#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в серии изощренных фишинговых атак, нацеленных на исследователей из Северной Кореи и связанные с ними организации в течение нескольких лет. Злоумышленники переносили свою базу из Японии в Россию, чтобы избежать обнаружения, используя методы фишинга URL-адресов без вредоносного ПО, что затрудняло обнаружение. Группа Ким Су Ки, связанная с Северной Кореей, активно участвует в этих атаках, целью которых является кража учетных записей и личной информации жертв. Для снижения этих рисков рекомендуются такие контрмеры, как проверка адресов электронной почты отправителей, использование IOCS и активное управление фишинговыми IP-адресами.
-----

В тексте описывается серия фишинговых атак на исследователей из Северной Кореи и отдельных сотрудников связанных с ней организаций, проводившихся в течение нескольких лет. Злоумышленники пытались избежать обнаружения, переместив свою базу для атак на электронную почту из Японии в Россию. Эти атаки связаны с URL-фишингом, который не содержит вредоносных программ в электронных письмах, что затрудняет их обнаружение. Группа Ким Су Ки принимает активное участие во многих выявленных URL-фишинговых атаках в Корее.

В октябре 2023 года в Корее были обнаружены фишинговые атаки, в том числе с использованием нового уведомления государственной службы электронного документооборота. Злоумышленники использовали для фишинга домены японского интернет-провайдера и корейской службы регистрации доменов. Последующие атаки были связаны с выдачей себя за пользователей Naver MYBOX themes, использующих домены из Японии, Кореи и России в качестве адресов отправителей.

Злоумышленники использовали стратегию провоцирования беспокойства у получателей, заявляя в фишинговых письмах о вредоносной активности в облачном сервисе MYBOX. Эти электронные письма были отправлены с использованием поддельных российских доменов и почтовой программы Университета Евангелия, что позволило создать стратегию маскировки. Группа Kimsuky, поддерживаемая Северной Кореей и связанная с хакерами TA406, TA408 и TA427, была связана с этими фишинговыми действиями.

Фишинговые кампании, проводимые группой Kim Soo-ki, продолжаются, но вредоносные файлы не доставляются, что увеличивает риск проникновения и нарушения конфиденциальности. Несмотря на отсутствие вредоносных программ, эти кампании могут привести к краже учетных записей жертв для дальнейших атак. Некоторые атаки проводились под видом официальных документов финансовых учреждений, что повышало доверие к ним. Для проведения своих кампаний злоумышленники использовали различные почтовые сервисы из Японии, Кореи и России.

Рекомендуемые меры противодействия включают тщательную проверку адресов электронной почты отправителей, использование IOCs для обнаружения вредоносной активности и эффективное управление политиками обнаружения. Сотрудникам службы безопасности рекомендуется регистрировать фишинговые индикаторы компрометации, чтобы предотвратить проникновение угроз в системы. Активное управление известными фишинговыми IP-адресами с помощью продуктов обнаружения конечных точек и реагирования на них (EDR) имеет решающее значение для снижения рисков, связанных с фишинговыми атаками.

#ParsedReport #CompletenessHigh
02-12-2024

Horns&Hooves campaign delivers NetSupport RAT and BurnsRAT

https://securelist.com/horns-n-hooves-campaign-delivering-netsupport-rat/114740

Report completeness: High

Actors/Campaigns:
Horns-hooves (motivation: information_theft, cyber_criminal)
Mustard_tempest
Ta569 (motivation: cyber_criminal)
Smartapesg

Threats:
Netsupportmanager_rat
Burnsrat
Bitsadmin_tool
Rms_tool
Dll_sideloading_technique
Rhadamanthys
Meduza

Victims:
Private users, Retailers, Service businesses

Industry:
Retail

Geo:
Germany, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.007, T1203, T1071.001, T1105, T1574.002, T1021, T1027, T1573, T1090.002, have more...

IOCs:
File: 29
Hash: 24
Url: 16
Command: 1
Registry: 1
Domain: 10
Path: 1
IP: 1

Soft:
curl, NSIS installer, Silverlight, OpenSSL, Microsoft Silverlight

Algorithms:
md5, rc4, zip

Languages:
powershell, javascript, jscript

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 11, table: 2, schema: 5, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается хакерская кампания под названием "Horns&Hooves", которая включает вредоносные вложения в электронную почту, замаскированные под бизнес-запросы и предложения, в ZIP-архивах, предназначенных для частных пользователей и предприятий в России. Эта кампания использует различные версии вредоносных скриптов для установки NetSupport RAT, подключая его к группе TA569, известной продажей доступа к зараженным компьютерам. Со временем злоумышленники совершенствовали свою тактику, подчеркивая важность бдительности в области кибербезопасности и анализа угроз для противодействия таким сложным угрозам.
-----

