financial, E-commerce

Geo:
Ukraine, Brazil, Spain, Deutsche, Italy, Italian, German, Ukrainian, Australia, Brazilian, Spanish, Polish, Germany

ChatGPT TTPs:
do not use without manual check
T1566.001, T1071.001, T1027, T1553.002, T1059.007, T1203, T1218.011, T1074.001

IOCs:
Path: 1
Hash: 1

Soft:
Microsoft Outlook, Mozilla Thunderbird, Outlook

Algorithms:
zip, xor

Win API:
VirtualAlloc, CryptUnprotectData, GetKeyboardLayoutList, GetLocaleInfoA

Languages:
javascript, php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: IBM X-Force отслеживает деятельность кампании Hive0145, управляемой финансово мотивированным хакером, которая распространяет вредоносное ПО Strela Stealer с помощью изощренной фишинговой тактики, нацеленной на жертв в Европе. Группа продемонстрировала высокий уровень изощренности в разработке своих методов, особенно в использовании украденных электронных писем для повышения достоверности своих фишинговых кампаний. Сосредоточенность Hive 0145 на сборе учетных данных электронной почты и использовании украденных электронных писем для перехвата вложений представляет значительный риск для организаций в различных отраслях по всей Европе.
-----

IBM X-Force отслеживает активность кампаний Hive 0145 по распространению вредоносного ПО Strela Stealer в Европе, уделяя особое внимание таким странам, как Испания, Германия и Украина.

Вредоносная программа Strela Stealer предназначена для извлечения учетных данных пользователей из Microsoft Outlook и Mozilla Thunderbird.

Hive0145 - это финансово мотивированный брокер начального доступа (IAB), который работает с конца 2022 года и потенциально является единственным оператором Strela Stealer.

С середины апреля 2023 года наблюдается заметный рост активности Hive 0145, а также переход к более изощренной тактике, нацеленной на жертв по всей Европе.

Hive 0145 в первую очередь нацелен на жертв в итальянских, испанских, немецких и украиноязычных регионах, используя вложения в фишинговые электронные письма, замаскированные под счета или квитанции.

В июле 2024 года были замечены значительные изменения в тактике Hive 0145, включая использование украденных электронных писем для повышения достоверности своих фишинговых кампаний.

Hive 0145 обрабатывает украденные электронные письма, добавляя в них вредоносную информацию, и адаптирует их для каждой жертвы, ориентируясь на носителей немецкого, испанского и украинского языков.

У группы наблюдаются колебания в объемах рассылки электронной почты, за периодами активности и бездействия следуют широкомасштабные кампании, нацеленные на жертв в Испании, Германии и Украине.

Hive 0145 использует различные тактики уклонения, такие как отображение общих сообщений об ошибках, чтобы не вызывать подозрений у жертв.

Группа, стоящая за Hive 0145, использует различные сложные методы, чтобы избежать обнаружения и повысить успех своих кампаний, включая использование файлов на разных языках, действительных сертификатов подписи кода, индивидуальных имен файлов, запутанных скриптов и шифровальщика под названием "Stellar Crypter"..

Вредоносная программа Strela Stealer, используемая Hive 0145, по-прежнему успешно извлекает учетные данные электронной почты из Microsoft Outlook и Thunderbird, а в последних версиях поддерживаются дополнительные функции эксфильтрации для сбора системной информации и определения конкретных языков клавиатуры на хостах-жертвах.

Сосредоточенность Hive 0145 на сборе учетных данных электронной почты и использовании украденных писем для перехвата вложений отличает их от других хакеров, демонстрируя потенциальный акцент на финансовой мотивации за счет взлома деловой электронной почты.

Рекомендуется проявлять повышенную бдительность в отношении вложений электронной почты и тщательно проверять типы файлов, чтобы снизить риск, связанный с кампаниями Hive 0145, ориентированными на организации по всей Европе.

