#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

На этой неделе автоматизированная система анализа RAPIT компании ASEC выявила ряд различных вредоносных программ. Пятью основными категориями вредоносных программ являются загрузчик (54,7%), бэкдор (27,7%), infostealer (12,8%), ransomware (4,6%) и CoinMiner (0,1%). Наиболее часто выявляемой угрозой был Amadey Bot - 43,9% всех обнаружений. Это загрузчик, который может получать команды от злоумышленников для загрузки дополнительных вредоносных программ, а при использовании модулей для кражи информации может собирать учетные данные пользователей в зараженной системе. SmokeLoader является одним из основных способов доставки Amadey. RedLine занял второе место с 15,7% и представляет собой вредоносную программу, похищающую различную информацию, такую как веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК. BeamWinHTTP занял третье место с 7,9% и представляет собой вредоносную программу-загрузчик, распространяемую через PUP-установщик. Эта вредоносная программа обычно устанавливает Garbage Cleaner, а также может загружать и устанавливать другие вредоносные программы.

Четвертым в списке стал njRAT с 6,1%. Этот троян удаленного доступа (RAT) обычно распространяется через фишинговые кампании, часто маскируясь под обычные файлы, такие как взломанные игры или взломанные программы. Наконец, Formbook был обнаружен на пятом месте с 5,0%. Этот похититель информации распространяется в основном через спам по электронной почте и, попав на компьютер, может украсть учетные данные пользователя и различную другую информацию с помощью кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.

#ParsedReport
16-02-2023

Operation Silent Watch: Desktop Surveillance in Azerbaijan and Armenia

https://research.checkpoint.com/2023/operation-silent-watch-desktop-surveillance-in-azerbaijan-and-armenia

Actors/Campaigns:
Silent_watch

Threats:
Oxtarat
Polyglot
Tightvnc_tool
Plink
Portscan_tool
Autoitspy
Trickgate_tool
Wannacry
Rubyminer
Adwind_rat

Industry:
Education, Financial, Government

Geo:
Azerbaijan, Russian, Armenia, Turkish, Belarus, Israel, Azerbaijani

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 27
Path: 6
Domain: 6
Url: 4
Command: 4
IP: 2
Hash: 8

Softs:
curl, curl), (curl, android, microsoft access

Algorithms:
zip

Languages:
php, autoit

Links:
https://github.com/dulldusk/phpfm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В конце 2022 года компания Check Point Research обнаружила вредоносную кампанию, направленную на организации в Армении и использующую новую версию бэкдора под названием OxtaRAT. Вредоносная программа представляет собой полиглот файл, объединяющий скомпилированный AutoIT скрипт и изображение, что позволяет ей выполнять различные вредоносные действия, такие как поиск и извлечение файлов с зараженной машины, запись видео с веб-камеры и рабочего стола, удаленное управление зараженной машиной с помощью TightVNC, установка веб-оболочки, сканирование портов и многое другое. Это первый случай, когда данный угрожающий агент атакует армянские цели, хотя в течение нескольких лет он атаковал правозащитные организации, диссидентов и независимые СМИ в Азербайджане.

Для распространения вредоносного бэкдора OxtaRAT злоумышленники использовали фишинговую рассылку по электронной почте, выдавая себя за журналистов BBC, предлагающих интервью о текущих событиях. Письма содержали ссылку на защищенный паролем RAR-архив, содержащий скомпилированный AutoIT исполняемый файл, который затем загружал основную вредоносную программу с C&C-сервера. Вредоносная программа могла собирать данные о скомпрометированной системе, загружать дополнительные полезные нагрузки и записывать данные с веб-камеры и рабочего стола. Для защиты своей инфраструктуры злоумышленники оградили домены C&C, ограничив доступ к ним машинами, расположенными в Армении.

Атака, вероятно, была проведена азербайджанскими интересами, исходя из последовательных нападений на правозащитников и политических активистов в Азербайджане, а также использования приманок, связанных с продолжающимся конфликтом между Арменией и Азербайджаном. Эволюция инструментов, использованных в кампании, указывает на то, что субъекты угроз поддерживали разработку вредоносного ПО на базе Auto-IT в течение последних семи лет и используют его в кампаниях по слежке, цели которых соответствуют интересам Азербайджана. Эти атаки демонстрируют важность бдительности при борьбе с киберугрозами, поскольку субъекты угроз продолжают совершенствовать свою тактику, чтобы получить доступ к конфиденциальной информации и нарушить ход операций.

