#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-C-01, также известная как Poison Ivy, является группой APT, специализирующейся на кибератаках, нацеленных на такие секторы, как национальная оборона, правительство, технологии и образование. Они используют сложные методы фишинга, включая скрытый фишинг и скрытый фишинг-шпионаж, для доставки вредоносных программ, таких как троян удаленного доступа Sliver RAT. Мастерство группы в создании вводящих в заблуждение фишинговых страниц и использовании передовых технологий создает серьезные проблемы для правозащитников, подчеркивая важность упреждающих мер безопасности и сотрудничества между специалистами в области кибербезопасности для снижения рисков и защиты критически важных активов.
-----

APT-C-01, известная как Poison Ivy, является группой APT, действующей с 2007 года.

Они нацелены на такие секторы, как национальная оборона, правительство, технологии и образование, используя изощренные методы фишинга.

В последнее время Poison Ivy активизировали свою деятельность, сосредоточившись на фишинге с использованием поддельных веб-сайтов для доставки троянской программы удаленного доступа Sliver RAT.

Они используют обманчивые загрузчики, замаскированные под значки PDF, для получения и выполнения полезной нагрузки Sliver RAT, которая обладает широкими возможностями.

Использование группой методов запутывания и обмана при фишинге создает проблемы для правозащитников.

Организациям и частным лицам рекомендуется быть осторожными с неизвестными ссылками, чтобы не стать жертвами кибератак.

360 Advanced Threat Research Institute активно занимается борьбой с продвинутыми хакерами и имеет опыт раскрытия громких атак APT-групп.

Бдительность и сотрудничество специалистов по кибербезопасности имеют решающее значение для защиты от появляющихся хакеров.

#ParsedReport #CompletenessLow
02-12-2024

CERT-AGIDComputer Emergency Response Team AGID. AgentTesla Campaign Returns to Action After Failed Attack: Updated Loader and New Encryption Techniques

https://cert-agid.gov.it/news/campagna-agenttesla-ritorna-in-azione-dopo-un-attacco-fallito-aggiornato-loader-e-nuove-tecniche-di-cifratura/

Report completeness: Low

Threats:
Agent_tesla

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1027, T1055

IOCs:
Hash: 2

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с кибербезопасностью, связанный с некорректной операцией по распространению вредоносного ПО, обнаруженной CERT-AGID. Злоумышленники допустили ошибки при внедрении механизмов активации вредоносного ПО, в результате чего не удалось скомпрометировать устройства жертвы. После первоначальных неудачных попыток хакеры адаптировали свою стратегию и начали новую атаку, используя AgentTesla infostealer с усовершенствованными методами шифрования, чтобы избежать обнаружения. Этот инцидент подчеркивает необходимость постоянного мониторинга и анализа тактики новых вредоносных программ для усиления мер кибербезопасности против возникающих угроз.
-----

В тексте описывается недавний инцидент с кибербезопасностью, связанный с ошибочной операцией по распространению вредоносного ПО, обнаруженной CERT-AGID. Организация обнаружила электронные письма, содержащие вредоносное ПО с механизмами активации, которые не были реализованы должным образом, что привело к невозможности взлома устройств жертвы. Этот сбой был связан с ошибками, допущенными злоумышленниками, либо из-за отвлечения внимания, либо из-за ошибок в интеграции компонентов инструментов "Вредоносное ПО как услуга" (MaaS), которые они использовали.

На начальном этапе инцидента CERT-AGID выявил вредоносную рассылку по электронной почте, которая широко распространялась с вложением, которое не могло активировать цепочку компрометации. Сбой произошел из-за отсутствия важного элемента - конкретной строки "FjDyD6U", необходимой для извлечения правильных байтов для создания нового исполняемого файла. Несмотря на то, что онлайн-песочницы распознали вредоносную программу как вредоносное ПО, она не демонстрировала никакого сетевого трафика, а ее название не могло быть определено существующими песочницами.