Хакерская кампания, получившая название "Horns&Hooves", включает в себя вредоносные вложения в электронную почту, замаскированные под запросы и предложения от потенциальных клиентов или партнеров, которые содержатся в ZIP-архивах. Целью злоумышленников стали более тысячи частных пользователей, розничных продавцов и предприятий сферы услуг, в основном в России. Кампания началась в марте 2023 года с рассылки электронных писем, содержащих скрипты на JScript, которые устанавливают NetSupport RAT - инструмент, часто используемый киберпреступниками для удаленного управления ПК. Злоумышленники также добавили в архивы различные документы для повышения правдоподобности, такие как PDF-файлы с копиями паспортов и выписки из Единого государственного реестра юридических лиц России.

Существуют различные версии вредоносных скриптов, используемых в кампании "Horns&Hooves":.

В первой версии используются документы-приманки в формате PNG и загружается полезная нагрузка NetSupport RAT, замаскированная под законный инструмент. В процессе установки используются встроенные утилиты Windows.

Версия JS встраивает вредоносный код в общедоступные библиотеки JavaScript, чтобы выглядеть легитимно. Она загружает промежуточные скрипты для получения ложных документов и установщик NetSupport RAT.

Полностью обфусцированная версия скрывает вредоносный код в Silverlight.Configuration.exe запуск для запуска системы удаленного управления (RMS), облегчающей удаленное управление системами.

Со временем кампания претерпела ряд изменений, таких как различные методы загрузки NetSupport RAT, различные файлы-приманки и использование PDF-документов для большей достоверности.

Анализ выявил связи между кампанией "Horns&Hooves" и группой TA569, известной тем, что продавала доступ к зараженным компьютерам другим киберпреступникам. Они обмениваются похожими файлами конфигурации и ключами безопасности, что предполагает возможное сотрудничество. Хотя установка NetSupport RAT является промежуточным этапом, злоумышленники могут использовать ее для развертывания программ-похитителей, таких как Rhadamanthys и Meduza, или продавать доступ для развертывания программ-вымогателей. Тактика кампании со временем эволюционировала, объединив процесс установки в единый сценарий для повышения эффективности и снижения уровня обнаружения.

Понимание связи кампании с TA569 подчеркивает потенциальные риски, с которыми сталкиваются организации-жертвы, от кражи данных до системного шифрования. Злоумышленники используют законное программное обеспечение в вредоносных целях, демонстрируя важность бдительности в области кибербезопасности и анализа угроз для борьбы с такими сложными угрозами.

#ParsedReport #CompletenessMedium
02-12-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/taxoff-um-you-ve-got-a-backdoor

Report completeness: Medium

Actors/Campaigns:
Taxoff
Scarcruft

Threats:
Trinper
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Domain_fronting_technique

Victims:
Russian government agencies

Industry:
Government, Financial

Geo:
Russia, Russian

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 11
IP: 2
Hash: 8

Algorithms:
base64, xor, aes-128-cbc, aes-256

Functions:
GetRunningTasks, SetCommConfValue

Win API:
InternetOpenW, WriteFile, ReadFile

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой хакерской группы под названием TaxOff, которая атакует российские правительственные структуры с помощью фишинговой тактики, используя сложный многопоточный бэкдор Trinper. Основной целью TaxOff является шпионаж, и они используют различные вредоносные тактики, такие как распространение вредоносного ПО с помощью манипулируемого программного обеспечения и проведение атак с использованием сложных методов, таких как шаблонный метод проектирования и параллельное программирование. Угроза, исходящая от TaxOff, подчеркивает важность постоянных усилий по киберзащите и многоуровневой защиты от продвинутых хакеров.
-----

Новая хакерская группа под названием TaxOff нацелена на российские правительственные структуры, используя тактику фишинга, в частности, с помощью электронных писем юридической и финансовой тематики.

TaxOff использует сложный многопоточный бэкдор Trinper, написанный на C++ и обладающий различными вредоносными возможностями.

Основной целью группы является шпионаж и создание плацдарма для дальнейшей гнусной деятельности.

Фишинговые электронные письма TaxOff содержат вредоносные ссылки на Яндекс Диск с вредоносным контентом, связанным с программным обеспечением 1С, и поддельные установщики, выдающие себя за обновления для государственного программного обеспечения.

TaxOff манипулирует программным обеспечением Spravki BK для распространения вредоносных программ, заменяя законные файлы вредоносными исполняемыми файлами.

Архитектура Trinper включает в себя группы, управляющие задачами, связанными с взаимодействием с серверами C2, внедрением кода, выполнением команд и обработкой операций, с использованием стандартной библиотеки шаблонов (STL) и шаблонного метода проектирования.

