#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространенной угрозе фишинга электронной почты, особенно со стороны хакеров, таких как группа Kimsuky, нацеленных на частных лиц и организации по всему миру. В нем подчеркивается использование тактики фишинга URL-адресов, важность мер по управлению безопасностью, таких как средства обнаружения конечных точек и реагирования на них, а также необходимость сбора данных о компрометации для усиления защиты от фишинговых атак. В тексте также рассматриваются конкретные примеры фишинговых атак группы Kimsuky, подчеркивается их обманная тактика и постоянный риск, связанный с этими атаками, даже если они не содержат вредоносного ПО.
-----

Фишинг электронной почты представляет собой серьезную угрозу во всем мире, поскольку хакеры используют различные тактические приемы.

Распространенная тактика фишинга URL-адресов затрудняет их обнаружение, поскольку в электронных письмах не содержится вредоносного ПО.

Фишинговые электронные письма, несмотря на то, что они считаются менее опасными, могут привести к утечке данных и захвату учетной записи.

Группа Кимсуки нацелена на исследователей и деятелей из Северной Кореи, используя новую базу для атак по электронной почте, перемещаясь с Японии на Россию.

Управление безопасностью имеет решающее значение в борьбе с фишинговыми атаками, при этом особое внимание уделяется использованию активных мер безопасности, таких как продукты EDR.

Для усиления защиты от атак рекомендуется собирать данные IoC, связанные со сценариями фишинга.

Группа Ким Су Ки использует различных поставщиков услуг электронной почты для маскировки своих мошеннических действий.

Фишинговые атаки включают в себя выдачу себя за законные темы (например, Naver MYBOX) и рассылку ложных предупреждений, чтобы обманом заставить пользователей разгласить конфиденциальную информацию.

Злоумышленники используют поддельные адреса отправителей и вредоносные программы для отправки электронной почты, чтобы скрыть свое происхождение и повысить доверие к своим фишинговым письмам.

Тщательный анализ адресов электронной почты отправителей, особенно в письмах, связанных с финансовыми или официальными документами, имеет жизненно важное значение для выявления попыток фишинга.

Администраторы Genian EDR играют важную роль в обнаружении вредоносных IP-адресов и управлении доступом к ним для предотвращения взломов и несанкционированного доступа к сети.

#ParsedReport #CompletenessMedium
02-12-2024

Be wary of phishing attacks organized by APT-C-01 (Poison Ivy). Attack activity analysis

https://mp.weixin.qq.com/s/6wVfE9SE3wVuazxVppe3tA

Report completeness: Medium

Actors/Campaigns:
Poison_ivy

Threats:
Watering_hole_technique
Spear-phishing_technique
Sliver_c2_tool
Process_injection_technique
Double_kill_vuln
Double_star_vuln

Industry:
Education, Government

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1059, T1027.004

IOCs:
Hash: 5
File: 1
IP: 3
Domain: 2

Soft:
Linux, MACOS

Algorithms:
aes, md5

Win API:
decompress

Languages:
golang

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-C-01, также известная как Poison Ivy, является группой APT, специализирующейся на кибератаках, нацеленных на такие секторы, как национальная оборона, правительство, технологии и образование. Они используют сложные методы фишинга, включая скрытый фишинг и скрытый фишинг-шпионаж, для доставки вредоносных программ, таких как троян удаленного доступа Sliver RAT. Мастерство группы в создании вводящих в заблуждение фишинговых страниц и использовании передовых технологий создает серьезные проблемы для правозащитников, подчеркивая важность упреждающих мер безопасности и сотрудничества между специалистами в области кибербезопасности для снижения рисков и защиты критически важных активов.
-----

APT-C-01, известная как Poison Ivy, является группой APT, действующей с 2007 года.

Они нацелены на такие секторы, как национальная оборона, правительство, технологии и образование, используя изощренные методы фишинга.

В последнее время Poison Ivy активизировали свою деятельность, сосредоточившись на фишинге с использованием поддельных веб-сайтов для доставки троянской программы удаленного доступа Sliver RAT.

Они используют обманчивые загрузчики, замаскированные под значки PDF, для получения и выполнения полезной нагрузки Sliver RAT, которая обладает широкими возможностями.

