#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда BlackBerry по исследованию угроз и разведке раскрыла сложную и целенаправленную киберкампанию против ВМС Пакистана, организованную хакерами с использованием передовых методов, направленных на шпионаж и сбор конфиденциальной информации. Злоумышленники использовали различные тактические приемы, такие как поддельные веб-сайты, вредоносные расширения Thunderbird и запутанный JavaScript, для компрометации пользователей и взаимодействия с серверами управления. В ходе кампании были выявлены совпадения с известными хакерскими группами, но определить их принадлежность было сложно из-за использования злоумышленниками ложных сообщений и сложных методов обфускации. Расследование выявило растущую сложность и постоянство современных киберугроз, нацеленных на правительственный и оборонный секторы.
-----

Команда BlackBerry по исследованию угроз и разведке обнаружила вредоносный PDF-файл, предназначенный для ВМС Пакистана, что привело к созданию поддельного веб-сайта и распространению вредоносного расширения Thunderbird под названием Sync-Scheduler.

Вредоносная программа Sync-Scheduler обладала широкими возможностями уклонения и взаимодействовала с сервером управления.

Недавно выявленная вредоносная программа под названием Black-Shell была отнесена к категории бэкдоров с обратной оболочкой, облегчающих обмен данными между скомпрометированными устройствами и серверами, контролируемыми злоумышленниками.

Кампания включала в себя выдачу себя за законное расширение для подписи электронной почты под названием PN Mailbox E-signer, предназначенное для пользователей Thunderbird в ВМС Пакистана.

Анализ сети выявил, что серверы C2 updateschedulers.com и packageupdates.net использовались в вредоносной кампании, аналогичной образцу WhisperGate, и выполняли функцию загрузчика вредоносного ПО Sync-Scheduler.

Установление авторства было сложной задачей из-за использования ложных сигналов и методов обфускации, но TTP были связаны с опытными хакерами, мотивированными шпионажем, потенциально связанными с известными хакерскими группами, такими как SideWinder и APT Bitter.

#ParsedReport #CompletenessHigh
18-11-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/darkhotel-a-cluster-of-groups-united-by-common-techniques

Report completeness: High

Actors/Campaigns:
Camouflaged_hunter
Darkhotel
Tiger_hibiscus
Shadowtiger
Apt-q-14
Apt-q-15
Utg-q-005

Threats:
Spyglace
Motw_bypass_technique
Antidebugging_technique
Goldbar
Spear-phishing_technique
Trojan.win32.generic.a

Industry:
Semiconductor_industry, Government

Geo:
Chinese, Asia, Korea, Asian, Asia-pacific

TTPs:
Tactics: 8
Technics: 22

IOCs:
Path: 9
File: 29
Registry: 3
Url: 11
Hash: 17
IP: 1

Soft:
FTK Imager, Microsoft Exchange, outlook, Gmail, Process Explorer, curl, Component Object Model

Algorithms:
zip, base64, md5, rc4, aes, xor

Functions:
findDirCount

Win API:
ExpandEnvironmentStringsW, LoadLibraryW, CreateThread, GetProcAddress, GetComputerNameW, GetUserNameW, GetTickCount, WinHttpConnect, WinHttpOpenRequest, WinHttpSendRequest, have more...

Languages:
powershell

YARA: Found

Links:
https://github.com/volatilityfoundation/volatility3
https://github.com/ReFirmLabs/binwalk/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности групп кибершпионажа, в частности APT-C-60, APT-Q-12 (псевдо-охотник) и DarkHotel, нацеленных на азиатские страны с помощью различных стратегий атак с использованием вредоносных программ, таких как SpyGlace. Об обнаружении APT-C-60 новой атаки с использованием виртуального диска VHDX, связях между группами APT, развитии тактики и важности постоянного мониторинга для отслеживания и понимания этих киберугроз в регионе.
-----

Группа APT-C-60 была идентифицирована как исполнитель новой атаки с использованием виртуального диска VHDX для запуска цепочки атак. Атака в основном направлена на азиатские страны, но не ограничивается этим регионом. Данные указывают на связь между группами APT-C-60 и DarkHotel, основанную на общих ключах декодирования полезной нагрузки и именах исполняемых файлов. Последней полезной нагрузкой атаки стала вредоносная программа SpyGlace, связанная с группой APT-C-60.

