#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является подробный анализ деятельности, тактики и инструментов, используемых группой WIRTE APT (АПТ), с акцентом на их кибершпионаже и подрывных операциях, направленных в первую очередь против организаций на Ближнем Востоке, имеющих тесные связи с ХАМАСОМ, и последовательной эволюции их инструментов и тактики на протяжении многих лет. время.
-----

В тексте дается подробное представление о деятельности, тактике и инструментах, примененных группой WIRTE APT (APTП) за прошедший год. Несмотря на продолжающиеся конфликты на Ближнем Востоке, WIRTE продолжает свою деятельность, демонстрируя универсальный инструментарий, который включает в себя "очистители", бэкдоры и фишинговые страницы, используемые как для шпионажа, так и для саботажа. Группа продемонстрировала постоянную приверженность таким тактикам, как фильтрация пользовательских агентов, создание полезной нагрузки с помощью HTML-тегов, перенаправление на новостные сайты и поддержание согласованного стиля инфраструктуры.

Группа WIRTE работает по меньшей мере с 2018 года и известна прежде всего тем, что занимается политически мотивированным кибершпионажем, уделяя особое внимание сбору разведданных, связанных с региональными геополитическими конфликтами. Есть веские основания полагать, что WIRTE тесно связана с ХАМАСОМ, основываясь на истории их деятельности и схемах, напоминающих деятельность ХАМАСА. На фоне продолжающегося конфликта в регионе группировка нацелилась на организации на Ближнем Востоке, включая Палестинскую автономию, Иорданию, Ирак, Египет и Саудовскую Аравию.

Исследование Check Point выявило четкую связь между пользовательским вредоносным ПО, используемым WIRTE, и SameCoin, вредоносной программой-очистителем, которая двумя волнами атаковала израильские компании в феврале и октябре 2024 года. Несмотря на эволюцию своих инструментов, WIRTE сохранила такие ключевые аспекты своей деятельности, как соглашения об именовании доменов, взаимодействие с помощью HTML-тегов, ответы, ограниченные конкретными пользовательскими агентами, и перенаправление на законные веб-сайты.

Недавний анализ показал, что WIRTE расширила свою деятельность за пределы шпионажа, включив в нее подрывные атаки. Группа использовала такие инструменты, как IronWind, которые были обнаружены в ходе кампании, нацеленной на организации на Ближнем Востоке и связанной с операциями TA402. WIRTE участвовала в подрывных атаках на Израиль, внедряя пользовательское вредоносное ПО, интегрированное с уникальными функциями шифрования и использованием отдельных строк пользовательского агента для каждого образца.

Помимо проведения деструктивных атак, WIRTE также использовала фишинговые страницы, созданные для имитации законных сервисов, таких как Docdroid, в целях обмана. Кампании группы демонстрируют постоянное внимание к различным организациям по всему Ближнему Востоку, с особым упором на Палестинскую автономию, Иорданию и Израиль. Жертвы группы WIRTE тесно связаны с интересами ХАМАСА, подчеркивая исторические связи между двумя организациями и общие цели, связанные с палестинскими проблемами.

Более того, WIRTE использовала множество обманчивых приманок, эксплуатирующих региональные конфликты, а в недавних кампаниях для злонамеренных действий использовались такие инструменты, как IronWind. Деятельность группировки продолжалась на протяжении всех продолжающихся конфликтов на Ближнем Востоке, демонстрируя сочетание шпионажа и подрывных операций в соответствии с целями ХАМАСА. Постоянный мониторинг и анализ, проводимый исследователями в области кибербезопасности, продолжают выявлять эволюционирующие тактики и стратегии, используемые группой WIRTE APT в киберпространстве.

#technique

Stealers evolve to bypass Google Chrome’s new app-bound encryption

https://redcanary.com/blog/threat-intelligence/google-chrome-app-bound-encryption/

#technique

Evasive ZIP Concatenation: Trojan Targets Windows Users

https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users

#ParsedReport #CompletenessMedium
14-11-2024

New Round of SnakeKeylogger Phishing Campaign

https://rt-solar.ru/solar-4rays/blog/4882

Report completeness: Medium

Threats:
Snake_keylogger
Process_hollowing_technique

Victims:
Russian organizations

Industry:
Foodtech, Energy

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1059.005, T1055.012, T1053.005, T1113, T1115, T1056.001

IOCs:
Email: 7
Domain: 9
File: 8
Path: 1
Hash: 35

Soft:
Windows Defender, task scheduler, Telegram, Google Chrome, Amigo, Kometa, Nichrome, CocCoc, Orbitum, Slimjet, have more...

