#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: APT-C-36, также известная как Blind Eagle, - это организация APT, базирующаяся в Южной Америке и нацеленная на такие страны, как Колумбия, использующая такие тактики, как фишинговые электронные письма и маскировка вредоносных документов, для внедрения бэкдоров и троянских программ удаленного доступа. Исследователи в области безопасности выявили деятельность группы в различных испаноязычных регионах, что свидетельствует о продолжающемся развитии и совершенствовании методов их атак. Кроме того, 360 Advanced Threat Research Institute играет решающую роль в обнаружении и анализе современных киберугроз, внося свой вклад в усилия по обеспечению национальной сетевой безопасности.
-----

APT-C-36, известная как Blind Eagle, - это группировка APT, которая, как предполагается, базируется в Южной Америке и нацелена на Колумбию, Эквадор, Панаму и другие регионы.

Они используют сжатые пакеты UUE для маскировки вредоносных действий, включая подделку судебных документов для распространения бэкдора DcRat.

Фишинговые электронные письма с вредоносными файлами UUE/ZIP используются для того, чтобы обманом заставить пользователей загружать вредоносное ПО со сторонних облачных платформ.

Злоумышленники используют запутанные скрипты, обозначаемые суффиксом WSF, для выполнения вредоносных команд и создания постоянных запланированных задач.

Группа использует скрытый вредоносный код в DLL-файлах для загрузки и выполнения полезных загрузчиков AndeLoader и DcRat.

APT-C-36 использует постоянные документы-приманки, такие как поддельные документы Министерства юстиции Испании, для обмана целей.

Их деятельность распространяется за пределы Колумбии на испаноязычные регионы, такие как Мексика, Эквадор и Турция, а меняющаяся тактика намекает на продолжение изощренных атак в будущем.

360 Advanced Threat Research Institute играет ключевую роль в обнаружении, защите от передовых киберугроз и проведении исследований, выявлении атак нулевого дня и предоставлении информации о национальных группах APT, повышая эффективность усилий по обеспечению сетевой безопасности.

#ParsedReport #CompletenessLow
20-11-2024

Identify Infrastructure Linked To LockBit 3.0 Ransomware Affiliates By ZoomEye Enhanced New Syntax. 1. Abstract

https://medium.com/@knownsec404team/identify-infrastructure-linked-to-lockbit-3-0-ransomware-affiliates-by-zoomeye-enhanced-new-syntax-2e75b01bd978?source=rss-f1efd6b74751------2

Report completeness: Low

Threats:
Lockbit
Teamviewer_tool
Citrix_bleed_vuln
Trickbot
Sliver_c2_tool

Victims:
Boeing

Industry:
Healthcare, Aerospace, Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1583

IOCs:
IP: 6
Hash: 3
File: 6

Soft:
ZoomEye, ASP.NET, debian

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LockBit 3.0 - это масштабная программа-вымогатель, использующая модель "Программа-вымогатель как услуга", в которой филиалы нацелены на различные сектора для кражи данных, шифрования систем и вымогательства выкупа. Команда CISA и OSINT провела исследования и анализ для выявления инфраструктуры, связанной с LockBit, используя такие методы, как анализ показателей компрометации, IP-адресов, отпечатков SSL-сертификатов и поведенческого картирования для отслеживания и атрибуции атак.
-----

LockBit 3.0 - это известная программа-вымогатель, которая работает по модели "Программа-вымогатель как услуга" (RaaS). Независимые хакеры, известные как филиалы LockBit 3.0, используют вредоносное программное обеспечение для проведения атак на различные компании и учреждения. Эти аффилированные лица работают на основе распределения прибыли и используют инструменты и инфраструктуру LockBit для кражи конфиденциальных данных и систем шифрования, принуждая жертв к выплате выкупа, угрожая утечкой данных. Основными целями LockBit 3.0 являются такие секторы, как финансы, производство, здравоохранение и авиация, с известными атаками, подобными атаке на Boeing в 2023 году.

21 ноября 2023 года CISA опубликовала отчет о LockBit 3.0, в котором были выявлены многочисленные индикаторы компрометации (IOCS). Впоследствии, 24 ноября 2023 года, команда OSINT опубликовала сообщение в блоге, в котором проанализировала данные из отчета CISA. Они использовали данные IOC из обоих отчетов и использовали поисковую систему ZoomEye в киберпространстве с улучшенным синтаксисом и концепцией "поведенческого картирования" для проведения многомерного анализа данных о сетевых активах за прошедший год, чтобы выявить больше инфраструктуры, связанной с LockBit.