Использование группой методов запутывания и обмана при фишинге создает проблемы для правозащитников.

Организациям и частным лицам рекомендуется быть осторожными с неизвестными ссылками, чтобы не стать жертвами кибератак.

360 Advanced Threat Research Institute активно занимается борьбой с продвинутыми хакерами и имеет опыт раскрытия громких атак APT-групп.

Бдительность и сотрудничество специалистов по кибербезопасности имеют решающее значение для защиты от появляющихся хакеров.

#ParsedReport #CompletenessLow
02-12-2024

CERT-AGIDComputer Emergency Response Team AGID. AgentTesla Campaign Returns to Action After Failed Attack: Updated Loader and New Encryption Techniques

https://cert-agid.gov.it/news/campagna-agenttesla-ritorna-in-azione-dopo-un-attacco-fallito-aggiornato-loader-e-nuove-tecniche-di-cifratura/

Report completeness: Low

Threats:
Agent_tesla

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1027, T1055

IOCs:
Hash: 2

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с кибербезопасностью, связанный с некорректной операцией по распространению вредоносного ПО, обнаруженной CERT-AGID. Злоумышленники допустили ошибки при внедрении механизмов активации вредоносного ПО, в результате чего не удалось скомпрометировать устройства жертвы. После первоначальных неудачных попыток хакеры адаптировали свою стратегию и начали новую атаку, используя AgentTesla infostealer с усовершенствованными методами шифрования, чтобы избежать обнаружения. Этот инцидент подчеркивает необходимость постоянного мониторинга и анализа тактики новых вредоносных программ для усиления мер кибербезопасности против возникающих угроз.
-----

В тексте описывается недавний инцидент с кибербезопасностью, связанный с ошибочной операцией по распространению вредоносного ПО, обнаруженной CERT-AGID. Организация обнаружила электронные письма, содержащие вредоносное ПО с механизмами активации, которые не были реализованы должным образом, что привело к невозможности взлома устройств жертвы. Этот сбой был связан с ошибками, допущенными злоумышленниками, либо из-за отвлечения внимания, либо из-за ошибок в интеграции компонентов инструментов "Вредоносное ПО как услуга" (MaaS), которые они использовали.

На начальном этапе инцидента CERT-AGID выявил вредоносную рассылку по электронной почте, которая широко распространялась с вложением, которое не могло активировать цепочку компрометации. Сбой произошел из-за отсутствия важного элемента - конкретной строки "FjDyD6U", необходимой для извлечения правильных байтов для создания нового исполняемого файла. Несмотря на то, что онлайн-песочницы распознали вредоносную программу как вредоносное ПО, она не демонстрировала никакого сетевого трафика, а ее название не могло быть определено существующими песочницами.

После этой первоначальной неудачной попытки хакеры, стоявшие за кампанией, в минувшие выходные скорректировали свою стратегию и начали новую атаку с использованием функционального варианта вредоносного ПО. Новым вредоносным ПО, выявленным в ходе этой второй волны, был AgentTesla, хорошо известный инфокрад, который уже более двух лет широко распространен в Италии. Компания AgentTesla известна тем, что часто меняет загрузчики, и в данном случае использовала передовые методы шифрования для прямой загрузки полезной информации в память, что повышает ее возможности защиты от обнаружения и анализа.

Способность AgentTesla изменять свои механизмы загрузки демонстрирует адаптивность и упорство хакеров в хакерской среде. Этот инцидент подчеркивает важность постоянного мониторинга и анализа новых тактик вредоносных программ для защиты от возникающих угроз. Организациям следует сохранять бдительность и проактивность в усилении своих мер кибербезопасности, чтобы снизить риски, связанные с изощренными вредоносными кампаниями, подобными описанной в тексте.

