#ParsedReport #CompletenessLow
19-11-2024

Exploited PAN-OS Zero-Days Threaten Thousands of Firewalls (CVE-2024-0012 and CVE-2024-9474)

https://socradar.io/exploited-pan-os-zero-days-threaten-firewalls

Report completeness: Low

Actors/Campaigns:
Lunar_peek

Victims:
Palo alto networks devices

CVEs:
CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-1212 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress loadmaster (<7.2.48.10, <7.2.54.8, <7.2.59.2)


ChatGPT TTPs:
do not use without manual check
T1078.001, T1078

IOCs:
IP: 20
Hash: 1

Soft:
PAN-OS

Algorithms:
sha256

Links:
https://github.com/watchtowrlabs/palo-alto-panos-cve-2024-0012/tree/main?ref=labs.watchtowr.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Palo Alto Networks раскрыла две уязвимости нулевого дня, CVE-2024-0012 и CVE-2024-9474, которые затрагивают устройства под управлением PAN-OS. Первая из них позволяет обходить аутентификацию и получать права администратора, а вторая - повышать привилегии администраторов-злоумышленников. Немедленное внесение исправлений и строгий контроль доступа необходимы для устранения этих уязвимостей, которые активно эксплуатировались в дикой природе, что привело к их включению в каталог известных эксплуатируемых уязвимостей CISA.
-----

Palo Alto Networks недавно раскрыла две уязвимости нулевого дня, влияющие на их устройства под управлением PAN-OS, которые активно использовались в дикой природе. Эти уязвимости, идентифицированные как CVE-2024-0012 и CVE-2024-9474, нацелены на слабые места в веб-интерфейсе управления. CVE-2024-0012 - это критическая уязвимость с рейтингом CVSS 9,3, которая позволяет злоумышленникам обойти аутентификацию и получить права администратора без участия пользователя. Первоначально проблема была идентифицирована как проблема удаленного выполнения команд, но позже в обновленном отчете Palo Alto Networks она была переквалифицирована в обход аутентификации.

С другой стороны, CVE-2024-9474 относится к уязвимостям средней степени тяжести с рейтингом CVSS 6,9. Этот недостаток позволяет администраторам-злоумышленникам повышать свои привилегии до уровня root в уязвимых системах PAN-OS. В отличие от CVE-2024-0012, для использования CVE-2024-9474 требуется существующий административный доступ, что делает его менее критичным, но по-прежнему представляет серьезную проблему для организаций. Хотя он представляет меньший риск по сравнению с CVE-2024-0012, потенциальное воздействие на скомпрометированные системы подчеркивает важность немедленного исправления и строгого контроля доступа.

Как CVE-2024-0012, так и CVE-2024-9474 влияют на несколько версий PAN-OS. Уязвимые версии для каждой уязвимости следующие: CVE-2024-0012 затрагивает PAN-OS с 10.2 по 11.2 (предыдущие версии: 10.2.12-h2, 11.0.6-h1, 11.1.5-h1, 11.2.4-h1). Для сравнения, CVE-2024-9474 распространяется на PAN-OS с 10.1 по 11.2 (более ранние версии: 10.1.14-h6, 10.2.12-h2, 11.0.6-h1, 11.1.5-h1, 11.2.4-h1). Обновление до последних версий PAN-OS имеет решающее значение для устранения этих уязвимостей и снижения риска их использования.

Palo Alto Networks связала использование критической уязвимости CVE-2024-0012 с кампанией под названием "Операция "Лунный взгляд"". Злоумышленники атаковали уязвимые интерфейсы управления PAN-OS, используя эту уязвимость для обхода аутентификации и получения административного доступа. Хотя CVE-2024-9474 также использовался в последующих атаках, исследователи напрямую не связывали его с операцией Lunar Peek. Оповещения в режиме реального времени о таких опасных уязвимостях, как CVE-2024-0012, позволяют получить информацию о подробном анализе эксплойтов и поведении хакеров, способствуя оперативному исправлению, обеспечению безопасности активов и снижению рисков.

