#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинговая кампания Gabagool нацелена на корпоративных и государственных служащих, используя пакеты Cloudflare R2 для размещения вредоносного контента. Злоумышленники начинают свои операции с компрометации учетных записей электронной почты и отправки фишинговых писем, содержащих вредоносные ссылки, которые ведут к поддельным документам, размещенным на таких платформах, как SharePoint, и перенаправляют жертв на скрытые фишинговые страницы в корзинах Cloudflare R2. В кампании также используются такие тактические приемы, как укороченные URL-адреса с цепочками перенаправлений и шифрование AES для связи с сервером. Аналитикам Threat intelligence рекомендуется отслеживать соответствующие показатели компрометации и анализировать сетевой трафик для выявления угроз и устранения их последствий.
-----

Фишинговая кампания под названием "Gabagool" нацелена на корпоративных и государственных служащих.

Использует пакеты Cloudflare R2 для размещения вредоносного контента, используя репутацию Cloudflare.

Злоумышленники компрометируют учетные записи электронной почты, чтобы отправлять фишинговые письма с вредоносными ссылками на поддельные документы, размещенные на таких платформах, как SharePoint, SugarSync или Box.

URL-адреса, используемые в кампании, имеют определенный формат и ведут на фишинговые целевые страницы для сбора учетных данных.

Используется множество тактик, включая сокращенные URL-адреса, схемы QR-кодов и шифрование AES для безопасной связи с сервером.

Код набора для фишинга включает в себя функции для манипулирования стилями CSS, отслеживания взаимодействия пользователя с целевой страницей и сбора введенных пользователем данных.

Рекомендации включают мониторинг подключений к пакетам Cloudflare R2, отслеживание трафика на известные вредоносные серверы и анализ сетевого трафика на наличие признаков компрометации.

#ParsedReport #CompletenessLow
25-11-2024

Ghost Tap: New cash-out tactic with NFC Relay

https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay

Report completeness: Low

Threats:
Ghost_tap_technique
Nfskate
Ngate
Nfcgate_tool

Industry:
Financial, Retail

ChatGPT TTPs:
do not use without manual check
T1576, T1056, T1566

Soft:
Android

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении новой тактики мошенничества под названием "Призрачный перехват", которая заключается в том, что киберпреступники используют украденные данные кредитных карт, привязанных к мобильным платежным сервисам, таким как Google Pay и Apple Pay, посредством ретрансляции трафика NFC. Эта тактика позволяет совершать значительные покупки в автономном режиме с помощью украденных карт, привязанных к новым устройствам, сохраняя при этом анонимность, что создает трудности для финансовых учреждений в выявлении и предотвращении такого мошенничества. Сотрудничество и передовые методы обнаружения необходимы для борьбы с возникающими угрозами в финансовом секторе.
-----

Мошенники постоянно ищут новые способы обналичивания украденных средств, стремясь избежать обнаружения финансовыми учреждениями и сохранить анонимность. Недавно аналитики ThreatFabric раскрыли новую тактику, известную как "Призрачный перехват", при которой хакеры используют украденные данные кредитных карт, привязанных к мобильным платежным сервисам, таким как Google Pay и Apple Pay, посредством ретрансляции трафика NFC.

В рамках этой схемы киберпреступники получают OTP от банков, часто используя такие тактические приемы, как вредоносное ПО для мобильного банкинга, оверлейные атаки, кейлоггинг или фишинг. Привязывая украденные карты к новым устройствам, преступники могут совершать значительные покупки в автономном режиме, используя привязанные карты. Однако этот метод сопряжен с рисками, поскольку прямое использование украденных карт может привести к идентификации правоохранительными органами, а быстрая обработка нескольких карт может увеличить вероятность их блокировки эмитентами.

Чтобы решить эти проблемы, хакеры внедрили инструмент NFCGate для ретрансляции NFC-трафика между устройством с украденной картой и mule (физическим лицом, совершающим покупки в розничной сети), что позволяет осуществлять масштабные выплаты при сохранении анонимности. Эта тактика использует законные исследовательские инструменты, такие как NFCGate, в злонамеренных целях, демонстрируя, как киберпреступники используют научные исследования для получения незаконной выгоды.

Финансовые учреждения сталкиваются с трудностями при выявлении мошенничества с использованием Ghost Tap из-за таких признаков, как карты, привязанные к новым устройствам, или многочисленные транзакции, совершенные в недоступных местах в течение короткого периода времени. Поскольку киберпреступники все больше внимания уделяют атакам на основе NFC, метод Ghost Tap представляет серьезную проблему для организаций, позволяя совершать быстрые и анонимные мошеннические покупки, которые могут остаться незамеченными механизмами борьбы с мошенничеством.