Algorithms:
sha1, sha256, md5

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возобновлении фишинговой кампании с использованием вредоносного ПО SnakeKeylogger, нацеленной на российские организации в различных секторах, его функциях и распространении, недавней волне атак с использованием вредоносного ПО и рекомендуемых мерах для компаний по эффективной борьбе с такими угрозами.
-----

Фишинговая кампания, использующая вредоносный модуль SnakeKeylogger, нацелена на российские организации в промышленности, сельском хозяйстве и энергетике.

SnakeKeylogger - это программа для кражи ключей .NET, распространяемая через форумы даркнета и завоевавшая популярность среди хакеров с 2024 года.

Клиенты ежедневно получают фишинговые электронные письма, содержащие SnakeKeylogger, при этом злоумышленники используют поддельные или скомпрометированные адреса российских компаний.

Вредоносная программа использует дроппер с именем "Contract.exe", чтобы избежать обнаружения AVPO с помощью метода дешифрования для загрузки вспомогательных dll-модулей в память.

SnakeKeylogger может похвастаться расширенными функциональными возможностями для сбора учетных данных из браузеров, почтовых клиентов и многого другого, а также предлагает множество вариантов удаления украденных данных, чтобы избежать обнаружения.

Стратегии смягчения последствий включают в себя приоритетное обучение сотрудников кибербезопасности и внедрение защищенных почтовых шлюзов для перехвата фишинговых писем.

#ParsedReport #CompletenessLow
14-11-2024

A three-beat waltz: The ecosystem behind Chinese state-sponsored cyber threats

https://t7f4e9n3.rocketcdn.me/wp-content/uploads/2024/11/A-three-beat-waltz-The-ecosystem-behind-Chinese-state-sponsored-cyber-threats.pdf

Report completeness: Low

Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage)
Comment_crew (motivation: hacktivism)
Tonto_team
Blacktech
Naikon
Redfoxtrot
Red_delta
Emissary_panda
Leviathan
Winnti (motivation: cyber_espionage, financially_motivated)
Apt31
Stone_panda
Earth_empusa
Chengdu_404_leak
Green_army (motivation: hacktivism)
Honker_union (motivation: hacktivism)
Ixeshe (motivation: hacktivism)
Dragon_castling (motivation: hacktivism)
Chamelgang (motivation: cyber_espionage)
Shell_crew
Bronze_starlight
Flax_typhoon
Crimson_palace

Threats:
Supply_chain_technique
Spear-phishing_technique
Hack-for-hire
Plugx_rat
Shadowpad
Shadowhammer
Htran
Catb_ransomware
Nightsky

Industry:
Transport, Government, Healthcare, Critical_infrastructure, Entertainment, Education, Military, Aerospace

Geo:
Iranian, America, Philippines, Pakistan, Africa, Guangdong, Australian, Russia, Chinese, Brazil, Asian, Middle east, African, Pacific, Russian, China, Tibetans uyghurs and, Korea, Korean, American, Vietnam, Asia, India, Hong kong, Japan, Taiwan, Serbia, Indonesia, Tibetans uyghurs, Japanese, Asia pacific

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059, T1195.002, T1068

IOCs:
Domain: 1

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в глубоком анализе экосистемы киберугроз, спонсируемой китайским государством, с изложением мотивов, стратегий и последствий китайских киберопераций для глобальной кибербезопасности. В нем рассматриваются сложность и системный подход к кибератакам Китая, обусловленные экономическими, политическими и военными целями, с акцентом на взаимосвязанные отношения между военными, институциональными и гражданскими структурами. В тексте также освещаются проблемы идентификации, эволюция китайских хакерских сообществ и важность международного сотрудничества, передовых технологий обнаружения угроз и обучения кибергигиене для эффективного противодействия этим угрозам.
-----

Киберугрозы, спонсируемые китайским государством, носят сложный, долгосрочный и систематический характер и нацелены на критически важные сектора с помощью таких тактик, как скрытый фишинг и атаки на цепочки поставок.

Мотивы, стоящие за деятельностью Китая в киберпространстве, включают экономические, политические и военные цели, направленные на получение интеллектуальной собственности и укрепление военного потенциала.