Обнаруженная в 2021 году группа кибершпионажа APT-C-60 group нацелена на промышленные организации, в частности на производителей полупроводников в Южной Корее и Восточной Азии. Они используют фишинговые электронные письма с вредоносными файлами и уязвимости в программном обеспечении, такие как в WPS Office, для установки вредоносного ПО SpyGlace. APT-Q-12, также известный как Псевдо-охотник, нацелен на азиатские торговые компании с помощью кибершпионажа. Программа DarkHotel, обнаруженная Касперским в 2014 году, ориентирована на высокопоставленных чиновников в различных секторах Азиатско-Тихоокеанского региона, занимающихся кибершпионажем и слежкой. SpyGlace, RAT, используемый APT-C-60, предлагает широкий спектр возможностей, включая загрузку файлов, сбор данных и выполнение команд.

В начале сентября 2024 года эксперты по анализу угроз из Positive Technologies обнаружили подозрительный виртуальный диск формата VHDX, принадлежащий группе APT-C-60. Анализ выявил отличия от предыдущей кампании, проведенной в июле 2023 года, что указывает на изменение стратегии атаки. Были подробно описаны структура файлов на виртуальном диске, анализ цепочки атак и подключения к группе DarkHotel.

Исследователь Уилл Дорманн обратил внимание на использование VHDX в Windows для распространения вредоносных программ из-за его сходства с ZIP-архивами, обеспечивающими легкий доступ к файлам. В отличие от традиционных архивов, файлы VHDX не имеют веб-маркировки, что влияет на безопасность системы. В ходе анализа были сравнены форматы VHDX и ISO, были отмечены ограничения антивируса при анализе файлов VHDX.

Анализ образца документа выявил, что в качестве отправной точки для атаки использовался вредоносный файл-приманка. Подробное изучение метаданных и операций с файлами пролило свет на методологию атаки, включая сборку дропперов, сетевые взаимодействия и выполнение полезной нагрузки. Вредоносная программа использует различные функции, такие как CreateThread, GetProcAddress и LoadLibraryW, для выполнения вредоносных действий.

Были выявлены существенные закономерности, связывающие анализируемую атаку с предыдущими действиями DarkHotel и SpyGlace, что усиливает связь между группами APT. Распространенные методы включали использование VHD/VHDX для доставки вредоносного ПО, сборку дропперов, взаимодействие с сервисами Bitbucket и StatCounter и развертывание модифицированного бэкдора SpyGlace.

Выявление и группировка групп APT в Азиатском регионе требуют тщательной оценки. Выявленные связи между группами APT-C-60, APT-Q-12 и DarkHotel предполагают наличие общих тактик и процедур. Постоянный мониторинг имеет решающее значение для отслеживания действий групп и изменений в их тактике борьбы с вредоносным ПО. Использование нетрадиционных методов, таких как виртуальные диски, подчеркивает эволюционирующий характер киберугроз в регионе, несмотря на случайные ошибки, такие как включение метаданных в зараженные файлы, которые помогают в установлении авторства.

#ParsedReport #CompletenessHigh
20-11-2024

ELPACO-team Ransomware: A New Variant of the MIMIC Ransomware Family

https://www.cyfirma.com/research/elpaco-team-ransomware-a-new-variant-of-the-mimic-ransomware-family

Report completeness: High

Threats:
Mimic_ransomware
Conti
Credential_dumping_technique
Mimikatz_tool
Dosvc

Industry:
Critical_infrastructure

Geo:
Korea, Russia

TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 23
Hash: 17
Email: 2
Path: 3
Command: 2
Registry: 2
Url: 1

Soft:
Windows Defender, Sysinternals, bcdedit, MSSQL, Microsoft Visual C++, BOOTNXT, Chrome, Firefox, Mozilla Firefox, Internet Explorer, Tor Browser, have more...

Algorithms:
md5, zip, sha256

Functions:
setZeroData

Win API:
arc

Win Services:
db2, WSearch, SDRSVC, Wecsvc, wbengine, PcaSvc, WerSvc, AppIDSvc, BITS, DiagTrack, have more...

