#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Рост числа заражений вредоносными программами, использующими легитимные сигнатуры ConnectWise, связан с уязвимостями CVE-2024-1708 и CVE-2024-1709. Вредоносная программа, получившая название "EvilConwi", распространяется с помощью фишинга и использует аутентификационный код, манипулирующий поведением программного обеспечения для сокрытия вредоносной активности.
-----

С марта 2025 года наблюдается заметный рост числа заражений вредоносными программами, использующими программное обеспечение ConnectWise с действительной подписью, что свидетельствует о неправильных методах подписи, используемых хакерами. Эта тенденция связана с возобновлением злоупотреблений, связанных с двумя уязвимостями, выявленными в феврале 2024 года, а именно CVE-2024-1708 и CVE-2024-1709. Нынешняя волна вредоносных действий связана с новым видом вредоносного ПО, получившим название "EvilConwi", которое использует эти действительные подписи для распространения мошеннических приложений.

Жертвы часто сообщают о заражениях, вызванных фишинговыми электронными письмами, которые приводят к появлению поддельных страниц, маскирующихся под законные приложения. Например, в одном из распространенных сценариев пользователь нажимал на ссылку OneDrive, которая перенаправляла его на страницу Canva, скрывающую вредоносный установщик ConnectWise в процессе загрузки. В отчетах указывается, что пользователи испытывают такие симптомы, как неустойчивое перемещение мыши и поддельные запросы центра обновления Windows во время активных удаленных подключений, что сигнализирует о компрометации.

Чтобы обеспечить обнаружение этих вредоносных образцов ConnectWise, был проведен сравнительный анализ с использованием PortexAnalyzer, который выявил важные характеристики в их сертификатах. Для проверки образцов был использован анализатор authenticode, который определил, что оба они содержат неаутентифицированные атрибуты, которые могут быть использованы в злонамеренных целях. Возникли подозрения относительно практики использования Authenticode - метода, при котором к вредоносным файлам ненадлежащим образом применяются действительные подписи.

Дальнейшее расследование выявило наличие настроек конфигурации, встроенных в образцы. Для извлечения и анализа этих настроек был разработан модуль сбора конфигурации, который показал, что хакеры изменяют поведение приложения, чтобы подавлять предупреждения пользователей (например, значки в трее, указывающие на удаленные подключения) и включают вводящие в заблуждение визуальные компоненты, такие как поддельные экраны обновления Windows. Эти модификации не только улучшают маскировку вредоносного ПО, но и позволяют жертве оставаться в неведении, а ее системе - быть доступной в течение длительного времени.

Неправильное использование механизмов аутентификации значительно повышает уровень кибербезопасности, поскольку позволяет злоумышленникам создавать специализированные средства удаленного доступа, маскирующиеся под законное программное обеспечение. Такая практика представляет серьезную угрозу до тех пор, пока ConnectWise не решит основные проблемы в процессе подписи. 12 июня 2025 года ConnectWise была проинформирована об этих уязвимостях, а 17 июня было отмечено, что подписи для образцов, подвергшихся злоупотреблениям, были отозваны, что указывает на реакцию на возникающую угрозу.

#ParsedReport #CompletenessMedium
28-06-2025

Your Mobile App, Their Playground: The Dark side of the Virtualization

https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization

Report completeness: Medium

Threats:
Godfather
Fjordphantom
Process_injection_technique
Dead_drop_technique

Victims:
Financial institutions, Individual users, Users of mobile banking apps, Cryptocurrency app users, Digital payment platform users, Online shopping app users, Online auction site users, Ride-sharing service users, Food delivery service users, Media streaming platform users, have more...

Industry:
Foodtech, E-commerce, Financial, Retail

Geo:
France, United kingdom, Spain, Italy, Germany, Turkish, America, Canada, Turkey

TTPs:
Tactics: 9
Technics: 12

IOCs:
File: 7

Soft:
Android, Google play, Telegram

Algorithms:
base64, exhibit, zip

Functions:
build, getEnabledAccessibilityServiceList, getEnabledAccessilibityServiceList, setDuration

Languages:
java

Links:
https://github.com/asLody/VirtualApp/tree/master
have more...
https://github.com/rovo89/XposedBridge
https://github.com/rovo89/XposedInstaller

