#ParsedReport #CompletenessLow
17-04-2025

APT PROFILE EARTH ESTRIES

https://www.cyfirma.com/research/apt-profile-earth-estries-2/

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Cobalt_strike
Hemigate
Ghostspide
Zingdoor
Masol
Snappybe
Demodex_tool
Ghostspider
Deed_rat
Proxylogon_exploit
Lolbin_technique
Psexec_tool
Crowdoor
Portscan_tool
Trillclient

Industry:
Chemical, Military, Ngo, Telco, Aerospace, Government, Transport, Critical_infrastructure, Iot

Geo:
Germany, Thailand, Taiwan, Chinese, Asia, Canada, Singapore, South africa, Indonesia, Afghanistan, Philippines, Malaysia, Pakistan, Apac, Vietnam, India, Middle east, Brazil, America

CVEs:
CVE-2024-20399 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco nx-os (6.2\(2\), 6.2\(2a\), 6.2\(6\), 6.2\(6a\), 6.2\(6b\))

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (<7.0.11, <7.2.3)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (<16.12.10a, <17.3.8a, <17.6.6a, <17.9.4a)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (16.1.1, 16.1.2, 16.1.3, 16.2.1, 16.2.2)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1059.001, T1574.002, T1070.004, T1071.001, T1071.004, T1566.001, T1041

Soft:
Microsoft Exchange, Ivanti, PSEXEC, curl

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группа Earth Estries нацелена на критически важную инфраструктуру с помощью таких кампаний, как "Бета-версия кампании" и "Альфа-версия кампании", используя вредоносные программы, такие как DEMODEX и GHOSTSPIDER. Они используют уязвимости (например, Microsoft Exchange, CVE-2023-46805) для получения начального доступа и используют такие методы, как LOLBINS, для выполнения, обеспечивая устойчивость к пользовательским бэкдорам и руткитам. Их операции включают в себя сложные боковые перемещения с использованием PsExec и WMIC, а также зашифрованные каналы C&C для передачи данных с помощью таких инструментов, как TrillClient.
-----

Китайская APT-группа Earth Estries известна своими передовыми разработками в области кибершпионажа, направленными на критически важные объекты инфраструктуры и государственные учреждения по всему миру. Их недавние кампании продемонстрировали сложный подход к работе с различными секторами, в частности, благодаря постоянной инициативе, ориентированной на телекоммуникации, которая получила название "Бета-версия кампании". Эта кампания оказала влияние на телекоммуникационных провайдеров по всей Азии, включая такие страны, как Тайвань, Таиланд и Индия, а также в Соединенных Штатах. В число основных вредоносных программ, используемых в этих кампаниях, входят DEMODEX, GHOSTSPIDER и SNAPPYBEE, причем сообщения подтверждают нарушения, связанные с крупными операторами связи в США.

В дополнение к работе с телекоммуникационными компаниями, Earth Estries также сосредоточилась на организациях, связанных с правительством, в Азиатско-Тихоокеанском регионе, США, Южной Африке и на Ближнем Востоке, в рамках так называемой "кампании Альфа". Это включает в себя прямые атаки на правительственные учреждения и консалтинговые фирмы, которые сотрудничают с правительством США и военным сектором. В ходе этих операций также использовались такие инструменты атаки, как DEMODEX и Cobalt Strike, которые способствуют широкомасштабной компрометации организаций из различных секторов, включая технологии, НПО и транспорт.

Earth Estries использует ряд методов начального доступа, которые в основном направлены на использование известных уязвимостей в общедоступных приложениях. К наиболее заметным уязвимостям относятся сервер Microsoft Exchange Server (связанный с уязвимостями ProxyLogon), Ivanti Connect Secure (CVE-2023-46805 с оценкой 8,2 и CVE-2024-21887 с оценкой 9,1), FortiClient EMS (CVE-2023-48788 с оценкой CVSS 9,8) и брандмауэр Sophos (CVE-2022-3236, также набрав 9,8 балла).

