#ParsedReport #CompletenessMedium
01-07-2025

DCRAT Impersonating the Colombian Government

https://www.fortinet.com/blog/threat-research/dcrat-impersonating-the-columbian-government

Report completeness: Medium

Threats:
Dcrat
Steganography_technique
Credential_harvesting_technique

Victims:
Colombian government entity, Organizations

Industry:
Government

Geo:
Colombian, Columbia, Colombia

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.003, T1033, T1053.005, T1055, T1059.001, T1059.003, T1059.005, T1071.001, have more...

IOCs:
Path: 2
IP: 2
Coin: 1
Command: 2
Registry: 3
File: 4
Url: 3
Hash: 4

Algorithms:
base64, zip, sha256, md5, aes-256

Functions:
InitializeSettings, CreateMutex, Install

Win API:
RtlSetProcessIsCritical, SetThreadExecutionState, AmsiScanBuffer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака на основе электронной почты с использованием трояна удаленного доступа (RAT) DCRAT нацелена на колумбийские организации и использует методы обфускации, чтобы избежать обнаружения. DCRAT обладает модульной архитектурой для индивидуальных вредоносных операций, включая кражу данных и слежку, сохраняя при этом устойчивость за счет изменения системных настроек и отключения антивирусной защиты. Он использует фишинг для доставки вредоносной полезной нагрузки и подключается к серверам управления для постоянного устранения угроз.
-----

Команда FortiMail IR выявила сложную атаку на электронную почту, связанную с распространением троянской программы удаленного доступа (RAT) под названием DCRAT, предназначенной специально для организаций в Колумбии и выдававшей себя за государственное учреждение Колумбии. В ходе атаки используется множество методов обфускации, включая защищенные паролем архивы, стеганографию, кодирование в формате base64 и многократное удаление файлов, чтобы избежать обнаружения и повысить эффективность.

Архитектура DCRAT является модульной, что позволяет злоумышленникам настраивать ее функциональность с помощью различных плагинов. Эта модульность позволяет выполнять индивидуальные операции, направленные на кражу данных, слежку или обеспечение сохранности в скомпрометированных системах. Среди ключевых возможностей DCRAT - удаленное управление зараженными устройствами, выполнение команд, управление файлами и мониторинг активности пользователей. Кроме того, он может загружать и запускать новые полезные приложения, манипулировать системными настройками и изменять визуальные элементы на зараженном компьютере. Вредоносная программа может управлять файлами — создавать, удалять, переименовывать или передавать их по мере необходимости — и осуществлять сбор данных браузера и учетных данных, в частности, нацеливаясь на сохраненные данные, такие как файлы cookie и сохраненные логины.

Механизм доставки DCRAT использует тактику фишинга, при которой злоумышленник отправляет электронное письмо, предназначенное для того, чтобы обманом заставить пользователя выполнить вредоносное вложение. Процесс использования, инициированный электронной почтой, включает запуск исполняемого файла, который подключается к набору запутанных скриптов, размещенных на внешних платформах, и в конечном итоге запускает библиотеку .NET, скрытую в файле изображения, с помощью стеганографии.

Критически важным для функциональности DCRAT является его способность поддерживать постоянство. Он проверяет наличие административных привилегий и пытается зарегистрироваться как критически важный системный процесс, вызывая ошибку синего экрана при попытке завершить его. Если он обнаруживает, что у него нет прав администратора, он создает запись в реестре, обеспечивая непрерывность запуска. Кроме того, RAT использует интерфейс Windows Antimalware Scan Interface (AMSI) для отключения антивирусной защиты с помощью внедрения функций, что позволяет в дальнейшем избежать обнаружения.

После установки DCRAT пытается подключиться к своему командно-контрольному серверу (C2), используя жестко заданный адрес, но также способный к динамическому поиску по указанному URL. Характер этих постоянных подключений подчеркивает постоянную угрозу, исходящую от этого RAT, и указывает на потенциальную возможность существенного компрометирования информации в целевых системах.