Исследования, основанные на исходной таблице IOC из отчета CISA, были сосредоточены на IP-адресе, связанном с сервером Teamviewer C2, а именно на "185.17.40.178", который имел уникальный отпечаток SSH. Этот IP-адрес в дальнейшем использовался в качестве начальной подсказки для отслеживания и анализа на первом уровне с использованием данных картографирования сетевых активов за последний год. Информация о таких поставщиках услуг, как "M247 Europe SRL" и "Artnet Sp. z o.o.", указывала на различные уровни риска мошенничества, связанные с их IP-адресами.

Последующий анализ включал запрос VirusTotal на наличие вредоносных IP-адресов, в результате чего было идентифицировано 53 IP-адреса, помеченных как "LockBit 3.0". Дальнейшие исследования, основанные на этих IP-адресах и отпечатках SSL-сертификатов, выявили дополнительную инфраструктуру, предположительно связанную с LockBit, включая уникальные отпечатки SSL-сертификатов, обнаруженные на ZoomEye, которые указывают на осторожный подход злоумышленников, чтобы избежать обнаружения.

Для определения потенциальной инфраструктуры LockBit были применены методы поведенческого картирования с использованием таких функций, как значения SSL-сертификата JARM и конкретные поля эмитента SSL-сертификата и темы. Объединение этих функций с известными поставщиками услуг, такими как "M247" и "ARTNET", позволило получить дополнительные IP-адреса и доменные имена, предположительно связанные с LockBit.

#ParsedReport #CompletenessMedium
20-11-2024

Helldown Ransomware: an overview of this emerging threat

https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat

Report completeness: Medium

Threats:
Helldown
Advanced-port-scanner_tool
Shadow_copies_delete_technique
Vssadmin_tool
Darkrace
Hellcat
Quickheal
Lockbit

Victims:
Zyxel, Schneider electric

Industry:
Energy

Geo:
France, Emea, Russia

CVEs:
CVE-2024-42057 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel zld firmware (<5.39)


ChatGPT TTPs:
do not use without manual check
T1059, T1486, T1489, T1112, T1078, T1190, T1135, T1021, T1490

IOCs:
File: 2
Hash: 13
Command: 1
Path: 2

Soft:
Linux, Zyxel, Microsoft Office, Chrome, esxcli

Algorithms:
xor, base64, sha256

Functions:
ReadMe

Win API:
AllocateAndInitializeSid, CheckTokenMembership

Platforms:
intel, mips

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе группы программ-вымогателей Helldown, включая их тактику, методы и процедуры (TTP), их эволюцию от использования систем Windows до Linux, их методы работы, действия, целевые жертвы, потенциальные связи с другими группами программ-вымогателей, а также необходимость постоянного мониторинга и анализа чтобы смягчить угрозы.
-----

В блоге представлен подробный анализ тактики, методов и процедур группы программ-вымогателей Helldown (TTP). Helldown - это относительно новая программа для взлома (IS), которая изначально была известна тем, что внедряла программы-вымогатели исключительно в системах Windows. Однако 31 октября 2024 года команда Sekoia по обнаружению и исследованию угроз (TDR) обнаружила твит, в котором говорилось о появлении версии Linux, ориентированной на системы Linux. Группа активна и использует свои собственные программы-вымогатели, применяя тактику двойного вымогательства, выуживая данные и угрожая опубликовать их, если требования о выкупе не будут выполнены.

По состоянию на 7 ноября 2024 года в результате атаки Helldown был выявлен 31 случай компрометации. Жертвами в основном стали предприятия малого и среднего бизнеса, а Zyxel Europe, поставщик сетевых решений и решений для кибербезопасности, является одной из крупных пострадавших компаний. Большинство жертв находятся в Соединенных Штатах, но их значительное присутствие наблюдается в Европе, особенно во Франции. Активность группы меняется с течением времени, с заметными всплесками и спадами в ее деятельности.

Методы работы группы включают использование уязвимостей для проникновения в сети и осуществления программ-вымогателей. Поведение программ-вымогателей Helldown включает в себя такие действия, как удаление теневых копий системы, шифрование файлов случайными строками, изменение значков файлов, создание уведомлений о требовании выкупа и выполнение действий после шифрования, таких как выключение зараженных компьютеров. Анализ показывает, что программа-вымогатель имеет сходство с программой-вымогателем Darkrace, что указывает на потенциальную связь между этими двумя группами.

Кроме того, анализ Linux-версии программы-вымогателя Helldown, нацеленной на серверы VMware ESX, выявил ее функциональность, включая шифрование файлов на основе указанных расширений, создание уведомления о требовании выкупа и действия по предоставлению программе-вымогателю доступа на запись к файлам изображений. Хотя программа-вымогатель обладает некоторыми возможностями, она, по-видимому, менее сложна и, возможно, все еще находится в стадии разработки.

Кроме того, возникли дискуссии относительно возможной связи между группами программ-вымогателей Helldown и Hellcat после предполагаемого взлома с участием Schneider Electric сайта об утечке данных Hellcat (DLS). Однако на основе имеющихся данных не было выявлено никаких определенных связей между этими двумя группами. Обе группы, по-видимому, действуют независимо друг от друга, с различными характеристиками и операциями.

