#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание сложной кибератаки, проведенной российской APT-группой GruesomeLarch, с особым упором на использование ими технологии атаки "Ближайший сосед" для атаки на работу и проекты, связанные с Украиной, перед российским вторжением в Украину в начале февраля 2022 года. Атака включала в себя использование скомпрометированных сетей Wi-Fi и соседних организаций для проникновения в сеть цели, демонстрируя творческий подход, находчивость и решимость хакера достичь своих целей в области кибершпионажа с помощью инновационных методов и инструментов.
-----

В тексте описывается изощренная кибератака, проведенная российской APT-группой GruesomeLarch, целью которой были работы и проекты, связанные с Украиной, непосредственно перед российским вторжением в Украину в начале февраля 2022 года. Компания Volexity, занимающаяся кибербезопасностью, провела тщательное расследование после обнаружения подозрительной активности на сайте клиента, известном как "Организация А". В ходе атаки была использована новая технология, получившая название "Атака ближайшего соседа", при которой хакер использовал сети Wi-Fi в непосредственной близости от цели, скомпрометировав несколько организаций поблизости, чтобы в конечном итоге проникнуть в систему. сеть объекта.

Злоумышленник использовал атаки с использованием паролей против общедоступной службы в сети организации А, чтобы получить действительные учетные данные, которые затем были использованы для получения доступа к корпоративной сети Wi-Fi Организации А. Несмотря на внедрение многофакторной аутентификации (MFA) для государственных служб, злоумышленник успешно проник в несколько организаций, расположенных поблизости, чтобы достичь своей цели. Злоумышленник использовал систему с двумя домами в соседней организации для подключения к сети Wi-Fi организации А.

Расследование показало, что злоумышленник взломал учетные данные, позволяющие получить доступ к VPN-системам без защиты MFA, и подключался к Wi-Fi организации A через сети других близлежащих организаций. Методы злоумышленника включали стандартные протоколы Microsoft и горизонтальное перемещение по сетям, что позволяло избежать развертывания вредоносного ПО, чтобы избежать обнаружения продуктами endpoint detection and response (EDR).

Кроме того, злоумышленник попытался украсть базу данных active Directory, создав теневую копию тома, что является распространенным методом, наблюдавшимся в ходе инцидента. Поначалу Volexity изо всех сил пыталась приписать вторжение конкретному хакеру из-за использования методов "жизни за пределами земли" и запутывания инструментария и IP-адресов. Однако дальнейший анализ привел к идентификации GruesomeLarch, также известного как APT28, Forest Blizzard, Sofacy и Fancy Bear, в качестве ответственного хакера.

Кроме того, атака была связана с использованием уязвимости CVE-2022-38028, позволяющей повысить привилегии с нулевого дня, в службе диспетчера очереди печати Microsoft Windows, с использованием средства для устранения неполадок под названием GooseEgg. Исследование Microsoft, посвященное Forest Blizzard, проведенное в апреле 2024 года, подтвердило связь с GruesomeLarch, подчеркнув настойчивость хакеров и использование уникальных инструментов для достижения своих целей в области кибершпионажа.

В тексте подчеркивается сложный характер атаки "Ближайший сосед", подчеркивается творческий подход хакера, его находчивость и решимость достичь своих целей, не приближаясь к ним физически, что снижает риск идентификации или захвата. Методология злоумышленника включала в себя передачу доступа от организации к организации без развертывания вредоносного ПО, полагаясь исключительно на действительные учетные данные пользователя и методы "жизни вне дома", позволяющие оставаться незамеченными мерами безопасности.

#ParsedReport #CompletenessMedium
20-11-2024

Threat Actors Hijack Misconfigured Servers for Live Sports Streaming

https://www.aquasec.com/blog/threat-actors-hijack-misconfigured-servers-for-live-sports-streaming

Report completeness: Medium

Industry:
Entertainment, Government, Software_development

Geo:
Donetsk

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 1
IP: 2

Soft:
Jupyter Notebooks, Jupyter Notebook, Jupyter, Linux, Docker, Unix

Algorithms:
md5

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, windows: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
22-11-2024

Dark Web Profile: Moonstone Sleet

https://socradar.io/dark-web-profile-moonstone-sleet

Report completeness: Medium

Actors/Campaigns:
Moonstone_sleet (motivation: cyber_espionage, information_theft, financially_motivated)
Kimsuky (motivation: cyber_espionage)
Lazarus
Detankwar
Jade_sleet