#ParsedReport #CompletenessLow
01-07-2025

Threat Report: Smishing Triad

https://www.silentpush.com/white-papers-and-reports/threat-report-smishing-triad/

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Victims:
Hsbc, Paypal, Mastercard, Bank of america, Chase

Industry:
Transport, Financial

Geo:
Chinese, America

ChatGPT TTPs:
do not use without manual check
T1204, T1566.001, T1566.002, T1583.006

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Smishing Triad - это фишинговая операция с использованием SMS-сообщений для выдачи себя за финансовые бренды, проводимая китайскими хакерами и действующая в 121 стране. Она нацелена на крупные финансовые учреждения и использует тактику извлечения конфиденциальной информации с помощью мошеннических сообщений, для эффективного выполнения которой используются фишинговые наборы. Эффективные меры противодействия включают в себя обучение пользователей и мониторинг на наличие признаков рассылки сообщений.
-----

Smishing Triad - это сложная фишинговая операция, которая использует SMS-сообщения для выдачи себя за известные финансовые и транспортные бренды, впервые обнаруженная в 2023 году. Эта кампания быстро превратилась в хорошо организованную экосистему, в основном управляемую китайскими хакерами. Она значительно расширила свой охват и в настоящее время действует более чем в 121 стране, при этом заметный рост активности наблюдается в Азиатско-Тихоокеанском регионе.

Основными целями Smishing Triad являются крупные финансовые организации, включая такие известные учреждения, как HSBC, PayPal, Mastercard, Bank of America и Chase. В ходе операции используются различные методы атаки, направленные на то, чтобы обманом заставить отдельных лиц разглашать конфиденциальную личную и финансовую информацию посредством мошеннических сообщений, которые кажутся законными.

Инфраструктура, поддерживающая эту кампанию, включает в себя различные фишинговые наборы, которые разрабатываются и распространяются для облегчения проведения таких атак. Эти наборы упрощают процесс для злоумышленников, позволяя им эффективно создавать кампании и управлять ими, которые могут быть нацелены на несколько жертв в разных регионах одновременно.

Эффективные контрмеры требуют понимания тактики, методов и процедур кампании (TTP). Специалистам по безопасности рекомендуется внедрять действенные стратегии смягчения последствий, которые могут включать обучение пользователей распознаванию попыток рассылки SMS-сообщений, внедрение сложных инструментов фильтрации SMS-сообщений и постоянный мониторинг общих признаков компрометации, связанных с этими атаками. Операция Smishing Triad иллюстрирует меняющийся ландшафт хакерских атак, особенно в секторе финансовых услуг, что требует от организаций по всему миру повышенной осведомленности и проактивной защиты.

#ParsedReport #CompletenessMedium
01-07-2025

10 Things I Hate About Attribution: RomCom vs. TransferLoader

https://www.proofpoint.com/us/blog/threat-insight/10-things-i-hate-about-attribution-romcom-vs-transferloader

Report completeness: Medium

Actors/Campaigns:
Ta829 (motivation: financially_motivated, cyber_criminal, information_theft, cyber_espionage)
Unk_greensec (motivation: cyber_criminal, cyber_espionage)
Void_rabisu
Ta505

Threats:
Romcom_rat
Transferloader
Snipbot
Dustyhammock
Morpheus
Putty_tool
Plink_tool
Metasploit_tool
Slipscreen
Damascened_peacock
Rustyclaw
Meltingclaw
Com_hijacking_technique
Shadyhammock
Hellcat
Danabot
Sunseed

Industry:
Healthcare, Government

Geo:
Ukraine, North korea, America, Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1055.001, T1059.003, T1070.004, T1071.001, T1090, T1105, T1486, T1547.001, have more...

IOCs:
File: 11
Registry: 3
Domain: 106
Hash: 18

Soft:
Windows Registry, WordPress, NGINX, Ubuntu

Algorithms:
sha1, base32, sha256, aes, xor

Win API:
LoadLibraryA

Languages:
php, javascript, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA829 - это гибридный киберпреступник, использующий такие инструменты, как бэкдор RomCom для шпионажа и киберпреступности, фишинг с использованием вредоносных программ SingleCamper и DustyHammock, а также эксплойты нулевого дня. UNK_GreenSec, наблюдавшийся во время стагнации TA829, использует TransferLoader для более широких кампаний, что указывает на потенциальное дублирование тактики и инфраструктуры, усложняющее идентификацию хакеров, поскольку оба кластера размывают границы между киберпреступностью и шпионажем.
-----

TA829 участвует в шпионаже и киберпреступной деятельности, используя инструменты из бэкдора RomCom. Эта группа продемонстрировала взаимодействие с другим кластером, UNK_GreenSec, что указывает на возможные связи в инфраструктуре и вредоносное ПО. В своей деятельности TA829 придерживается баланса между финансовыми мотивами и государственным шпионажем, особенно под влиянием таких геополитических событий, как вторжение в Украину.

TA829 регулярно обновляет вредоносное ПО, использует разнообразную инфраструктуру доставки и автоматизированные методы уклонения. В их фишинговых кампаниях используются вредоносные программы SingleCamper и DustyHammock, часто использующие эксплойты нулевого дня. Недавние кампании подделывают законные сервисы, такие как OneDrive и Google Drive, используя запутывание и скомпрометированные устройства для ретрансляции сообщений.