Исследование подчеркивает активный характер группы Helldown, их нацеленность на устранение нераскрытых уязвимостей в брандмауэрах Zyxel и потенциальную эволюцию их тактики с целью внедрения виртуализированных инфраструктур с помощью VMware. Несмотря на то, что между Helldown и другими вариантами программ-вымогателей, такими как Darkrace и Donex, существует сходство, в настоящее время не ясно, какая связь между ними существует. Постоянный мониторинг и анализ имеют решающее значение для понимания и устранения возникающих угроз, создаваемых Helldown и связанными с ними программами-вымогателями.

#ParsedReport #CompletenessHigh
20-11-2024

Spot the Difference: Earth Kasha's New LODEINFO Campaign And The Correlation Analysis With The APT10 Umbrella

https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html

Report completeness: High

Actors/Campaigns:
Mirrorface
Stone_panda
Liberalface
Twisted_panda
Ta428
A41apt
Volt_typhoon

Threats:
Lodeinfo
Spear-phishing_technique
Cobalt_strike
Noopdoor
Gosicloader
Dll_sideloading_technique
Lodeinfoldr
Noopldr
Junk_code_technique
Process_injection_technique
Mirrorstealer
Sigloader
Sodamaster
P8rat
Fyanti
Hui_loader
Lilimrat
Downiissa
Lolbin_technique
Windbg_tool
Process_hacker_tool
Procmon_tool

Victims:
Public institutions, Academics, High-profile organizations

Industry:
Transport, Energy, Aerospace, Government

Geo:
Japan, China, Thailand, India, Taiwan

CVEs:
CVE-2013-3900 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 1909 (-)
- microsoft windows 10 20h2 (-)
have more...
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-45727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- northgrid proself (<1.09, <1.66, <5.63)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2023-28461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arraynetworks arrayos ag (le9.4.0.481)

CVE-2023-3466 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-3467 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1210, T1027, T1055, T1112

IOCs:
File: 11
Registry: 2
Hash: 8
Domain: 1
IP: 1

Soft:
Windows Service, Windows Firewall, Chrome, Firefox, Outlook, SQL Server Management Studio, Active Directory

Algorithms:
xor, aes-256-cbc, aes-128-cbc, rc4, sha384, sha1, des, rsa-2048, aes, aes-192-cbc, 3des, sha256

Functions:
ESET

Win API:
NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 17, chart: 1, dump: 3, code: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - об эволюции и деятельности хакерской группы Earth Kasha, в частности, об их недавней кампании с 2023 по начало 2024 года, нацеленной на Японию, Тайвань и Индию. Группа расширила свои цели, включив в них крупные организации в сфере передовых технологий и государственного сектора, используя обновленные тактики, методы и процедуры (TTP), а также различные бэкдоры, такие как Cobalt Strike, LODEINFO и NOOPDOOR. Кроме того, в тексте обсуждаются потенциальные связи между Earth Kasha и другими хакерскими группами, такими как APT10 и Earth Tengshe, подчеркивается необходимость использования организациями информации об угрозах для упреждающей защиты от возникающих киберугроз и навигации по сложному ландшафту взаимоотношений хакеров.
-----

LODEINFO - это разновидность вредоносного ПО, используемая в кибератаках, нацеленных в основном на Японию, начиная с 2019 года группой, известной как Earth Kasha.

Связь между LODEINFO и APT10 предполагается, но не имеет убедительных доказательств; APT10 и Earth Kasha считаются отдельными объектами, хотя и потенциально связанными.

Недавно Earth Kasha расширила свои цели, включив в них Японию, Тайвань и Индию, сосредоточив внимание на передовых технологиях и правительственных учреждениях.

В недавней кампании Earth Kasha использовала такие бэкдоры, как Cobalt Strike, LODEINFO и новый бэкдор под названием NOOPDOOR, который обладает уникальными возможностями, такими как шифрование RSA и загрузка дополнительных модулей.

Анализ выявил сходство и потенциальное сотрудничество между Earth Kasha, Earth Tengshe и APT10 с точки зрения TTP и общих ресурсов.

Trend Micro предлагает аналитические отчеты и информацию об угрозах, которые помогают организациям активно защищаться от возникающих угроз, что позволяет предположить возможное совпадение между недавней кампанией LODEINFO и предыдущими мероприятиями Earth Kasha и APT10.