Trinper использует пользовательскую сериализацию для хранения конфигурации и повышения гибкости, а также механизм буферного кэширования для оптимизации производительности.

Бэкдор инициирует обмен данными с серверами C2 с помощью методов шифрования, таких как RSA, кодирование Base64 и генерация сеансового ключа AES-128-CBC.

Комбинация убедительных фишинговых приманок TaxOff с бэкдором Trinper представляет серьезную угрозу, требующую постоянного обучения пользователей и многоуровневой защиты для эффективной защиты.

#ParsedReport #CompletenessMedium
02-12-2024

Analysis of Threat Actor Kim Soo-ki's Email Phishing Campaign

https://www.genians.co.kr/blog/threat_intelligence/kimsuky-cases

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Victims:
North korea researchers, Related organizations, Mybox cloud service, Evangelia university, Financial institutions

Industry:
Education, Healthcare

Geo:
Japanese, Japan, Usa, Russia, North korea, Korean, Russian, Korea, American, Gyeonggi-do

ChatGPT TTPs:
do not use without manual check
T1566, T1585

IOCs:
Domain: 21
File: 8
IP: 6
Url: 1
Hash: 12

Soft:
Slack, Instagram

Algorithms:
md5

Functions:
autoopen

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространенной угрозе фишинга электронной почты, особенно со стороны хакеров, таких как группа Kimsuky, нацеленных на частных лиц и организации по всему миру. В нем подчеркивается использование тактики фишинга URL-адресов, важность мер по управлению безопасностью, таких как средства обнаружения конечных точек и реагирования на них, а также необходимость сбора данных о компрометации для усиления защиты от фишинговых атак. В тексте также рассматриваются конкретные примеры фишинговых атак группы Kimsuky, подчеркивается их обманная тактика и постоянный риск, связанный с этими атаками, даже если они не содержат вредоносного ПО.
-----

Фишинг электронной почты представляет собой серьезную угрозу во всем мире, поскольку хакеры используют различные тактические приемы.

Распространенная тактика фишинга URL-адресов затрудняет их обнаружение, поскольку в электронных письмах не содержится вредоносного ПО.

Фишинговые электронные письма, несмотря на то, что они считаются менее опасными, могут привести к утечке данных и захвату учетной записи.

Группа Кимсуки нацелена на исследователей и деятелей из Северной Кореи, используя новую базу для атак по электронной почте, перемещаясь с Японии на Россию.

Управление безопасностью имеет решающее значение в борьбе с фишинговыми атаками, при этом особое внимание уделяется использованию активных мер безопасности, таких как продукты EDR.

Для усиления защиты от атак рекомендуется собирать данные IoC, связанные со сценариями фишинга.

Группа Ким Су Ки использует различных поставщиков услуг электронной почты для маскировки своих мошеннических действий.

Фишинговые атаки включают в себя выдачу себя за законные темы (например, Naver MYBOX) и рассылку ложных предупреждений, чтобы обманом заставить пользователей разгласить конфиденциальную информацию.

Злоумышленники используют поддельные адреса отправителей и вредоносные программы для отправки электронной почты, чтобы скрыть свое происхождение и повысить доверие к своим фишинговым письмам.

Тщательный анализ адресов электронной почты отправителей, особенно в письмах, связанных с финансовыми или официальными документами, имеет жизненно важное значение для выявления попыток фишинга.

Администраторы Genian EDR играют важную роль в обнаружении вредоносных IP-адресов и управлении доступом к ним для предотвращения взломов и несанкционированного доступа к сети.

#ParsedReport #CompletenessMedium
02-12-2024

Be wary of phishing attacks organized by APT-C-01 (Poison Ivy). Attack activity analysis

https://mp.weixin.qq.com/s/6wVfE9SE3wVuazxVppe3tA

Report completeness: Medium

Actors/Campaigns:
Poison_ivy

Threats:
Watering_hole_technique
Spear-phishing_technique
Sliver_c2_tool
Process_injection_technique
Double_kill_vuln
Double_star_vuln

Industry:
Education, Government

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1059, T1027.004

IOCs:
Hash: 5
File: 1
IP: 3
Domain: 2

Soft:
Linux, MACOS

Algorithms:
aes, md5

Win API:
decompress

Languages:
golang

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-C-01, также известная как Poison Ivy, является группой APT, специализирующейся на кибератаках, нацеленных на такие секторы, как национальная оборона, правительство, технологии и образование. Они используют сложные методы фишинга, включая скрытый фишинг и скрытый фишинг-шпионаж, для доставки вредоносных программ, таких как троян удаленного доступа Sliver RAT. Мастерство группы в создании вводящих в заблуждение фишинговых страниц и использовании передовых технологий создает серьезные проблемы для правозащитников, подчеркивая важность упреждающих мер безопасности и сотрудничества между специалистами в области кибербезопасности для снижения рисков и защиты критически важных активов.
-----

APT-C-01, известная как Poison Ivy, является группой APT, действующей с 2007 года.