Эффективное предотвращение мошенничества с использованием Ghost Tap требует бдительности в отношении подозрительного поведения на устройствах клиентов, которое может указывать на кражу данных кредитных карт, что может привести к несанкционированным транзакциям. Поскольку финансовый сектор сталкивается с ростом числа атак на основе NFC, сотрудничество и передовые методы обнаружения необходимы для борьбы с возникающими угрозами и эффективной защиты активов клиентов.

#ParsedReport #CompletenessMedium
24-11-2024

MUT-8694: An NPM and PyPI Malicious Campaign Targeting Windows Users

https://securitylabs.datadoghq.com/articles/mut-8964-an-npm-and-pypi-malicious-campaign-targeting-windows-users

Report completeness: Medium

Actors/Campaigns:
Mut-8694

Threats:
Supply_chain_technique
Blankgrabber
Skuld
Typosquatting_technique
Screen_shotting_technique
Uac_bypass_technique

Victims:
Developers, Discord users

Industry:
Entertainment

Geo:
England, United kingdom, London

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1105, T1185, T1562.001, T1113

IOCs:
File: 4
Url: 5
Command: 6
Path: 2
Registry: 1
Hash: 3

Soft:
Android, Roblox, PyInstaller, Telegram, Discord, Windows Defender, Chromium, twitter

Wallets:
exodus_wallet, electrum

Crypto:
ethereum

Algorithms:
base64, zip

Functions:
Set-MpPreference, Windows

Win API:
IsDebuggerPresent

Languages:
javascript, powershell, python

Platforms:
apple

YARA: Found

Links:
https://github.com/hackirby/skuld/tree/main
https://github.com/Blank-c/Blank-Grabber
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследование Datadog в области безопасности выявило MUT-8694, атаку на цепочку поставок, направленную на хранилища пакетов npm и PyPI, в результате которой пользователям Windows были отправлены вредоносные пакеты, содержащие вредоносное ПО infostealer. Атака использует легальные сервисы, такие как GitHub и repl.it, для размещения дополнительной полезной нагрузки, демонстрируя настойчивость хакера, его адаптивность и нацеленность на игровые сообщества и пользователей Discord для кражи учетных данных и эксплойтов, связанных с криптографией.
-----

Исследование Datadog в области безопасности выявило атаку на цепочку поставок, направленную как на хранилища пакетов npm, так и на PyPI, известную как MUT-8694. Это первый случай, когда хакер атаковал две разные экосистемы пакетов одновременно. Атака включает в себя развертывание вредоносных пакетов, которые доставляют вредоносное ПО infostealer пользователям Windows, используя легальные сервисы, такие как GitHub и repl.it для размещения дополнительной полезной нагрузки. Кампания имеет сходство с предыдущей кампанией, описанной исследователями из Socket.

GuardDog, CLI-инструмент Datadog, обнаружил новую угрозу в экосистеме PyPI 10 октября 2024 года. Было обнаружено, что вредоносный пакет с именем "larpexodus" выполняет команду PowerShell, которая извлекает и запускает вредоносное ПО infostealer из внешнего источника. Анализ выявил, что вредоносное ПО -это Blank Grabber, скомпилированное из проекта с открытым исходным кодом на GitHub, а другой образец был взят из проекта Skuld Stealer. Дальнейшее расследование выявило множество похожих двоичных файлов в пакетах на npm, что указывает на более широкую кампанию в разных экосистемах пакетов.

Вредоносные пакеты как в npm, так и в PyPI маскируются под легальное программное обеспечение, часто используя методы опечатывания. GuardDog выявил 42 вредоносных пакета, связанных с этой кампанией в PyPI. Эти пакеты, в том числе такие, как "nodelogic", предназначены для устранения проблем, связанных с программным обеспечением, но на самом деле после установки запускают вредоносное ПО infostealer.

Вредоносное ПО в этих пакетах предназначено для получения полезной информации infostealer из различных источников. Код в пакетах автоматически выполняется при установке, извлекая вредоносное ПО с GitHub и repl.it. Обнаруженная вредоносная программа включает в себя инфокрад Blank Grabber и Skuld Stealer, нацеленные на пользователей Windows с такими возможностями, как кража файлов cookie браузера, криптовалютных кошельков, скриншотов и сведение к минимуму обнаружения с помощью программного обеспечения безопасности, такого как Windows Defender.