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа GodFather использует расширенную виртуализацию на устройстве для создания изолированных сред для сбора конфиденциальной информации из законных банковских и криптовалютных приложений. Она расширяет тактику обхода с помощью манипуляций с ZIP-файлами и запутывания в манифестах Android, а также использует специальные разрешения для глубокого доступа к системе, выдавая себя за обычные приложения. Это позволяет ит-отделу перехватывать действия пользователей и незаметно красть учетные данные, нацеливаясь примерно на 484 приложения, включая крупные банки.
-----

Вредоносная программа GodFather banking использует виртуализацию на устройстве для взлома законных приложений мобильного банкинга и криптовалют. Она создает изолированную виртуальную среду на устройстве жертвы вместо традиционных атак с наложением. Вредоносная программа устанавливает вредоносное хост-приложение для создания изолированной среды, которая запускает копию реального банковского приложения, позволяя отслеживать и контролировать взаимодействия пользователей в режиме реального времени.

Он использует манипуляции с ZIP-файлами и перемещает код на уровень Java, чтобы избежать обнаружения статическим анализом. Сложные методы обфускации в файлах манифеста Android затрудняют обратное проектирование. GodFather использует подход к установке на основе сеанса, вводя пользователей в заблуждение и заставляя их предоставлять разрешения, которые улучшают его работу.

Разрешения на использование специальных возможностей позволяют вредоносному ПО регистрировать взаимодействия с пользователем через службу специальных возможностей, фиксируя все сенсорные входы в активных приложениях. Важные данные, в том числе данные о командно-контрольных передачах, хранятся в общих настройках в кодировке Base64, что позволяет поддерживать скрытые соединения.

Вредоносная программа использует законные инструменты с открытым исходным кодом для управления виртуальными средами и извлечения данных, выдавая себя за обычное приложение. Она может запускать виртуализированные версии целевых банковских приложений и перехватывать конфиденциальные вызовы API для перехвата данных, избегая обнаружения. GodFather может перехватывать учетные данные для блокировки устройств и нацеливаться примерно на 484 законных приложения, включая крупные банковские учреждения и коммуникационные платформы.

Передовые технологии виртуализации создают значительные риски для конфиденциальности и финансовой безопасности пользователей, создавая ненадежную среду на зараженных устройствах.

#ParsedReport #CompletenessHigh
28-06-2025

Dissecting Kimsuky s Attacks on South Korea: In-Depth Analysis of GitHub-Based Malicious Infrastructure

https://www.enki.co.kr/en/media-center/tech-blog/dissecting-kimsuky-s-attacks-on-south-korea-in-depth-analysis-of-github-based-malicious-infrastructure#9

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique
Xenorat
Moonpeak

Industry:
Financial

Geo:
Dprk, North korean, Korean, Korea

TTPs:
Tactics: 8
Technics: 19

IOCs:
Url: 2
File: 21
Hash: 33
Email: 2
IP: 11

Soft:
Dropbox, Task Scheduler, Visual Studio

Algorithms:
zip, xor, md5, base64

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, code: 18, windows: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская атака, связанная с северокорейской группой Kimsuky, использовала GitHub в качестве инфраструктуры, развернув XenoRAT с помощью вредоносных файлов быстрого доступа PowerShell. В ходе атаки были задействованы запланированные задачи по утечке данных и личные токены доступа GitHub для доступа к хранилищам, продемонстрированы передовые методы уклонения и нацелены на отдельных лиц в Южной Корее.
-----

Была выявлена изощренная атака с использованием подводного фишинга с использованием инфраструктуры GitHub as, связанная с северокорейской хакерской группой Kimsuky. В этой атаке использовались файлы быстрого доступа, содержащие команды PowerShell, которые при выполнении запускали последовательность действий для развертывания вредоносного ПО на компьютерах жертв. Вредоносные файлы содержали скрипт PowerShell, который выполнял функцию перехватчика информации и регистрировал задачи для выполнения полезной нагрузки каждые 30 минут.

Анализ показал, что вредоносная программа получила доступ к частным репозиториям GitHub, используя и жестко закодировав с помощью токенов личного доступа GitHub (PAT). Лог-файлы из этих хранилищ содержали подробную информацию о методах злоумышленника, включая IP-адреса, и выявляли целенаправленный подход, в центре внимания которого были конкретные лица в Южной Корее. Файлы-приманки, замаскированные под законные документы, такие как уведомления о погашении долгов, выдаваемые за юридическую фирму, использовались для того, чтобы заманить жертв на выполнение вредоносной программы.