Расшифровка C2-протокола Spectre RAT

https://research.openanalysis.net/spectreops/config/strings/cpp/2024/11/21/spectre-ops.html

#technique

Lateral Movement on macOS: Unique and Popular Techniques and In-the-Wild Examples

https://unit42.paloaltonetworks.com/unique-popular-techniques-lateral-movement-macos/

#ParsedReport #CompletenessLow
21-11-2024

DarkPeony s Trail: Certificate Patterns Point to Sustained Campaign Infrastructure

https://hunt.io/blog/darkpeony-certificate-patterns

Report completeness: Low

Actors/Campaigns:
Darkpeony (motivation: cyber_espionage)

Threats:
Plugx_rat

Industry:
Government, Military

Geo:
Serbia, Mongolia, Hong kong, Singapore, Myanmar, Philippines, Great britain, Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1583, T1587.001, T1203

IOCs:
Domain: 7
IP: 8
File: 1
Hash: 15

Algorithms:
aes, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается идентификация подозрительных сертификатов SSL/TLS и инфраструктуры, связанных с группой кибершпионажа DarkPeony, с акцентом на использование ими вредоносного ПО PlugX и тактик, таких как шифрование, шаблоны регистрации доменов и использование законных сервисов, таких как CloudFlare, для уклонения от обнаружения аналитиками безопасности. В анализе подчеркиваются постоянные усилия DarkPeony по сокрытию своих вредоносных действий и содержится рекомендация командам безопасности отслеживать индикаторы, чтобы активно нарушать их работу.
-----

В недавнем сообщении в блоге говорилось о выявлении подозрительных сертификатов SSL/TLS, связанных с подозрительными узлами управления PlugX (C2), с повторяющимся использованием "AES" в поле "Организационное подразделение". Кроме того, в той же инфраструктуре были обнаружены еще два подозрительных сертификата, связанных с доменами, которые, вероятно, были связаны с загрузкой вредоносного ПО или взаимодействием с ним. Эти данные, наряду со схемой регистрации доменов, тесно связаны с инфраструктурой, ранее связанной с DarkPeony, китайской группой кибершпионажа, известной своей деятельностью в отношении правительственных и военных организаций.

Было замечено, что DarkPeony внедряет вредоносное ПО PlugX в кампании, нацеленные на организации в различных странах, таких как Мьянма, Филиппины, Монголия и Сербия. Группа в основном использует поставщиков инфраструктуры в Гонконге, в частности CTG Server Ltd. и ChangLian Network Technology Co. NameCheap и NameSilo используются для регистрации доменов, в то время как серверы имен CloudFlare используются для сокрытия активности от исследователей. IP-адрес, привязанный к домену buyinginfo.org, известный как сервер PlugX C2, стал основным объектом исследования инфраструктуры DarkPeony.

В ходе анализа были выявлены три важных сертификата, относящихся к серверу, связанному с buyinginfo.org: два сертификата CloudFlare и один от TrustAsia Technologies, Inc. Сертификаты, полученные в ходе предыдущих расследований, выявили кластер из пяти серверов, которые, как подозревается, были вовлечены в деятельность PlugX, и каждый из которых использовал сертификаты с обозначением "AES" в поле "Организационное подразделение", что потенциально может служить маркером инфраструктуры участника. Использование хорошо известных сервисов, таких как CloudFlare, может усложнить анализ, смешивая вредоносную инфраструктуру с легитимной, что затрудняет идентификацию аналитиками безопасности.

Дальнейшее изучение дополнительных серверов, подключенных к DarkPeony, выявило IP-адреса, размещенные организациями в разных регионах, таких как Великобритания, Сингапур и Гонконг. В то время как некоторые серверы продолжали использовать сертификаты AES и защиту CloudFlare, другие отошли от этой тенденции, используя различные типы сертификатов, которые обычно ассоциируются с хакерами, внедряющими вредоносные программы, такие как PlugX.

В исследовании подчеркивается, что DarkPeony продолжает использовать тактику регистрации сертификатов и доменов для сокрытия вредоносных действий с помощью законных сервисов. Использование хакерами сертификатов wildcard и защиты CloudFlare помогает скрывать IP-адреса и облегчает передачу вредоносных программ, что затрудняет эффективное отслеживание их действий. Командам безопасности рекомендуется отслеживать подобные показатели, чтобы заблаговременно выявлять появляющуюся инфраструктуру и пресекать деятельность DarkPeony на более ранней стадии.

#ParsedReport #CompletenessLow
21-11-2024

Russia-Aligned TAG-110 Targets Asia and Europe with HATVIBE and CHERRYSPY

https://www.recordedfuture.com/research/russia-aligned-tag-110-targets-asia-and-europe

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Ghostwriter

Threats:
Hatvibe
Cherryspy

Victims:
Government entities, Human rights groups, Educational institutions

Industry:
Military, Government

Geo:
Russia, Asia, Moscow, Ukraine, Kyrgyzstan, Russian, Asian, Uzbekistan, Kazakhstan

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http file server (le2.3m)


ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1140, T1505.003, T1573

IOCs:
File: 1

Algorithms:
aes, xor

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4