После этой первоначальной неудачной попытки хакеры, стоявшие за кампанией, в минувшие выходные скорректировали свою стратегию и начали новую атаку с использованием функционального варианта вредоносного ПО. Новым вредоносным ПО, выявленным в ходе этой второй волны, был AgentTesla, хорошо известный инфокрад, который уже более двух лет широко распространен в Италии. Компания AgentTesla известна тем, что часто меняет загрузчики, и в данном случае использовала передовые методы шифрования для прямой загрузки полезной информации в память, что повышает ее возможности защиты от обнаружения и анализа.

Способность AgentTesla изменять свои механизмы загрузки демонстрирует адаптивность и упорство хакеров в хакерской среде. Этот инцидент подчеркивает важность постоянного мониторинга и анализа новых тактик вредоносных программ для защиты от возникающих угроз. Организациям следует сохранять бдительность и проактивность в усилении своих мер кибербезопасности, чтобы снизить риски, связанные с изощренными вредоносными кампаниями, подобными описанной в тексте.

#ParsedReport #CompletenessLow
02-12-2024

Patchwork (White Elephant) APT organization Protego remote control Trojan attack scenario reappeared

https://www.ctfiot.com/217959.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Protego
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1105, T1059.003, T1041, T1071.001

IOCs:
File: 5
Coin: 1
IP: 1

Algorithms:
base64, zip

Languages:
python, php, golang

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье представлен подробный анализ троянца Protego remote control с акцентом на его коммуникационный процесс, функциональные возможности и методы шифрования. В статье подчеркивается, что троянец поддерживает удаленную загрузку и выполнение шеллкода, расшифровку коммуникационных данных и анализ коммуникационной модели. Анализ охватывает использование специальных наборов шифров для расшифровки сообщений по протоколу TLS и разбивает команды удаленного управления на различные типы, что проливает свет на функциональность и использование троянца.
-----

В статье подробно рассматривается троян Protego remote control, с акцентом на различные аспекты его коммуникационного процесса и функциональных возможностей. В предыдущей статье автор впервые представил функции троянца Protego remote control и проанализировал его пользовательский алгоритм шифрования и дешифрования. В этой статье автор подробно рассматривает технологии, используемые трояном в коммуникациях, уделяя особое внимание воспроизведению сценария атаки, расшифровке коммуникационных данных и анализу коммуникационной модели.

Троянец Protego remote control поддерживает не только обычные команды удаленного управления, но и удаленную загрузку и выполнение шелл-кода. При получении команды "inmem" троянец загружает и выполняет шелл-код извне. Автор успешно протестировал эту функциональность, воспроизведя удаленную загрузку и выполнение шеллкода в тестовой среде, используя полезную нагрузку шеллкода, которая возвращает "cmd". В статье подробно описан процесс генерации полезной нагрузки шеллкода с помощью команды msfvenom, а также освещена практическая реализация этой функции.

Учитывая, что троян для удаленного управления написан на .NET, в статье упоминается метод из предыдущей статьи для указания набора шифров, который будет использоваться в процессе обмена данными по протоколу TLS. Используя указанный набор шифров TLS_RSA_WITH_AES_128_CBC_SHA256 и закрытый ключ, можно расшифровать сообщения троянца с удаленным управлением. Процесс расшифровки включает в себя расшифровку первого уровня коммуникационных данных TLS, чтобы выявить фактические коммуникационные данные. Однако из-за пользовательского алгоритма шифрования и дешифрования трояна на Golang был написан сценарий дешифрования для расшифровки второго уровня пользовательских зашифрованных данных, как описано в статье.

Коммуникационная модель троянца Protego remote control разделена на различные сценарии на основе имен ключевых значений в полезной нагрузке коммуникационного запроса. Эти сценарии включают в себя работу с троянским конем в режиме онлайн, загрузку информации о хосте, загрузку информации о приложении для хоста, извлечение команд удаленного управления из пакета heartbeat, реакцию на передачу команд удаленного управления и специальные команды удаленного управления, такие как ping, pwd, whoami и другие. Кроме того, в статье команды удаленного управления трояном подразделяются на три основных типа: результаты прямого выполнения команд, ответы, содержащие фиксированные строки, и команды, связанные с C&C URL-адресами, сторонними URL-адресами и загрузкой файлов.