Threats:
Spear-phishing_technique
Fakepenny
Cobalt_strike
Supply_chain_technique
Putty_tool
Splitloader
Credential_dumping_technique
Mimikatz_tool

Victims:
Technology companies, Financial institutions, Cryptocurrency platforms, Software supply chains, It infrastructures

Industry:
Software_development, Critical_infrastructure

Geo:
North korean, North korea

TTPs:
Tactics: 9
Technics: 15

IOCs:
File: 3

Soft:
Telegram, Linux

Crypto:
bitcoin

Algorithms:
zip, xor

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании недавно выявленной северокорейской APT-группы, известной как Moonstone Sleet, их изощренной тактики кибератак, сочетающей шпионаж и финансовые мотивы, их использования социальной инженерии, пользовательских вредоносных программ и программ-вымогателей, а также их действий против технологических компаний, финансовых учреждений, и криптовалютные платформы по всему миру. Деятельность группы демонстрирует двойную цель - получение финансовой выгоды и шпионаж, использование тактики обмана, специальных инструментов и методов для проникновения в сети и осуществления вредоносной деятельности в соответствии с целями Северной Кореи. Защита от мокрого снега Moonstone требует комплексного подхода к обеспечению безопасности, позволяющего снизить риски, связанные с инновационными направлениями атак и традиционными методами шпионажа.
-----

Moonstone Sleet, или Storm-1789, - это недавно выявленная северокорейская группировка APT, осуществляющая целенаправленные кибератаки с целью шпионажа и получения финансовой выгоды.

Для поддержки своей деятельности группа использует социальную инженерию, пользовательское внедрение вредоносных программ и операции с программами-вымогателями.

С начала 2024 года Moonstone Sleet стал мишенью технологических компаний, финансовых учреждений и криптовалютных платформ по всему миру.

Они используют изощренные кампании фишинга, поддельные предложения о работе и тактику обмана, чтобы проникнуть в системы жертв.

В апреле 2024 года Moonstone Sleet внедрила программу-вымогательницу FakePenny, потребовав выкуп в биткоинах на сумму 6,6 миллиона долларов.

Группа также использует троянские приложения, такие как PuTTY, для компрометации важных сетей с помощью фишинговых кампаний.

Moonstone Sleet провела кампанию "DeTankWar", используя вредоносную танковую игру для проникновения в системы.

Они нацелились на цепочки поставок программного обеспечения с открытым исходным кодом, выпустив вредоносные пакеты npm для немедленного выполнения полезной нагрузки.

Их деятельность согласуется с целями Северной Кореи по получению финансовой выгоды и сбору геополитической информации с помощью программ-вымогателей и шпионских операций.

Защита от мокрого снега Moonstone требует многоуровневого подхода к обеспечению безопасности, упреждающего мониторинга, надежной защиты и готовности к реагированию на инциденты.

#ParsedReport #CompletenessLow
21-11-2024

Alert: XorBot Comes Back with Enhanced Tactics

https://nsfocusglobal.com/alert-xorbot-comes-back-with-enhanced-tactics

Report completeness: Low

Threats:
Xorbot
Masjesu
Mirai
Udpflood_technique
Icmpflood_technique
Tcpsynflood_technique
Tcpackflood_technique
Httpflood_technique

Victims:
Intelbras cameras, Tp-link routers, D-link routers

Industry:
Iot

CVEs:
CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1053.003, T1574.006, T1105

IOCs:
File: 2
IP: 1
Hash: 2

Soft:
Telegram, crontab

Algorithms:
xor

Platforms:
mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что XorBot, семейство ботнетов, обнаруженных в ноябре 2023 года, развивается благодаря усовершенствованной тактике и повышенной осведомленности о защите от отслеживания, создавая значительную угрозу безопасности в сфере Интернета вещей (IoT). Этот ботнет нацелен на такие устройства, как камеры Intelbras и маршрутизаторы от TP-Link и D-Link, использует уязвимости в устройствах Интернета вещей для установки вредоносной троянской программы и предлагает услуги по аренде DDoS-атак. Операторы, стоящие за XorBot, расширили свою деятельность, чтобы привлечь больше устройств под свой контроль, используя методы шифрования, маскировку и функции защиты от отслеживания, чтобы усложнить усилия по обнаружению.
-----

