#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении уязвимости в Windows VPN-клиенте FortiClient, используемом хакером BrazenBamboo в своей вредоносной программе DEEPDATA, а также в информации о деятельности BrazenBamboo, включая их связь с семейством вредоносных программ LIGHTSPY. Эта информация подчеркивает важность мониторинга и обновления систем для обнаружения и устранения вредоносных программ, связанных с этим хакером.
-----

Volexity обнаружила уязвимость в Windows VPN-клиенте FortiClient от Fortinet, из-за которой учетные данные пользователя остаются в памяти процесса после аутентификации в VPN, которая была использована хакером BrazenBamboo в своей вредоносной программе DEEPDATA. Компания BrazenBamboo связана с разработкой семейства вредоносных программ LIGHTSPY, которые имеют версии для основных операционных систем, включая iOS. Недавно Volexity обнаружил новый вариант LIGHTSPY для Windows. В июле 2024 года Volexity обнаружила уязвимость с нулевым днем раскрытия учетных данных в VPN-клиенте Fortinet, которая позволяла красть учетные данные из памяти процессов клиента, обнаруженную при анализе вредоносного ПО DEEPDATA. DEEPDATA - это постэксплуатационный инструмент для Windows, используемый для сбора различной информации с целевых устройств, с подключаемым модулем, предназначенным для извлечения учетных данных из оперативной памяти VPN-клиента FortiClient.

Функции DEEPDATA включают загрузчик, используемый для расшифровки и загрузки основных компонентов из файла VFS, а также множество плагинов для извлечения данных, которые можно найти в различных семействах вредоносных программ. Плагин FortiClient, использующий уязвимость нулевого дня, извлекает учетные данные пользователя из памяти клиентского процесса, что влияет на последнюю доступную на тот момент версию. Компания Volexity сообщила об этой уязвимости в Fortinet в июле 2024 года, но проблема остается нерешенной, поскольку ей не присвоен номер CVE. DEEPPOST, еще один инструмент, используется для фильтрации данных после их использования.

LIGHTSPY - это мультиплатформенное семейство вредоносных программ, имеющее версии для Android, iOS, macOS и Windows. Windows-версия LIGHTSPY использует уникальный метод развертывания с помощью установщика, выполняющего шелл-код для загрузки и декодирования компонента orchestrator с сервера C2. На различных серверах C2 размещается полезная нагрузка LIGHTSPY, используемая для связи и эксфильтрации.

Компания BrazenBamboo, связанная с DEEPDATA и LIGHTSPY, размещает инфраструктуру C2 и разрабатывает дополнительные приложения, такие как платформы для кражи электронной почты и прокси-сервера. У DEEPDATA и LIGHTSPY есть сходство в файлах плагинов и инфраструктуре C2, что указывает на то, что они разрабатываются связанными организациями. Инфраструктура хакеров служит средством внутренней слежки, а доказательства подтверждают их связь с правительственными операторами.

Анализ Volexity подчеркивает сложность и долговечность возможностей BrazenBamboo, что указывает на то, что это частное предприятие, обслуживающее государственные нужды. Отсутствие оперативной безопасности в инфраструктуре соответствует операциям иностранной разведки. Продолжающееся развитие DEEPDATA и LIGHTSPY предполагает постоянное внимание к расширению возможностей наблюдения.

Чтобы обнаружить вредоносное ПО, связанное с BrazenBamboo, Volexity предлагает регулярно отслеживать и обновлять системы, используя такие инструменты, как Volcano, для анализа памяти и поиска незащищенных учетных данных. История хакера и методы его работы совпадают с известными хакерами из Китая, что указывает на постоянную угрозу.

#ParsedReport #CompletenessMedium
16-11-2024

Inside Intelligence Center: Financially Motivated Chinese Threat Actor SilkSpecter Targeting Black Friday Shoppers. Course of Action. Course of Action

https://blog.eclecticiq.com/inside-intelligence-center-financially-motivated-chinese-threat-actor-silkspecter-targeting-black-friday-shoppers

Report completeness: Medium

Actors/Campaigns:
Silkspecter (motivation: financially_motivated)

Threats:
Typosquatting_technique
Seo_poisoning_technique

Industry:
E-commerce, Financial

Geo:
Usa, China, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1566, T1071, T1041, T1608