Анализ показывает, что система циклически инициирует повторные запросы для получения команд дистанционного управления на основе информации о конфигурации. Ответы на команды дистанционного управления затем возвращаются в C&C. Изучая коммуникационную модель и типы команд троянца Protego remote control, можно различать различные типы команд на основе их характеристик и ответов, что позволяет получить представление о функциональности и использовании троянца в реальных сценариях.

#ParsedReport #CompletenessMedium
02-12-2024

SmokeLoader Attack Targets Companies in Taiwan

https://www.fortinet.com/blog/threat-research/sophisticated-attack-targets-taiwan-with-smokeloader

Report completeness: Medium

Threats:
Smokeloader
Ande_loader

Industry:
Healthcare

Geo:
Taiwan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1059.005, T1059.001, T1140, T1203, T1102, T1036.004, T1055.012, T1185

IOCs:
File: 25
Registry: 1
Path: 2
IP: 4
Hash: 25

Soft:
Firefox, Chrome, Opera, Chromium, Amigo, QQBrowser, Outlook, WinSCP, Microsoft Office, Chrome, Opera, have more...

Algorithms:
base64

Functions:
InternetExplorer

Win API:
ResumeThread, CreateRemoteThread, VirtualQuery, HttpSendRequestA HttpSendRequestW InternetWriteFile, GetProcAddress, WSASend, TranslateMessage, GetClipboardData

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, обнаруженной на Тайване в сентябре 2024 года и нацеленной на различные сектора с использованием вредоносного ПО SmokeLoader, известного своими методами уклонения и модульной конструкцией. Злоумышленники использовали уязвимости в Microsoft Office для доставки вредоносных программ, проведения фишинговых кампаний и сбора конфиденциальных данных с помощью различных плагинов. Этот инцидент подчеркивает важность бдительности аналитиков и необходимость того, чтобы организации внедряли средства защиты от появляющихся хакеров.
-----

В сентябре 2024 года FortiGuard Labs обнаружила на Тайване атаку, направленную на различные сектора, такие как производство, здравоохранение и информационные технологии, с использованием вредоносного ПО SmokeLoader, известного своими методами уклонения и модульной конструкцией. Эта вредоносная программа обычно действует как загрузчик другого вредоносного программного обеспечения, но в данном случае она непосредственно провела атаку, загрузив плагины со своего сервера управления (C2).

В ходе атаки была использована уязвимость CVE-2017-0199 в Microsoft Office, которая использует объект link, встроенный в OLE2. Когда жертва взаимодействует с созданным файлом, вредоносный документ загружается и выполняется. Фишинговое вложение электронной почты, использованное в этом инциденте, скрывает объект, содержащий вредоносную ссылку, внутри листа.

Кроме того, злоумышленники воспользовались уязвимостью CVE-2017-11882, позволяющей удаленно выполнять код (RCE) в редакторе уравнений Microsoft Office. Вредоносный шелл-код расшифровывает зашифрованные данные и вызовы API, извлекая файл VBS для следующего этапа, используя функцию URLDownloadToFile.

В ходе атаки используются файлы VBS, перегруженные ненужным кодом, чтобы скрыть вредоносные намерения. При деобфускации обнаруживается, что код PowerShell загружает стеганографическое изображение, содержащее данные, закодированные в base64, для инжектора. Инжектор с аргументами, относящимися к загрузке SmokeLoader, сохранению и вводу, декодируется и вводится в RegAsm.exe.

Работа SmokeLoader включает в себя загрузку плагинов со своего сервера C2 с такими функциями, как анализ данных для адресов электронной почты и внедрение кода в браузеры для сбора конфиденциальных данных и отправки их на сервер C2. Различные плагины нацелены на определенные процессы, такие как очистка файлов cookie и внедрение клавиатурных шпионов в браузеры и explorer.exe.

Модульный характер SmokeLoader облегчает проведение разнообразных атак с помощью его плагинов, подчеркивая необходимость того, чтобы аналитики сохраняли бдительность, несмотря на установленные возможности вредоносного ПО. FortiGuard Labs обязуется тщательно отслеживать эти кампании и внедрять необходимые средства защиты для защиты организаций от подобных угроз.