Анализ Blank Grabber показал, что вредоносная программа обладает возможностями уклонения и может извлекать украденные данные с помощью веб-сайтов Discord или ботов Telegram. Она может собирать информацию о системе жертвы, отключать функции защитника Windows, делать скриншоты и извлекать конфиденциальную информацию, такую как файлы cookie браузера и ключи продукта. Программа Skuld Stealer, написанная на Go, ориентирована на пользователей Discord в Windows и содержит функции, позволяющие избежать обнаружения, сохраняться в качестве элемента запуска и извлекать украденные учетные данные через веб-узлы Discord.

Хакер, стоящий за MUT-8694, демонстрирует настойчивость и адаптивность, организуя сложную атаку на цепочку поставок, нацеленную на несколько экосистем пакетов. Они используют такие методы, как поиск опечаток, обфускация и легальные сервисы, для доставки вредоносной полезной нагрузки. Внимание к игровым сообществам и пользователям Discord в связи с кражей учетных данных и эксплойтами, связанными с криптографией, подчеркивает их стратегические цели.

#ParsedReport #CompletenessLow
25-11-2024

JarkaStealer in PyPI repository

https://www.kaspersky.ru/blog/jarkastealer-in-pypi-packages/38624

Report completeness: Low

Threats:
Jarkastealer
Supply_chain_technique

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...
CVE-2024-10924 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- really-simple-plugins really simple security (<9.1.2)


ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1608.003, T1105, T1041, T1587.001

IOCs:
File: 1

Soft:
ChatGPT, OpenAI, Dropbox, Telegram, Discord, Steam

Languages:
java, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Глобальная исследовательская и аналитическая группа (GReAT) обнаружила вредоносные пакеты для интеграции с ИИ, содержащие вредоносное ПО JarkaStealer, в репозитории Python Package Index (PyPI), что подчеркивает постоянную угрозу, исходящую от таких атак, и подчеркивает необходимость постоянной бдительности в средах разработки программного обеспечения.
-----

Глобальная команда исследователей и аналитиков (GReAT) обнаружила в репозитории Python Package Index (PyPI) вредоносные пакеты для интеграции с искусственным интеллектом, содержащие вредоносное ПО stealer. Эти пакеты были замаскированы под библиотеки для работы с популярными языковыми моделями, но на самом деле были предназначены для установки вредоносного ПО JarkaStealer. Два вредоносных пакета, названные gptplus и claudeai-eng, были загружены в PyPI одним и тем же автором. Оба пакета утверждали, что предоставляют доступ к продвинутым API искусственного интеллекта, но на самом деле использовали демо-версию ChatGPT для обмана жертв. Пакеты включали инструкции о том, как взаимодействовать с языковыми моделями, но их базовый код содержал механизмы загрузки вредоносного ПО JarkaStealer на компьютер жертвы.

Вредоносная программа JarkaStealer, вероятно, созданная русскоязычными авторами, в основном используется для кражи конфиденциальных данных и передачи их хакерам. Он распространяется через Telegram по модели malware-as-a-service (MaaS), а его исходный код был найден на GitHub, что указывает на потенциальное участие других участников в распространении вредоносного ПО. Обнаружив вредоносные пакеты в PyPI, команда GReAT незамедлительно предупредила администраторов, которые удалили пакеты из хранилища. Однако этот инцидент служит напоминанием о постоянной угрозе, исходящей от подобных атак, и подчеркивает необходимость сохранения бдительности.

Пользователям, которые, возможно, случайно загрузили вредоносные пакеты, рекомендуется немедленно удалить их. Хотя вредоносная программа JarkaStealer не сохраняется в системе и активируется только при использовании пакета, скомпрометированные учетные данные и токены следует незамедлительно изменить, чтобы снизить потенциальные риски. Разработчикам настоятельно рекомендуется проявлять осторожность при внедрении пакетов программного обеспечения с открытым исходным кодом в свои проекты, особенно связанные с технологиями искусственного интеллекта. Проведение тщательного анализа зависимостей и элементов цепочки поставок программных продуктов может помочь снизить риски, связанные с интеграцией программного обеспечения сторонних производителей.

Для повышения уровня безопасности и предотвращения атак на цепочки поставок рекомендуется использовать корпоративные решения для обеспечения безопасности, которые предоставляют информацию об угрозах, связанных с компонентами с открытым исходным кодом. Постоянный мониторинг действий, связанных с вредоносным ПО JarkaStealer, и регулярное сканирование репозиториев с открытым исходным кодом на наличие потенциальных угроз являются важными мерами защиты от вредоносных действий, нацеленных на среды разработки программного обеспечения.

