#ParsedReport #CompletenessMedium
02-12-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/taxoff-um-you-ve-got-a-backdoor

Report completeness: Medium

Actors/Campaigns:
Taxoff
Scarcruft

Threats:
Trinper
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Domain_fronting_technique

Victims:
Russian government agencies

Industry:
Government, Financial

Geo:
Russia, Russian

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 11
IP: 2
Hash: 8

Algorithms:
base64, xor, aes-128-cbc, aes-256

Functions:
GetRunningTasks, SetCommConfValue

Win API:
InternetOpenW, WriteFile, ReadFile

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой хакерской группы под названием TaxOff, которая атакует российские правительственные структуры с помощью фишинговой тактики, используя сложный многопоточный бэкдор Trinper. Основной целью TaxOff является шпионаж, и они используют различные вредоносные тактики, такие как распространение вредоносного ПО с помощью манипулируемого программного обеспечения и проведение атак с использованием сложных методов, таких как шаблонный метод проектирования и параллельное программирование. Угроза, исходящая от TaxOff, подчеркивает важность постоянных усилий по киберзащите и многоуровневой защиты от продвинутых хакеров.
-----

Новая хакерская группа под названием TaxOff нацелена на российские правительственные структуры, используя тактику фишинга, в частности, с помощью электронных писем юридической и финансовой тематики.

TaxOff использует сложный многопоточный бэкдор Trinper, написанный на C++ и обладающий различными вредоносными возможностями.

Основной целью группы является шпионаж и создание плацдарма для дальнейшей гнусной деятельности.

Фишинговые электронные письма TaxOff содержат вредоносные ссылки на Яндекс Диск с вредоносным контентом, связанным с программным обеспечением 1С, и поддельные установщики, выдающие себя за обновления для государственного программного обеспечения.

TaxOff манипулирует программным обеспечением Spravki BK для распространения вредоносных программ, заменяя законные файлы вредоносными исполняемыми файлами.

Архитектура Trinper включает в себя группы, управляющие задачами, связанными с взаимодействием с серверами C2, внедрением кода, выполнением команд и обработкой операций, с использованием стандартной библиотеки шаблонов (STL) и шаблонного метода проектирования.

Trinper использует пользовательскую сериализацию для хранения конфигурации и повышения гибкости, а также механизм буферного кэширования для оптимизации производительности.

Бэкдор инициирует обмен данными с серверами C2 с помощью методов шифрования, таких как RSA, кодирование Base64 и генерация сеансового ключа AES-128-CBC.

Комбинация убедительных фишинговых приманок TaxOff с бэкдором Trinper представляет серьезную угрозу, требующую постоянного обучения пользователей и многоуровневой защиты для эффективной защиты.

#ParsedReport #CompletenessMedium
02-12-2024

Analysis of Threat Actor Kim Soo-ki's Email Phishing Campaign

https://www.genians.co.kr/blog/threat_intelligence/kimsuky-cases

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Victims:
North korea researchers, Related organizations, Mybox cloud service, Evangelia university, Financial institutions

Industry:
Education, Healthcare

Geo:
Japanese, Japan, Usa, Russia, North korea, Korean, Russian, Korea, American, Gyeonggi-do

ChatGPT TTPs:
do not use without manual check
T1566, T1585

IOCs:
Domain: 21
File: 8
IP: 6
Url: 1
Hash: 12

Soft:
Slack, Instagram

Algorithms:
md5

Functions:
autoopen

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространенной угрозе фишинга электронной почты, особенно со стороны хакеров, таких как группа Kimsuky, нацеленных на частных лиц и организации по всему миру. В нем подчеркивается использование тактики фишинга URL-адресов, важность мер по управлению безопасностью, таких как средства обнаружения конечных точек и реагирования на них, а также необходимость сбора данных о компрометации для усиления защиты от фишинговых атак. В тексте также рассматриваются конкретные примеры фишинговых атак группы Kimsuky, подчеркивается их обманная тактика и постоянный риск, связанный с этими атаками, даже если они не содержат вредоносного ПО.
-----

Фишинг электронной почты представляет собой серьезную угрозу во всем мире, поскольку хакеры используют различные тактические приемы.