IOCs:
File: 1
Hash: 2
Domain: 11

Soft:
OpenReplay, TikTok

Functions:
Stripe

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются методы мониторинга и индикаторы для выявления фишинговых кампаний, посвященных "черной пятнице", организованных хакером SilkSpecter. Особое внимание уделяется мониторингу URL-адресов, связанных со скидками, конкретным путям URL-адресов, таким как "/homeapi/collect", и доменам с "trusttollsvg". Фишинговая кампания была нацелена на покупателей в сфере электронной коммерции во время сезона "Черной пятницы", используя поддельные скидки для получения конфиденциальных данных. SilkSpecter использовал такие тактические приемы, как динамическая настройка языка и имитация законных доменов электронной коммерции. Фишинговый набор хакера собирал данные, включая номера телефонов, для потенциальных будущих атак и использовал API-интерфейсы, такие как Stripe, для финансовых махинаций. Принадлежность SilkSpecter к китайским хакерам основывалась на различных показателях, таких как язык кода и использование китайских серверов.
-----

В тексте содержится информация о методах мониторинга и индикаторах для выявления фишинговых кампаний, посвященных "черной пятнице", организованных хакером, известным как SilkSpecter. В нем подчеркивается важность мониторинга URL-адресов с тематикой, связанной со скидками и "Черной пятницей", с конкретными URL-адресами, такими как "/homeapi/collect", и доменами, включающими "trusttollsvg". Кроме того, предлагается использовать IOCS, которыми делится EclecticIQ, для отслеживания фишинговых доменов SilkSpecter и настройки оповещений о трафике, связанном с конкретными ASN, связанными с китайскими компаниями, такими как Zhejiang Taobao Network Co., Ltd. и Alibaba US Technology Co., Ltd.

Фишинговая кампания, обнаруженная в октябре 2024 года, была нацелена на покупателей электронной коммерции в Европе и США, которые воспользовались высокой активностью онлайн-покупок в сезон "Черной пятницы". SilkSpecter использовал поддельные товары со скидкой, чтобы выманить у жертв данные о владельцах их карт (CHD), конфиденциальные аутентификационные данные (SAD) и личную информацию (PII). Хакер использовал законный платежный процессор Stripe для получения конфиденциальных CHD при совершении подлинных транзакций.

SilkSpecter использовала различные тактики, чтобы сделать свои фишинговые сайты более убедительными, в том числе использовала Google Translate для динамической настройки языка в зависимости от IP-адресов жертв. Фишинговые домены, связанные с SilkSpecter, часто использовали домены верхнего уровня, такие как .top, .shop, .store и .vip, часто имитируя доменные имена законных организаций электронной коммерции.

Анализ фишинговых доменов с помощью таких инструментов, как Urlscan, выявил такие закономерности, как наличие конечных точек "trusttollsvg" и "/homeapi/collect" - критических показателей, связанных с кластером активности SilkSpecter. Фишинговые страницы предлагали заманчивые скидки в "черную пятницу", отслеживали активность посетителей с помощью веб-трекеров и собирали метаданные браузера для динамического перевода и аутентификации.

Фишинговый набор SilkSpecter также побуждал жертв предоставлять свои телефонные номера, что потенциально могло быть использовано в будущем при вишинговых атаках. Используя законные API, такие как Stripe, SilkSpecter удалось обрабатывать платежи и передавать конфиденциальные данные на серверы, контролируемые злоумышленниками, что указывает на многоэтапный процесс атаки с целью потенциального финансового мошенничества.

Отнесение SilkSpecter к китайским хакерам основывалось на различных показателях, включая языковые индикаторы в фишинговом коде, зависимость от размещенных в Китае серверов CDN и использование oemapps, китайской SaaS-платформы. Хакер был связан с многочисленными IP-адресами и доменными именами, связанными с фишингом, которые часто перенаправлялись через Cloudflare для обеспечения анонимности.

#ParsedReport #CompletenessLow
15-11-2024

APT-C-55 Kimsuky GitHub. Analysis of the attack activities of APT-C-55 (Kimsuky) using GitHub as a payload platform. Analysis of the attack activities of APT-C-55 (Kimsuky) using GitHub as a payload platform

https://www.ctfiot.com/215546.html

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Babyshark
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Government

Geo:
Korea, Russia, German, Korean

ChatGPT TTPs:
do not use without manual check
T1193, T1027, T1071, T1105

IOCs:
Url: 8
File: 8
Domain: 2
Hash: 4

Soft:
WeChat

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Хакерская группа, известная как APT-C-55 или Kimsuky, изначально нацеленная на южнокорейские компании, расширила свою деятельность по всему миру и усовершенствовала тактику, используя GitHub для распространения вредоносных программ. Недавний анализ выявил передовые методы и вредоносную деятельность группы, что позволило выработать рекомендации по мерам кибербезопасности для защиты от подобных угроз.
-----

APT-C-55, также известная как Kimsuky или Mystery Baby, - это хакерская группа, впервые выявленная Касперским в 2013 году. Первоначально Kimsuky занималась кибератаками на южнокорейские объекты, такие как аналитические центры, правительственные ведомства, средства массовой информации и образовательные учреждения, но с тех пор расширила свою деятельность, включив в нее Соединенные Штаты, Россию, Европу и другие страны. Основной целью группы является кража разведывательных данных.