В ходе расследования было обнаружено, что в одном из вредоносных хранилищ содержался запутанный вариант XenoRAT, что свидетельствует о том, что вредоносная программа использовала продвинутые методы уклонения. Вредоносная программа, обработанная в среде разработки на C#, имела общие идентификаторы GUID и методы шифрования, а также несколько дополнительных образцов, идентифицированных с помощью VirusTotal, что указывает на общее происхождение. Основной сервер контроля и управления (C&C) для этой вредоносной программы был подключен к известным операциям, связанным с Kimsuky.

Были разработаны технические детали работы XenoRAT, включая запланированные задачи по постоянному сбору данных и эксфильтрации информации из зараженных систем. Несмотря на то, что конкретные файлы для атаки получить не удалось, было установлено, что их поведение включало создание и выполнение вредоносного ПО во временном каталоге, а также поддержание структуры для ведения журнала собранных данных.

Кроме того, IP-адреса, связанные с действиями злоумышленника, были одинаковыми во многих инцидентах и, по-видимому, использовались для тестирования в предыдущих кампаниях, которые, как полагают, проводились Kimsuky, включая дело MoonPeak. Это подчеркивает постоянство и эволюцию их деятельности, которая широко использует как GitHub, так и Dropbox для распространения XenoRAT.

#ParsedReport #CompletenessLow
28-06-2025

Echo Chamber: A Context-Poisoning Jailbreak That Bypasses LLM Guardrails

https://neuraltrust.ai/blog/echo-chamber-context-poisoning-jailbreak

Report completeness: Low

Threats:
Echo_chamber_technique

Victims:
Neural trust, Gpt-4.1-nano, Gpt-4o-mini, Gpt-4o, Gemini-2.0-flash-lite, Gemini-2.5-flash

ChatGPT TTPs:
do not use without manual check
T1204, T1574

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 1, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака Echo Chamber нацелена на большие языковые модели с использованием искажения контекста и многоходовых рассуждений для получения вредоносных результатов без прямых подсказок, что позволяет достичь успеха более чем в 90% случаев в чувствительных категориях. Этот метод использует модельные рассуждения для создания цикла обратной связи, который снижает эффективность механизмов безопасности, что указывает на необходимость в усиленных мерах безопасности ИИ, ориентированных на контекст и логический вывод.
-----

Атака Echo Chamber, обнаруженная исследователем искусственного интеллекта из Neural Trust, представляет собой значительный прогресс в методах джейлбрейка, нацеленных на большие языковые модели (LLM). Этот метод обходит механизмы безопасности сложных LLM, используя контекстное искажение и многоходовые рассуждения, чтобы заставить модели создавать вредоносный контент без прямых опасных подсказок. В отличие от обычных джейлбрейков, которые часто основаны на враждебных фразах или обфускации, атака Echo Chamber использует косвенные ссылки и семантическое управление. Тонко влияя на внутренние рассуждения модели в ходе нескольких диалогов, злоумышленники могут создавать нарушающие правила выходные данные, которые соответствуют их предполагаемому вредоносному контенту.

В ходе экспериментальных испытаний различных ведущих моделей, включая GPT-4 и Gemini, атака с помощью эхо-камеры показала замечательную эффективность, показатель успеха превысил 90% в нескольких категориях конфиденциального контента, таких как сексизм и насилие. Даже в тех категориях, которые обычно труднее поддаются взлому, таких как дезинформация и членовредительство, показатели успеха оставались на уровне около 80%. В более сложных областях, таких как ненормативная лексика и незаконные действия, показатели успеха по-прежнему превышали 40%. Такая высокая эффективность подчеркивает способность атаки использовать уязвимости в том, как LLM поддерживают контекст и делают выводы, выявляя значительные пробелы в текущих усилиях по согласованию моделей.

Механика атаки с помощью эхо-камеры использует логический процесс модели: изначально благоприятные исходные данные постепенно приводят к пагубным последствиям, образуя цикл обратной связи, который заставляет модель усиливать заложенный подтекст и постепенно ослаблять свои защитные механизмы. Атака может быть выполнена с минимальным количеством интерактивных действий, часто достигая своих целей всего за три обмена сообщениями, что является заметным улучшением по сравнению с существующими методами джейлбрейка, которые обычно требуют десяти или более взаимодействий.

Более того, модульная конструкция атаки позволяет комбинировать ее с другими методами джейлбрейка, повышая ее эффективность. Последствия атаки Echo Chamber предполагают смену парадигмы защиты от подобных угроз, подчеркивая необходимость рассматривать согласование как многоэтапный, зависящий от контекста процесс. По мере того как магистры становятся более искусными в логическом мышлении, они одновременно становятся более восприимчивыми к косвенным манипуляциям, что указывает на необходимость переоценки мер безопасности искусственного интеллекта. В исследовании подчеркивается, что будущее безопасного искусственного интеллекта будет зависеть не только от того, какие входные данные получают модели, но и от того, что эти модели выводят, запоминают и во что их заставляют верить в условиях манипулятивного контекста.