Агентство по кибербезопасности и защите инфраструктуры (CISA) включило уязвимости Palo Alto Networks CVE-2024-0012 и CVE-2024-9474 в свой каталог известных эксплуатируемых уязвимостей (KEV). Федеральным агентствам было поручено до 9 декабря 2024 года определить приоритетность исправления уязвимых систем в соответствии с директивой CISA. Кроме того, CISA добавила в каталог KEV еще одну проблему высокого риска, CVE-2024-1212. Эта уязвимость связана с ошибкой при вводе команд в Kemp LoadMaster Progress с максимальной оценкой CVSS 10, что еще раз подчеркивает критический характер этих угроз кибербезопасности.

#ParsedReport #CompletenessLow
20-11-2024

Unveiling LIMINAL PANDA: A Closer Look at China's Cyber Threats to the Telecom Sector

https://www.crowdstrike.com/en-us/blog/liminal-panda-telecom-sector-threats

Report completeness: Low

Actors/Campaigns:
Liminal_panda (motivation: financially_motivated)
Lightbasin
Sunrise_panda
Horde_panda

Threats:
Pingpong
Slapstick
Cordscan
Blindingdart
Sigtranslator
Dalerat
Tinyshell
Unimerat
Dungeonkeeper
Microsocks_tool
Silentkeeper
Proxychains_tool
Toxicshot
Stealthproxy_tool
Bridgetroll
Cdr_xf_tool
Steelcorgi
Logbleach
Cobalt_strike

Victims:
Telecommunications entities

Industry:
Critical_infrastructure, Telco

Geo:
Chinese, China, Africa, Asia

ChatGPT TTPs:
do not use without manual check
T1071, T1095, T1071.001, T1573, T1589

IOCs:
Domain: 1

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в отслеживании краудстриков и обсуждении спонсируемого государством китайского кибер-хакера LIMINAL PANDA, нацеленного на телекоммуникационные компании с помощью специальных инструментов для скрытого доступа, командования и контроля, а также утечки данных. Злоумышленник демонстрирует глубокое понимание телекоммуникационных сетей, в частности протоколов мобильной связи, и был связан с кластером LightBasin activity cluster. CrowdStrike предоставляет обновленную информацию о тактике злоумышленника, его целях и текущих вредоносных программах, отмечая, что операции LIMINAL PANDA представляют значительную угрозу для телекоммуникационных компаний и потенциально связаны с кибератаками China-nexus.
-----

С 2020 года LIMINAL PANDA нацелена на телекоммуникационные компании, используя специальные инструменты для скрытого доступа, управления и утилизации данных.

Злоумышленник демонстрирует глубокое понимание телекоммуникационных сетей и использует скомпрометированные серверы для осуществления вторжений к различным провайдерам в разных географических регионах.

Тактика LIMINAL PANDA включает в себя пользовательское вредоносное ПО, общедоступные инструменты и прокси-программное обеспечение для маршрутизации командных сообщений и контроля над ними через различные сегменты сети.

Основными целями противника, по-видимому, являются телекоммуникационные провайдеры в Южной Азии и Африке, оперативные мотивы которых сосредоточены на сборе разведывательных данных, а не на финансовой выгоде.

CrowdStrike Intelligence оценивает деятельность LIMINAL PANDA как потенциально связанную с кибероперациями China-nexus, поскольку она нацелена на страны, связанные с китайской инициативой "Один пояс, один путь", и использует элементы китайского языка в инфраструктуре.

#ParsedReport #CompletenessLow
20-11-2024

FrostyGoop s Zoom-In: A Closer Look into the Malware Artifacts, Behaviors and Network Communications

https://unit42.paloaltonetworks.com/frostygoop-malware-analysis

Report completeness: Low

Threats:
Frostygoop

Victims:
Municipal energy company

Industry:
Ics, Critical_infrastructure, Iot, Energy

Geo:
America, Apac, Japan, China, Russian, Russia, Emea, Romania, Israel, Ukraine

ChatGPT TTPs:
do not use without manual check
T1043, T1049, T1562.001, T1203, T1027, T1105

IOCs:
File: 7
Hash: 8

Algorithms:
aes, sha256

Functions:
writeMultiple

Win API:
IsDebuggerPresent

Languages:
golang, python

Links:
https://github.com/goccy/go-json
https://github.com/rolfl/modbus
have more...
https://github.com/hsblhsn/queues