В ходе недавнего анализа, проведенного 360 Advanced Threat Research Institute, был обнаружен вредоносный файл, связанный с Kimsuky, содержащий код, который имеет значительное сходство с ранее использовавшимся вредоносным макрокодом группы. Это открытие указывает на новую тактику Kimsuky, использующую GitHub в качестве платформы распространения вредоносных программ для облегчения таких действий, как кража информации. Это открытие не только демонстрирует технологическую эволюцию группы, но и подчеркивает их изощренную тактику угроз и скрытности, направленную на конкретные объекты.

В ходе расширенного поиска угроз было замечено, что Kimsuky использовали файлы типа LNK для своих атак, причем внимание привлек один конкретный файл с именем "_ .docx.lnk". Дальнейший анализ показал, что файл на самом деле содержит запутанный код скрипта, напоминающий известный вредоносный макрокод Kimsuky, что вызывает опасения. Анализ также выявил использование вредоносных документов в качестве первоначальных векторов атаки, за которыми последовало развертывание дополнительных вредоносных программ для кражи данных. Более того, вредоносный адрес, встроенный в запутанный код, привел к всестороннему расследованию соответствующей учетной записи на GitHub.

При проверке FTP-сервера, управляемого злоумышленником, были обнаружены папки с именами strongsi.sportsontheweb.net и sussthanks.sportsontheweb.net, что указывает на их роль в проведении кампаний и сборе данных из скомпрометированных систем. Наличие в коде конкретной информации, связанной с Южной Кореей, еще больше укрепило связь с типичными схемами атак Кимсуки, что позволило отнести эту деятельность к группе.

Для усиления мер кибербезопасности против угроз, подобных Kimsuky, в документе рекомендуются такие действия, как проверка целостности файлов с помощью инструментов проверки подписи, развертывание инструментов сетевого мониторинга для отслеживания связи с неизвестными репозиториями GitHub, мониторинг запущенных процессов на предмет подозрительных действий, внедрение политик внесения приложений в белый список, проведение тренингов по повышению осведомленности сотрудников о безопасности и создание резервных копий данных. и планы восстановления, направленные на смягчение последствий инцидентов безопасности.

Анализ угроз был проведен институтом перспективных исследований угроз 360 Advanced Threat Research Institute, подразделением Группы 360 Government and Enterprise Security Group, в состав которого входят старшие эксперты по безопасности, занимающиеся выявлением, защитой от передовых угроз и исследованием их последствий. Институт имеет успешный опыт выявления и раскрытия известных кибератак, заслужив признание за свой вклад в обеспечение национальной сетевой безопасности.

#ParsedReport #CompletenessLow
16-11-2024

XLoader running via JAR signing tool (jarsigner.exe)

https://asec.ahnlab.com/ko/84431

Report completeness: Low

Threats:
Formbook
Dll_sideloading_technique

ChatGPT TTPs:
do not use without manual check
T1574.002, T1027, T1055.001, T1005

IOCs:
File: 5
Hash: 2
Url: 1

Algorithms:
md5

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Аналитический центр безопасности AhnLab выявил распространение вредоносного ПО XLoader с использованием технологии сторонней загрузки DLL, использующего легальные приложения от Eclipse Foundation для нанесения ущерба системам пользователей и кражи конфиденциальных данных. Злоумышленники используют вредоносные DLL-файлы наряду с законными EXE-файлами для выполнения вредоносных функций, создавая серьезную киберугрозу, которая требует осторожности от пользователей.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение вредоносного ПО XLoader с использованием технологии сторонней загрузки DLL. Этот метод атаки заключается в размещении легитимного приложения и вредоносной библиотеки DLL в одном каталоге, чтобы вредоносная библиотека DLL запускалась вместе с приложением при запуске. В этом случае для подписи JAR-файлов используется законное приложение jarsigner, созданное во время установки пакетов IDE от Eclipse Foundation. Распространяемые файлы сжимаются и содержат как законные EXE-файлы, так и вредоносные DLL-файлы. Примечательно, что только два файла с надписью "jli.dll " и"concrt140e.dll " обнаружены вредоносные файлы, не имеющие действительных подписей, в отличие от других файлов из Eclipse Foundation.