Languages:
powershell

Platforms:
intel

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания по разведке киберугроз обнаружила очень сложный вариант программы-вымогателя под названием "ELPACO-team", который представляет значительную угрозу для частных лиц и организаций по всему миру. Программа-вымогатель использует многогранный подход к компрометации систем, использует как вредоносные, так и законные инструменты, шифрует файлы и обеспечивает их сохранность. Анализ показывает сложность и техническое совершенство программ-вымогателей, подчеркивая необходимость в надежных стратегиях защиты и упреждающих мерах для защиты от появляющихся угроз со стороны программ-вымогателей.
-----

Исследовательская группа CYFIRMA обнаружила сложный двоичный код-дроппер, предназначенный для развертывания программы-вымогателя "ELPACO-team", нового варианта программы-вымогателя "MIMIC". Эта программа-вымогатель отличается высокой степенью сложности и представляет серьезную угрозу как для частных лиц, так и для организаций. Он использует многогранный подход к компрометации систем, используя как вредоносные, так и законные средства для отключения защиты, шифрования файлов и обеспечения их сохранности. Программа-вымогатель нацелена на критически важные файлы на локальных и сетевых дисках, оставляя жертвам уведомление о требовании выкупа, но исключая важные системные файлы для поддержания работоспособности системы.

Основной двоичный файл, ELPACO-teamv.exe, действует как загрузчик и извлекает дополнительную полезную информацию с помощью таких инструментов, как 7za.exe. Он включает в себя легальные утилиты и вредоносные программы для получения выкупа, такие как xdel.exe и ELPACO-team.exe. После выполнения он отключает функции восстановления системы, изменяет конфигурации и предотвращает работу виртуальной машины. Программа-вымогатель шифрует различные типы файлов с расширением ELPACO-team, присваивает каждой жертве уникальный идентификатор для расшифровки и отправляет сообщение о требовании оплаты. Он изменяет реестр для обеспечения сохраняемости, изменяет конфигурации загрузки и использует скрытые методы, препятствующие восстановлению и судебно-медицинскому анализу.

Программы-вымогатели, включая семейство "MIMIC", такое как "ELPACO-team", по-прежнему представляют собой распространенную угрозу, нацеленную на организации по всему миру и приводящую к финансовым потерям, сбоям в работе и юридическим осложнениям. Распространение программ-вымогателей как услуг (RaaS) снизило барьер для проникновения злоумышленников, что привело к более изощренным и широкомасштабным атакам. APT-группы и киберпреступные синдикаты часто организуют атаки с использованием программ-вымогателей, преследуя геополитические цели или финансовую выгоду. В настоящее время эти угрозы включают в себя утечку данных и публичные угрозы, что повышает риски для жертв.

Анализ программы-вымогателя "ELPACO-team" показывает, что она использует легальные инструменты и пользовательскую полезную нагрузку для проведения скрытых кибератак. Она может отключать функции безопасности, изменять конфигурации и эффективно шифровать файлы, демонстрируя высокий уровень технического мастерства. Программа-вымогатель обеспечивает непрерывную работу с помощью постоянных механизмов и тактики защиты от отключения, нацеливаясь на важные пользовательские данные и исключая критические системные файлы. Организации должны применять надежные стратегии защиты, включая обнаружение конечных точек и регулярное резервное копирование данных, чтобы смягчить последствия таких атак. Для защиты от появляющихся угроз со стороны программ-вымогателей необходимы упреждающие меры, такие как обучение пользователей и повышение надежности системы.

#ParsedReport #CompletenessLow
20-11-2024

SVG(Scalable Vector Graphics)

https://asec.ahnlab.com/ko/84646

Report completeness: Low

Threats:
Asyncrat

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1105, T1027

IOCs:
Hash: 4

Soft:
Dropbox

Algorithms:
base64, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что наблюдается всплеск распространения вредоносного ПО SVG (масштабируемая векторная графика) кибератаками, которые используют уникальные характеристики файлов SVG для распространения вредоносных программ-загрузчиков и фишинговых программ с помощью фишинговых электронных писем. Вредоносные файлы SVG содержат встроенные гиперссылки или запутанный JS-код, которые могут привести к загрузке дополнительных вредоносных программ или утечке конфиденциальной информации. Пользователям рекомендуется проявлять осторожность при открытии вложений электронной почты в формате SVG, чтобы не стать жертвами этих угроз.
-----

ASEC подтвердила всплеск распространения вредоносного ПО SVG (Scalable Vector Graphics). Файлы SVG - это формат файлов на основе XML, используемый для масштабируемой векторной графики, такой как значки, диаграммы и графические изображения, с уникальной возможностью включения CSS и JS в их код. Киберпреступники используют эти характеристики для распространения различных типов вредоносных программ в формате SVG, которые обычно включаются в виде вложений в фишинговые электронные письма.

Когда пользователи открывают SVG-файл, он обычно отображается в веб-браузере. Недавно распространенное вредоносное ПО SVG делится на две основные категории: тип загрузчика и тип фишинга. Тип загрузчика предлагает пользователям загружать PDF-файлы, используя гиперссылки в SVG-коде, в то время как тип фишинга обманывает пользователей, заставляя их предоставлять информацию об учетной записи под видом проверки документов Excel.