Установление причастности китайских киберопераций является сложной задачей из-за их скрытого характера и участия частных структур, в частности, Министерства государственной безопасности (МГБ).

Взаимодействие между государственными структурами, частными фирмами и патриотически настроенными хакерами в значительной степени формирует наступательный киберпространственный ландшафт Китая.

Эволюция патриотических хакеров в Китае, переход от хактивистских кампаний к спонсируемым государством кибер-подразделениям под руководством и регулированием правительства.

Реализация стратегии военно-гражданского объединения (MCF) под руководством Си Цзиньпина объединяет гражданские и военные ресурсы для укрепления оборонного потенциала и сокращения технологического разрыва с США.

Хакерские сообщества в Китае переходят к легальным службам кибербезопасности и играют важную роль в спонсируемой государством кибердеятельности, делая акцент на патриотизме, технологиях и геополитике в китайской культуре кибербезопасности.

#ParsedReport #CompletenessLow
14-11-2024

Evasive ZIP Concatenation: Trojan Targets Windows Users

https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users

Report completeness: Low

Threats:
Qshing_technique
Smokeloader
X-ray_tool

Industry:
Financial, Transport

ChatGPT TTPs:
do not use without manual check
T1027, T1203, T1059, T1566, T1189

IOCs:
File: 8

Soft:
Windows File Explorer, Microsoft Visio

Algorithms:
zip, 7zip

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Кибер-хакеры разработали сложные методы фишинга, включающие использование поддельных ZIP-файлов для сокрытия вредоносной полезной нагрузки и нацеливания на конкретные системы, что позволяет избежать обнаружения традиционными средствами безопасности. Исследователи в области безопасности работают над такими решениями, как алгоритмы рекурсивной распаковки, чтобы противостоять этим развивающимся угрозам и обеспечить обнаружение глубоко спрятанных вредоносных программ.
-----

Исследователи Perception Point обнаружили новую двухэтапную фишинговую атаку с использованием файлов Microsoft Visio и SharePoint для внедрения вредоносных URL-адресов и кражи учетных данных.

хакеры использовали платформу Eventbrite в рамках фишинговой кампании для незаконного получения финансовых и персональных данных.

Решения для обеспечения безопасности браузеров стали играть решающую роль в борьбе с такими угрозами, как фишинг, вредоносное ПО и опасные расширения.

Кампания по борьбе с мошенничеством продемонстрировала, что хакеры усиливают фишинг QR-кодов, используя объединение ZIP-файлов, чтобы избежать обнаружения.

Злоумышленники манипулируют структурами ZIP-файлов, чтобы обойти проверки безопасности, используя расхождения в интерпретации ZIP-ридера.

Объединенные ZIP-файлы позволяют скрывать вредоносную полезную нагрузку в труднодоступных местах, чтобы избежать обнаружения.

WinRAR считывает второй центральный каталог в объединенных ZIP-файлах, в то время как Windows File Explorer испытывает трудности, что потенциально создает пробелы в безопасности.

Недавняя атака распространяла вредоносный троян, замаскированный под товаросопроводительный документ в связанном ZIP-файле, предназначенный для пользователей Windows и WinRAR.

Вредоносный троян загружал дополнительные полезные программы, такие как банковские трояны или программы-вымогатели, используя язык сценариев AutoIt.

Традиционным средствам обнаружения может быть сложно полностью распаковать объединенные ZIP-файлы, пропуская скрытую вредоносную нагрузку.

Алгоритм рекурсивной распаковки Perception Point решает эту проблему путем рекурсивного извлечения каждого слоя связанных ZIP-файлов для динамического анализа.

Рекурсивное извлечение имеет важное значение для обнаружения продвинутых вредоносных программ, скрытых с помощью методов уклонения, таких как SmokeLoader, как показано в пользовательском интерфейсе X-Ray от Perception Point.

#ParsedReport #CompletenessMedium
14-11-2024

LightSpy: APT41 Deploys Advanced DeepData Framework In Targeted Southern Asia Espionage Campaign

https://blogs.blackberry.com/en/2024/11/lightspy-apt41-deploys-advanced-deepdata-framework-in-targeted-southern-asia-espionage-campaign

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: cyber_espionage, information_theft)
Axiom (motivation: cyber_espionage)

Threats:
Lightspy
Wyrmspy
Upx_tool

Industry:
Government, Healthcare, Education, Telco

Geo:
Asia-pacific, Asia, Vietnam, China, Chinese

ChatGPT TTPs:
do not use without manual check
T1013, T1132.002, T1102, T1562.001, T1113, T1083, T1218.011

IOCs:
File: 15
Path: 19
IP: 18
Hash: 20

Soft:
WhatsApp, Telegram, WeChat, Outlook, DingDing, Feishu, KeePass, Android, WxWorks, Chrome, Firefox, have more...