#ParsedReport #CompletenessMedium
12-11-2024

Harnessing Chisel for Covert Operations: Dissecting a Multi-Stage PowerShell Campaign

https://cyble.com/blog/dissecting-a-multi-stage-powershell-campaign-using-chisel

Report completeness: Medium

Actors/Campaigns:
Sandworm

Threats:
Chisel_tool
Lorenz
Mespinoza
Nmap_tool

TTPs:
Tactics: 5
Technics: 4

IOCs:
Url: 5
File: 1
IP: 1
Hash: 5

Soft:
Windows security

Algorithms:
sha256, base64

Languages:
powershell

Platforms:
intel

Links:
https://github.com/jpillora/chisel
have more...
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/chisel.txt
https://github.com/CRIL-Threat-Intelligence/Sigma\_rules/blob/main/Detection%20of%20Suspicious%20PowerShell%20and%20HOSTNAME.EXE%20Execution%20Patterns.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что лаборатория Cyble Research and Intelligence Lab (CRIL) обнаружила очень сложную многоступенчатую цепочку заражения PowerShell, предназначенную для повышения стойкости, уклонения от обнаружения и обеспечения возможности потенциальных атак с использованием инструмента Chisel. Кампания включает в себя использование вредоносного файла LNK, запускающего скрипты PowerShell, которые устанавливают контроль в целевой системе, взаимодействуют с сервером управления (C&C), выполняют вредоносные команды и используют Chisel для дальнейшей связи C&C и горизонтального перемещения. В тексте также обсуждается использование методов обфускации, присутствие Chisel в кампании и предлагаемые Cyble пакеты поиска угроз для обнаружения и устранения таких киберугроз.
-----

Лаборатория Кибл-исследований и аналитики (CRIL) обнаружила очень сложную и всеобъемлющую многоэтапную цепочку заражения PowerShell, предназначенную для повышения стойкости, уклонения от обнаружения и обеспечения возможности потенциальных атак с использованием инструмента Chisel. Кампания начинается с того, что вредоносный файл LNK запускает серию сценариев PowerShell для установления и поддержания контроля в целевой системе. Сценарий первого этапа настраивает постоянство путем развертывания дополнительных сценариев PowerShell и пакетных файлов, в то время как сценарий второго этапа поддерживает связь с сервером управления (C&C) для выполнения сценария третьего этапа. Третий этап включает в себя отправку и выполнение команд в соответствии с указаниями C&C сервера.

Анализ сети выявил наличие библиотеки DLL Chisel, что указывает на то, что хакер (TA) может использовать Chisel для дальнейшей передачи данных по C&C и для облегчения перемещения в пределах скомпрометированной сети. TA, вероятно, использует прокси-сервер Netskope для связи с сервером Chisel, повышая скрытность и обходя традиционные средства защиты сети.

Первоначальным источником заражения является вредоносный файл LNK, выполняющий команды PowerShell для загрузки и выполнения дополнительных вредоносных программ. В сценариях PowerShell используются различные методы обфускации, такие как установка политики выполнения на "обход" и запуск в скрытом режиме, чтобы избежать обнаружения. Эти скрипты устанавливают постоянство, взаимодействуют с C&C-сервером и выполняют команды для вредоносных действий, таких как утечка данных.

На первом этапе скрипт PowerShell создает скрытый каталог, настраивает протоколы безопасности, извлекает системную информацию и взаимодействует с сервером C&C с помощью прокси-серверов. Сценарий второго этапа продолжает взаимодействие с сервером C&C, загружает сценарий третьего этапа, закодированный в Base64, и выполняет его для продолжения цепочки атак. На третьем этапе вводятся случайные задержки, осуществляется взаимодействие с C&C сервером на основе цепочки команд и выполняются полученные команды.

Присутствие Chisel в кампании указывает на намерение TA использовать этот инструмент для продвинутых операций, включая создание туннеля для бокового перемещения и обеспечение скрытой связи внутри сети. Используя прокси-сервер Netskope, TA может запутывать коммуникации C&C, обходить сетевую защиту и эффективно поддерживать контроль над скомпрометированными системами.

Cyble предлагает пакеты для поиска угроз с правилами YARA и Sigma, разработанные специально для выявления кампаний с использованием Chisel и связанных с ними вредоносных действий. Эти пакеты позволяют организациям заблаговременно выявлять и устранять киберугрозы, опережая киберпреступников. Многоэтапная кампания PowerShell демонстрирует продвинутую тактику, используемую хакерами для установления длительного контроля, уклонения от обнаружения и обеспечения дальнейших вредоносных действий в целевых сетях.