#ParsedReport
16-02-2023

Three Cases of Cyber Attacks on the Security Service of Ukraine and NATO Allies, Likely by Russian State-Sponsored Gamaredon

https://blog.eclecticiq.com/three-cases-of-cyber-attacks-on-the-security-service-of-ukraine-and-nato-allies-likely-by-russian-state-sponsored-gamaredon

Actors/Campaigns:
Gamaredon (motivation: government_sponsored, cyber_espionage, cyber_criminal)
Red_delta

Threats:
Html_smuggling_technique
Lotl_technique
Lolbas_technique
Lolbin_technique
Patriot
Qakbot
Plugx_rat

Industry:
Aerospace, Government

Geo:
Russia, Russian, Ukrainian, Latvia, Germany, Latvian, Latvias, Ukraine

CVEs:
CVE-2017-0199 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:

IOCs:
File: 1
Url: 3
Domain: 3

YARA: Found

Links:
https://github.com/eclecticiq/eiq-community-exchange/blob/main/live\_queries/Windows\_Q1000-1999/Q1803.sql
https://github.com/eclecticiq/eiq-community-exchange/blob/main/yara/Windows\_1000-1999/Y1803.yara

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно исследователи EclecticIQ выявили фишинговую кампанию, направленную на Службу безопасности Украины (СБУ) и многочисленных союзников по НАТО, таких как Латвия. Фишинговые письма отправлялись с домена, зарегистрированного на российскую компанию, и содержали вредоносные вложения или ссылки, которые позволяли агенту угрозы обойти средства защиты ОС Windows. Предполагается, что субъектом угрозы является APT-группа Mustang Panda, спонсируемая государством группа кибершпионажа, которая активна с 2018 года.

Злоумышленники использовали несколько тактик, методов и процедур (TTP) для осуществления атаки. Они использовали фишинг копьем с вложением TAR, специально созданный документ Word, который может эксплуатировать CVE-2017-0199, и контрабанду HTML. Фишинговые письма также были заблокированы по географическому признаку, чтобы ограничить загрузку вредоносного файла из других мест.

В одном случае фишинговые письма содержали вредоносный файл ярлыка (LNK), который загружал файл Microsoft HTML Application (HTA) с удаленного URL. Затем этот файл запускался через MSHTA.exe, программу Living Off the Land Binaries (LOLBAS), обычно используемую субъектами угроз для вредоносной деятельности.

В другом случае злоумышленники использовали в качестве приманки компанию Culver Aviation, которая поставляет беспилотные летательные аппараты (БПЛА) украинским войскам в регионе. Злоумышленники создали украиноязычный документ Word, содержащий имя генерального директора Culver Aviations, корпоративный адрес электронной почты и название компании в качестве части приманки. Этот документ был разработан для эксплуатации CVE-2017-0199, что позволяло загружать и выполнять удаленные шаблоны в качестве второго этапа вредоносной программы.

Угрожающий агент также атаковал Министерство обороны Латвии (МО) и других союзников по НАТО, используя технику HTML Smuggling для доставки вредоносного ПО. Электронное письмо выдавало себя за Министерство обороны Украины и использовало доменное имя (admou.org).

APT-группа Gamaredon, приписываемая Федеральной службе безопасности (ФСБ) России, является субъектом угроз, стоящим за этими атаками. Группа проводит кибератаки на украинские государственные структуры с 2014 года и использует методы обфускации, чтобы избежать сканеров антивирусного ПО и шлюзов электронной почты.

#ParsedReport
16-02-2023

WIP26 Espionage \| Threat Actors Abuse Cloud Infrastructure in Targeted Telco Attacks

https://www.sentinelone.com/labs/wip26-espionage-threat-actors-abuse-cloud-infrastructure-in-targeted-telco-attacks

Actors/Campaigns:
Wip26 (motivation: cyber_espionage)
Apt37
Donot
Fancy_bear

Threats:
Cmd365
Cmdember
Chisel_tool
Cobalt_strike
Siestagraph

Industry:
Government, Telco

Geo:
Norway, Pakistani, Korean

IOCs:
Domain: 3
IP: 1
Url: 10
Hash: 5

Softs:
opera, microsoft onedrive

Algorithms:
aes, base64, des

Links:
https://github.com/jpillora/chisel
https://github.com/boku7/azureOutlookC2
https://github.com/step-up-labs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

SentinelLabs в сотрудничестве с QGroup GmbH выявили новый кластер угроз под названием WIP26, который нацелен на телекоммуникационных провайдеров на Ближнем Востоке. WIP26 в значительной степени опирается на публичную облачную инфраструктуру, чтобы избежать обнаружения, выдавая вредоносный трафик за легитимный. Это включает использование бэкдоров под названием CMD365 и CMDEmber, которые используют сервисы Microsoft 365 Mail и Google Firebase для командно-контрольных целей (C2), а также использование экземпляров Microsoft Azure и Dropbox в качестве сайтов для эксфильтрации данных и хостинга вредоносного ПО.