Оказавшись внутри сети, группа использует различные методы выполнения и сохранения данных, в частности, полагаясь на законные двоичные файлы Windows (LOLBINS), такие как PSEXEC и WMIC, а также сценарии PowerShell, которые могут обойти методы обнаружения, такие как AMSI. Их инструментарий включает в себя пользовательские бэкдоры, такие как GHOSTSPIDER и MASOL RAT, а также руткиты, такие как DEMODEX, для поддержания долгосрочного доступа. Методы обхода защиты являются сложными и включают операции с памятью, зашифрованные каналы управления (C&C) и очистку артефактов вредоносного ПО после выполнения операций.

Для горизонтального перемещения внутри сетей Earth Estries использует такие инструменты, как PsExec и WMIC, которые облегчают картографирование сети и перемещение. Инфраструктура C&C сложна и может управляться отдельными командами, часто с использованием многоступенчатых прокси-серверов и общедоступных служб обмена файлами для связи и фильтрации данных. Эксфильтрация осуществляется с помощью таких программ, как TrillClient, которые дополняются утилитами, помогающими архивировать и загружать данные на внешние файлообменные платформы. В целом, тактика, применяемая Earth Estries, демонстрирует высокоорганизованного, находчивого хакера, владеющего надежным методом проведения масштабных киберопераций.

#ParsedReport #CompletenessLow
17-04-2025

Unmasking the new XorDDoS controller and infrastructure

https://blog.talosintelligence.com/unmasking-the-new-xorddos-controller-and-infrastructure/

Report completeness: Low

Threats:
Xorddos

Geo:
Japan, Israel, Brazil, Turkey, Ukraine, France, Spain, United kingdom, Chinese, Netherlands, Korea, Taiwan, India, Australia, Thailand, Singapore, Switzerland, Finland, Germany, Venezuela, Arab emirates, Argentina, Canada, Italy, United arab emirates, Saudi arabia, Paraguay, China

ChatGPT TTPs:
do not use without manual check
T1498, T1078, T1105, T1059.004

IOCs:
Hash: 2
Domain: 3
IP: 171

Soft:
linux, Docker

Algorithms:
xor

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/04/new\_XorDDoS\_controller\_and\_infrastructure.txt

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, code: 2, windows: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XorDDoS, вредоносная программа для DDoS-атак, управляемая китайскоязычными пользователями, нацелена на компьютеры Linux и среды Docker, используя для доступа перебор SSH. Ее последняя "VIP-версия" отличается улучшенным управлением командами и зашифрованными соединениями, а также методами постоянной установки, что усложняет усилия по обнаружению.
-----

Компания Cisco Talos сообщила о продолжающейся активности, связанной с XorDDoS, вредоносным ПО с распределенным отказом в обслуживании (DDoS), распространение которого наблюдалось по всему миру в период с ноября 2023 по февраль 2025 года. Примерно 70% атак с использованием XorDDoS были нацелены на системы в Соединенных Штатах, что свидетельствует о значительной географической концентрации. Предполагается, что вредоносная программа управляется лицами, говорящими по-китайски, на что указывают языковые настройки ее многоуровневого контроллера и инструментов разработки. Последняя версия, называемая "VIP-версией", позволяет создавать более сложную сеть DDoS-ботов и управлять ею.

XorDDoS специально нацелен на компьютеры с Linux, превращая их в "зомби-ботов", способных совершать скоординированные атаки. Троян был впервые обнаружен в 2014 году, а в 2015 году был обнаружен субконтроллер. Его распространенность возросла с 2020 по 2023 год, что объясняется увеличением количества вредоносных DNS-запросов, связанных с его командно-контрольной инфраструктурой (C2). Вредоносная программа использует SSH-атаки для получения доступа к устройствам Linux, используя вредоносный сценарий оболочки, который систематически использует различные комбинации учетных данных root. После успешного выполнения XorDDoS устанавливает постоянство путем установки сценариев инициализации и cron-заданий, чтобы обеспечить их выполнение при запуске.