#ParsedReport #CompletenessHigh
02-12-2024

Unmasking Phishing: Strategies for identifying 0ktapus domains and beyond. TL;DR

https://www.wiz.io/blog/unmasking-phishing-strategies-for-identifying-0ktapus-domains

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)

Threats:
Mfa_bombing_technique
Sim_swapping_technique
Eightbait_tool
Typosquatting_technique

Industry:
Financial

Geo:
New york, Newyork

ChatGPT TTPs:
do not use without manual check
T1566, T1583

IOCs:
Email: 2
Domain: 185
Url: 4
File: 7
Hash: 37
IP: 16

Soft:
Twitter, servicenow, Android, Roblox, SendGrid

Wallets:
coinbase

Crypto:
ripple

Algorithms:
sha256, base64

Languages:
javascript, php

Platforms:
apple

Links:
have more...
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_dom\_templates.md
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_phishing.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинг, особенно нацеленный на облачные идентификаторы, является распространенной тактикой, используемой хакерами, такими как финансово мотивированный 0ktapus. В сообщении в блоге подробно описываются различные методы расследования фишинговых кампаний, включая анализ фишинговых целевых страниц, методы социальной инженерии и характеристики фишинговых доменов. Подчеркивается важность постоянной бдительности в области кибербезопасности, такой как мониторинг новых зарегистрированных доменов и применение многофакторной аутентификации, для эффективного обнаружения и устранения фишинговых угроз.
-----

Фишинг - распространенная тактика, используемая хакерами для незаконного получения идентификационных данных, при этом облачные идентификаторы являются основной целью. В блоге подробно описаны различные методы расследования фишинговых кампаний путем переключения между фишинговыми целевыми страницами с использованием хакера 0ktapus в качестве примера. 0ktapus, финансово мотивированный хакер, действующий с 2022 года, нацелился на облачные среды, используя методы социальной инженерии, такие как SMS-фишинг, голосовой фишинг и фишинговые целевые страницы.

Тактика, используемая 0ktapus, заключается в создании фишинговых целевых страниц, имитирующих законные страницы входа в целевые организации, для сбора учетных данных и получения первоначального доступа к сетям. Эти страницы часто размещаются на доменах с недолговечным сроком службы, и исторические данные указывают на то, что некоторые домены были устаревшими до того, как их стали использовать для фишинга с целью повышения репутации. 0ktapus также демонстрирует схему реактивации старой инфраструктуры и нацеливания на ранее скомпрометированных жертв в своих кампаниях.

Анализируя различные аспекты фишинговых кампаний, такие как шаблоны объектной модели документов (DOM), используемые 0ktapus, специфические характеристики фишинговых доменов, профилирование сети и анализ регистрации доменов, аналитики могут эффективно выявлять фишинговые домены и выявлять ранее неизвестную инфраструктуру. Снятие отпечатков пальцев с приложений, анализ тегов HTML-кода и изучение уникальных характеристик различных фишинговых наборов - вот некоторые из методов, рассмотренных в этой статье.

Отмечается, что 0ktapus адаптирует каждую фишинговую страницу к конкретной целевой организации, используя изображения или CSS-скрипты, полученные непосредственно с законных веб-сайтов жертв, что может помочь в выявлении новых неизвестных фишинговых доменов. В статье подчеркивается важность постоянной бдительности в области кибербезопасности, особенно для организаций, которые ранее подвергались взломам, для эффективного обнаружения фишинговых угроз и устранения их последствий.

Другие методы, упомянутые в сообщении в блоге, включают мониторинг новых зарегистрированных доменов у регистраторов, которые обычно используются хакерами, применение многофакторной аутентификации (MFA) и единого входа (SSO) для всех служб, а также использование таких инструментов, как UrlScan, для анализа комбинаций файлов и каталогов для выявления дополнительных фишинговых доменов. хакеры, подобные 0ktapus, часто используют определенные домены верхнего уровня, используют методы перенаправления и могут повторно активировать старую инфраструктуру для новых кампаний.