Угрожающие субъекты, стоящие за WIP26, начинают свою деятельность с точного нацеливания на сотрудников через сообщения WhatsApp, содержащие ссылки Dropbox на загрузчик вредоносного ПО. После загрузки и выполнения загрузчика он развертывает два упомянутых бэкдора - CMD365 и CMDEmber. CMD365 - это приложение .NET, замаскированное под PDF-редактор или браузер и подписанное недействительной подписью. Оно использует Microsoft Graph API для взаимодействия с почтовым ящиком Microsoft 365 Mail для C2-коммуникаций и утечки данных. CMDEmber - это приложение .NET, маскирующееся под браузер Opera с недействительной подписью. Оно подключается к экземпляру базы данных Google Firebase Realtime Database и собирает информацию о зараженном компьютере.

Вероятно, мотив этой деятельности связан со шпионажем. Объект угрозы нацелился на частную информацию пользователя и конкретные сетевые узлы, представляющие большую ценность. Были допущены ошибки OPSEC, что позволило получить дополнительное представление об активности WIP26. SentinelLabs продолжает отслеживать кластер угроз WIP26, чтобы получить дальнейшее представление о его развитии, будущей активности и атрибуции.

Тактика, используемая угрозой WIP26, является актуальным примером того, как угрожающие субъекты внедряют инновации в попытках оставаться незаметными и обходить средства защиты. Используя публичную облачную инфраструктуру для размещения вредоносного ПО, утечки данных и C2-целей, они могут придать вредоносному трафику легитимный вид и остаться незамеченными. Важно понимать такие тактики, чтобы лучше защищаться от них, и SentinelLabs прилагает все усилия, чтобы предоставить больше информации о кластере угроз WIP26.

#ParsedReport
16-02-2023

Invitation to a Secret Event: Uncovering Earth Yakos Campaigns

https://www.trendmicro.com/en_us/research/23/b/invitation-to-secret-event-uncovering-earth-yako-campaigns.html

Actors/Campaigns:
Earth_yakos (motivation: information_theft, cyber_espionage)
Restylink
Enelink
Darkhotel
Stone_panda
Duke
Darkhalo
Stellarparticle

Threats:
Mirrorkey
Cobalt_strike
Dll_sideloading_technique
Redleaves
Chches
Noblebaron
Lodeinfo
Trojanspy.win32.transbox.zjjh

Industry:
Government, Energy

Geo:
Japan, Japanese, Taiwan, Asia, Tokyo

CVEs:
CVE-2013-3900 [Vulners]
CVSS V2: 7.6,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft windows xp (-)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
have more...

IOCs:
File: 16
Url: 4
Path: 12
Hash: 2
Domain: 2
IP: 1

Softs:
chrome

Algorithms:
aes, xor, base64, aes-128-cbc, crc-32, aes-128-ecb

Platforms:
x86, intel

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Yako - это кампания кибершпионажа, приписываемая операции RestyLink/EneLink, которая с 2021 года нацелена на исследователей в академических организациях и аналитических центрах Японии. К январю 2023 года Earth Yako разработала ряд новых вредоносных программ и инструментов для осуществления своих атак, включая MirrorKey, TransBox, PlugBox, Dulload и PULink, а также ShellBox. Группа использует для атак электронные письма со ссылками, по которым загружаются вредоносные файлы .zip или .iso, содержащие полезную нагрузку, которая затем используется для кражи данных и файлов. Эти атаки были связаны с другими известными кампаниями, такими как Darkhotel, APT10 и APT29, а также были замечены атаки на отрасли, связанные с международными делами.

