#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в масштабной кибератаке, осуществленной организацией Sandworm APT на государственную сеть Украины, в результате которой произошло крупное отключение электроэнергии, затронувшее 1,4 миллиона человек. Атака, начатая во время российско-украинской кибервойны, включала в себя фишинговые рассылки по электронной почте, вредоносное ПО, использование системных уязвимостей и ручное управление системами управления питанием. Этот инцидент подчеркивает изощренность злоумышленников и важность мониторинга, обмена информацией об угрозах и механизмов проактивной защиты для защиты критически важной инфраструктуры от хакеров.
-----

Описанный инцидент связан с первым из трех крупных отключений электроэнергии в Украине, вызванных атакой APT во время российско-украинской кибервойны. Атака была осуществлена организацией Sandworm APT, целью которой была государственная электросеть Украины. Атака началась с отправки фишинговых электронных писем, содержащих вложения Excel с вредоносным макрокодом, что позволило злоумышленникам получить контроль над SCADA-узлами энергосистемы.

После успешного проникновения в систему злоумышленники удаленно управляли узлами SCADA для отключения сетевых соединений на нескольких подстанциях, что привело к отключению электроэнергии, затронувшему около 1,4 миллиона человек в некоторых районах Киева и Ивано-Франковской области. Отключение продолжалось около 6 часов и привело к значительным сбоям в работе критически важной инфраструктуры.

Организация Sandworm APT инициировала атаку в ответ на конфликт между Россией и Украиной, который усилился после аннексии Крыма Россией в 2014 году. Злоумышленники использовали серию фишинговых электронных писем, замаскированных под официальные сообщения, чтобы обманом заставить сотрудников загружать и открывать вредоносные вложения, содержащие вредоносную программу BlackEnergy3.

Злоумышленники использовали уязвимости в системах электросети, в том числе проникли в учетные записи VPN, чтобы получить доступ к человеко-машинному интерфейсу (HMI) системы управления питанием. Используя интерфейс HMI, злоумышленники вручную включили автоматические выключатели более чем на 30 подстанциях, что привело к массовым перебоям в подаче электроэнергии. Они также использовали вредоносные программы, такие как KillDisk, для удаления данных и дальнейшего нарушения работы системы.

Кроме того, злоумышленники провели телефонную атаку типа "отказ в обслуживании" (TDoS), чтобы помешать связи во время сбоя, что еще больше усложнило меры реагирования и восстановления. Атака продемонстрировала изощренность организации Sandworm APT в нанесении ударов по критически важной инфраструктуре с помощью сочетания технических уязвимостей и тактики социальной инженерии.

Подробный анализ атаки дает ценную информацию о тактике, методах и процедурах, используемых опытными хакерами при атаке на критически важную инфраструктуру. Это подчеркивает важность постоянного мониторинга, обмена информацией об угрозах и механизмов проактивной защиты для эффективного обнаружения хакеров и противодействия им.

#ParsedReport #CompletenessLow
15-01-2025

The great Google Ads heist: criminals ransack advertiser accounts via fake Google ads

https://www.malwarebytes.com/blog/cybercrime/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads

Report completeness: Low

Threats:
Bluesky_ransomware
Cloaking_technique

Industry:
Entertainment, Petroleum

Geo:
Portuguese, Brazilian, Asia, Paraguay, Asian, China, Taiwanese, Brazil, Hong kong, Chinese

ChatGPT TTPs:
do not use without manual check
T1592, T1566, T1203

IOCs:
Domain: 28
File: 1

Soft:
Gmail

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной мошеннической операции, нацеленной на частных лиц и компании, которые размещают рекламу через Google Ads, используя мошеннические объявления для вымогательства учетных данных. Эта схема описывается как серьезная, представляющая значительную угрозу для основного бизнеса Google и потенциально затрагивающая тысячи клиентов по всему миру. В операции участвуют несколько групп, действующих из разных регионов и использующих различные тактики для использования рекламы Google с целью получения финансовой выгоды и распространения вредоносного ПО. Аналитики призывают пользователей сохранять бдительность и подчеркивают важность оперативных действий в отношении скомпрометированных рекламных аккаунтов для эффективного противодействия вредоносным рекламным атакам.
-----

Сложная вредоносная программа нацелена на рекламодателей Google Ads с помощью мошеннических объявлений с целью подделки учетных данных, что представляет серьезную угрозу для основного бизнеса Google и потенциально затрагивает тысячи клиентов по всему миру.