#ParsedReport #CompletenessHigh
25-11-2024

Russia-Aligned TAG-110 Targets Asia and Europe with HATVIBE and CHERRYSPY

https://go.recordedfuture.com/hubfs/reports/CTA-RU-2024-1121.pdf

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Ghostwriter (motivation: cyber_espionage)

Threats:
Hatvibe
Cherryspy
Pyarmor_tool
Themida_tool
Typosquatting_technique
Spear-phishing_technique

Victims:
National center for human rights of the republic of uzbekistan, Kmg-security, Tajik educational and research institution

Industry:
Petroleum, Government, Education, Military

Geo:
Armenia, Mongolia, Uzbekistan, Greece, Kazakhstan, Ukraine, Russia, India, Asian, Israel, Kyrgyzstan, Asia, China, Tajikistan, Moscow, Hungary, Russian, Turkmenistan

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http file server (le2.3m)


TTPs:
Tactics: 2
Technics: 11

IOCs:
File: 3
IP: 11
Domain: 11
Hash: 2

Soft:
Microsoft Word, outlook

Algorithms:
aes, base64, sha256, md5, gzip, deflate, xor

Functions:
CreateObject

Languages:
python, php, visual_basic

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является раскрытие кампании кибершпионажа, проводимой группой TAG-110, связанной с Россией и нацеленной на организации в Центральной Азии, Восточной Азии и Европе, для поддержки деятельности России в Украине и мониторинга геополитических событий в соседних странах. Группа использует пользовательские вредоносные программы, такие как HATVIBE и CHERRYSPY, для проникновения в организации, при этом предполагается, что первоначальный доступ осуществляется через вредоносные вложения электронной почты или уязвимые веб-сервисы. Группа Insikt выявила 62 жертвы в разных странах и подготовила рекомендации по усилению безопасности и использованию инструментов анализа угроз. Ожидается, что группа продолжит наносить удары по государствам Центральной Азии, Украине и поддерживающим государствам региона, руководствуясь интересами национальной безопасности, военными операциями и геополитическим влиянием.
-----

Кампания по кибершпионажу, проводимая TAG-110 совместно с Россией, нацелена на правительственный сектор, сектор прав человека и сектор образования, в первую очередь в Центральной Азии, с целью поддержки деятельности России на Украине и мониторинга геополитических событий в соседних странах.

TAG-110 внедряет пользовательские вредоносные программы, такие как HATVIBE loader и CHERRYSPY backdoor, для проникновения в организации в Центральной Азии, Восточной Азии и Европе, при этом первоначальный доступ, вероятно, осуществляется через вредоносные вложения электронной почты или с использованием уязвимых веб-сервисов, таких как Rejetto HTTP File Server.

Заметными жертвами кампании стали организации в таких странах, как Армения, Китай, Греция, Индия, Казахстан, Кыргызстан, Таджикистан, Туркменистан, Украина и Узбекистан.

Меры обнаружения включают правила идентификации для связи HATVIBE C2, правило YARA для файлов HATVIBE и рекомендации по безопасности, включая обучение по повышению уровня безопасности, многофакторную аутентификацию и системы оповещения в режиме реального времени.

Ожидается, что кампания продолжится, сосредоточив внимание на государствах Центральной Азии, Украине и поддерживающих государствах региона, с инфраструктурой и соглашениями о TTP, включая инфраструктуру VPS и соглашение об именовании доменов C2, состоящее из двух слов.

#ParsedReport #CompletenessHigh
24-11-2024

Arctic Wolf Observes Threat Campaign Targeting Palo Alto Networks Firewall Devices

https://arcticwolf.com/resources/blog/arctic-wolf-observes-threat-campaign-targeting-palo-alto-networks-firewall-devices

Report completeness: High

Threats:
Sliver_c2_tool
Cobalt_strike
Upx_tool
Coinminer
Xmrig_miner
Timestomp_technique
Credential_dumping_technique
Aurora

Industry:
Government, Healthcare

Geo:
United kingdom, Jordan

CVEs:
CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 6
IP: 14
Coin: 1
Domain: 1
Hash: 1

Soft:
PAN-OS, curl, Linux, AN-OS so, url to

Algorithms:
base64, xor, sha256, ghostrider

Languages:
javascript, php

#ParsedReport #CompletenessHigh
25-11-2024

Game of Emperor: Unveiling Long Term Earth Estries Cyber Intrusions

https://www.trendmicro.com/en_us/research/24/k/earth-estries.html

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, financially_motivated)
Unc4841

Threats:
Ghostspider
Masol
Deed_rat
Lolbin_technique
Demodex_tool
Webadmin_tool
Proxylogon_exploit
Frpc_tool
Winmm
Neo-regeorg_tool
Fscan_tool
Shadowpad
Dll_hijacking_technique
Dllsearchorder_hijacking_technique
Crowdoor
Inc_ransomware
Sparrowdoor
Zingdoor
Cobalt_strike
Trillclient
Hemigate

Victims:
Telecommunications companies, Government entities, Consulting firms, Ngos, Military units, Federal government entities, Chemical companies, Transportation industries, Technology companies, Service providers, have more...