Файл Documents2012.exe загружает вредоносный файл jli.dll и вызывает его функцию экспорта. Проблема заключается в том, что все функции экспорта в этой вредоносной библиотеке DLL имеют одинаковые адреса, что позволяет выполнять определенные злоумышленником функции при вызове любой произвольной функции в ней. Кроме того, файл concrt140e.dll, также входящий в состав дистрибутива, представляет собой зашифрованную полезную информацию, которая расшифровывается во время атаки, вводится в обычный файл aspnet_wp.exe и впоследствии выполняется. Эта внедренная вредоносная программа работает как XLoader, извлекая конфиденциальные пользовательские данные, такие как информация о компьютере и браузере, а также участвуя в таких действиях, как загрузка дальнейшего вредоносного программного обеспечения.

Примечательно, что большинство файлов в дистрибутиве имеют действительные сертификаты Eclipse Foundation, что создает ложное ощущение безопасности. Однако крайне важно соблюдать осторожность, поскольку вредоносные библиотеки DLL запускаются с помощью, казалось бы, безобидных исполняемых файлов. Пользователям настоятельно рекомендуется проявлять осторожность при работе с распространяемыми файлами, которые поставляются в комплекте с исполняемыми компонентами, чтобы не стать жертвами подобных киберугроз.

#ParsedReport #CompletenessLow
16-11-2024

Thanos Operator Targets Police Department in United Arab Emirates

https://blog.sonicwall.com/en-us/2024/11/thanos-operator-targets-police-in-united-arab-emirates

Report completeness: Low

Threats:
Redrum

Victims:
Sharjah police force

Geo:
United arab emirates, Arab emirates

ChatGPT TTPs:
do not use without manual check
T1027, T1016, T1584

IOCs:
File: 1

Crypto:
bitcoin

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз SonicWall Capture Labs выявила новый вариант программы-вымогателя Thanos, нацеленной на полицейское управление в ОАЭ, обнаружила методы ее распространения и обфускации, связала ее с полицейскими силами Шарджи и оперативно разработала сигнатуру для защиты от этого специфического вируса. В тексте также подчеркивается решающая роль команды в сборе информации об угрозах и внесении вклада в более широкое сообщество по кибербезопасности путем обмена информацией, позволяющей защитникам противостоять развивающимся киберугрозам.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила новый вариант программы-вымогателя Thanos, который был специально нацелен на полицейское управление в Объединенных Арабских Эмиратах (ОАЭ). Thanos ransomware - это программа-вымогатель как услуга (RaaS), известная своей простотой настройки и адаптации, позволяющая киберпреступникам создавать и внедрять программы-вымогатели, соответствующие их конкретным потребностям. Эта вредоносная программа печально известна своими возможностями кражи данных, способностью распространяться по сетям и изощренными методами уклонения, предназначенными для того, чтобы избежать обнаружения.

Версия программы-вымогателя Thanos, нацеленная на полицейское управление ОАЭ, написана на .NET и использует методы обфускации, чтобы скрыть свои злонамеренные намерения. Однако после разборки исследователи обнаружили, что обфускацию было относительно легко обойти, поскольку она в основном опиралась на кодировку base64 для обфускации своих строк. Используя простой скрипт, исследователи смогли расшифровать все строки, закодированные в base64, и раскрыть основные функциональные возможности вредоносного ПО. Анализ деобфусцированного кода показал, что вредоносная программа предназначена для сканирования внутренней сети в поисках подключенных к Сети компьютеров, что указывает на ее намерение распространяться в целевой сети.

Исследователи обнаружили в вредоносном ПО подсказки, которые заставили их предположить, что этот конкретный вариант был разработан специально для полиции Шарджи в ОАЭ. Примечательно, что вредоносное ПО использовало определенную комбинацию имени пользователя и пароля, связанную с полицейским управлением. В ответ на эту угрозу SonicWall Capture Labs оперативно создала сигнатуру для защиты от этого специфического вида программ-вымогателей Thanos.

Команда исследователей угроз SonicWall Capture Labs играет решающую роль в сборе, анализе и проверке достоверности информации об угрозах, поступающей из сети SonicWall Capture Threat network, которая включает более 1 миллиона датчиков безопасности, установленных почти в 200 странах и территориях по всему миру. Эта команда ежедневно проводит углубленные исследования с целью выявления и устранения критических уязвимостей и вредоносных программ, гарантируя, что клиенты SonicWall будут обеспечены необходимой защитой от возникающих киберугроз.