Вредоносная программа продолжает использовать те же механизмы дешифрования, используя фиксированный ключ XOR для расшифровки параметров конфигурации. Примечательно, что анализ, проведенный Talos, показал, что XorDDoS может не только скомпрометировать традиционные серверы Linux, но и нацелен на среды Docker. За наблюдаемый период времени около 50% скомпрометированных систем были расположены в Соединенных Штатах, в то время как сообщения об атаках поступали из нескольких стран по всему миру.

Кроме того, компания Talos определила улучшения в операционной системе XorDDoS, внедрив новый центральный контроллер, предназначенный для управления несколькими субконтроллерами. Это позволяет упростить выполнение команд DDoS на различных зараженных компьютерах. Новый контроллер обладает расширенными возможностями привязки функций контроллера и предоставляет киберпреступникам инструменты для более эффективной координации во время атак. В нем используется функция внедрения DLL-файлов в контроллеры XorDDoS для управления операциями.

Анализ трафика, проведенный Talos, показал, что троянец XorDDoS поддерживает активное соединение со своей инфраструктурой C2, используя зашифрованный обмен данными для проверки и выполнения команд. Целостность установленного соединения проверяется с помощью изменений заголовка CRC, которые служат для базовой аутентификации клиент-сервер. Такое систематическое поведение указывает на преднамеренные усилия хакеров по совершенствованию своей тактики, гарантирующей устойчивость их операций к обнаружению и вмешательству.

Таким образом, разработка и распространение XorDDoS представляют собой постоянную проблему в борьбе с киберпреступностью, обусловленную постоянными инвестициями операторов в свои инструменты и инфраструктуру.

#ParsedReport #CompletenessLow
17-04-2025

Inside the Attack: The Javascript Code Behind Credit Card Theft

https://labs.yarix.com/2025/04/inside-the-attack-the-javascript-code-behind-credit-card-theft/

Report completeness: Low

Actors/Campaigns:
Magecart

Threats:
Chameleon

Industry:
E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1566.002

IOCs:
File: 3

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что JavaScript-скрипт, предназначенный для веб-скимминга, похищал данные кредитных карт во время транзакций электронной коммерции. Злоумышленники получили доступ с помощью вредоносного ПО infostealer, загрузили веб-оболочку на PHP для удаленного управления и внедрили вредоносный код в базу данных для постоянного выполнения. При эксфильтрации данных использовался объект Image в JavaScript для отправки конфиденциальной информации на сервер, контролируемый злоумышленником, с использованием методов обфускации, позволяющих избежать обнаружения.
-----

Анализ JavaScript-скрипта, обнаруженного во время реагирования на инцидент, показал, что он предназначен для кражи данных кредитных карт у пользователей во время онлайн-транзакций на сайте электронной коммерции. Этот вредоносный скрипт относится к категории атак "веб-скимминга" или "Magecart", при которых злоумышленники внедряют вредоносный код в скомпрометированные платформы электронной коммерции для перехвата конфиденциальной платежной информации, вводимой пользователями при оформлении заказа. Далее в статье анализируются методы обфускации кода, позволяющие обойти меры безопасности, и методы, используемые для передачи данных кредитных карт на удаленные серверы, контролируемые злоумышленниками.

Злоумышленники получили первоначальный доступ к серверной части сайта, похитив учетные данные с помощью вредоносной программы infostealer, которая предназначена для сбора конфиденциальных данных, таких как пароли и файлы cookie для аутентификации, с зараженных компьютеров. Получив учетные данные сервера, злоумышленники использовали эти привилегии для загрузки вредоносного PHP-скрипта на сервер. Этот PHP-файл функционирует как веб-оболочка, обеспечивая полный удаленный контроль над сервером и сохраняя работоспособность в системе, даже если исходные учетные данные будут отозваны. Реализуя эту веб-оболочку, злоумышленник обходит традиционные пути доступа к серверной части, позволяя неограниченно манипулировать таблицами базы данных.