Распространенная тактика фишинга URL-адресов затрудняет их обнаружение, поскольку в электронных письмах не содержится вредоносного ПО.

Фишинговые электронные письма, несмотря на то, что они считаются менее опасными, могут привести к утечке данных и захвату учетной записи.

Группа Кимсуки нацелена на исследователей и деятелей из Северной Кореи, используя новую базу для атак по электронной почте, перемещаясь с Японии на Россию.

Управление безопасностью имеет решающее значение в борьбе с фишинговыми атаками, при этом особое внимание уделяется использованию активных мер безопасности, таких как продукты EDR.

Для усиления защиты от атак рекомендуется собирать данные IoC, связанные со сценариями фишинга.

Группа Ким Су Ки использует различных поставщиков услуг электронной почты для маскировки своих мошеннических действий.

Фишинговые атаки включают в себя выдачу себя за законные темы (например, Naver MYBOX) и рассылку ложных предупреждений, чтобы обманом заставить пользователей разгласить конфиденциальную информацию.

Злоумышленники используют поддельные адреса отправителей и вредоносные программы для отправки электронной почты, чтобы скрыть свое происхождение и повысить доверие к своим фишинговым письмам.

Тщательный анализ адресов электронной почты отправителей, особенно в письмах, связанных с финансовыми или официальными документами, имеет жизненно важное значение для выявления попыток фишинга.

Администраторы Genian EDR играют важную роль в обнаружении вредоносных IP-адресов и управлении доступом к ним для предотвращения взломов и несанкционированного доступа к сети.

#ParsedReport #CompletenessMedium
02-12-2024

Be wary of phishing attacks organized by APT-C-01 (Poison Ivy). Attack activity analysis

https://mp.weixin.qq.com/s/6wVfE9SE3wVuazxVppe3tA

Report completeness: Medium

Actors/Campaigns:
Poison_ivy

Threats:
Watering_hole_technique
Spear-phishing_technique
Sliver_c2_tool
Process_injection_technique
Double_kill_vuln
Double_star_vuln

Industry:
Education, Government

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1059, T1027.004

IOCs:
Hash: 5
File: 1
IP: 3
Domain: 2

Soft:
Linux, MACOS

Algorithms:
aes, md5

Win API:
decompress

Languages:
golang

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-C-01, также известная как Poison Ivy, является группой APT, специализирующейся на кибератаках, нацеленных на такие секторы, как национальная оборона, правительство, технологии и образование. Они используют сложные методы фишинга, включая скрытый фишинг и скрытый фишинг-шпионаж, для доставки вредоносных программ, таких как троян удаленного доступа Sliver RAT. Мастерство группы в создании вводящих в заблуждение фишинговых страниц и использовании передовых технологий создает серьезные проблемы для правозащитников, подчеркивая важность упреждающих мер безопасности и сотрудничества между специалистами в области кибербезопасности для снижения рисков и защиты критически важных активов.
-----

APT-C-01, известная как Poison Ivy, является группой APT, действующей с 2007 года.

Они нацелены на такие секторы, как национальная оборона, правительство, технологии и образование, используя изощренные методы фишинга.

В последнее время Poison Ivy активизировали свою деятельность, сосредоточившись на фишинге с использованием поддельных веб-сайтов для доставки троянской программы удаленного доступа Sliver RAT.

Они используют обманчивые загрузчики, замаскированные под значки PDF, для получения и выполнения полезной нагрузки Sliver RAT, которая обладает широкими возможностями.

Использование группой методов запутывания и обмана при фишинге создает проблемы для правозащитников.

Организациям и частным лицам рекомендуется быть осторожными с неизвестными ссылками, чтобы не стать жертвами кибератак.