Анализ внутреннего кода распространяемого вредоносного по SVG позволяет выявить особенности его работы. Тип загрузчика включает гиперссылки в элемент содержимого изображения для загрузки дополнительного вредоносного ПО с хостинговых сервисов, таких как Dropbox и Bitbucket. Загруженные файлы представляют собой защищенные паролем сжатые архивы, содержащие вредоносное ПО AsyncRat, известное своими функциями утечки данных и бэкдора. С другой стороны, тип фишинга включает в себя запутанный JS-код внутри элементов содержимого изображения, который кодирует введенную информацию учетной записи в Base64 и отправляет ее на сервер злоумышленника.

Эти вредоносные коды в формате SVG предназначены для того, чтобы избежать обнаружения, смешивая свои вредоносные функции с элементами графического контента, что затрудняет для обычных пользователей идентификацию их как вредоносных. В связи с растущей тенденцией создания вредоносных кодов в различных форматах, включая SVG, пользователям рекомендуется проявлять осторожность при работе с вложениями электронной почты из неизвестных источников, особенно в формате SVG.

#ParsedReport #CompletenessMedium
20-11-2024

Analysis of APT-C-36 (Blind Eagle)'s recent forged judicial documents and injected DcRat backdoor

https://www.ctfiot.com/216135.html

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Dcrat
Ande_loader
Amsi_bypass_technique
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Victims:
Government departments, Large companies

Industry:
Financial, Government

Geo:
Colombian, Ecuador, Turkey, Colombia, Spanish, Panama, America, Mexico

ChatGPT TTPs:
do not use without manual check
T1566, T1059.001, T1027, T1053.005, T1105, T1055.001

IOCs:
File: 4
Domain: 1
Hash: 9
Url: 8

Soft:
WeChat

Algorithms:
base64, zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: APT-C-36, также известная как Blind Eagle, - это организация APT, базирующаяся в Южной Америке и нацеленная на такие страны, как Колумбия, использующая такие тактики, как фишинговые электронные письма и маскировка вредоносных документов, для внедрения бэкдоров и троянских программ удаленного доступа. Исследователи в области безопасности выявили деятельность группы в различных испаноязычных регионах, что свидетельствует о продолжающемся развитии и совершенствовании методов их атак. Кроме того, 360 Advanced Threat Research Institute играет решающую роль в обнаружении и анализе современных киберугроз, внося свой вклад в усилия по обеспечению национальной сетевой безопасности.
-----

APT-C-36, известная как Blind Eagle, - это группировка APT, которая, как предполагается, базируется в Южной Америке и нацелена на Колумбию, Эквадор, Панаму и другие регионы.

Они используют сжатые пакеты UUE для маскировки вредоносных действий, включая подделку судебных документов для распространения бэкдора DcRat.

Фишинговые электронные письма с вредоносными файлами UUE/ZIP используются для того, чтобы обманом заставить пользователей загружать вредоносное ПО со сторонних облачных платформ.

Злоумышленники используют запутанные скрипты, обозначаемые суффиксом WSF, для выполнения вредоносных команд и создания постоянных запланированных задач.

Группа использует скрытый вредоносный код в DLL-файлах для загрузки и выполнения полезных загрузчиков AndeLoader и DcRat.

APT-C-36 использует постоянные документы-приманки, такие как поддельные документы Министерства юстиции Испании, для обмана целей.

Их деятельность распространяется за пределы Колумбии на испаноязычные регионы, такие как Мексика, Эквадор и Турция, а меняющаяся тактика намекает на продолжение изощренных атак в будущем.

360 Advanced Threat Research Institute играет ключевую роль в обнаружении, защите от передовых киберугроз и проведении исследований, выявлении атак нулевого дня и предоставлении информации о национальных группах APT, повышая эффективность усилий по обеспечению сетевой безопасности.