Критический прием, использованный злоумышленником, заключался во внедрении скрытого вредоносного кода непосредственно в строку базы данных, что называется "загрязнением базы данных". Этот метод позволял злоумышленнику изменять поведение сайта и обеспечивать постоянное выполнение своего кода при каждом обращении к скомпрометированной строке базы данных. Внедренный код содержит поддельный "тег imager", который использует типичное поведение HTML-тегов, таких как загрузка изображений, для выполнения вредоносных действий, включая вызов сценариев или запросов к серверу, контролируемому атакой.

Расследование включает в себя статический анализ захваченного вредоносного скрипта для расшифровки используемых стратегий атаки, что помогает разработать эффективные подходы к устранению последствий. Код включает в себя различные методы обфускации наряду с основными функциями, которые обрабатывают ввод данных кредитной карты, проверку подлинности и идентификацию типа, что в конечном итоге облегчает фильтрацию конфиденциальной информации. Данные, включая адреса электронной почты, номера банковских карт, CVC-коды и даты истечения срока действия, упаковываются в объект, получивший название "structUserInfo", и впоследствии преобразуются в строку.

Фильтрация выполняется с использованием объекта Image в JavaScript и подключений к веб-сокетам. Вредоносный скрипт генерирует новый объект Image, который обычно содержит ссылки на изображения, но в данном случае используется для создания запросов к серверу, контролируемому злоумышленником. Скрипт создает URL-адрес запроса, используя метод, который считывает данные из памяти браузера для получения конечной точки сервера, добавляя к URL-адресу случайное число, чтобы предотвратить кэширование запроса. Такая тактика гарантирует, что результатом выполнения каждого скрипта будет уникальный запрос к удаленному серверу, что повышает вероятность успешной фильтрации данных и усложняет усилия по обнаружению.

Initial Access Brokers Report

#ParsedReport #CompletenessLow
17-04-2025

IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia

https://securelist.com/mysterysnail-new-version/116226/

Report completeness: Low

Actors/Campaigns:
Ironhusky

Threats:
Mysterysnail
Dll_sideloading_technique
Mysterymonosnail

Victims:
Government organizations

Industry:
Government

Geo:
Russia, Mongolia

CVEs:
CVE-2021-40449 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19086)
- microsoft windows 10 1607 (<10.0.14393.4704)
- microsoft windows 10 1809 (<10.0.17763.2237)
- microsoft windows 10 1909 (<10.0.18363.1854)
- microsoft windows 10 2004 (<10.0.19041.1288)
have more...

ChatGPT TTPs:
do not use without manual check
T1203, T1059, T1036, T1071.001, T1027, T1574.002, T1569, T1027.002, T1055.012

IOCs:
Domain: 2
File: 6

Soft:
Windows Explorer, Microsoft Word

Algorithms:
rc4, zip, xor

Platforms:
x86

Links:
https://github.com/nwtgck/piping-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вирус MysterySnail RAT, связанный с IronHusky APT, использует уязвимость CVE-2021-40449 и атакует государственные учреждения в Монголии и России с помощью вредоносного MMC-скрипта. В нем используется дополнительная загрузка библиотек DLL, расширенная защита от обфускации и модульная архитектура для обмена данными и сохранения данных на C2, а недавние изменения привели к созданию более легкого варианта MysteryMonoSnail, использующего WebSocket для уменьшения функциональности.
-----

MysterySnail RAT - это кибер-имплантат, связанный с IronHusky APT group, который, как полагают, работает как минимум с 2017 года. Первоначально обнаруженная в ходе расследования уязвимости нулевого дня CVE-2021-40449, эта вредоносная программа в течение нескольких лет не упоминалась в публичных отчетах. Недавно были замечены новые версии RAT, нацеленные на правительственные организации в Монголии и России, что подтверждает исторический интерес IronHusky к этим регионам.