360 Advanced Threat Research Institute активно занимается борьбой с продвинутыми хакерами и имеет опыт раскрытия громких атак APT-групп.

Бдительность и сотрудничество специалистов по кибербезопасности имеют решающее значение для защиты от появляющихся хакеров.

#ParsedReport #CompletenessLow
02-12-2024

CERT-AGIDComputer Emergency Response Team AGID. AgentTesla Campaign Returns to Action After Failed Attack: Updated Loader and New Encryption Techniques

https://cert-agid.gov.it/news/campagna-agenttesla-ritorna-in-azione-dopo-un-attacco-fallito-aggiornato-loader-e-nuove-tecniche-di-cifratura/

Report completeness: Low

Threats:
Agent_tesla

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1027, T1055

IOCs:
Hash: 2

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с кибербезопасностью, связанный с некорректной операцией по распространению вредоносного ПО, обнаруженной CERT-AGID. Злоумышленники допустили ошибки при внедрении механизмов активации вредоносного ПО, в результате чего не удалось скомпрометировать устройства жертвы. После первоначальных неудачных попыток хакеры адаптировали свою стратегию и начали новую атаку, используя AgentTesla infostealer с усовершенствованными методами шифрования, чтобы избежать обнаружения. Этот инцидент подчеркивает необходимость постоянного мониторинга и анализа тактики новых вредоносных программ для усиления мер кибербезопасности против возникающих угроз.
-----

В тексте описывается недавний инцидент с кибербезопасностью, связанный с ошибочной операцией по распространению вредоносного ПО, обнаруженной CERT-AGID. Организация обнаружила электронные письма, содержащие вредоносное ПО с механизмами активации, которые не были реализованы должным образом, что привело к невозможности взлома устройств жертвы. Этот сбой был связан с ошибками, допущенными злоумышленниками, либо из-за отвлечения внимания, либо из-за ошибок в интеграции компонентов инструментов "Вредоносное ПО как услуга" (MaaS), которые они использовали.

На начальном этапе инцидента CERT-AGID выявил вредоносную рассылку по электронной почте, которая широко распространялась с вложением, которое не могло активировать цепочку компрометации. Сбой произошел из-за отсутствия важного элемента - конкретной строки "FjDyD6U", необходимой для извлечения правильных байтов для создания нового исполняемого файла. Несмотря на то, что онлайн-песочницы распознали вредоносную программу как вредоносное ПО, она не демонстрировала никакого сетевого трафика, а ее название не могло быть определено существующими песочницами.

После этой первоначальной неудачной попытки хакеры, стоявшие за кампанией, в минувшие выходные скорректировали свою стратегию и начали новую атаку с использованием функционального варианта вредоносного ПО. Новым вредоносным ПО, выявленным в ходе этой второй волны, был AgentTesla, хорошо известный инфокрад, который уже более двух лет широко распространен в Италии. Компания AgentTesla известна тем, что часто меняет загрузчики, и в данном случае использовала передовые методы шифрования для прямой загрузки полезной информации в память, что повышает ее возможности защиты от обнаружения и анализа.

Способность AgentTesla изменять свои механизмы загрузки демонстрирует адаптивность и упорство хакеров в хакерской среде. Этот инцидент подчеркивает важность постоянного мониторинга и анализа новых тактик вредоносных программ для защиты от возникающих угроз. Организациям следует сохранять бдительность и проактивность в усилении своих мер кибербезопасности, чтобы снизить риски, связанные с изощренными вредоносными кампаниями, подобными описанной в тексте.