#ParsedReport #CompletenessLow
02-12-2024

Patchwork (White Elephant) APT organization Protego remote control Trojan attack scenario reappeared

https://www.ctfiot.com/217959.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Protego
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1105, T1059.003, T1041, T1071.001

IOCs:
File: 5
Coin: 1
IP: 1

Algorithms:
base64, zip

Languages:
python, php, golang

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье представлен подробный анализ троянца Protego remote control с акцентом на его коммуникационный процесс, функциональные возможности и методы шифрования. В статье подчеркивается, что троянец поддерживает удаленную загрузку и выполнение шеллкода, расшифровку коммуникационных данных и анализ коммуникационной модели. Анализ охватывает использование специальных наборов шифров для расшифровки сообщений по протоколу TLS и разбивает команды удаленного управления на различные типы, что проливает свет на функциональность и использование троянца.
-----

В статье подробно рассматривается троян Protego remote control, с акцентом на различные аспекты его коммуникационного процесса и функциональных возможностей. В предыдущей статье автор впервые представил функции троянца Protego remote control и проанализировал его пользовательский алгоритм шифрования и дешифрования. В этой статье автор подробно рассматривает технологии, используемые трояном в коммуникациях, уделяя особое внимание воспроизведению сценария атаки, расшифровке коммуникационных данных и анализу коммуникационной модели.

Троянец Protego remote control поддерживает не только обычные команды удаленного управления, но и удаленную загрузку и выполнение шелл-кода. При получении команды "inmem" троянец загружает и выполняет шелл-код извне. Автор успешно протестировал эту функциональность, воспроизведя удаленную загрузку и выполнение шеллкода в тестовой среде, используя полезную нагрузку шеллкода, которая возвращает "cmd". В статье подробно описан процесс генерации полезной нагрузки шеллкода с помощью команды msfvenom, а также освещена практическая реализация этой функции.

Учитывая, что троян для удаленного управления написан на .NET, в статье упоминается метод из предыдущей статьи для указания набора шифров, который будет использоваться в процессе обмена данными по протоколу TLS. Используя указанный набор шифров TLS_RSA_WITH_AES_128_CBC_SHA256 и закрытый ключ, можно расшифровать сообщения троянца с удаленным управлением. Процесс расшифровки включает в себя расшифровку первого уровня коммуникационных данных TLS, чтобы выявить фактические коммуникационные данные. Однако из-за пользовательского алгоритма шифрования и дешифрования трояна на Golang был написан сценарий дешифрования для расшифровки второго уровня пользовательских зашифрованных данных, как описано в статье.

Коммуникационная модель троянца Protego remote control разделена на различные сценарии на основе имен ключевых значений в полезной нагрузке коммуникационного запроса. Эти сценарии включают в себя работу с троянским конем в режиме онлайн, загрузку информации о хосте, загрузку информации о приложении для хоста, извлечение команд удаленного управления из пакета heartbeat, реакцию на передачу команд удаленного управления и специальные команды удаленного управления, такие как ping, pwd, whoami и другие. Кроме того, в статье команды удаленного управления трояном подразделяются на три основных типа: результаты прямого выполнения команд, ответы, содержащие фиксированные строки, и команды, связанные с C&C URL-адресами, сторонними URL-адресами и загрузкой файлов.

Анализ показывает, что система циклически инициирует повторные запросы для получения команд дистанционного управления на основе информации о конфигурации. Ответы на команды дистанционного управления затем возвращаются в C&C. Изучая коммуникационную модель и типы команд троянца Protego remote control, можно различать различные типы команд на основе их характеристик и ответов, что позволяет получить представление о функциональности и использовании троянца в реальных сценариях.

#ParsedReport #CompletenessMedium
02-12-2024

SmokeLoader Attack Targets Companies in Taiwan

https://www.fortinet.com/blog/threat-research/sophisticated-attack-targets-taiwan-with-smokeloader

Report completeness: Medium

Threats:
Smokeloader
Ande_loader

Industry:
Healthcare

Geo:
Taiwan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1059.005, T1059.001, T1140, T1203, T1102, T1036.004, T1055.012, T1185

IOCs:
File: 25
Registry: 1
Path: 2
IP: 4
Hash: 25

Soft:
Firefox, Chrome, Opera, Chromium, Amigo, QQBrowser, Outlook, WinSCP, Microsoft Office, Chrome, Opera, have more...