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в инциденте, связанном с вредоносным по FrostyGoop/BUSTLEBERM, нацеленным на системы операционных технологий (OT) в Украине, что привело к нарушению работы критически важной инфраструктуры, повлияв на электроснабжение и теплоснабжение более чем 600 многоквартирных домов. Вредоносное ПО, распространявшееся через уязвимые маршрутизаторы или незащищенные устройства OT, использовало для атаки протокол Modbus TCP, демонстрируя растущие угрозы, с которыми сталкиваются системы ICS/OT, и важность упреждающих мер кибербезопасности для защиты критически важной инфраструктуры.
-----

В июле 2024 года вредоносное ПО FrostyGoop/BUSTLEBERM было нацелено на операционные технологические системы в Украине, что привело к сбоям в работе критически важной инфраструктуры, нарушив электроснабжение и теплоснабжение более чем 600 многоквартирных домов.

Вредоносное ПО использовало протокол Modbus TCP и распространялось через уязвимость в маршрутизаторе MikroTik или нацеливалось на другие устройства, подключенные к Интернету, при этом атаки были связаны с российскими злоумышленниками.

FrostyGoop использует команды Modbus для устройств промышленных систем управления, нанося ущерб окружающей среде, и может использоваться как внутри взломанной сети, так и за ее пределами, если целевое устройство доступно онлайн.

Вредоносная программа использует методы обхода, включая обнаружение отладчиком и механизмы обхода в своем коде, а также библиотеки быстрого кодирования/декодирования JSON, совместимые с Golang, и методику отладки, позволяющую избежать обнаружения аналитическими отладчиками.

Аналогичное программное обеспечение под названием go-encrypt.exe, используемое для шифрования и дешифрования файлов JSON, было обнаружено примерно в то же время, что и FrostyGoop, с функциональными возможностями, соответствующими тем, которые требуются для операций FrostyGoop.

Ситуация с кибербезопасностью, связанная с устройствами ICS/OT, становится все более опасной из-за слияния сетей OT и IT, что создает возможности для злоумышленников использовать уязвимости и наносить реальный ущерб.

Для усиления защиты от развивающихся угроз, нацеленных на критически важную инфраструктуру, рекомендуются такие меры безопасности, как Zero Trust OT Security, NGFW и Advanced Threat Prevention.

Исследователи подразделения 42 в Palo Alto Networks активно участвуют в выявлении новых вредоносных угроз и делятся разведывательной информацией с Альянсом по борьбе с киберугрозами (CTA) для быстрого развертывания средств защиты от злоумышленников, подчеркивая важность упреждающих мер кибербезопасности для защиты критически важной инфраструктуры.

#ParsedReport #CompletenessMedium
20-11-2024

Interlock: New Cross-Platform Threat Targets Critical Infrastructure with Double-Extortion Tactics

https://www.secureblink.com/threat-research/interlock-new-cross-platform-threat-targets-critical-infrastructure-with-double-extortion-tactics

Report completeness: Medium

Threats:
Interlock
Systembc
Anydesk_tool
Putty_tool
Logmein_tool
Azcopy_tool
Advanced-port-scanner_tool
Megasync_tool
Credential_stealing_technique
Rhysida

Victims:
Wayne county government services, Technology firms, Manufacturing facilities, Prince george country school, Prospect medical holdings, Insomniac

Industry:
Healthcare, Government, Critical_infrastructure

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1567, T1059.001, T1078, T1080, T1573.002, T1562.001, T1070.004, T1027

IOCs:
File: 1

Soft:
Linux

Algorithms:
cbc

Languages:
powershell, golang

Platforms:
cross-platform

Links:
https://github.com/libtom/libtomcrypt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в программе-вымогателе Interlock, сложной кроссплатформенной угрозе, которая нацелена на критически важную инфраструктуру, используя тактику двойного вымогательства в различных отраслях. Особое внимание в нем уделяется его уникальным аспектам, тактике, методам и необходимости усиления мер защиты для снижения рисков, связанных с такими продвинутыми кампаниями по борьбе с программами-вымогателями.
-----

Программа-вымогатель Interlock - это сложная кроссплатформенная угроза, нацеленная на критически важную инфраструктуру и использующая тактику двойного вымогательства в таких отраслях, как здравоохранение, технологии, государственное управление и производство.