UNK_GreenSec продемонстрировала уникальную тактику работы, используя загрузчик вредоносных программ TransferLoader для крупномасштабных кампаний, которые могут устанавливать программы-вымогатели. Их кампании имеют более широкий географический таргетинг и другие приманки по сравнению с TA829. Оба участника используют скомпрометированные маршрутизаторы MikroTik и прокси-сервисы REM для доставки электронной почты, но отличаются спецификой полезной нагрузки и характеристиками заражения.

TransferLoader использует передовые методы обхода, включая динамически разрешаемые хэши API и строгую проверку имен файлов, чтобы избежать обнаружения. Тщательная разработка цепочек заражения скрывает его функции и обеспечивает тщательный контроль после заражения. Размытие границ между киберпреступностью и шпионажем усложняет поиск разведывательных данных и отслеживание действий обеих групп.

#ParsedReport #CompletenessLow
01-07-2025

DEVMAN Ransomware: Analysis of New DragonForce Variant

https://any.run/cybersecurity-blog/devman-ransomware-analysis/

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Devman
Dragonforce_ransomware
Eldorado_ransomware
Embargo_ransomware
Conti
Shadow_copies_delete_technique
Netutils

Geo:
Latin america, Africa, Asia

TTPs:

IOCs:
File: 3
Registry: 1
Hash: 2

Algorithms:
sha256, md5

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Версия программы-вымогателя DEVMAN напоминает DragonForce, используя ее модель RaaS с уникальными изменениями, усложняющими установление авторства. В ней используются такие методы, как проверка теневого копирования томов и выборочное шифрование расширений файлов, что указывает на оперативные связи с предыдущими платформами-вымогателями, такими как Conti.
-----

Недавние разработки в области программ-вымогателей выявили появление новых разновидностей, которые часто являются ответвлениями известных семейств. Одним из таких примеров является вариант, напоминающий программу-вымогателя DragonForce, но с отличительными чертами, указывающими на участие нового хакера под названием DEVMAN. Этот вариант, по-видимому, использует код DragonForce, привнося при этом уникальные черты, которые предполагают стратегическое отличие от его предшественника. Примечательно, что DEVMAN использовала в своей деятельности модель DragonForce "Программа-вымогатель как услуга" (RaaS), позволяющую аффилированным лицам создавать индивидуальные производные от оригинального вредоносного ПО.

В одном конкретном инциденте участники DragonForce опубликовали удаленный env-файл от цели на своем выделенном сайте утечек (DLS) в Tor, демонстрируя свою оперативную тактику. Вариант DEVMAN, который имеет сходство с DragonForce и который антивирусные системы часто ошибочно принимают за вариант Conti, демонстрирует уникальное измененное поведение, требующее более тщательного изучения. Вредоносная программа использует расширение файла .DEVMAN для зашифрованных данных, сохраняя при этом большую часть своей кодовой базы DragonForce, что затрудняет точную идентификацию. Несмотря на то, что вредоносные действия в основном происходят в автономном режиме без подключения к системе управления Observe (C2), были отмечены случаи проверки блокировки сообщений сервера (SMB).

Поведение варианта DEVMAN включает в себя несколько методов подписи; он проверяет наличие теневых копий томов и стратегически избегает шифрования определенных расширений файлов. Такая форма шифрования только заголовками позволяет вредоносному ПО быстро повреждать значительные объемы данных, хотя и в ущерб полноте. Кроме того, взаимодействие с диспетчером перезапуска Windows предполагает методический подход, отражающий возможные следы происхождения от платформы Conti, что свидетельствует о тенденции разработчиков вредоносных программ быстро удалять записи реестра, чтобы свести к минимуму криминалистические следы.

Мьютексы, используемые для координации выполнения, свидетельствуют о соблюдении установленных правил среди семейств программ-вымогателей, связывая поведение DEVMAN с его предшественниками. Это также демонстрирует потенциал для совершенствования операционной деятельности и показывает, как новые участники могут научиться применять тактику вымогателей. Сложности варианта DEVMAN сигнализируют о более широких тенденциях в экосистеме программ-вымогателей, где новые участники склонны повторно использовать и модифицировать существующие кодовые базы.