#ParsedReport #CompletenessLow
02-12-2024

Patchwork (White Elephant) APT organization Protego remote control Trojan attack scenario reappeared

https://www.ctfiot.com/217959.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Protego
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1105, T1059.003, T1041, T1071.001

IOCs:
File: 5
Coin: 1
IP: 1

Algorithms:
base64, zip

Languages:
python, php, golang

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье представлен подробный анализ троянца Protego remote control с акцентом на его коммуникационный процесс, функциональные возможности и методы шифрования. В статье подчеркивается, что троянец поддерживает удаленную загрузку и выполнение шеллкода, расшифровку коммуникационных данных и анализ коммуникационной модели. Анализ охватывает использование специальных наборов шифров для расшифровки сообщений по протоколу TLS и разбивает команды удаленного управления на различные типы, что проливает свет на функциональность и использование троянца.
-----

В статье подробно рассматривается троян Protego remote control, с акцентом на различные аспекты его коммуникационного процесса и функциональных возможностей. В предыдущей статье автор впервые представил функции троянца Protego remote control и проанализировал его пользовательский алгоритм шифрования и дешифрования. В этой статье автор подробно рассматривает технологии, используемые трояном в коммуникациях, уделяя особое внимание воспроизведению сценария атаки, расшифровке коммуникационных данных и анализу коммуникационной модели.

Троянец Protego remote control поддерживает не только обычные команды удаленного управления, но и удаленную загрузку и выполнение шелл-кода. При получении команды "inmem" троянец загружает и выполняет шелл-код извне. Автор успешно протестировал эту функциональность, воспроизведя удаленную загрузку и выполнение шеллкода в тестовой среде, используя полезную нагрузку шеллкода, которая возвращает "cmd". В статье подробно описан процесс генерации полезной нагрузки шеллкода с помощью команды msfvenom, а также освещена практическая реализация этой функции.

Учитывая, что троян для удаленного управления написан на .NET, в статье упоминается метод из предыдущей статьи для указания набора шифров, который будет использоваться в процессе обмена данными по протоколу TLS. Используя указанный набор шифров TLS_RSA_WITH_AES_128_CBC_SHA256 и закрытый ключ, можно расшифровать сообщения троянца с удаленным управлением. Процесс расшифровки включает в себя расшифровку первого уровня коммуникационных данных TLS, чтобы выявить фактические коммуникационные данные. Однако из-за пользовательского алгоритма шифрования и дешифрования трояна на Golang был написан сценарий дешифрования для расшифровки второго уровня пользовательских зашифрованных данных, как описано в статье.

Коммуникационная модель троянца Protego remote control разделена на различные сценарии на основе имен ключевых значений в полезной нагрузке коммуникационного запроса. Эти сценарии включают в себя работу с троянским конем в режиме онлайн, загрузку информации о хосте, загрузку информации о приложении для хоста, извлечение команд удаленного управления из пакета heartbeat, реакцию на передачу команд удаленного управления и специальные команды удаленного управления, такие как ping, pwd, whoami и другие. Кроме того, в статье команды удаленного управления трояном подразделяются на три основных типа: результаты прямого выполнения команд, ответы, содержащие фиксированные строки, и команды, связанные с C&C URL-адресами, сторонними URL-адресами и загрузкой файлов.

Анализ показывает, что система циклически инициирует повторные запросы для получения команд дистанционного управления на основе информации о конфигурации. Ответы на команды дистанционного управления затем возвращаются в C&C. Изучая коммуникационную модель и типы команд троянца Protego remote control, можно различать различные типы команд на основе их характеристик и ответов, что позволяет получить представление о функциональности и использовании троянца в реальных сценариях.

#ParsedReport #CompletenessMedium
02-12-2024

SmokeLoader Attack Targets Companies in Taiwan

https://www.fortinet.com/blog/threat-research/sophisticated-attack-targets-taiwan-with-smokeloader

Report completeness: Medium

Threats:
Smokeloader
Ande_loader

Industry:
Healthcare

Geo:
Taiwan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1059.005, T1059.001, T1140, T1203, T1102, T1036.004, T1055.012, T1185

IOCs:
File: 25
Registry: 1
Path: 2
IP: 4
Hash: 25

Soft:
Firefox, Chrome, Opera, Chromium, Amigo, QQBrowser, Outlook, WinSCP, Microsoft Office, Chrome, Opera, have more...