#ParsedReport #CompletenessLow
28-06-2025

EagleSpy v5 RAT Promoted by Hacker for Stealthy Android Access

https://gbhackers.com/eaglespy-v5-rat-promoted-by-hacker-for-stealthy-android-access/

Report completeness: Low

Threats:
Eaglespy
Sainbox_rat
Password_spray_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1055, T1056.001, T1059.004, T1110.001, T1110.003, T1110.004, T1111, T1192, T1204.002, T1409, have more...

Soft:
Android, Google Play, Twitter, WhatsApp, linux, tiktok, deepseek

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EagleSpy v5 - это усовершенствованный Android-RAT, который обеспечивает всесторонний контроль над устройствами, используя методы обхода мер безопасности, мониторинг в режиме реального времени и возможности кражи данных. Он распространяется через вредоносные APK-файлы из неофициальных источников, позволяя злоумышленникам использовать уязвимости и получать конфиденциальную информацию, включая фразы о криптовалютных кошельках.
-----

EagleSpy v5 - это сложный троян для удаленного доступа (RAT), нацеленный на устройства Android и предоставляющий злоумышленникам полный контроль над скомпрометированными системами. Этот набор вредоносных программ включает в себя множество функций, включая прямую трансляцию с экрана, ведение кейлогга и доступ к камерам устройств и микрофонам для записи в режиме реального времени, а также GPS-трекинг, позволяющий отслеживать местоположение в режиме реального времени. Он также предоставляет возможности управления файлами для загрузки, скачивания и удаления файлов, а также чтения журналов вызовов и SMS-сообщений. Функции управления приложениями распространяются на удаленную установку и удаление приложений, в то время как дополнительные модули позволяют перехватывать данные из буфера обмена и выполнять банковские операции. Кроме того, он обладает возможностями программы-вымогателя, которые дополняют его профиль угрозы.

Одной из наиболее важных характеристик EagleSpy v5 является его способность обходить механизмы обнаружения, в частности Google Play Protect и другие антивирусные решения, что значительно затрудняет жертвам идентификацию и удаление вредоносного ПО. В RAT встроены передовые методы уклонения, в том числе наложение черного экрана, предназначенное для маскировки вредоносных действий. Он использует специальные службы Android для использования уязвимостей, что позволяет обходить новые меры безопасности, введенные в Android 13. Вредоносная программа также может захватывать конфиденциальную информацию, такую как скриншоты секретных фраз из 12 слов, обычно используемых для защиты криптовалютных кошельков, что создает значительный риск для цифровых активов пользователей.

EagleSpy v5 обычно распространяется с помощью вредоносных APK-файлов, которые маскируются под законные приложения. Эти файлы распространяются через неофициальные магазины приложений, фишинговые кампании и платформы социальных сетей, включая TikTok. После установки шпионское ПО работает скрытно в фоновом режиме, отправляя конфиденциальную информацию обратно на удаленный сервер управления, контролируемый злоумышленником. Продвижение EagleSpy v5 отдельными лицами из сообществ киберпреступников указывает на тревожную тенденцию в изменении ландшафта угроз для пользователей Android, демонстрируя как сложность вредоносного ПО, так и текущие проблемы в области кибербезопасности. Пользовательский интерфейс, которым поделился известный промоутер, отличается продуманным дизайном, облегчающим злоумышленникам навигацию и предоставляющим доступ к различным модулям для использования.

#ParsedReport #CompletenessHigh
28-06-2025

On the other side of the door. We explore the attacks of the ROOM155 group

https://www.f6.ru/blog/room155/

Report completeness: High

Actors/Campaigns:
Darkgaboon (motivation: cyber_criminal)

Threats:
Xworm_rat
Revenge_rat
Avemaria_rat
Venomrat
Darktrack
Dcrat
Lockbit
Stealerium_stealer
Cryptoclipper
Hvnc_tool
Anydesk_tool
Dotnet_reactor_tool
Darktrack_rat
Themida_tool
Keilger
Quasar_rat
Blackmatter

Victims:
Financial organizations, Transport companies, Retail companies, Industry companies, Logistics companies, Construction companies, Housing and communal services, Medicine companies, Tourism companies, It companies, have more...