XorBot, новое семейство ботнетов, обнаруженное компанией NSFOCUS в ноябре 2023 года, с начала 2024 года развивается благодаря усовершенствованной тактике и повышению осведомленности о защите от отслеживания. Этот ботнет представляет серьезную угрозу безопасности в сфере Интернета вещей (IoT), нацеливаясь на такие устройства, как камеры Intelbras и маршрутизаторы от TP-Link и D-Link. Операторы, стоящие за XorBot, расширили свою деятельность, предлагая услуги по организации DDoS-атак, привлекая все больше устройств под свой контроль. Это семейство, известное как "Masjesu" из-за нового названия канала, выпустило версии с четкой идентификацией, последняя из которых - 1.04.

XorBot использует уязвимости в устройствах Интернета вещей для установки вредоносной троянской программы, которая включает в себя до 12 различных методов эксплойта. В последней версии XorBot отмечены заметные изменения по сравнению с предыдущими версиями, в частности, показана совместимость с различными архитектурами процессоров, такими как MIPS, PowerPC, ARM и x86_64. В нем используется технология многоэтапного XOR-шифрования, аналогичная семейству Mirai, и уникальный алгоритм дешифрования. Троян маскируется путем замены критически важных системных файлов и обеспечения сохраняемости путем изменения системных конфигураций. Кроме того, он ограничивает доступ к каталогу /tmp, чтобы предотвратить вмешательство других вредоносных программ.

Ботнет обладает мощными функциями защиты от отслеживания, осуществляя пассивное онлайн-взаимодействие с управляющими серверами, что усложняет методы отслеживания на основе сигнатур. XorBot поддерживает несколько типов DDoS-атак, включая UDP, TCP и HTTP, и динамически выбирает методы атаки на основе инструкций сервера. Разработчики XorBot используют платформы социальных сетей, такие как Telegram, для привлечения персонала и продвижения по службе, способствуя росту ботнета. Они инвестируют в технологии защиты от обнаружения и отслеживания, что усложняет отслеживание благодаря уникальной логике коммуникации и защитным мерам на уровне файлов.

#ParsedReport #CompletenessMedium
21-11-2024

We get the CrossC2 configs

https://rt-solar.ru/solar-4rays/blog/4900

Report completeness: Medium

Threats:
Crossc2_tool
Cobalt_strike
Upx_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1573, T1027, T1132, T1071

IOCs:
File: 9
IP: 3
Hash: 10

Soft:
Unix, Linux, MacOS, nginx

Algorithms:
sha1, sha256, md5, gzip, aes-128, base64, deflate, xor, cbc

Functions:
ReadME, cc2_init

Languages:
python, golang, java

Platforms:
arm, cross-platform, x86, x64, mips

Links:
https://github.com/gloxec/CrossC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фреймворк CrossC2, генератор полезной нагрузки для Unix, используемый для создания полезных нагрузок Cobalt Strike. В нем упоминаются его уникальные возможности, ограниченное количество онлайн-документации, использование в вредоносных кампаниях, упаковка UPX в образцах, процессы расшифровки, зашифрованные строки и обфускация CFG. В нем также подробно описываются функциональные возможности genCrossC2, включая строку в кодировке base64 для десериализации открытых и закрытых ключей, а также процесс анализа с использованием API Monitor. На протяжении всего текста подчеркивается важность тщательного анализа вредоносных программ, особенно с запутанными образцами.
-----

В тексте подчеркивается наличие конфигурации полезной нагрузки, известной как beaconConfiguration, которая настраивается с помощью ini-файла. Особое внимание уделяется платформе CrossC2, генератору полезной нагрузки Unix, который может создавать полезные нагрузки Cobalt Strike для платформ Unix. CrossC2 упоминается как относительно необычный инструмент с ограниченной технической документацией, доступной в Интернете, в основном от китайской компании по информационной безопасности Qi An Xin.

Генератор, genCrossC2, написан на Golang и поддерживает создание полезных приложений Cobalt Strike для различных платформ. Несмотря на свою кроссплатформенность, он в основном используется для Unix. Отчеты Moonlock Lab и Recorded Future указывают на то, что злоумышленники использовали этот фреймворк в своих вредоносных кампаниях, причем в последний раз образцы были обнаружены в августе 2024 года.