#ParsedReport #CompletenessLow
13-11-2024

China-Nexus TAG-112 Compromises Tibetan Websites to Distribute Cobalt Strike

https://www.recordedfuture.com/research/china-nexus-tag-112-compromises-tibetan-websites

Report completeness: Low

Actors/Campaigns:
Tag-112 (motivation: cyber_espionage)
Daggerfly

Threats:
Cobalt_strike

Victims:
Tibet post, Gyudmed tantric university

Industry:
Government, Education

Geo:
Campaign against tibetan, Tibet post, Tibetan community websites, Targeting tibetan, Interest in tibetan, Compromises tibetan, Tibetan websites to, For compromising tibetan, Compromising tibetan, Compromised two tibetan, Tibetan organizations reflect, Focus on tibetan, Tibetan websites tibet, Operations against tibetan, Tibet post and, Tibetan and, Tibetan websites, Two tibetan, Tibetan organizations, Against tibetan, Tibetan entities, Tibetan community, In tibetan, On tibetan, China, Tag-112 compromises tibetan, Tibetan and other, The compromised tibetan, Chinese, Tibetan websites through, For targeting tibetan, Least two tibetan, Compromised tibetan

ChatGPT TTPs:
do not use without manual check
T1189, T1203, T1566.002

IOCs:
Domain: 6

Soft:
Joomla, Google Chrome

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о киберкампании, проводимой спонсируемой китайским государством хакерской группой TAG-112, нацеленной на тибетские веб-сайты с помощью вредоносного ПО Cobalt Strike. Злоумышленники использовали вредоносный JavaScript, чтобы обманом заставить пользователей загружать поддельный сертификат безопасности, демонстрируя постоянное стремление к кибершпионажу против тибетских организаций. Несмотря на сходство с другой китайской хакерской группой TAG-102, TAG-112 идентифицируется как отдельная организация с менее продвинутыми операциями. Анализ подчеркивает заинтересованность китайского правительства в мониторинге тибетских общин и других меньшинств, которые воспринимаются как угрозы, подчеркивая важность упреждающих мер кибербезопасности для защиты от угроз, спонсируемых государством.
-----

Спонсируемая китайским государством хакерская группа TAG-112 провела киберкампанию, направленную против тибетских веб-сайтов, таких как Tibet Post и Тантрический университет Гьюдмед, внедрив вредоносное ПО Cobalt Strike с помощью вредоносного JavaScript, встроенного в сайты.

Инфраструктура TAG-112, защищенная Cloudflare, связывает эту кампанию с другими операциями, спонсируемыми Китаем, в частности с TAG-102 (Evasive Panda), что указывает на постоянное внимание к кибершпионажу против тибетских организаций.

Злоумышленники использовали уязвимости в системе управления контентом Joomla, чтобы внедрить вредоносный JavaScript на целевые веб-сайты и обманом заставить пользователей загрузить поддельный сертификат безопасности, который при запуске запускал полезную нагрузку Cobalt Strike.

Инфраструктура TAG-112 включала в себя несколько IP-адресов, связанных с серверами управления, с основным доменом maskrisks.com зарегистрированным в марте 2024 года через Namecheap, что позволило осуществлять связь со взломанными системами с помощью образцов Cobalt Strike Beacon.

Несмотря на сходство с TAG-102, TAG-112 был идентифицирован Insikt Group как отдельный объект из-за различий в сложности атак и методах, таких как использование Cobalt Strike вместо пользовательского вредоносного ПО и отказ от обфускации JavaScript.

Методология атаки включала определение совместимости пользовательской операционной системы и браузера, установление соединений с доменом управления TAG-112 и запрос пользователям на загрузку Cobalt Strike через страницу с поддельным сертификатом TLS, напоминающую предупреждение Google Chrome о взломанных веб-сайтах.

Кибероперации TAG-112 против тибетских организаций являются частью более широкой стратегии китайского правительства по наблюдению за этническими и религиозными меньшинствами и управлению ими, которые воспринимаются как угроза стабильности и контролю КПК.

В ответ на киберугрозу, исходящую от TAG-112, рекомендуются активные меры кибербезопасности, включая настройку систем обнаружения и предотвращения вторжений, обучение пользователей работе с подозрительными загрузками, мониторинг вредоносных серверов Cobalt Strike C2 и анализ сетевого трафика на предмет потенциальных угроз безопасности.

#ParsedReport #CompletenessMedium
12-11-2024

Targeting Innovation: Sliver C2 and Ligolo-ng Used in Operation Aimed at Y Combinator

https://hunt.io/blog/sliver-c2-ligolo-ng-targeting-yc

Report completeness: Medium

Threats:
Sliver_c2_tool
Ligolo-ng
Cobalt_strike
Process_injection_technique
Supply_chain_technique
Playcrypt
Nitrogen
Blackcat