Industry:
Logistic, Retail, Healthcare, Financial, Foodtech

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1021.002, T1027, T1036.003, T1056.001, T1056.002, T1059.001, T1071.001, T1071.004, T1082, have more...

IOCs:
File: 18
Domain: 31
Hash: 126
Email: 4
Url: 2
IP: 13
Coin: 5

Soft:
Windows Runtime, Microsoft JScript, NET Reactor, NET FRAMEWORK, Chrome, Firefox, Telegram, Discord, Steam

Wallets:
zcash

Crypto:
ethereum

Algorithms:
md5, gzip, zip

Languages:
autoit, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Финансово мотивированная киберпреступная группировка ROOM155 атакует российские компании с помощью фишинга и вредоносных программ, таких как Revenge RAT и XWorm. Они используют динамические серверы C2 и маскируют вредоносные файлы двойными расширениями, ориентируясь на финансовые организации и применяя такие тактики, как вымогательство с помощью Lockbit 3.0. Их действия указывают на сложную инфраструктуру и методы сохранения вредоносных программ для утечки конфиденциальных данных.
-----

Группа ROOM155, также известная как DarkGaboon и Vengeful Wolf, является финансово мотивированной киберпреступной организацией, которая действует с 2022 года, в основном нацеливаясь на российские сектора. Их методы включают в себя изощренные фишинговые атаки с использованием вредоносных вложений, таких как архивы, содержащие вредоносное ПО, и документы, которые кажутся законными. Известные вредоносные программы, используемые группой, включают Revenge RAT, XWorm, Avemaria RAT, Darktrack, DCRAT и Venomrat, которые рассылаются по электронной почте и предназначены для обмана пользователей, чтобы заставить их запускать вредоносные файлы.

Группа использует широкий спектр серверов управления (C2), в частности rampage.myvnc.com, который, как сообщается, с середины 2023 года является основной инфраструктурой для размещения различных типов вредоносных программ. К конкретным примерам вредоносных файлов относятся 0968498486.TMP.EXE (XWorm), а также примеры, указывающие на использование уязвимостей в законных финансовых ресурсах для привлечения жертв. Злоумышленники также используют различные расширения файлов и двойные рассылки, такие как .pdf.scr и .xlsx.scr, для маскировки исполняемых файлов, что еще больше повышает их шансы на успешное проникновение.

В своей деятельности группа предпочитает атаковать финансовые организации (51%), за которыми следуют транспорт, розничная торговля и промышленность. Их тактика заключается в шифровании файлов жертв с использованием версии Lockbit 3.0 и требовании выкупа, что указывает на структурированный и настойчивый подход к стратегиям атак. Зашифрованные файлы часто содержат уникальные расширения, связанные с деятельностью группы, что свидетельствует о постоянном расширении возможностей и инфраструктуры вредоносных программ.

В ROOM155 используется динамический DNS, который объединяет несколько типов вредоносных программ с общими конфигурациями, что свидетельствует о высоком уровне операционной сложности. Например, было обнаружено, что задокументированные образцы вредоносных программ взаимодействуют с одним и тем же сервером C2, что указывает на скоординированные усилия по управлению их преступными операциями, оставаясь при этом незамеченными.

Анализ их инфраструктуры показал, что группа регистрирует домены для облегчения маскировки своих атак. Документально подтвержденные механизмы сохранения данных включают изменения в реестре для обеспечения повторного запуска вредоносного ПО после перезагрузки системы. Кроме того, выяснилось, что злоумышленники подписывают вредоносные двоичные файлы поддельными сертификатами X.509, что повышает легитимность их полезной нагрузки.

Инструменты, используемые ROOM155, такие как Revenge RAT, предлагают широкие возможности для фильтрации данных, обеспечивая доступ к веб-камерам и микрофонам, а также используя функции для управления процессами, сбора нажатий клавиш и извлечения конфиденциальной информации из браузеров. Таким образом, ROOM155 является примером современного хакера, использующего передовые технологии, устойчивую инфраструктуру и различные вредоносные программы для эксплуатации организаций в первую очередь с целью получения финансовой выгоды. Постоянная бдительность и передовые системы обнаружения необходимы для смягчения последствий действий таких организованных хакеров.