#ParsedReport #CompletenessLow
20-11-2024

Identify Infrastructure Linked To LockBit 3.0 Ransomware Affiliates By ZoomEye Enhanced New Syntax. 1. Abstract

https://medium.com/@knownsec404team/identify-infrastructure-linked-to-lockbit-3-0-ransomware-affiliates-by-zoomeye-enhanced-new-syntax-2e75b01bd978?source=rss-f1efd6b74751------2

Report completeness: Low

Threats:
Lockbit
Teamviewer_tool
Citrix_bleed_vuln
Trickbot
Sliver_c2_tool

Victims:
Boeing

Industry:
Healthcare, Aerospace, Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1583

IOCs:
IP: 6
Hash: 3
File: 6

Soft:
ZoomEye, ASP.NET, debian

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LockBit 3.0 - это масштабная программа-вымогатель, использующая модель "Программа-вымогатель как услуга", в которой филиалы нацелены на различные сектора для кражи данных, шифрования систем и вымогательства выкупа. Команда CISA и OSINT провела исследования и анализ для выявления инфраструктуры, связанной с LockBit, используя такие методы, как анализ показателей компрометации, IP-адресов, отпечатков SSL-сертификатов и поведенческого картирования для отслеживания и атрибуции атак.
-----

LockBit 3.0 - это известная программа-вымогатель, которая работает по модели "Программа-вымогатель как услуга" (RaaS). Независимые хакеры, известные как филиалы LockBit 3.0, используют вредоносное программное обеспечение для проведения атак на различные компании и учреждения. Эти аффилированные лица работают на основе распределения прибыли и используют инструменты и инфраструктуру LockBit для кражи конфиденциальных данных и систем шифрования, принуждая жертв к выплате выкупа, угрожая утечкой данных. Основными целями LockBit 3.0 являются такие секторы, как финансы, производство, здравоохранение и авиация, с известными атаками, подобными атаке на Boeing в 2023 году.

21 ноября 2023 года CISA опубликовала отчет о LockBit 3.0, в котором были выявлены многочисленные индикаторы компрометации (IOCS). Впоследствии, 24 ноября 2023 года, команда OSINT опубликовала сообщение в блоге, в котором проанализировала данные из отчета CISA. Они использовали данные IOC из обоих отчетов и использовали поисковую систему ZoomEye в киберпространстве с улучшенным синтаксисом и концепцией "поведенческого картирования" для проведения многомерного анализа данных о сетевых активах за прошедший год, чтобы выявить больше инфраструктуры, связанной с LockBit.

Исследования, основанные на исходной таблице IOC из отчета CISA, были сосредоточены на IP-адресе, связанном с сервером Teamviewer C2, а именно на "185.17.40.178", который имел уникальный отпечаток SSH. Этот IP-адрес в дальнейшем использовался в качестве начальной подсказки для отслеживания и анализа на первом уровне с использованием данных картографирования сетевых активов за последний год. Информация о таких поставщиках услуг, как "M247 Europe SRL" и "Artnet Sp. z o.o.", указывала на различные уровни риска мошенничества, связанные с их IP-адресами.

Последующий анализ включал запрос VirusTotal на наличие вредоносных IP-адресов, в результате чего было идентифицировано 53 IP-адреса, помеченных как "LockBit 3.0". Дальнейшие исследования, основанные на этих IP-адресах и отпечатках SSL-сертификатов, выявили дополнительную инфраструктуру, предположительно связанную с LockBit, включая уникальные отпечатки SSL-сертификатов, обнаруженные на ZoomEye, которые указывают на осторожный подход злоумышленников, чтобы избежать обнаружения.

Для определения потенциальной инфраструктуры LockBit были применены методы поведенческого картирования с использованием таких функций, как значения SSL-сертификата JARM и конкретные поля эмитента SSL-сертификата и темы. Объединение этих функций с известными поставщиками услуг, такими как "M247" и "ARTNET", позволило получить дополнительные IP-адреса и доменные имена, предположительно связанные с LockBit.

#ParsedReport #CompletenessMedium
20-11-2024

Helldown Ransomware: an overview of this emerging threat

https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat

Report completeness: Medium

Threats:
Helldown
Advanced-port-scanner_tool
Shadow_copies_delete_technique
Vssadmin_tool
Darkrace
Hellcat
Quickheal
Lockbit

Victims:
Zyxel, Schneider electric

Industry:
Energy

Geo:
France, Emea, Russia

CVEs:
CVE-2024-42057 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel zld firmware (<5.39)


ChatGPT TTPs:
do not use without manual check
T1059, T1486, T1489, T1112, T1078, T1190, T1135, T1021, T1490

IOCs:
File: 2
Hash: 13
Command: 1
Path: 2

Soft:
Linux, Zyxel, Microsoft Office, Chrome, esxcli

Algorithms:
xor, base64, sha256

Functions:
ReadMe

Win API:
AllocateAndInitializeSid, CheckTokenMembership

Platforms:
intel, mips

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4