Algorithms:
md5, sha256

Languages:
javascript

Platforms:
cross-platform, intel

#ParsedReport #ExtractedSchema

Classified images:
code: 6, table: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развитии и возможностях вредоносной кампании LightSpy, связанной с китайской группой кибершпионажа APT41, с особым акцентом на внедрение системы наблюдения DeepData. Этот модульный инструмент на базе Windows расширяет возможности кражи данных благодаря специализированным подключаемым модулям, расширенным функциям наблюдения, стратегическому нацеливанию на коммуникационные платформы и сложной инфраструктуре управления. Растущая угроза подчеркивает необходимость принятия надежных мер кибербезопасности для противодействия сложным киберугрозам.
-----

В апреле 2024 года BlackBerry обнаружила значительное развитие вредоносной кампании LightSpy, связанной с китайской группой кибершпионажа APT41. Хакер, стоящий за LightSpy, усовершенствовал кампанию, представив DeepData, модульную платформу для наблюдения на базе Windows, которая расширяет возможности по краже данных. DeepData v3.2.1228 состоит из 12 специализированных плагинов для комплексной защиты данных, расширенных возможностей кросс-платформенного наблюдения, сложной инфраструктуры командования и контроля и стратегического выбора коммуникационных платформ.

LightSpy, обнаруженный в начале 2020 года, представляет собой сложный модульный инструментарий для наблюдения, предназначенный для кражи конфиденциальной информации у жертв, особенно в Азиатско-Тихоокеанском регионе. APT41, также известная как Double Dragon, является весьма плодовитой группой кибершпионажа, предположительно связанной с Министерством государственной безопасности Китая. Изначально ориентируясь на индустрию видеоигр, в 2012 году APT41 расширила свою деятельность на высокотехнологичные фирмы, средства массовой информации, здравоохранение, образование, телекоммуникации и технологические секторы.

В ходе расследования LightSpy и связанного с ним шпионского ПО WyrmSpy BlackBerry обнаружила платформу DeepData framework, размещенную на командно-контрольном сервере APT41. DeepData - это инструмент наблюдения с модульной структурой, аналогичной LightSpy, состоящий из основного модуля (frame.exe) и нескольких плагинов. Платформа включает специализированные плагины, предназначенные для различных приложений, таких как операционные системы реального времени, службы обмена сообщениями, облачные платформы хранения данных и почтовые клиенты. Плагины предназначены для извлечения данных из таких приложений, как WeChat, Signal, WhatsApp, OneDrive и других.

Одним из примечательных нововведений является внедрение функции кейлоггера Windows в API командно-контрольного сервера LightSpy implant. Эта новая возможность позволяет хакеру перехватывать нажатия клавиш в системах Windows. Исследователи задокументировали эволюцию инфраструктуры C2, включая новые SSL-сертификаты и специальные URI для страниц входа в систему. Использование панели управления Vue на основе JavaScript для управления операциями со шпионским ПО свидетельствует о постоянном развитии и усложнении кампании.

Хакер, стоящий за DeepData, демонстрирует нацеленность на долгосрочный сбор разведданных, особенно нацеленный на коммуникационные платформы с акцентом на скрытность и постоянный доступ. Основываясь на предыдущих результатах поиска жертв и приложениях, к которым обращался DeepData, предполагается, что предполагаемые цели находятся в Юго-Восточной Азии и потенциально включают политических активистов, политиков и журналистов.

Клиенты BlackBerry защищены от выявленных признаков компрометации DeepData с помощью решений endpoint protection, таких как CylanceENDPOINT, которые используют продвинутый искусственный интеллект для обнаружения и предотвращения угроз, снижая риск сбоев в работе бизнеса и инцидентов с программами-вымогателями. Продолжающееся развитие и расширение кампаний LightSpy и DeepData, проводимых под управлением APT41, подчеркивает необходимость принятия надежных мер кибербезопасности для снижения рисков, связанных со сложными киберугрозами.