Группа программ-вымогателей была впервые замечена в сентябре 2024 года и нацелена, в частности, на системы Windows, Linux и FreeBSD, используя стратегии охоты на крупную дичь.

Для компрометации системы Interlock использует инструменты удаленного доступа, такие как SystemBC RAT и credential stealers, с последующим перемещением в сторону с использованием RDP, AnyDesk и PuTTY для доступа к системам Windows и Linux.

Он использует передовые методы шифрования, такие как RSA и CBC, для эффективной блокировки данных, а также использует пользовательские процедуры шифрования и встроенную библиотеку DLL для самоудаления после шифрования, чтобы избежать обнаружения.

Модель двойного вымогательства Interlock предполагает угрозу разглашения конфиденциальной информации в случае неуплаты выкупа, что потенциально может привести к штрафным санкциям регулирующих органов, ущербу репутации и финансовым потерям.

Были выявлены сходства между Interlock и группой программ-вымогателей Rhysida, что позволяет предположить потенциальное сотрудничество или эволюцию этих угроз.

Методы обхода защиты Interlock включают отключение систем EDR, использование объектов групповой политики для обеспечения сохраняемости, пользовательских упаковщиков для обфускации и встроенных библиотек DLL для самоочистки после шифрования.

Организациям необходимо усилить меры защиты, сохранять бдительность и совершенствовать возможности реагирования, чтобы снизить риски, связанные с такими изощренными кампаниями программ-вымогателей, нацеленными на критически важную инфраструктуру.

#ParsedReport #CompletenessMedium
20-11-2024

Threat Assessment: Ignoble Scorpius, Distributors of BlackSuit Ransomware

https://unit42.paloaltonetworks.com/threat-assessment-blacksuit-ransomware-ignoble-scorpius

Report completeness: Medium

Actors/Campaigns:
Ignoble_scorpius

Threats:
Blacksuit_ransomware
Royal_ransomware
Rclone_tool
Spear-phishing_technique
As-rep_roasting_technique
Rubeus_tool
Kerberoasting_technique
Aitm_technique
Impacket_tool
Shadow_copies_delete_technique
Supply_chain_technique
Seo_poisoning_technique
Gootkit
Cobalt_strike
Wmiexec_tool
Credential_dumping_technique
Dcsync_technique
Mimikatz_tool
Ntdsutil_tool
Vssadmin_tool
Nanodump_tool
Minidump_tool
Stonestop
Poortry
Systembc
Conti
Smbexec_tool

Victims:
Education, Construction, Manufacturing

Industry:
Education

TTPs:
Tactics: 9
Technics: 35

IOCs:
File: 21

Soft:
ESXi, PSExec, VirtualBox, Active Directory, WinSCP, Linux, TOR browser, Windows File Explorer, OpenSSL, chrome, have more...

Algorithms:
aes, exhibit

Win API:
Pie

Languages:
javascript, powershell

Links:
https://github.com/fortra/nanodump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили значительный рост активности программ-вымогателей BlackSuit, которыми управляет группа, известная как Ignoble Scorpius. Группа атакует организации в основном в строительном и производственном секторах, требуя выкуп в размере около 1,6% от годового дохода жертвы. Подлый Scorpius использует различные изощренные тактики и инструменты для своих атак, включая вывоз данных с использованием законных сервисов. Ребрендинг и присоединение к другим группам программ-вымогателей делают их серьезной угрозой, требуя от организаций использования систем оценки угроз и технологий для разработки стратегий защиты. Защитники могут повысить свою готовность, сопоставляя подробные тактики, методы и процедуры (TTP) с запросами на обнаружение.
-----

Исследователи подразделения 42 выявили всплеск активности программ-вымогателей BlackSuit, начавшийся в марте 2024 года, что свидетельствует об активизации операций.

Программа-вымогатель BlackSuit ранее была известна как Royal ransomware до ребрендинга в мае 2023 года.

Группа, ответственная за BlackSuit, отслеживается подразделением 42 как Неблагородный Скорпиус.