В ходе недавних внедрений RAT был распространен с помощью вредоносного MMC-скрипта, замаскированного под документ Национального земельного агентства Монголии. В результате атаки пользователи загружали ZIP-файл, содержащий как подлинный документ, так и вредоносную полезную нагрузку. Законный исполняемый файл, идентифицированный как "CiscoCollabHost.exe`, сопровождался вредоносной библиотекой DLL "CiscoSparkLauncher.dll", которая использовала методы дополнительной загрузки библиотеки DLL для выполнения. Эта библиотека DLL функционирует как промежуточный бэкдор, позволяющий осуществлять обмен данными между командами и контролерами (C2) с использованием проекта конвейерного сервера с открытым исходным кодом.

Текущая версия MysterySnail RAT продолжает демонстрировать передовые методы обфускации. В ней используется зашифрованный файл "MYFC.log", загружаемый во время выполнения, для маскировки используемых функций Windows API, что усложняет процесс обратного проектирования. Этот бэкдор поддерживает множество команд, позволяющих злоумышленникам внедрять новые компоненты вредоносного ПО, такие как "sophosfilesubmitter.exe" и вредоносный код `fltlib.dll`. Заражение подтвердило, что RAT продолжает работать на взломанных компьютерах, зарегистрировавшись в качестве службы.

В MysterySnail RAT используется сложное выполнение команд, а в обновленных версиях используется модульная архитектура. Эта архитектура отличается от однокомпонентного подхода, использовавшегося в предыдущих версиях, и состоит из пяти дополнительных библиотечных модулей для выполнения команд. Несмотря на то, что между обновлениями прошли годы, внутренние структуры бэкдора претерпели минимальные изменения, а переход на дополнительные модули соответствует более ранним выводам.

После недавних сбоев, с которыми столкнулась эта вредоносная программа, злоумышленники начали развертывать более легкую версию, получившую название MysteryMonoSnail, которая уменьшила общую функциональность, но использовала аналогичную структуру команд и сохраняла связь с теми же серверами C2, хотя и по протоколу WebSocket вместо HTTP. Эта упрощенная версия содержит всего 13 команд, предназначенных для выполнения основных задач, таких как манипулирование файлами и выполнение процессов.

Устойчивость MysterySnail RAT и ее минимальная эволюция на протяжении нескольких лет подчеркивают важность постоянной оценки угроз для более старых семейств вредоносных программ. Это подчеркивает необходимость поддерживать возможности обнаружения ранее существовавших вредоносных программ, поскольку хакеры могут оставаться пассивными, но в то же время активными, уклоняясь от обнаружения и сохраняя потенциал для будущих атак.

#ParsedReport #CompletenessMedium
15-04-2025

BRICKSTORM Backdoor Analysis

https://blog.nviso.eu/wp-content/uploads/2025/04/NVISO-BRICKSTORM-Report.pdf

Report completeness: Medium

Actors/Campaigns:
Unc5221 (motivation: cyber_espionage)

Threats:
Brickstorm

Industry:
Education, Critical_infrastructure, Military

Geo:
Belgium, Germany, Austria, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1203, T1573, T1024, T1105, T1572, T1071.004, T1008

IOCs:
Domain: 3
IP: 1
File: 13
Coin: 1
Hash: 2

Soft:
Linux, goftp, Microsoft Defender

Algorithms:
md5, sha1, sha256, base64

Functions:
CreateUACExplorer

Languages:
golang

YARA: Found

Links:
https://github.com/xtaci/smux
https://github.com/hashicorp/yamux
have more...
https://github.com/gorilla/mux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BRICKSTORM - это скрытая вредоносная программа с бэкдором, связанная с китайским хакером UNC5221, которая теперь нацелена на системы Windows после предыдущих ограничений Linux. Он использует DNS через HTTPS для связи C2, использует Go для кодирования и позволяет манипулировать файлами и сетью, обходя обнаружение с помощью передовых методов, таких как запланированные задачи и вложенные TLS-соединения.
-----

В отчете представлен технический анализ вредоносного ПО BRICKSTORM, бэкдора, связанного с китайским хакерским кластером UNC5221, который теперь был обнаружен в средах Windows, после того как предыдущие обнаружения были ограничены Linux. Эти недавно обнаруженные варианты нацелены на европейские отрасли, имеющие стратегическое значение для Китайской Народной Республики, и являются частью продолжающихся кампаний кибершпионажа, которые начнутся как минимум с 2022 года. В отличие от типичных кибервзломов, направленных на вымогательство, BRICKSTORM работает с высокой степенью скрытности, что позволяет ему оставаться незамеченным в течение длительного времени, в частности, за счет использования неизвестных уязвимостей и малошумных бэкдоров.