Algorithms:
base64

Functions:
InternetExplorer

Win API:
ResumeThread, CreateRemoteThread, VirtualQuery, HttpSendRequestA HttpSendRequestW InternetWriteFile, GetProcAddress, WSASend, TranslateMessage, GetClipboardData

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, обнаруженной на Тайване в сентябре 2024 года и нацеленной на различные сектора с использованием вредоносного ПО SmokeLoader, известного своими методами уклонения и модульной конструкцией. Злоумышленники использовали уязвимости в Microsoft Office для доставки вредоносных программ, проведения фишинговых кампаний и сбора конфиденциальных данных с помощью различных плагинов. Этот инцидент подчеркивает важность бдительности аналитиков и необходимость того, чтобы организации внедряли средства защиты от появляющихся хакеров.
-----

В сентябре 2024 года FortiGuard Labs обнаружила на Тайване атаку, направленную на различные сектора, такие как производство, здравоохранение и информационные технологии, с использованием вредоносного ПО SmokeLoader, известного своими методами уклонения и модульной конструкцией. Эта вредоносная программа обычно действует как загрузчик другого вредоносного программного обеспечения, но в данном случае она непосредственно провела атаку, загрузив плагины со своего сервера управления (C2).

В ходе атаки была использована уязвимость CVE-2017-0199 в Microsoft Office, которая использует объект link, встроенный в OLE2. Когда жертва взаимодействует с созданным файлом, вредоносный документ загружается и выполняется. Фишинговое вложение электронной почты, использованное в этом инциденте, скрывает объект, содержащий вредоносную ссылку, внутри листа.

Кроме того, злоумышленники воспользовались уязвимостью CVE-2017-11882, позволяющей удаленно выполнять код (RCE) в редакторе уравнений Microsoft Office. Вредоносный шелл-код расшифровывает зашифрованные данные и вызовы API, извлекая файл VBS для следующего этапа, используя функцию URLDownloadToFile.

В ходе атаки используются файлы VBS, перегруженные ненужным кодом, чтобы скрыть вредоносные намерения. При деобфускации обнаруживается, что код PowerShell загружает стеганографическое изображение, содержащее данные, закодированные в base64, для инжектора. Инжектор с аргументами, относящимися к загрузке SmokeLoader, сохранению и вводу, декодируется и вводится в RegAsm.exe.

Работа SmokeLoader включает в себя загрузку плагинов со своего сервера C2 с такими функциями, как анализ данных для адресов электронной почты и внедрение кода в браузеры для сбора конфиденциальных данных и отправки их на сервер C2. Различные плагины нацелены на определенные процессы, такие как очистка файлов cookie и внедрение клавиатурных шпионов в браузеры и explorer.exe.

Модульный характер SmokeLoader облегчает проведение разнообразных атак с помощью его плагинов, подчеркивая необходимость того, чтобы аналитики сохраняли бдительность, несмотря на установленные возможности вредоносного ПО. FortiGuard Labs обязуется тщательно отслеживать эти кампании и внедрять необходимые средства защиты для защиты организаций от подобных угроз.

#ParsedReport #CompletenessHigh
02-12-2024

Unmasking Phishing: Strategies for identifying 0ktapus domains and beyond. TL;DR

https://www.wiz.io/blog/unmasking-phishing-strategies-for-identifying-0ktapus-domains

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)

Threats:
Mfa_bombing_technique
Sim_swapping_technique
Eightbait_tool
Typosquatting_technique

Industry:
Financial

Geo:
New york, Newyork

ChatGPT TTPs:
do not use without manual check
T1566, T1583

IOCs:
Email: 2
Domain: 185
Url: 4
File: 7
Hash: 37
IP: 16

Soft:
Twitter, servicenow, Android, Roblox, SendGrid

Wallets:
coinbase

Crypto:
ripple

Algorithms:
sha256, base64

Languages:
javascript, php

Platforms:
apple

Links:
have more...
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_dom\_templates.md
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_phishing.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинг, особенно нацеленный на облачные идентификаторы, является распространенной тактикой, используемой хакерами, такими как финансово мотивированный 0ktapus. В сообщении в блоге подробно описываются различные методы расследования фишинговых кампаний, включая анализ фишинговых целевых страниц, методы социальной инженерии и характеристики фишинговых доменов. Подчеркивается важность постоянной бдительности в области кибербезопасности, такой как мониторинг новых зарегистрированных доменов и применение многофакторной аутентификации, для эффективного обнаружения и устранения фишинговых угроз.
-----