С момента проведения ребрендинга по всему миру было зарегистрировано более 93 пострадавших, значительная часть из которых приходится на строительный и производственный секторы.

Подлый Скорпиус требует первоначальный выкуп, обычно эквивалентный примерно 1,6% от годового дохода организации-жертвы.

Группа управляет сайтом утечки данных из темного Интернета, чтобы заставить жертв заплатить выкуп, раскрывая их данные.

"Неблагородный Скорпиус" нацелен на такие секторы, как образование, строительство и производство, уделяя особое внимание жертвам в Соединенных Штатах.

Группа использует такие тактики, как фишинговые кампании, SEO-атаки, злоупотребление учетными данными VPN и атаки на цепочки поставок программного обеспечения.

Инструменты, используемые группой, включают Mimikatz, NanoDump, Impacket и WinRAR для фильтрации данных.

Методы, используемые Подлым Скорпиусом, включают кражу учетных данных, сброс LSASS, атаки DCSync и атаки "противник посередине".

Ignoble Scorpius использует RDP, SMB, PsExec, STONESTOP и POORTRY для бокового перемещения и обхода систем безопасности.

Основная полезная нагрузка программы-вымогателя BlackSuit используется для шифрования файлов и получения выкупа.

Группа внедряет инструменты, специфичные для операционных систем Windows и Linux, ориентированные на серверы VMware ESXi.

Ребрендинг с королевского на черный костюм позволяет Подлому Скорпиусу потенциально избежать обнаружения и изменить восприятие защитников.

Неблагородный Скорпиус, вероятно, связан с другими группами вымогателей, такими как Conti и Royal, что делает их серьезной угрозой.

Организации могут использовать платформу MITRE ATT&CK framework и технологию Palo Alto Networks XDR для оценки угроз и разработки стратегий реагирования.

Защитники могут повысить готовность к атакам BlackSuit, сопоставляя подробные TTP с запросами обнаружения, охватывающими различные аспекты поведения при атаке.

#ParsedReport #CompletenessHigh
20-11-2024

Spot the Difference: Earth Kasha's New LODEINFO Campaign And The Correlation Analysis With The APT10 Umbrella

https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html

Report completeness: High

Actors/Campaigns:
Mirrorface
Stone_panda
Liberalface
Twisted_panda
Ta428
A41apt
Volt_typhoon

Threats:
Lodeinfo
Spear-phishing_technique
Cobalt_strike
Noopdoor
Gosicloader
Dll_sideloading_technique
Lodeinfoldr
Noopldr
Junk_code_technique
Process_injection_technique
Mirrorstealer
Sigloader
Sodamaster
P8rat
Fyanti
Hui_loader
Lilimrat
Downiissa
Lolbin_technique
Windbg_tool
Process_hacker_tool
Procmon_tool

Victims:
Public institutions, Academics, High-profile organizations

Industry:
Transport, Energy, Aerospace, Government

Geo:
Japan, China, Thailand, India, Taiwan

CVEs:
CVE-2013-3900 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 1909 (-)
- microsoft windows 10 20h2 (-)
have more...
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-45727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- northgrid proself (<1.09, <1.66, <5.63)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2023-28461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arraynetworks arrayos ag (le9.4.0.481)

CVE-2023-3466 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-3467 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1210, T1027, T1055, T1112

IOCs:
File: 11
Registry: 2
Hash: 8
Domain: 1
IP: 1

Soft:
Windows Service, Windows Firewall, Chrome, Firefox, Outlook, SQL Server Management Studio, Active Directory

Algorithms:
xor, aes-256-cbc, aes-128-cbc, rc4, sha384, sha1, des, rsa-2048, aes, aes-192-cbc, 3des, sha256

Functions:
ESET

Win API:
NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

#ParsedReport #CompletenessHigh
19-11-2024

Suspected Nation-State Adversary Targets Pakistan Navy in Cyber Espionage Campaign

https://blogs.blackberry.com/en/2024/11/suspected-nation-state-adversary-targets-pakistan-navy-in-cyber-espionage-campaign

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage)
Sidewinder (motivation: cyber_espionage)