В конечном счете, хотя версия DEVMAN, возможно, и не отличается существенными инновациями по сравнению со своей предшественницей, ее операционные схемы и внедрение норм цифровой коммуникации отражают эволюционную динамику разработки программ-вымогателей. Запутанные характеристики этого вредоносного ПО подчеркивают трудности, с которыми сталкиваются аналитики в области безопасности при распознавании и устранении ранее не замеченных мутаций в программах-вымогателях, что требует использования надежных инструментов расследования, таких как интерактивные "песочницы", для более эффективного анализа угроз.

#ParsedReport #CompletenessMedium
01-07-2025

CyberSOC Insights: Identification and Tracking of a Black Basta-linked Attack Campaign

https://www.orangecyberdefense.com/global/blog/managed-detection-response/cybersoc-insights-identification-and-tracking-of-a-black-basta-linked-attack-campaign

Report completeness: Medium

Threats:
Blackbasta
Darkgate
Qakbot
Lumma_stealer
Email_bombing_technique
Microsoft_quick_assist_tool
Screenconnect_tool
Anydesk_tool
Process_injection_technique
Lolbin_technique
Teamviewer_tool

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1055, T1056.001, T1059.001, T1059.003, T1105, T1204.002, T1219, have more...

IOCs:
File: 29
Path: 4
Command: 2
Domain: 2
Url: 2

Soft:
Microsoft Teams, Microsoft Defender, curl, Steam, Office 365, Microsoft Defender for Endpoint

Algorithms:
zip

Functions:
count

Languages:
java, autoit, powershell

Links:
have more...
https://github.com/D4RK-R4BB1T/BlackBasta-Chats

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2024 года операторы программ-вымогателей Black Basta осуществили кибератаки с использованием электронной почты и социальной инженерии с помощью Microsoft Teams, используя вредоносное ПО DarkGate для заражения. Атаки начались со значительного объема спама по электронной почте, за которым последовали сеансы быстрой помощи при развертывании вредоносных программ, таких как DarkGate и Lumma Stealer, что свидетельствует об организованной тактике и устойчивости к обнаружению. Организациям рекомендуется внедрять многоуровневую систему безопасности, включая строгие политики RMM и расширенные конфигурации Microsoft Teams.
-----

В декабре 2024 года организация Orange Cyberdefense CyberSOC задокументировала серию кибератак, которые в первую очередь использовали тактику взлома электронной почты для установления контакта с жертвами, а затем использовали методы социальной инженерии с помощью Microsoft Teams. Этот метод связан с операторами-вымогателями Black Basta, которые все чаще используют вредоносное ПО DarkGate в качестве основного источника заражения после демонтажа серверов QBot в 2023 году. В этих инцидентах проявилась заметная закономерность, когда первое предупреждение обычно появлялось как уведомление Microsoft Defender для облачных приложений о подозрительных действиях команд, часто с использованием тактики олицетворения с отображаемыми именами, такими как "Менеджер службы поддержки"..

На начальных этапах атак наблюдался значительный рост количества спам-рассылок, в результате одного из зафиксированных инцидентов в течение получаса было отправлено около 200 спам-рассылок. Вскоре после этой атаки хакеры вступили в контакт с жертвами, чтобы организовать сеанс быстрой помощи для облегчения дальнейшей эксплуатации. Этот сеанс позволил получить защищенный паролем ZIP-архив, содержащий множество полезных вредоносных программ, в том числе DarkGate и Lumma Stealer, а также инструменты для сбора учетных данных.

Вредоносная программа DarkGate, запущенная вскоре после доставки ZIP-архива, установила устойчивость за счет внесения изменений в реестр и почти сразу же начала вести кейлоггинг. Ее операции по управлению (C2) включали многочисленные попытки подключения к различным доменам, что продемонстрировало устойчивость вредоносной программы к обнаружению и блокировке. Кроме того, злоумышленники предприняли значительные усилия для обхода механизмов защиты конечных точек, которые включали попытки повторной доставки с помощью различных средств, таких как PowerShell и другие скриптовые интерфейсы.

Lumma Stealer также присутствовал в полезных приложениях, но продемонстрировал ограниченные возможности из-за защиты окружающей среды, ограничивающей подключение к его C2, встроенному в профиль сообщества Steam. Злоумышленники также использовали инструмент под названием ScreenConnect для обеспечения повышенных привилегий, используя его функциональные возможности для запуска вредоносных скриптов незамеченными. Утечка сообщений между участниками Black Basta выявила скоординированный подход, включающий рассылку спама и социальную инженерию, что иллюстрирует организованную структуру атаки.