Industry:
Government, Ngo, Telco, Chemical, Transport, Military

Geo:
Brazil, Indonesia, Asia-pacific, Middle east, Malaysia, Taiwan, Asia, Pakistan, India, Chinese, Thailand, Vietnam, Philippines, Afghanistan, Taiwanese, South africa, Asian

CVEs:
CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2010, 2013, 2016, 2019)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2010, 2013, 2016, 2019)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1570, T1027, T1105, T1071, T1036, T1018

IOCs:
File: 24
IP: 25
Domain: 18
Hash: 13
Command: 1
Path: 4
Url: 1

Soft:
Linux, Ivanti, Microsoft Exchange, PSEXEC, SoftEther

Algorithms:
aes, sha256, base64, zip, crc-64, crc-32

Languages:
powershell

Platforms:
x64, x86, cross-platform

YARA: Found

Links:
https://gist.github.com/andrew-morris/7679a18ef815068897bf27bf631f2ede

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 6, dump: 3, chart: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что китайская APT-группа Earth Estries проводит агрессивные кибератаки на критически важные отрасли по всему миру, используя сложные методы и новые бэкдоры, нацеливаясь на ключевые секторы, такие как телекоммуникации, государственные учреждения, консалтинговые фирмы и НПО. Группа использует передовые методы атак, множество бэкдоров и инструменты, которыми она делится с другими китайскими APT-группами, демонстрируя высокий уровень сложности и организации своей деятельности. Для организаций крайне важно усилить свою систему кибербезопасности, чтобы защититься от подобных угроз.
-----

С 2023 года китайская APT-группа Earth Estries, также известная как Salt Typhoon, FamousSparrow, GhostEmperor и UNC2286, активно атакует критически важные отрасли промышленности по всему миру, используя сложные технологии и новые бэкдоры. Они были сосредоточены на ключевых секторах, таких как телекоммуникации, государственные учреждения, консалтинговые фирмы и НПО в США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке и в Южной Африке. Группа использует передовые методы атак и множество бэкдоров, включая GHOSTSPIDER, SNAPPYBEE и MASOL RAT, для взлома более 20 организаций в различных отраслях промышленности.

Earth Estries использует уязвимости в общедоступных серверах для получения первоначального доступа, использует удаленные двоичные файлы для перемещения по сетям и внедряет вредоносное ПО для долгосрочных шпионских операций. Операции группы часто пересекаются с тактикой, методами и процедурами (TTP) других китайских APT-групп, что указывает на возможное использование общих инструментов от поставщиков вредоносных программ как услуг. Earth Estries хорошо организована с четким разделением труда, разные участники работают в разных регионах и отраслях, а инфраструктура C&C управляется разными командами, что демонстрирует сложность их операций.

Ключевым результатом недавних расследований стало обнаружение нового бэкдора под названием GHOSTSPIDER, который использовался во время атак на телекоммуникационные компании Юго-Восточной Азии. Бэкдор состоит из нескольких модулей для определенных целей, взаимодействует с C&C-сервером по пользовательскому протоколу, защищенному TLS, и может загружать различные модули в зависимости от потребностей злоумышленника. Было замечено, что Earth Estries использует другой бэкдор, MASOL RAT, на устройствах Linux, нацеленных на правительственные сети Юго-Восточной Азии. Группа демонстрирует высокий уровень сложности в проведении скрытых атак с периферийных устройств на облачные среды.

Earth Estries известна тем, что использует известные уязвимости и общедоступные инструменты совместного использования, такие как SNAPPYBEE, в своей деятельности по кибершпионажу. Они создают оперативные сети, эффективно скрывающие свои атаки, что затрудняет их обнаружение. Для организаций крайне важно сохранять бдительность и укреплять свою защиту от подобных угроз. Анализ угроз в рамках Trend Micro Vision One предоставляет исчерпывающую информацию о хакерах и их деятельности, помогая организациям опережать киберугрозы и быть лучше подготовленными к снижению рисков и эффективному реагированию на возникающие угрозы.