В тексте приводится конкретный пример, созданный с использованием фреймворка CrossC2, который продемонстрировал упаковку UPX. Процесс расшифровки UPX изначально завершился неудачей из-за структурных элементов в файле. Удаление этих элементов позволило успешно распаковать файл, что привело к обнаружению скрипта на Python в расшифрованных строках.

Дальнейшее расследование показало, что двоичный файл genCrossC2, доступный для Windows, Linux и macOS, содержит зашифрованные строки и CFG-обфускацию. В частности, он содержит строку в кодировке base64, которая при расшифровке оказывается файлом .jar, отвечающим за десериализацию открытых и закрытых ключей, сгенерированных TeamServer Cobalt Strike. Затем открытый ключ кодируется в base64 и сохраняется в файле для дальнейшего использования.

Анализ genCrossC2 включает в себя изучение его работы с использованием API Monitor. В тексте описывается пошаговый процесс создания маяка для Cobalt Strike 4.8 в Linux, оснащенного UPX. Конфигурация для такой полезной нагрузки разделена на две части: основную информацию о системе командования и контроля (C2) и дополнительный сегмент для переопределения гибкого профиля, который определяет, как можно замаскировать связь C2.

Концепция гибкого профиля в Cobalt Strike, используемая для мониторинга HTTP-индикаторов, рассматривается в контексте CrossC2. Приведен пример профиля, демонстрирующий адрес C2 и указывающий на возможные нарушения безопасности, которые могут раскрыть дополнительную информацию об инфраструктуре злоумышленников. Несмотря на сложную структуру и запутанность CrossC2, текст демонстрирует, что тщательный анализ, включая динамические методы, может выявить важные детали функциональности и инфраструктуры вредоносного ПО.

В конечном счете, в тексте подчеркивается важность тщательного и многогранного подхода к анализу вредоносных программ, демонстрирующего, что даже самые запутанные образцы могут быть проанализированы для извлечения ценной информации.

#ParsedReport #CompletenessLow
22-11-2024

2024 MSC Malware Trends Report

https://asec.ahnlab.com/ko/84693

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique

Geo:
Japan, North korea

CVEs:
CVE-2024-43572 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20796)
- microsoft windows 10 1607 (<10.0.14393.7428)
- microsoft windows 10 1809 (<10.0.17763.6414)
- microsoft windows 10 21h2 (<10.0.19044.5011)
- microsoft windows 10 22h2 (<10.0.19045.5011)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1036, T1059

IOCs:
File: 10
Hash: 5

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в смещении тенденций распространения вредоносных программ с документов MSOffice в сторону таких форматов, как LNK и CHM, с акцентом на появление нового типа вредоносных программ, использующих формат файлов MSC, используемый в консоли управления Microsoft. В ходе анализа были выявлены проблемы, связанные с вредоносным ПО формата MSC, статус его распространения и тактика, используемая злоумышленниками для обмана пользователей с целью получения вредоносной полезной нагрузки.
-----

Тенденции распространения вредоносных программ смещаются от документов MSOffice к таким форматам, как LNK и CHM. Во втором квартале текущего года был выявлен новый тип вредоносного ПО, использующего формат файлов MSC (snap-ins/Management Saved Console), используемый в консоли управления Microsoft (MMC). Файлы формата MSC основаны на XML и могут выполнять такие задачи, как выполнение сценариев, команд и программ. Среди обнаруженных вредоносных программ формата MSC были выявлены два типа: одна из них использует уязвимость CVE-2024-43572 в apds.dll и другой, выполняющий работу с командной строкой через панель задач консоли MMC.

Анализ статуса распространения вредоносного ПО формата MSC по состоянию на октябрь 2024 года показывает диапазон значений на графике, где более высокое значение указывает на увеличение распространения вредоносного ПО. Злоумышленники все чаще используют незнакомые форматы, чтобы обманом заставить пользователей запускать вредоносное ПО, не вызывая подозрений. Обычным пользователям сложно понять назначение или функциональность файлов MSC, и из-за их простого выполнения с помощью двойного щелчка ожидается, что их распространение будет продолжаться.

Один из распространенных типов вредоносных программ MSC использует уязвимость CVE-2024-43572 в apds.dll для выполнения вредоносной нагрузки. Этот тип часто маскируется значками файлов, напоминающими документы PDF или Word, чтобы казаться безобидным. Другой тип вредоносного ПО использует консольную панель задач MMC для выполнения команд, аналогичным образом маскируясь под файл документа или папку. Примечательно, что группа Kimsuky была идентифицирована как распространяющая это вредоносное ПО, в частности, нацеленное на внутренних пользователей и использующее документы-приманки в процессе своей работы.