Злоумышленники используют вредоносную рекламу, выдающую себя за Google Ads, которая исходит из взломанных аккаунтов и отображается как "Спонсорская", с глобальным охватом.

Жертвы, просматривающие эти объявления, перенаправляются на фишинговые страницы, которые тайно собирают конфиденциальную информацию, такую как учетные данные, файлы cookie и уникальные идентификаторы.

В преступной операции участвуют две основные группы: одна общается на португальском языке, вероятно, из Бразилии, и жертвы сообщают о подозрительных логинах из Бразилии, а другая, возможно, базирующаяся в Азии, использует другую тактику и фишинговые наборы.

Взломанные аккаунты Google Ads представляют ценность для киберпреступников с точки зрения финансирования вредоносных действий, таких как мошенничество и распространение вредоносных программ.

Особое внимание уделяется оперативным действиям по устранению скомпрометированных рекламных аккаунтов, сохранению бдительности, внедрению надежных мер безопасности и получению информации о новых угрозах для защиты от подобных фишинговых схем.

#ParsedReport #CompletenessMedium
16-01-2025

Emulating the Tenacious Ako Ransomware

https://www.attackiq.com/2025/01/09/emulating-ako-ransomware

Report completeness: Medium

Threats:
Ako_ransomware
Medusalocker
Process_injection_technique
Shadow_copies_delete_technique
Vssadmin_tool
Conti
Locky
Ryuk

TTPs:

IOCs:
File: 4
Registry: 1

Algorithms:
cbc, aes-256

Functions:
Windows, Native

Win API:
VirtualAlloc, VirtualProtect, GetSystemDefaultLCID, GetLocaleInfoA, GetUserDefaultLocaleName, GetAdaptersInfo, IcmpSendEcho, GetLogicalDriveStringsW, FindFirstFileW, FindNextFileW, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение нового графика атак, выпущенного AttackIQ, который имитирует поведение программы-вымогателя Ako, разновидности MedusaLocker. В тексте подчеркивается необходимость того, чтобы службы безопасности оценивали эффективность своих средств контроля безопасности в зависимости от поведения Ako, предлагается новый шаблон оценки для этой цели, описываются этапы моделирования атаки, подчеркивается важность выявления тактики вымогателей и подчеркивается важность постоянного тестирования для улучшения контроля безопасности и процессов реагирования на инциденты.
-----

Программа-вымогатель Ako - это разновидность MedusaLocker, нацеленная на целые сети для достижения максимального эффекта.

Ako, также известная как MedusaReborn, работает по модели "Программа-вымогатель как услуга".

AttackIQ опубликовал график атак, имитирующий поведение программы-вымогателя Ako для оценки контроля безопасности.

Моделирование атаки включает в себя различные этапы, включая шифрование данных, обнаружение сети и загрузку дополнительного вредоносного ПО.

Особое внимание уделяется важности выявления тактик вымогателей, таких как внедрение процессов, удаление теневых копий и шифрование файлов.

Рекомендуется проводить постоянное тестирование с использованием графика атак для улучшения контроля безопасности и процессов реагирования на инциденты.

#ParsedReport #CompletenessLow
16-01-2025

Abusing AWS Native Services: Ransomware Encrypting S3 Buckets with SSE-C

https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1486, T1562

Crypto:
bitcoin

Algorithms:
aes-256, hmac

Win API:
GetObject

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что новая кампания по борьбе с программами-вымогателями, нацеленная на пакеты Amazon S3 с использованием серверного шифрования AWS с использованием ключей, предоставленных заказчиком (SSE-C), вызывает беспокойство из-за уникального метода шифрования, который делает невозможным восстановление данных без выплаты выкупа. Хакер Codefinger использует скомпрометированные ключи AWS для шифрования данных, а жертв принуждают заплатить в течение семи дней, чтобы избежать необратимой потери данных. Организациям настоятельно рекомендуется принять срочные меры для защиты своих сред Amazon S3 от этой продвинутой программы-вымогателя.
-----

Команда Halcyon RISE выявила новую опасную кампанию по борьбе с программами-вымогателями, которая нацелена на пакеты Amazon S3, используя серверное шифрование AWS с использованием предоставленных заказчиком ключей (SSE-C). Эта атака требует выплаты выкупа за симметричные ключи AES-256, необходимые для расшифровки зашифрованных данных, и в настоящее время не существует известного метода восстановления данных без уплаты выкупа. Это представляет собой значительный прогресс в возможностях программ-вымогателей.