Более того, помимо обеспечения безопасности сетей по всему миру, исследовательская группа также вносит свой вклад в более широкое сообщество аналитиков угроз, публикуя еженедельные подробные технические анализы значимых угроз, особенно тех, которые представляют значительный риск для малого бизнеса. Делясь такими идеями, команда стремится наделить правозащитников знаниями и инструментами, необходимыми для эффективной защиты их сетей.

#ParsedReport #CompletenessLow
16-11-2024

Fake North Korean IT Worker Linked to BeaverTail Video Conference App Phishing Attack

https://unit42.paloaltonetworks.com/fake-north-korean-it-worker-activity-cluster

Report completeness: Low

Actors/Campaigns:
Cl-sta-0237
Contagious_interview
Lazarus
Wagemole

Threats:
Beavertail
Invisibleferret
Supply_chain_technique
Residential_proxy_technique

Industry:
Financial

Geo:
Russia, Apac, America, North korea, Japan, Emea, North korean, Dprk, Laos, China

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1078, T1105, T1090

IOCs:
IP: 1
Domain: 7
Email: 37

Soft:
MiroTalk

Crypto:
ethereum

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили северокорейский кластер ИТ-специалистов, известный как CL-STA-0237, который участвует в фишинговых атаках с использованием приложений для видеоконференций, зараженных вредоносным ПО. Этот кластер работает из Лаоса, поддерживая незаконную деятельность Северной Кореи, такую как оружейные программы. Отмечен переход от деятельности, направленной на получение стабильного дохода, к агрессивным кампаниям по распространению вредоносного ПО, что свидетельствует о глобальном охвате северокорейских ИТ-специалистов. Изучается связь между кампанией по распространению вредоносного ПО для собеседований и деятельностью ИТ-работников Северной Кореи, в частности, кампанией Wagemole. Подробно описывается причастность CL-STA-0237 к краже информации у американской компании и к атаке вредоносного ПО на соискателей работы. Кроме того, финансовая связь между кампанией Wagemole и лицом, находящимся под санкциями в отношении Северной Кореи, подчеркивает получение доходов от незаконной деятельности. В тексте подчеркивается постоянная угроза, исходящая от северокорейских киберпреступников, и рекомендуются механизмы защиты. Также упоминаются совместные усилия по борьбе со злоумышленными киберпреступниками.
-----

Северокорейский кластер ИТ-специалистов CL-STA-0237 работает из Лаоса и был вовлечен в недавние фишинговые атаки с использованием приложений для видеоконференций, зараженных вредоносными программами.

Этот кластер является частью более широкой сети северокорейских ИТ-специалистов, поддерживающих незаконную деятельность, такую как программы создания оружия массового уничтожения и баллистических ракет.

Изменение активности связано с переходом от деятельности, направленной на получение стабильного дохода, к более агрессивным кампаниям по борьбе с вредоносным ПО.

В кампании "Заразительные собеседования" участвовали северокорейские хакеры, выдававшие себя за фальшивых работодателей, предлагавших ИТ-специалистам работу для распространения вредоносного ПО.

CL-STA-0237 заражал соискателей работы вредоносными программами, представляясь американской компанией, предоставляющей ИТ-услуги для малого и среднего бизнеса, и используя украденную информацию.

Кластер использовал местные IP-адреса в Лаосе, что потенциально указывало на физическое присутствие в Лаосе.

Был получен доступ к системе единого входа компании, что свидетельствует о детальном проникновении в инфраструктуру компании.

Транзакции с кошелька Ethereum связывали кампанию Wagemole с находящимся под санкциями лицом из Северной Кореи, причастным к незаконной деятельности в России и Лаосе.

Северокорейские хакеры добились успеха в получении доходов от незаконной деятельности с помощью новых тактик, таких как инсайдерские угрозы и вредоносные атаки.

Компаниям рекомендуется внедрять такие механизмы защиты, как Cortex XDR, XSIAM и Prisma Cloud, для защиты от продвинутых киберугроз.

#ParsedReport #CompletenessMedium
15-11-2024

Sailing Into Danger: DONOT APT s Attack on Maritime & Defense Manufacturing

https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing

Report completeness: Medium

Actors/Campaigns:
Donot

Victims:
Karachi shipyard & engineering works

Industry:
Military, Government, Maritime

Geo:
Asia, Pakistan

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 5
Url: 3
Domain: 2
Hash: 2

Soft:
Microsoft Office

Algorithms:
aes, xor, base64, exhibit, hmac, sha256

Languages:
powershell

Links:
https://github.com/CRIL-Threat-Intelligence/Sigma\_rules/blob/main/Detection%20of%20Suspicious%20PowerShell.exe%20Copy%20and%20Command%20Execution.txt
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Donot\_APT.txt

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 6