#ParsedReport #CompletenessMedium
22-11-2024

Unveiling WolfsBane: Gelsemium s Linux counterpart to Gelsevirine

https://www.welivesecurity.com/en/eset-research/unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine

Report completeness: Medium

Actors/Campaigns:
Gelsemium (motivation: cyber_espionage)

Threats:
Wolfsbane
Gelsevirine
Project_wood
Firewood
Dynamic_linker_hijacking_technique
Timestomp_technique
Gelsemine
Antsword
Beurk
Sshdoor

Geo:
Singapore, Philippines, Middle east, Chinese, China, Taiwan, Asia, Ukraine

TTPs:
Tactics: 9
Technics: 22

IOCs:
File: 5
Domain: 2
Hash: 19

Soft:
Linux, Unix, Systemd, Visual Basic for Applications, Apache Tomcat, SELinux, OpenSSH

Algorithms:
aes, rc4, xor, sha1, base64

Languages:
java

Links:
https://github.com/unix-thrust/beurk/tree/dev
https://github.com/AntSwordProject/AntSword-JSP-Template/blob/master/web/shell.jsp
https://github.com/tennc/webshell/blob/master/jsp/icesword.jsp
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили новые бэкдоры для Linux, связанные с китайской Gelsemium group и Project Wood, что указывает на переход к использованию вредоносных программ для Linux группами APT в связи с улучшением мер безопасности Windows. Бэкдоры, названные WolfsBane и FireWood, предназначены для кибершпионажа и обеспечения постоянного доступа для сбора разведданных, с акцентом на использование уязвимостей в системах Linux, работающих через Интернет. Открытие подчеркивает эволюцию тактики хакеров, нацеленных на системы Linux на фоне улучшения безопасности Windows.
-----

Исследователи ESET недавно обнаружили ранее неизвестные бэкдоры для Linux, связанные с китайской Gelsemium group и Project Wood. Первый бэкдор под названием WolfsBane был создан компанией Gelsemium на основе его сходства с известными вредоносными программами для Windows, используемыми этой группой. WolfsBane предназначен для кибершпионажа, нацеленного на конфиденциальные данные с помощью скрытного выполнения команд и поддержания постоянного доступа. Кроме того, был обнаружен второй бэкдор для Linux, FireWood, но он лишь предположительно связан с Gelsemium, и предполагается, что он может быть распространен среди различных китайских APT-групп.

Переход к вредоносному ПО для Linux в APT groups становится все более заметным из-за усовершенствований в мерах безопасности Windows, таких как широкое использование инструментов EDR и решение Microsoft отключить макросы VBA по умолчанию. Этот сдвиг вынуждает хакеров изучать альтернативные направления атак, уделяя особое внимание использованию уязвимостей в системах, ориентированных на Интернет, многие из которых основаны на Linux.

Исследование выявило сходство кода между бэкдорами Linux и известными вредоносными программами для Windows, используемыми Gelsemium, что указывает на тесную связь. WolfsBane идентифицируется как Linux-аналог Gelsevirine, в то время как FireWood ассоциируется с Project Wood. Обнаруженные вредоносные программы направлены на сохранение постоянного доступа для сбора разведывательной информации, избегая при этом обнаружения. Архивы, содержащие эти образцы Linux, были обнаружены в 2023 году на Тайване, Филиппинах и в Сингапуре, вероятно, в результате действий по реагированию на инциденты на скомпрометированных серверах.

Цепочка выполнения бэкдора WolfsBane включает в себя дроппер, лаунчер и компоненты бэкдора, которые стремятся обеспечить постоянство и скрыть вредоносные действия с помощью руткитов на уровне пользователя. С другой стороны, бэкдор FireWood является продолжением вредоносного ПО Project Wood, использующего модули драйверов ядра для сокрытия процессов и взаимодействия с драйверами ядра по протоколу Netlink.

В дополнение к бэкдорам, другие инструменты, найденные в архивах, включают в себя программу для кражи паролей SSH и различные веб-оболочки, предназначенные для удаленного управления и утечки данных. Это обнаружение вредоносных программ для Linux, используемых Gelsemium, представляет собой значительный сдвиг в их тактике и подчеркивает растущее внимание хакеров к системам Linux на фоне улучшенных мер безопасности Windows.