Хакер, стоящий за этой кампанией, получивший название Codefinger, использует скомпрометированные ключи AWS для шифрования данных в пакетах S3 с использованием SSE-C, эффективно предотвращая восстановление данных без сгенерированного ключа злоумышленника. Жертв принуждают выплатить выкуп в течение семи дней, поскольку файлы помечаются для удаления, а в уведомлениях о выкупе содержатся платежные реквизиты и предупреждения о недопустимости изменения прав доступа к учетной записи.

Хотя SSE-C доступен с 2014 года, эта кампания по борьбе с программами-вымогателями представляет собой новое использование этой функции злоумышленниками. Компания Halcyon выявила двух недавних жертв, которые пострадали в результате этой атаки, подчеркнув серьезность ситуации и необходимость принятия срочных мер организациями, использующими Amazon S3.

В каждом уязвимом каталоге содержится записка с требованием выкупа, содержащая биткоин-адрес злоумышленника и идентификатор клиента, связанный с зашифрованными данными. В записке предупреждается, что любые изменения в разрешениях учетной записи или файлах приведут к прекращению переговоров.

Эта кампания вымогателей особенно опасна из-за конструкции SSE-C, которая приводит к необратимой потере данных без ключа расшифровки. В отличие от традиционных программ-вымогателей, которые шифруют файлы локально или во время передачи, эта атака напрямую интегрируется с защищенной инфраструктурой шифрования AWS, что делает восстановление невозможным без ключа злоумышленника.

Организациям рекомендуется сохранять бдительность и обеспечивать устойчивость своей среды к новым методам вымогательства. Команда Halcyon RISE продолжит следить за ситуацией и предоставлять обновления по мере развития кампании. Halcyon.ии предлагает решения для устранения влияния программ-вымогателей на бизнес, предотвращая использование киберпреступниками систем шифрования, кражи данных и вымогательства у компаний. Они также предоставляют такие ресурсы, как сайт Halcyon Attacks Lookout и ежеквартальное справочное руководство по RaaS и вымогательству для подписчиков.

#ParsedReport #CompletenessMedium
16-01-2025

Operation 99

https://securityscorecard.com/wp-content/uploads/2025/01/Report_011325_Strike_Operation99.pdf

Report completeness: Medium

Actors/Campaigns:
Operation_99 (motivation: financially_motivated)
Lazarus
Dream_job

Threats:
Supply_chain_technique
Payload_99
Main99
Brow99
Mclip
Main5346
Anydesk_tool
Tsunami_botnet

Industry:
Software_development

Geo:
North korean, North korea

IOCs:
Email: 2
IP: 2
Path: 1
File: 19

Soft:
macOS, Linux, chrome

Algorithms:
aes-gcm, pbkdf2, xor, aes, base64

Functions:
Keys

Win API:
CryptUnprotectData

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Lazarus Group, хакерское подразделение, спонсируемое северокорейским государством, проводит продолжающуюся кибератаку под названием Operation 99, целью которой являются разработчики программного обеспечения в области Web3 и криптовалют. Злоумышленники используют обманчивые схемы подбора персонала на таких платформах, как LinkedIn, чтобы обманом заставить разработчиков клонировать вредоносные хранилища, что позволяет красть интеллектуальную собственность, криптовалютные кошельки и другие конфиденциальные данные. Кампания включает в себя сложную многоуровневую систему доставки вредоносного по с модульными компонентами, специализированной полезной нагрузкой и продвинутой инфраструктурой C2, демонстрирующую стратегическое намерение использовать ценные объекты в технологической и криптовалютной отраслях.
-----

The Lazarus Group, хакерское подразделение, спонсируемое северокорейским государством, проводит текущую кибератаку под названием Operation 99, нацеленную на разработчиков программного обеспечения в сфере Web3 и криптовалют.

Операция 99 включает в себя заманивание жертв с помощью обманчивых профилей LinkedIn и поддельных схем найма персонала для клонирования вредоносных репозиториев Git, что приводит к краже данных - исходного кода, секретов, ключей криптовалютных кошельков и другой конфиденциальной информации.