Организациям необходимо осознать угрозу Earth Yako и принять меры по защите от атак. Это включает в себя сбор более широкого спектра информации, осуществление постоянного мониторинга и контрмер, а также осмотр поверхностей атак для снижения рисков и последствий компрометации. Поскольку атаки Earth Yako все еще продолжаются, организации должны сохранять бдительность и принимать все необходимые меры для защиты от этой угрозы.

#ParsedReport
16-02-2023

DarkBit Ransomware Targets Israel with Command-Line Options and Optimized Encryption Routines

https://blogs.blackberry.com/en/2023/02/darkbit-ransomware-targets-israel

Threats:
Darkbit

Industry:
Education, Financial, Ics

Geo:
Ukraine, Israel, Iranian, Russian, Pakistan

IOCs:
File: 5
Url: 1
Hash: 1

Softs:
telegram

Algorithms:
aes-256

Languages:
golang

Platforms:
x64

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

DarkBit - это новый вид вымогательского ПО, который недавно атаковал Технион - Израильский технологический институт, один из ведущих исследовательских университетов Израиля. Угрожающий агент, стоящий за этой программой-выкупом, по-видимому, политически мотивирован и включил в записку о выкупе антиизраильскую и антиправительственную риторику, а также упоминания о недавних увольнениях в технологической отрасли. Они потребовали 80 биткойнов (BTC) за расшифровщик, что на момент написания статьи составляет около 1 869 760 долларов США. После первоначальной атаки они также потребовали дополнительный штраф в размере 30% (24 BTC).

DarkBit ransomware использует Advanced Encryption Standard 256-bits (AES-256) в процессе шифрования и поражает широкий спектр типов файлов. У нее есть веб-страница .onion, аккаунт в Telegram и страница в Twitter, содержащая политические сообщения и продвигающая хэштег #HackForGood. В настоящее время Технион проводит мероприятия по ликвидации последствий инцидента, чтобы определить масштаб атаки.

Единственной известной целью этой ransomware пока является Технион - Израильский технологический институт, но в ближайшем будущем могут появиться и другие цели в Израиле. Эксперты по кибербезопасности считают, что эта атака могла быть осуществлена недовольным сотрудником или группой сотрудников, хотя это не может быть подтверждено. Несомненно то, что эта атака показывает, как ransomware все чаще используется в качестве оружия в геополитике. Украина была первым примером этой тенденции, но теперь мы видим ее и в Израиле. Ransomware - это мощный инструмент для субъектов угроз, позволяющий распространять собственную пропаганду, нарушать работу систем и потенциально получать финансовую выгоду в случае уплаты выкупа.

Это не единичный случай: в списке самых разыскиваемых киберугроз ФБР есть еще несколько политически мотивированных угроз от иранских угроз, российских хактивистских групп и NewsPenguin, ранее неизвестного угрожающего субъекта, который нацелился на Пакистан с помощью передовых инструментов шпионажа, а также Hive Ransomware, который заработал 100 миллионов долларов прибыли до того, как ФБР проникло в его сеть.

Очевидно, что ransomware теперь не просто финансовая выгода, а мощное оружие, используемое в геополитических конфликтах. Поэтому в ближайшем будущем следует ожидать увеличения числа атак на выкупное ПО с политической подоплекой.

#ParsedReport
16-02-2023

Frebniis: New Malware Abuses Microsoft IIS Feature to Establish Backdoor

https://symantec-enterprise-blogs.security.com/threat-intelligence/frebniis-malware-iis

Threats:
Frebniis

Geo:
Taiwan

IOCs:
File: 6
Hash: 2

Algorithms:
base64, xor

Functions:
CreateConnect, ReadScoket, CloseScoket, HTTP

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Symantec, поставщик программного обеспечения Broadcom, обнаружила новую вредоносную программу под названием "Frebniis" (Backdoor.Frebniis), которая использует функцию Microsoft Internet Information Services (IIS) для установки бэкдора в целевые системы. Этот вредоносный код был обнаружен при атаках на объекты в Тайване.

Атака Frebniis работает путем внедрения вредоносного кода в память DLL-файла, связанного с функцией IIS под названием Failed Request Event Buffering (FREB). FREB собирает данные и подробности о запросах, такие как IP-адрес и порт отправителя, HTTP-заголовки с cookies и т.д. Вредоносный код перехватывает указатель функции в iisfreb.dll, который вызывается iiscore.dll всякий раз, когда в IIS поступает любой HTTP-запрос от веб-клиента. Затем Frebniis анализирует эти запросы в поисках определенных страниц и параметров для расшифровки и выполнения кода.