Victims:
Y combinator

Geo:
North korean, Canada, Korean, Japan

ChatGPT TTPs:
do not use without manual check
T1573, T1055, T1027, T1571

IOCs:
IP: 2
Domain: 1
Hash: 2

Soft:
macOS, Linux, WireGuard

Algorithms:
sha256

Languages:
javascript

Platforms:
cross-platform

Links:
https://github.com/nicocha30/ligolo-ng
https://github.com/BishopFox/sliver
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается использование Sliver C2 framework и Ligolog в кибероперациях, демонстрируются их расширенные возможности. хакеры, в том числе северокорейские группировки, используют Sliver для развертывания программ-вымогателей и демонстрации их эффективности при уклонении от обнаружения. С другой стороны, Ligolo-ng служит безопасным инструментом туннелирования и поворота для скрытого доступа к внутренним сетям. В тексте подчеркиваются проблемы, связанные с возможностями настройки этих инструментов, различными протоколами и методами обфускации, что настоятельно призывает специалистов по безопасности проявлять активность при мониторинге и анализе инфраструктуры для обнаружения и пресечения вредоносных действий.
-----

В тексте обсуждается использование платформы Sliver C2 framework и лиголо-гии в кибероперациях, нацеленных на такие организации, как Y Combinator. Sliver, изначально разработанный для эмуляции действий противника и создания команд red teaming, теперь используется киберпреступниками и национальными группами благодаря своим надежным функциям и кроссплатформенной совместимости с Windows, macOS и Linux. Он предлагает зашифрованные каналы связи, расширенные возможности загрузки, модульную конструкцию для индивидуальной настройки и возможности атаки на цепочку поставок с помощью скомпрометированных установщиков программного обеспечения.

Северокорейские хакеры использовали Sliver для развертывания программ-вымогателей, таких как Play и BlackCat, демонстрируя их эффективность в передовых методах уклонения. Возможности настройки Sliver, разнообразие используемых протоколов и быстрое обновление создают проблемы для традиционных методов обнаружения, затрудняя defenders эффективное выявление и пресечение его деятельности.

С другой стороны, Ligolo-ng служит инструментом туннелирования и поворота для безопасного доступа к внутренним сетям через обратные соединения TCP/TLS. Он отличается от традиционных SOCKS-прокси использованием интерфейса TUN, обеспечивающего беспрепятственную маршрутизацию трафика через взломанные компьютеры. Специалисты по безопасности, особенно тестировщики на проникновение, ценят Ligolo-ng за простоту использования и кросс-платформенную совместимость, позволяющую незаметно исследовать внутреннюю сеть и эффективно управлять ею во время оценки безопасности.

Недавний анализ выявил IP-адрес контроллера Sliver C2, размещенный в Соединенных Штатах, с активными портами Sliver C2 наряду с портом Ligolog. В ходе дальнейшего расследования был обнаружен вредоносный файл ELF, подключенный к этому IP-адресу, который различные средства безопасности идентифицировали как имплантат Sliver. Частая смена TLS-сертификатов, связанных с этим IP-адресом, включая общие имена и сведения об организации, создает дополнительные уровни запутывания инфраструктуры, усложняя установление авторства.

Стратегия использования поддельных доменов, распространенных имен сертификатов TLS, таких как "multiplayer" и "localhost", и смешивания подлинных и сфабрикованных сведений в сертификатах направлена на то, чтобы ввести в заблуждение исследователей и избежать обнаружения. Понимание этих тактик и показателей инфраструктуры имеет решающее значение для отслеживания и пресечения вредоносных кампаний. Упреждающий мониторинг и анализ незначительных изменений в инфраструктуре могут выявить дополнительные IP-адреса и домены, связанные с хакерами, использующими эти платформы.

#ParsedReport #CompletenessLow
13-11-2024

LodaRAT: Established malware, new victim patterns

https://www.rapid7.com/blog/post/2024/11/12/lodarat-established-malware-new-victim-patterns

Report completeness: Low

Actors/Campaigns:
Kasablanka (motivation: cyber_espionage)

Threats:
Lodarat
Donutloader
Cobalt_strike
Asyncrat
Remcos_rat
Xworm_rat
Upx_tool
Ngrok_tool

Geo:
Russia, Bangladesh, Usa

TTPs:

IOCs:
Registry: 5

Soft:
Microsoft Edge, Android, Discord, Windows Firewall

Languages:
autoit, python

Links:
https://github.com/HongThatCong/Malware\_Scripts\_Sources/blob/master/AutoIt\_RAT.au3
https://github.com/rapid7/Rapid7-Labs/blob/LodaRat/IOCs/LodaRat/lodarat\_string\_decryptor.py
have more...
https://github.com/rapid7/Rapid7-Labs/tree/LodaRat/IOCs/LodaRat

#ParsedReport #GeneratedSchema
Generated with GPT-4