Threats:
Seo_poisoning_technique
Typosquatting_technique
Black-shell
Whispergate
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Pakistan navy

Industry:
Government, Maritime

Geo:
Asia, China, Chinese, Bangladesh, Indian, Pakistani, Pakistan, Asian, Ukrainian

TTPs:
Tactics: 8
Technics: 25

IOCs:
Url: 11
File: 11
Domain: 6
Command: 12
Path: 8
IP: 6
Hash: 22

Soft:
mac os, Microsoft Access, curl, Component Object Model

Algorithms:
zip, xor, base64

Functions:
downloadFile, getS, atob

Win API:
ReadFile, CreateMutexA, VirtualAlloc, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpAddRequestHeadersA, HttpSendRequestW, InternetReadFile, InternetCloseHandle, have more...

Languages:
php, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда BlackBerry по исследованию угроз и разведке раскрыла сложную и целенаправленную киберкампанию против ВМС Пакистана, организованную хакерами с использованием передовых методов, направленных на шпионаж и сбор конфиденциальной информации. Злоумышленники использовали различные тактические приемы, такие как поддельные веб-сайты, вредоносные расширения Thunderbird и запутанный JavaScript, для компрометации пользователей и взаимодействия с серверами управления. В ходе кампании были выявлены совпадения с известными хакерскими группами, но определить их принадлежность было сложно из-за использования злоумышленниками ложных сообщений и сложных методов обфускации. Расследование выявило растущую сложность и постоянство современных киберугроз, нацеленных на правительственный и оборонный секторы.
-----

Команда BlackBerry по исследованию угроз и разведке обнаружила вредоносный PDF-файл, предназначенный для ВМС Пакистана, что привело к созданию поддельного веб-сайта и распространению вредоносного расширения Thunderbird под названием Sync-Scheduler.

Вредоносная программа Sync-Scheduler обладала широкими возможностями уклонения и взаимодействовала с сервером управления.

Недавно выявленная вредоносная программа под названием Black-Shell была отнесена к категории бэкдоров с обратной оболочкой, облегчающих обмен данными между скомпрометированными устройствами и серверами, контролируемыми злоумышленниками.

Кампания включала в себя выдачу себя за законное расширение для подписи электронной почты под названием PN Mailbox E-signer, предназначенное для пользователей Thunderbird в ВМС Пакистана.

Анализ сети выявил, что серверы C2 updateschedulers.com и packageupdates.net использовались в вредоносной кампании, аналогичной образцу WhisperGate, и выполняли функцию загрузчика вредоносного ПО Sync-Scheduler.

Установление авторства было сложной задачей из-за использования ложных сигналов и методов обфускации, но TTP были связаны с опытными хакерами, мотивированными шпионажем, потенциально связанными с известными хакерскими группами, такими как SideWinder и APT Bitter.

#ParsedReport #CompletenessHigh
18-11-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/darkhotel-a-cluster-of-groups-united-by-common-techniques

Report completeness: High

Actors/Campaigns:
Camouflaged_hunter
Darkhotel
Tiger_hibiscus
Shadowtiger
Apt-q-14
Apt-q-15
Utg-q-005

Threats:
Spyglace
Motw_bypass_technique
Antidebugging_technique
Goldbar
Spear-phishing_technique
Trojan.win32.generic.a

Industry:
Semiconductor_industry, Government

Geo:
Chinese, Asia, Korea, Asian, Asia-pacific

TTPs:
Tactics: 8
Technics: 22

IOCs:
Path: 9
File: 29
Registry: 3
Url: 11
Hash: 17
IP: 1

Soft:
FTK Imager, Microsoft Exchange, outlook, Gmail, Process Explorer, curl, Component Object Model

Algorithms:
zip, base64, md5, rc4, aes, xor

Functions:
findDirCount

Win API:
ExpandEnvironmentStringsW, LoadLibraryW, CreateThread, GetProcAddress, GetComputerNameW, GetUserNameW, GetTickCount, WinHttpConnect, WinHttpOpenRequest, WinHttpSendRequest, have more...

Languages:
powershell

YARA: Found

Links:
https://github.com/volatilityfoundation/volatility3
https://github.com/ReFirmLabs/binwalk/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4