Этот код обеспечивает функциональность бэкдора и прокси для отправки и получения данных с других компьютеров. Он также позволяет удаленно выполнять код C#, закодированный в XML-документах. Кроме того, он разработан для скрытности и не сохраняет файлы на диск.

Чтобы использовать эту технику, злоумышленнику необходимо получить доступ к системе Windows, на которой работает сервер IIS, каким-либо другим способом. Хотя точный метод, использованный в данном случае, пока неизвестен, очевидно, что Фребнис демонстрирует сложную атаку, которая может легко обойти меры безопасности. Поэтому организациям важно убедиться в актуальности мер сетевой безопасности и предпринять необходимые шаги для защиты от подобных атак.

#ParsedReport
16-02-2023

Emails purporting to be transport companies distributed as Import Customs Information Submission Guidelines

https://asec.ahnlab.com/ko/47968

Threats:
Cloudeye

Industry:
Transport

Geo:
Korea

IOCs:
Url: 2
Hash: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно компания ASEC подтвердила факт распространения вредоносных электронных писем, выдающих себя за транспортную компанию в Корее. В письме пользователям предлагалось открыть вложенный HTML-файл под предлогом предоставления информации о таможенном оформлении импорта. Этот HTML-файл был назван DHL_KOREA, что указывает на то, что он был распространен среди отечественных пользователей. При попытке войти в систему пользователи были перенаправлены на файл Excel, хранящийся в персональном облачном хранилище OneDrive. Однако файл Excel не мог быть выполнен, так как превышал предельный размер, что затрудняло распознавание фишинговой атаки. Кроме того, было подтверждено еще одно электронное письмо с запросом на подтверждение таможенного оформления. При открытии вложенного файла появлялся экран, замаскированный под PDF, на котором была ссылка на URL-адрес, откуда загружалась вредоносная программа GuLoader при действительном соединении.

#ParsedReport
16-02-2023

ALTOUFAN TEAM Targets the Middle East

https://blog.cyble.com/2023/02/16/altoufan-team-targets-the-middle-east

Actors/Campaigns:
Altoufan (motivation: politically_motivated, hacktivism)
Wayback

Threats:
Mosesstaff

Industry:
Government, Aerospace, Financial

Geo:
Bahraini, Bahrainis, Bahrains, Iranian, Israel, Bahrain, Israeli

TTPs:
Tactics: 1
Technics: 0

Softs:
telegram, instagram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Threat Actor (TA) ALTOUFAN TEAM провела кампанию против бахрейнских и израильских веб-сайтов в знак протеста против нормализации отношений между двумя странами. 14 февраля 2023 года группа объявила об успешном взломе Организации социального страхования (SIO), Бахрейн, на своей учетной записи в Twitter и канале Telegram. Хактивистская группа разместила видео, демонстрирующее использование украденных учетных данных для входа на портал работодателей социального страхования Бахрейна и изменения базовой заработной платы. Затем они атаковали сайт аэропорта Бахрейна, сайт Национальной финансовой и биржевой компании и сайт Бахрейнского информационного агентства.

ALTOUFAN - политически мотивированная хактивистская группа с антисионистскими, антимонархическими и про-февральскими настроениями. Они используют логотип кулака и иконографию, похожую на иранские хактивистские группы Moses Staff и Abrahams Ax, и поддерживают свое присутствие на таких платформах социальных сетей, как Instagram, YouTube, Twitter и Telegram. Их атаки направлены на распространение своих идей, потерю доходов, репутационный ущерб, кампании по дезинформации и продвижение своих политических программ.

Атаки группы ТА ALTOUFAN TEAM демонстрируют, как политически мотивированные хактивисты могут вызывать нарушения и наносить ущерб через киберпространство. В данном случае она была использована для выражения неодобрения нормализации отношений между Бахрейном и Израилем. Организациям важно сохранять бдительность и осведомленность о подобных угрозах и принимать соответствующие меры для защиты от потенциальных атак.

Не думал, что TI-отчеты придется цензурировать ... но все к этому идет.

Пока решил оставить отчеты в таком формате. Через неделю проведем опрос и по результатам решим что делать дальше.

К вопросу о выделении TTP из текста отчета через ChatGPT.
Без дообучения это не работает. (модель Davinci)

Вот пример последнего отчета, который создан людьми. Кажется, что AI с переводом не так уж и плохо справились (https://t.me/aptreports/2771).