#ParsedReport #CompletenessLow
28-06-2025

Inside the Shadows: Understanding Active Iranian APT Groups

https://www.picussecurity.com/resource/blog/understanding-active-iranian-apt-groups

Report completeness: Low

Actors/Campaigns:
Apt33 (motivation: cyber_espionage)
Oilrig (motivation: cyber_espionage)
Tracer_kitten
Charming_kitten
Irgc
Apt42 (motivation: cyber_espionage)
Muddywater (motivation: cyber_espionage, hacktivism)
Fox_kitten (motivation: cyber_espionage, sabotage)
Tortoiseshell
Cyberav3nger (motivation: propaganda, hacktivism)
Blackshadow
Void_manticore (motivation: hacktivism)
Nemesis_kitten (motivation: hacktivism)
Mosesstaff (motivation: propaganda, information_theft)
Greencharlie (motivation: cyber_espionage)
Ghostemperor
Lazarus
Remix_kitten
Copykittens
Darkhydrus
Siamesekitten
Leafminer
Rocket_kitten
Ferocious_kitten

Threats:
Stuxnet
Credential_harvesting_technique
Spear-phishing_technique
Dropshot
Turnedup
Dns_tunneling_technique
Quadagent
Powgoop
Redrum
Mimikatz_tool
Supply_chain_technique
Syskit
Apostle
Deadwood
Foudre

Victims:
Think tanks, Academic institutions, Dissident communities, Journalists, Researchers, Human rights activists, Government officials, Aerospace organizations, Energy organizations, Defense organizations, have more...

Industry:
Military, Aerospace, Telco, Education, Critical_infrastructure, Ngo, Government, Energy

Geo:
Korea, Iran, Middle east, Israel, Chinese, Asia, Israeli, Russian, Saudi arabia, Iranian

CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19060)
- microsoft windows_10_1607 (<10.0.14393.4651)
- microsoft windows_10_1809 (<10.0.17763.2183)
- microsoft windows_10_1909 (<10.0.18363.1801)
- microsoft windows_10_2004 (<10.0.19041.1237)
have more...

ChatGPT TTPs:
do not use without manual check
T1021.001, T1055, T1059.001, T1071.004, T1078, T1102, T1110, T1113, T1114, T1136.001, have more...

IOCs:
File: 1

Soft:
Telegram, Microsoft Office, macOS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские кибероперации превратились в изощренные, спонсируемые государством группы APT, нацеленные на организации, отвечающие национальным интересам. Ключевыми участниками являются Tracer Kitten, который использует шпионский фишинг и сбор учетных данных, и APT 35, который использует уязвимости программного обеспечения для атак социальной инженерии. Другие группы, такие как APT 33 и OilRig, специализируются на кибершпионаже и внедрении вредоносных программ, демонстрируя целый ряд тактик и приемов, адаптированных к конкретным геополитическим целям.
-----

За последнее десятилетие иранские кибероперации значительно расширились, став более изощренными и отвечающими национальным интересам. Хакеры, спонсируемые государством, связаны с иранской разведкой и военными структурами. Наращивание кибервозможностей началось после атаки Stuxnet в 2010 году.

Tracer Kitten занимается подводной охотой и сбором учетных данных, нацеливаясь на западные аналитические центры, академические учреждения и диссидентов. Magic Hound (APT 35) проводит атаки с использованием социальной инженерии против журналистов и активистов, используя уязвимости, подобные CVE-2021-40444.

APT 33 (Elfin или Magnallium) нацелен на шпионаж в аэрокосмическом, энергетическом и оборонном секторах, используя пользовательские вредоносные программы, такие как DropShot и TurnedUp. OilRig (APT 34) нацелен на финансовый и правительственный секторы, используя модульные вредоносные программы и инструменты PowerShell.

APT 42 нацелен на диссидентов и критически важные учреждения с помощью облачных платформ и фишинга учетных данных. MuddyWater занимается шпионажем и подрывной деятельностью, используя PowerShell и вредоносные программы-вымогатели Thanos.

Parisite использует уязвимости пограничной инфраструктуры для доступа к сети и обеспечения долговременной устойчивости. Tortoiseshell компрометирует поставщиков ИТ-услуг, чтобы получить доступ к оборонным и энергетическим организациям. Agrius проводит деструктивные атаки wiper, замаскированные под программы-вымогатели.

Министерство юстиции США сочетает тактику вымогателей с хактивизмом. Сотрудники Moses обвиняют израильские организации в краже данных и пропаганде. GreenCharlie специализируется на кибершпионаже на Ближнем Востоке, но требует дополнительной информации.

Операции иранских APT могут быть адаптированы к геополитической напряженности и оборонительным достижениям. Организациям следует смоделировать сценарии атак, чтобы протестировать защиту от тактики иранских APT.