Algorithms:
base64

Functions:
InternetExplorer

Win API:
ResumeThread, CreateRemoteThread, VirtualQuery, HttpSendRequestA HttpSendRequestW InternetWriteFile, GetProcAddress, WSASend, TranslateMessage, GetClipboardData

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, обнаруженной на Тайване в сентябре 2024 года и нацеленной на различные сектора с использованием вредоносного ПО SmokeLoader, известного своими методами уклонения и модульной конструкцией. Злоумышленники использовали уязвимости в Microsoft Office для доставки вредоносных программ, проведения фишинговых кампаний и сбора конфиденциальных данных с помощью различных плагинов. Этот инцидент подчеркивает важность бдительности аналитиков и необходимость того, чтобы организации внедряли средства защиты от появляющихся хакеров.
-----

В сентябре 2024 года FortiGuard Labs обнаружила на Тайване атаку, направленную на различные сектора, такие как производство, здравоохранение и информационные технологии, с использованием вредоносного ПО SmokeLoader, известного своими методами уклонения и модульной конструкцией. Эта вредоносная программа обычно действует как загрузчик другого вредоносного программного обеспечения, но в данном случае она непосредственно провела атаку, загрузив плагины со своего сервера управления (C2).

В ходе атаки была использована уязвимость CVE-2017-0199 в Microsoft Office, которая использует объект link, встроенный в OLE2. Когда жертва взаимодействует с созданным файлом, вредоносный документ загружается и выполняется. Фишинговое вложение электронной почты, использованное в этом инциденте, скрывает объект, содержащий вредоносную ссылку, внутри листа.

Кроме того, злоумышленники воспользовались уязвимостью CVE-2017-11882, позволяющей удаленно выполнять код (RCE) в редакторе уравнений Microsoft Office. Вредоносный шелл-код расшифровывает зашифрованные данные и вызовы API, извлекая файл VBS для следующего этапа, используя функцию URLDownloadToFile.

В ходе атаки используются файлы VBS, перегруженные ненужным кодом, чтобы скрыть вредоносные намерения. При деобфускации обнаруживается, что код PowerShell загружает стеганографическое изображение, содержащее данные, закодированные в base64, для инжектора. Инжектор с аргументами, относящимися к загрузке SmokeLoader, сохранению и вводу, декодируется и вводится в RegAsm.exe.

Работа SmokeLoader включает в себя загрузку плагинов со своего сервера C2 с такими функциями, как анализ данных для адресов электронной почты и внедрение кода в браузеры для сбора конфиденциальных данных и отправки их на сервер C2. Различные плагины нацелены на определенные процессы, такие как очистка файлов cookie и внедрение клавиатурных шпионов в браузеры и explorer.exe.

Модульный характер SmokeLoader облегчает проведение разнообразных атак с помощью его плагинов, подчеркивая необходимость того, чтобы аналитики сохраняли бдительность, несмотря на установленные возможности вредоносного ПО. FortiGuard Labs обязуется тщательно отслеживать эти кампании и внедрять необходимые средства защиты для защиты организаций от подобных угроз.

#ParsedReport #CompletenessHigh
02-12-2024

Unmasking Phishing: Strategies for identifying 0ktapus domains and beyond. TL;DR

https://www.wiz.io/blog/unmasking-phishing-strategies-for-identifying-0ktapus-domains

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)

Threats:
Mfa_bombing_technique
Sim_swapping_technique
Eightbait_tool
Typosquatting_technique

Industry:
Financial

Geo:
New york, Newyork

ChatGPT TTPs:
do not use without manual check
T1566, T1583

IOCs:
Email: 2
Domain: 185
Url: 4
File: 7
Hash: 37
IP: 16

Soft:
Twitter, servicenow, Android, Roblox, SendGrid

Wallets:
coinbase

Crypto:
ripple

Algorithms:
sha256, base64

Languages:
javascript, php

Platforms:
apple

Links:
have more...
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_dom\_templates.md
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_phishing.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 4