Они нацелены на такие секторы, как национальная оборона, правительство, технологии и образование, используя изощренные методы фишинга.

В последнее время Poison Ivy активизировали свою деятельность, сосредоточившись на фишинге с использованием поддельных веб-сайтов для доставки троянской программы удаленного доступа Sliver RAT.

Они используют обманчивые загрузчики, замаскированные под значки PDF, для получения и выполнения полезной нагрузки Sliver RAT, которая обладает широкими возможностями.

Использование группой методов запутывания и обмана при фишинге создает проблемы для правозащитников.

Организациям и частным лицам рекомендуется быть осторожными с неизвестными ссылками, чтобы не стать жертвами кибератак.

360 Advanced Threat Research Institute активно занимается борьбой с продвинутыми хакерами и имеет опыт раскрытия громких атак APT-групп.

Бдительность и сотрудничество специалистов по кибербезопасности имеют решающее значение для защиты от появляющихся хакеров.

#ParsedReport #CompletenessLow
02-12-2024

CERT-AGIDComputer Emergency Response Team AGID. AgentTesla Campaign Returns to Action After Failed Attack: Updated Loader and New Encryption Techniques

https://cert-agid.gov.it/news/campagna-agenttesla-ritorna-in-azione-dopo-un-attacco-fallito-aggiornato-loader-e-nuove-tecniche-di-cifratura/

Report completeness: Low

Threats:
Agent_tesla

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1027, T1055

IOCs:
Hash: 2

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с кибербезопасностью, связанный с некорректной операцией по распространению вредоносного ПО, обнаруженной CERT-AGID. Злоумышленники допустили ошибки при внедрении механизмов активации вредоносного ПО, в результате чего не удалось скомпрометировать устройства жертвы. После первоначальных неудачных попыток хакеры адаптировали свою стратегию и начали новую атаку, используя AgentTesla infostealer с усовершенствованными методами шифрования, чтобы избежать обнаружения. Этот инцидент подчеркивает необходимость постоянного мониторинга и анализа тактики новых вредоносных программ для усиления мер кибербезопасности против возникающих угроз.
-----

В тексте описывается недавний инцидент с кибербезопасностью, связанный с ошибочной операцией по распространению вредоносного ПО, обнаруженной CERT-AGID. Организация обнаружила электронные письма, содержащие вредоносное ПО с механизмами активации, которые не были реализованы должным образом, что привело к невозможности взлома устройств жертвы. Этот сбой был связан с ошибками, допущенными злоумышленниками, либо из-за отвлечения внимания, либо из-за ошибок в интеграции компонентов инструментов "Вредоносное ПО как услуга" (MaaS), которые они использовали.

На начальном этапе инцидента CERT-AGID выявил вредоносную рассылку по электронной почте, которая широко распространялась с вложением, которое не могло активировать цепочку компрометации. Сбой произошел из-за отсутствия важного элемента - конкретной строки "FjDyD6U", необходимой для извлечения правильных байтов для создания нового исполняемого файла. Несмотря на то, что онлайн-песочницы распознали вредоносную программу как вредоносное ПО, она не демонстрировала никакого сетевого трафика, а ее название не могло быть определено существующими песочницами.

После этой первоначальной неудачной попытки хакеры, стоявшие за кампанией, в минувшие выходные скорректировали свою стратегию и начали новую атаку с использованием функционального варианта вредоносного ПО. Новым вредоносным ПО, выявленным в ходе этой второй волны, был AgentTesla, хорошо известный инфокрад, который уже более двух лет широко распространен в Италии. Компания AgentTesla известна тем, что часто меняет загрузчики, и в данном случае использовала передовые методы шифрования для прямой загрузки полезной информации в память, что повышает ее возможности защиты от обнаружения и анализа.

Способность AgentTesla изменять свои механизмы загрузки демонстрирует адаптивность и упорство хакеров в хакерской среде. Этот инцидент подчеркивает важность постоянного мониторинга и анализа новых тактик вредоносных программ для защиты от возникающих угроз. Организациям следует сохранять бдительность и проактивность в усилении своих мер кибербезопасности, чтобы снизить риски, связанные с изощренными вредоносными кампаниями, подобными описанной в тексте.

#ParsedReport #CompletenessLow
02-12-2024

Patchwork (White Elephant) APT organization Protego remote control Trojan attack scenario reappeared

https://www.ctfiot.com/217959.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Protego
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1105, T1059.003, T1041, T1071.001

IOCs:
File: 5
Coin: 1
IP: 1

Algorithms:
base64, zip

Languages:
python, php, golang

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4