Фишинг - распространенная тактика, используемая хакерами для незаконного получения идентификационных данных, при этом облачные идентификаторы являются основной целью. В блоге подробно описаны различные методы расследования фишинговых кампаний путем переключения между фишинговыми целевыми страницами с использованием хакера 0ktapus в качестве примера. 0ktapus, финансово мотивированный хакер, действующий с 2022 года, нацелился на облачные среды, используя методы социальной инженерии, такие как SMS-фишинг, голосовой фишинг и фишинговые целевые страницы.

Тактика, используемая 0ktapus, заключается в создании фишинговых целевых страниц, имитирующих законные страницы входа в целевые организации, для сбора учетных данных и получения первоначального доступа к сетям. Эти страницы часто размещаются на доменах с недолговечным сроком службы, и исторические данные указывают на то, что некоторые домены были устаревшими до того, как их стали использовать для фишинга с целью повышения репутации. 0ktapus также демонстрирует схему реактивации старой инфраструктуры и нацеливания на ранее скомпрометированных жертв в своих кампаниях.

Анализируя различные аспекты фишинговых кампаний, такие как шаблоны объектной модели документов (DOM), используемые 0ktapus, специфические характеристики фишинговых доменов, профилирование сети и анализ регистрации доменов, аналитики могут эффективно выявлять фишинговые домены и выявлять ранее неизвестную инфраструктуру. Снятие отпечатков пальцев с приложений, анализ тегов HTML-кода и изучение уникальных характеристик различных фишинговых наборов - вот некоторые из методов, рассмотренных в этой статье.

Отмечается, что 0ktapus адаптирует каждую фишинговую страницу к конкретной целевой организации, используя изображения или CSS-скрипты, полученные непосредственно с законных веб-сайтов жертв, что может помочь в выявлении новых неизвестных фишинговых доменов. В статье подчеркивается важность постоянной бдительности в области кибербезопасности, особенно для организаций, которые ранее подвергались взломам, для эффективного обнаружения фишинговых угроз и устранения их последствий.

Другие методы, упомянутые в сообщении в блоге, включают мониторинг новых зарегистрированных доменов у регистраторов, которые обычно используются хакерами, применение многофакторной аутентификации (MFA) и единого входа (SSO) для всех служб, а также использование таких инструментов, как UrlScan, для анализа комбинаций файлов и каталогов для выявления дополнительных фишинговых доменов. хакеры, подобные 0ktapus, часто используют определенные домены верхнего уровня, используют методы перенаправления и могут повторно активировать старую инфраструктуру для новых кампаний.

#ParsedReport #CompletenessHigh
02-12-2024

The Curious Case of an Egg-Cellent Resume

https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume

Report completeness: High

Actors/Campaigns:
Magecart (motivation: financially_motivated)
Cobalt
Evilnum

Threats:
Cobalt_strike
More_eggs
Lolbin_technique
Pyramid_c2
Cloudflared_tool
Metasploit_tool
Sliver_c2_tool
Nltest_tool
Shadow_copies_delete_technique
Vssadmin_tool
Sharpshares_tool
Seatbelt_tool
Fog_ransomware
Adfind_tool
Veeamhax
Netscan_tool

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 9
Technics: 26

IOCs:
File: 38
Domain: 14
Command: 12
Path: 34
Url: 1
IP: 4
Hash: 31

Soft:
SoftPerfect Network Scanner, Linux, Internet Explorer, MSSQL, Windows Error Reporting, Windows Defender, Twitter, WhatsApp

Algorithms:
md5, sha1, sha256, 7zip, base64, zip

Win API:
DllInstall

Languages:
python, dotnet, jscript, powershell

Platforms:
apple, intel

YARA: Found
SIGMA: Found

Links:
https://github.com/djhohnstein/SharpShares
https://github.com/GhostPack/Seatbelt
have more...
https://github.com/naksyn/Pyramid

#ParsedReport #GeneratedSchema
Generated with GPT-4