#ParsedReport #CompletenessHigh
14-11-2024

Autumn escalation: how pro-government hacker groups attack Russian enterprises linked to the SVO

https://www.facct.ru/blog/apt-autumn

Report completeness: High

Actors/Campaigns:
Core_werewolf (motivation: cyber_espionage)
Sticky_werewolf
Cloudatlas (motivation: cyber_espionage)
Mimistick

Threats:
Unicorn
Ultra_vnc_tool
Darktrack_rat
Quasar_rat
Sliver_c2_tool
Meshcentral_tool
Darktrack

Victims:
Russian organizations, Russian energy companies, Factories, Developers of electronic components, Defense industry enterprises

Industry:
Military, Financial, Energy

Geo:
Russian federation, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.005, T1071.001, T1055, T1219

IOCs:
Domain: 11
Hash: 159
File: 56
Path: 18
Command: 3
Url: 15
Registry: 17
IP: 9

Soft:
telegram, Yandex Browser, NSIS installer, Viber, WhatsApp

Algorithms:
zip, sha1, sha256, md5

Languages:
powershell, golang, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе кибератак, проведенных четырьмя различными группами - Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, - с акцентом на их тактику, методы и процедуры, направленные против различных организаций и отраслей, особенно в контексте кибершпионажа.
-----

В блоге анализируются кибератаки, проведенные Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, с акцентом на обновлениях их тактики, методов и процедур (TTP).

Core Werewolf, кибершпионажная группа, нацеленная на российские организации, связанные с военно-промышленным комплексом, использует в своих кампаниях программное обеспечение UltraVNC и MeshCentral. Их атаки связаны с использованием цепочки скриптов VBS для развертывания UltraVNC, а недавнее обнаружение нового SSH-бэкдора приписывается этой группе. Эта группа работает с августа 2021 года и продемонстрировала изменение тактики: от использования сценариев AutoIt к сценариям VBS для развертывания UltraVNC.

Unicorn, еще одна группа APT, недавно выявленная в сентябре 2024 года, нацелена на российские энергетические компании, заводы и поставщиков электронных компонентов. Они были названы в честь пользовательского вредоносного ПО Trojan-Spy.VBS.Unicorn, которое использовалось в их атаках. Принцип работы Unicorn заключается в распространении вредоносных файлов, замаскированных под законные документы, чтобы заманить жертв к их загрузке и выполнению.

Группировка Sticky Werewolf, действующая с апреля 2023 года, использует в своих атаках широко доступные инструменты, что облегчает их обнаружение и блокирование. Они известны тем, что используют в своих кампаниях КРЫСУ темного следа. Недавние выводы специалистов F.A.C.C.T. по анализу угроз связывают эту группу с атаками на компании оборонной промышленности и поставщиков с использованием определенной цепочки атак, включающей архивы RAR, NSIS EXE, Powershell stegodownloader и полезную нагрузку DarkTrack RAT.

Cloud Atlas, проправительственная APT-группа, действующая как минимум с 2014 года, специализируется на кибершпионаже и атаках на промышленные предприятия и государственные компании. Их атаки, как правило, включают целевые рассылки по электронной почте с вредоносными вложениями. В недавнем случае Cloud Atlas замаскировал вредоносную деятельность под поддержку участников SVO, используя приманку, такую как приложения для патриотических акций. Они были особенно активны в атаках на российские организации, поддерживающие SVO, используя удаленную загрузку шаблонов, встроенных в вредоносные документы.

#ParsedReport #CompletenessHigh
14-11-2024

BLACK BASTA : RANSOMWARE

https://www.cyfirma.com/research/black-basta-ransomware

Report completeness: High

Actors/Campaigns:
Blackbasta

Threats:
Blackbasta
Spear-phishing_technique
Credential_dumping_technique
Quick_assist_tool
Anydesk_tool
Systembc
Cobalt_strike
Rhysida
Gootkit
Emotet
Brc4_tool
Qakbot
Mimikatz_tool
Rclone_tool
Screenconnect_tool
Splashtop_tool
Evilproxy_tool
Backstab_tool
Netcat_tool
Netsupportmanager_rat

Industry:
Retail, Healthcare, Entertainment, Financial

TTPs:
Tactics: 11
Technics: 25

IOCs:
File: 5
Hash: 4
Domain: 4

Soft:
Windows Service, Microsoft Teams, Microsoft Defender, PSExec, WinSCP

Algorithms:
sha256, base64, md5

Languages:
powershell

YARA: Found