#ParsedReport #CompletenessHigh
02-12-2024

The Curious Case of an Egg-Cellent Resume

https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume

Report completeness: High

Actors/Campaigns:
Magecart (motivation: financially_motivated)
Cobalt
Evilnum

Threats:
Cobalt_strike
More_eggs
Lolbin_technique
Pyramid_c2
Cloudflared_tool
Metasploit_tool
Sliver_c2_tool
Nltest_tool
Shadow_copies_delete_technique
Vssadmin_tool
Sharpshares_tool
Seatbelt_tool
Fog_ransomware
Adfind_tool
Veeamhax
Netscan_tool

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 9
Technics: 26

IOCs:
File: 38
Domain: 14
Command: 12
Path: 34
Url: 1
IP: 4
Hash: 31

Soft:
SoftPerfect Network Scanner, Linux, Internet Explorer, MSSQL, Windows Error Reporting, Windows Defender, Twitter, WhatsApp

Algorithms:
md5, sha1, sha256, 7zip, base64, zip

Win API:
DllInstall

Languages:
python, dotnet, jscript, powershell

Platforms:
apple, intel

YARA: Found
SIGMA: Found

Links:
https://github.com/djhohnstein/SharpShares
https://github.com/GhostPack/Seatbelt
have more...
https://github.com/naksyn/Pyramid

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный отчет о сложной кампании кибератак, проведенной хакером TA4557, связанной с деятельностью FIN6. В отчете описываются различные этапы атаки, инструменты и приемы, используемые хакерами, их тактика уклонения, стратегии нацеливания и признаки компрометации. В нем подчеркивается, что злоумышленник использует такие вредоносные инструменты, как more_eggs, Cobalt Strike и Pyramid C2, а также их способность использовать уязвимости, осуществлять боковые перемещения и предоставлять постоянный доступ к скомпрометированным серверам. Проведенный анализ подчеркивает важность постоянного мониторинга, обмена информацией об угрозах и создания правил обнаружения для усиления защиты от APT.
-----

хакер TA4557, связанный с активностью FIN6, провел сложную кампанию по вторжению, включающую многоэтапные атаки с использованием вредоносного ПО more_eggs.

Первоначальный доступ был получен с помощью приманки для возобновления работы, а для запуска вредоносного ПО использовались такие символы, как ie4uinit.exe и msxsl.exe.

Cobalt Strike и инструмент C2 на базе Python под названием Pyramid использовались для последующей эксплуатации.

CVE-2023-27532 был использован для компрометации сервера Veeam с целью горизонтального перемещения и повышения привилегий.

Cloudflared был установлен для туннелирования RDP-трафика.

Proofpoint отслеживает TA4557 с 2018 года, отмечая использование ими бэкдора more_eggs и приманок, связанных с кандидатами на работу.

Были использованы различные методы, такие как дополнительная загрузка вредоносного inf-файла, удаление вредоносной библиотеки DLL и настройка сохранения запланированных задач.

Хакер занимался разведкой сети, выполнял сценарии PowerShell, пытался туннелировать трафик через сервисы Cloudflare и извлекал учетные данные из базы данных Veeam.

Были выявлены методы MITRE ATT и CK, включая создание учетной записи, повышение привилегий, манипулирование файлами, разведку сети и туннелирование протоколов.

Для защиты от изощренных хакеров, подобных TA4557, были рекомендованы постоянный мониторинг, обмен информацией об угрозах и разработка правил обнаружения.

#ParsedReport #CompletenessMedium
02-12-2024

Analysis of the recent incident of APT-C-36 (Blind Eagle) forging judicial department documents and submitting DcRat backdoor

https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Dcrat
Ande_loader
Amsi_bypass_technique
Double_kill_vuln
Double_star_vuln

Victims:
Government departments, Large companies

Industry:
Financial, Government

Geo:
Mexico, Spanish, Turkey, Panama, Ecuador, America, Colombia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027.002, T1059.005, T1055.001, T1027

IOCs:
File: 4
Domain: 1
Hash: 9
Url: 8

Algorithms:
base64, zip

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4