Для защиты от подобных атак организациям настоятельно рекомендуется внедрять многоуровневую стратегию безопасности, включающую строгие правила использования инструментов удаленного мониторинга и управления (RMM). В число рекомендаций входит настройка Microsoft Teams для ограничения взаимодействия с внешними пользователями и применение строгих белых списков для одобренных доменов. Кроме того, внедрение комплексных решений по обнаружению угроз и непрерывный мониторинг в сети организации необходимы для обнаружения атак и реагирования на них в режиме реального времени. Интеграция функций безопасности, таких как Microsoft Defender, на различных платформах может помочь в выявлении различных этапов цепочки кибератак, связанных с такими сложными методами атаки.

#ParsedReport #CompletenessLow
01-07-2025

Jasper Sleet: North Korean remote IT workers evolving tactics to infiltrate organizations

https://www.microsoft.com/en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltrate-organizations/

Report completeness: Low

Actors/Campaigns:
Famous_chollima (motivation: information_theft)
Moonstone_sleet
Storm-1877
Void_blizzard

Threats:
Teamviewer_tool
Anyviewer_tool
Anydesk_tool

Victims:
Us companies, Fortune 500 companies, Government agencies, Microsoft customers, Organizations globally

Industry:
Software_development, Telco, Government, Logistic, Transport, Financial

Geo:
Korea, Chinese, Russian, Russia, North korean, Korean, Dprk, China, North korea

ChatGPT TTPs:
do not use without manual check
T1021.001, T1059, T1070.004, T1071.001, T1078, T1082, T1087.002, T1110.003, T1136, T1199, have more...

IOCs:
File: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Faceswap, Astrill VPN, Twitter

Languages:
rust

Links:
https://github.com/ondyari/FaceForensics
have more...
https://github.com/jischell-msft/RemoteManagementMonitoringTools

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Удаленные ИТ-работники из Северной Кореи используют искусственный интеллект для улучшения своей работы, что позволяет красть данные и получать доход за счет мошеннических схем трудоустройства. Они создают поддельные удостоверения личности и используют VPN для проникновения в организации, получения доступа к конфиденциальным данным и вымогательства денег у работодателей. Корпорация Майкрософт рекомендует усовершенствовать процессы проверки и постоянного мониторинга для борьбы с этими внутренними угрозами.
-----

Северокорейские удаленные ИТ-работники используют искусственный интеллект для улучшения своих операций по краже данных и получению доходов. Они базируются в основном в Северной Корее, Китае и России и участвуют в мошеннических схемах трудоустройства в сфере ИТ. Эти работники скрывают свою личность, используя VPN, инструменты удаленного мониторинга и сообщников для создания поддельных личностей для выполнения функций, связанных с технологиями, по всему миру. Схема предусматривает систематическое трудоустройство на удаленные ИТ-должности с привязкой к географическому местоположению, часто с использованием украденных или сфабрикованных документов. Они используют инструменты искусственного интеллекта для манипулирования изображениями и программное обеспечение, изменяющее голос, чтобы вводить в заблуждение потенциальных работодателей во время собеседований. Их деятельность расширилась от американских технологических компаний до различных глобальных отраслей. Злоумышленники получают доступ к конфиденциальной интеллектуальной собственности и используют тактику принуждения для вымогательства денег у работодателей под угрозой раскрытия конфиденциальной информации. Сообщается, что в период с 2020 по 2022 год более 300 американских компаний, сами того не подозревая, наняли этих работников. Корпорация Майкрософт отслеживает наличие тревожных сигналов, таких как невозможность поездок, и тщательно изучает использование средств удаленного управления, чтобы нарушить эти операции. Они приостановили работу 3000 учетных записей Microsoft, связанных с подозрительными действиями. Организациям рекомендуется усовершенствовать процессы проверки сотрудников и обеспечить соблюдение протоколов безопасности, связанных со средствами удаленного управления. Постоянный мониторинг и обучение персонала необходимы для противодействия инсайдерским угрозам, исходящим от этих сложных операций.

#ParsedReport #CompletenessLow
02-07-2025

Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign Using Thousands of Websites to Spoof Popular Retail Brands

https://www.silentpush.com/blog/fake-marketplace/

Report completeness: Low

Actors/Campaigns:
Ghostvendors
Steal-it

Threats:
Hermes

Victims:
Apple, Harbor freight tools, Michael kors, Rei, Wayfair, Wrangler jeans, Mastercard, Paypal, Visa, Google pay, have more...

Industry:
Retail, Financial, E-commerce

Geo:
Chinese, Mexican, Kors, Spanish, Mexico, China

ChatGPT TTPs:
do not use without manual check
T1566, T1584

IOCs:
Domain: 11

Platforms:
apple