Злоумышленники используют многоуровневую систему доставки вредоносного ПО с модульными компонентами, ориентированными на среды разработки программного обеспечения, для утечки интеллектуальной собственности и прямого хищения финансовых средств.

Кампания использует сложную инфраструктуру командования и контроля (C2), размещенную в Stark Industries LLC, для доставки полезной нагрузки и управления системой, используя запутанные сценарии на Python, чтобы избежать обнаружения.

Злоумышленники используют модульную вредоносную программу-загрузчик под названием Main99 для получения и выполнения специальной полезной нагрузки с сервера C2, обеспечивая постоянные соединения, фильтрацию данных и контроль скомпрометированных систем.

Имплантаты, включенные в кампанию, нацелены на браузеры в системах macOS, Linux и Windows для извлечения и расшифровки сохраненных паролей, используя передовые методы, такие как мониторинг клавиатур и буферов обмена, для передачи данных злоумышленникам.

#ParsedReport #CompletenessLow
16-01-2025

GSocket Gambling Scavenger - How Hackers Use PHP Backdoors and GSocket to Facilitate Illegal Gambling in Indonesia

https://www.imperva.com/blog/how-hackers-use-php-backdoors-and-gsocket-to-facilitate-illegal-gambling-in-indonesia

Report completeness: Low

Threats:
Gsocket_tool
Gs-netcat
Netcat_tool

Victims:
Web servers, Moodle instances

Industry:
Government

Geo:
Indonesian, Indonesia

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1573, T1105, T1547, T1021

IOCs:
File: 2
Url: 1

Soft:
crontab

Languages:
python, php

Links:
https://github.com/hackerschoice
https://github.com/hackerschoice/gsocket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается развитие незаконной деятельности по азартным играм в Интернете в Индонезии и недавняя хакерская кампания, которую обнаружила Imperva Threat Research, нацеленная на веб-приложения на базе PHP. Злоумышленники стремятся использовать уязвимые веб-приложения, в частности, используя инструментарий GSocket для установления безопасных соединений и поддержания работоспособности на взломанных хостах. Злоумышленники используют взломанные серверы для размещения PHP-файлов, перенаправляющих посетителей на индонезийский сайт азартных игр, демонстрируя методы, используемые для обеспечения непрерывности работы в условиях правительственных репрессий. Администраторам веб-сайтов рекомендуется провести аудит своих PHP-серверов на наличие бэкдоров и внедрить проактивный мониторинг и удаление несанкционированных файлов, чтобы повысить безопасность от появления хакеров в сфере онлайн-гемблинга.
-----

Незаконная деятельность по азартным играм в Интернете в Индонезии продолжается, несмотря на репрессии правительства с 1974 года.

Недавний всплеск подозрительной активности, направленной против веб-приложений на базе PHP, использующих ботов на базе Python.

Наблюдались скоординированные усилия по использованию уязвимых веб-приложений, возможно, в ответ на усиление контроля со стороны правительства.

Злоумышленники пытаются использовать GSocket toolkit для установления безопасных TCP-соединений на скомпрометированных серверах.

Экземпляры Moodle были нацелены на компромисс для развертывания GSocket toolkit.

Инструментарий GSocket toolkit обеспечивает сохранение данных на скомпрометированных хостах с помощью различных методов.

Установка GSocket предназначена для доставки PHP-файлов, содержащих контент на индонезийском языке, относящийся к услугам онлайн-гемблинга.

PHP-файлы, предназначенные для перенаправления посетителей на индонезийский сайт азартных игр "pktoto . cc.".

Администраторы веб-сайта рекомендуют провести аудит PHP-серверов на наличие бэкдоров и несанкционированных файлов.

Проактивный мониторинг, регулярные обновления программного обеспечения и надежные меры безопасности имеют решающее значение для защиты от появляющихся хакеров в сфере онлайн-гемблинга.