BRICKSTORM предлагает возможности для управления файлами и сетевого туннелирования, позволяя злоумышленникам просматривать файловые системы и манипулировать ими, а также облегчать перемещение по сетям. Он взаимодействует с серверами Command & Control (C2) с использованием DNS по протоколу HTTPS (DoH), что усложняет усилия по обнаружению. Последние версии были запрограммированы на Go и используют механизмы сохранения, такие как запланированные задачи, для обеспечения выполнения. Вредоносная программа устанавливает защищенную связь через вложенные TLS-соединения после запуска WebSocket и использует пользовательское подтверждение подлинности для аутентификации, обходя обычные меры безопасности, такие как проверка подлинности сертификата.

Доступ к функциям управления файлами вредоносной программы осуществляется через элементарный HTTP API, который позволяет злоумышленникам выполнять целый ряд действий, включая загрузку файлов, скачивание, переименование и удаление, что упрощается с помощью пользовательского интерфейса, обслуживаемого самой вредоносной программой. BRICKSTORM также включает в себя возможности сетевого туннелирования, которые позволяют ретранслировать трафик по таким протоколам, как RDP и SMB, используя действительные учетные данные для обеспечения скрытности при косвенном выполнении команд. Это намеренное уклонение от прямого выполнения команд с черного хода направлено на снижение вероятности обнаружения с помощью решений для мониторинга безопасности.

Кроме того, гибкость BRICKSTORM проявляется в ее конфигурациях, которые позволяют злоумышленникам внедрять IP-адреса облачных провайдеров и другие параметры, необходимые для безопасного установления соединений. Было обнаружено, что вредоносное ПО использует различные общедоступные службы Министерства здравоохранения для разрешения доменных имен, тем самым обходя традиционные методы мониторинга сети. Инфраструктура управления часто размещается на бессерверных платформах, таких как Cloudflare и Heroku, что еще больше ограничивает возможности использования бэкдора, поскольку легальный трафик может легко вписаться в обычный объем использования инфраструктуры.

Стратегии смягчения последствий, подчеркнутые в отчете, включают повышенную бдительность в отношении необычных длительных процессов в системах, внедрение передовых методов поиска угроз и установление правил обнаружения вторжений, специально предназначенных для известных подключений BRICKSTORM C2. Сложный характер BRICKSTORM подчеркивает меняющийся ландшафт угроз, где использование передовых протоколов и скрытных операций создает серьезные проблемы для групп реагирования на инциденты.

#ParsedReport #CompletenessHigh
17-04-2025

Around the World in 90 Days: State-Sponsored Actors Try ClickFix

https://www.proofpoint.com/us/blog/threat-insight/around-world-90-days-state-sponsored-actors-try-clickfix

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)
Muddywater (motivation: cyber_espionage)
Unk_remoterogue
Fancy_bear
Ta571

Threats:
Clickfix_technique
Clearfake
Quasar_rat
Pdq_connect_tool
Atera_tool
Screenconnect_tool
Simplehelp_tool
Empire_loader
Metasploit_tool

Industry:
Telco, Financial, Government

Geo:
North korean, North korea, Japan, Israel, Iran, Japanese, Russian, Ukrainian, Middle east, Iranian, China, Korean, Saudi arabia, Russia, Asia, Chinese, Korea

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1566, T1053, T1564

IOCs:
File: 2
Command: 1
Url: 12
IP: 11
Email: 3
Domain: 26
Hash: 9

Soft:
Zimbra, Microsoft Office, Microsoft Word, Office 365

Algorithms:
sha256, xor, base64

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, chart: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4