#ParsedReport #CompletenessLow
16-01-2025

Be wary of overseas APT organizations poisoning GitHub and attacking domestic security practitioners and designated large companies.

https://mp.weixin.qq.com/s/ih36z93y6BazatjeoGjp1A

Report completeness: Low

Actors/Campaigns:
Oceanlotus

Threats:
Cobalt_strike
Harpoon_technique

Industry:
Government, Financial

Geo:
Chinese, China, Asian

ChatGPT TTPs:
do not use without manual check
T1055.012, T1027, T1105, T1102.003

IOCs:
Path: 2
File: 2
Hash: 1
IP: 8

Soft:
Visual Studio

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ целенаправленной кибератаки, проведенной Юго-Восточной азиатской APT-группой "Ocean Lotus" в ноябре 2024 года. В ходе атаки использовались уникальные и скрытые методы, такие как использование скрытого инструмента повышения привилегий, распространяемого через GitHub, и внедрение вредоносного кода в файлы .suo в проектах Visual Studio. Злоумышленник выдавал себя за исследователя в области безопасности, чтобы обмануть жертв, нацеливался на исследователей в области безопасности в Китае и использовал методы взлома библиотек DLL для связи с иностранной платформой для ведения заметок в целях командования и контроля. Ocean Lotus group использовала электронные письма harpoon для атак на правительственные учреждения и предприятия, раскрывая сложную тактику нацеливания и инфраструктуру атак. проанализируйте ресурсы, связанные с этими атаками, с помощью корреляции данных.
-----

В ноябре 2024 года была обнаружена целенаправленная кибератака, приписываемая APT-группе из Юго-Восточной Азии "Ocean Lotus", которая использовала скрытый инструмент повышения привилегий для компрометации личностей и данных специалистов по сетевой безопасности. Атака была связана с распространением плагина для использования уязвимостей Cobalt Strike через GitHub, при этом троянский конь был встроен в файлы .suo в проектах Visual Studio. Этот метод атаки был уникальным и скрытым, что стало первым примером "Ocean Lotus", использующим этот подход.

Злоумышленник, действовавший на GitHub под именем пользователя "0xjiefeng", выдавал себя за исследователя безопасности из ведущей отечественной финтех-компании, чтобы обмануть потенциальных жертв. 14 и 21 октября 2024 года были выпущены два проекта по борьбе с вредоносными программами, нацеленные на исследователей в области безопасности в Китае, которые предлагают новые функции по использованию уязвимостей в подключаемом модуле Cobalt Strike. Вредоносный код запускался, когда жертвы открывали файлы проекта в Visual Studio, загружая и выполняя связанный с ними вредоносный файл .suo.

После запуска компоненты вредоносного ПО были скрыты путем перезаписи и удаления самих себя, что затрудняло их обнаружение. Злоумышленники использовали методы удаления библиотек DLL для выполнения шелл-кода в system xpsservices.dll, обеспечивающий связь с зарубежной платформой для создания заметок Notion для целей управления. Эта стратегия была направлена на то, чтобы избежать сетевого мониторинга и перехвата, внедряя команды в рабочее пространство Notion для обмена данными.

Анализ показал, что Ocean Lotus использовала электронные письма harpoon для атаки на правительственный и корпоративный секторы, расширяя свои возможности для атаки за пределы единого сервера управления (C2) с различными характеристиками отображения портов. Период активных атак организации обычно длился с середины сентября по октябрь, при этом основное внимание уделялось конкретным крупным технологическим компаниям. В ходе атак Ocean Lotus был выявлен высокий уровень целенаправленности, в ходе которых проверялись имена компьютеров-жертв, чтобы убедиться в соответствии с указанными целями.

Weibu Intelligence Bureau успешно идентифицировало учетную запись злоумышленника на GitHub и извлекло IOCs для анализа угроз. Для обнаружения угроз и защиты от них использовались такие основные платформы, как Weibu Threat Perception (TDP) и Threat Intelligence Management (TIP). Кроме того, активы, связанные с атаками Ocean Lotus, были отслежены с помощью сопоставления данных, что позволило выявить сложную тактику организации по нанесению ударов и обширную инфраструктуру атак.

#ParsedReport #CompletenessLow
16-01-2025

The great Google Ads heist: criminals ransack advertiser accounts via fake Google ads

https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads

Report completeness: Low

Threats:
Bluesky_ransomware
Cloaking_technique

Victims:
Individuals, Businesses, Taiwanese electronics company

Industry:
Entertainment, Petroleum

Geo:
Brazil, Hong kong, Asian, Paraguay, Taiwanese, Brazilian, Portuguese, Chinese, Asia, China

ChatGPT TTPs:
do not use without manual check
T1566, T1027

IOCs:
Domain: 29
File: 1

Soft:
Gmail

Languages:
php, javascript