#ParsedReport
28-02-2023
Blackfly: Espionage Group Targets Materials Technology
https://symantec-enterprise-blogs.security.com/threat-intelligence/blackfly-espionage-materials
Actors/Campaigns:
Axiom (motivation: cyber_espionage)
Threats:
Credential_dumping_technique
Screen_shotting_technique
Process_hollowing_technique
Mimikatz_tool
Plugx_rat
Shadowpad
Industry:
Healthcare, Telco, Entertainment, Foodtech, Financial
Geo:
Asian, Asia, Chinese, China
IOCs:
File: 6
Hash: 18
Path: 3
Links:
28-02-2023
Blackfly: Espionage Group Targets Materials Technology
https://symantec-enterprise-blogs.security.com/threat-intelligence/blackfly-espionage-materials
Actors/Campaigns:
Axiom (motivation: cyber_espionage)
Threats:
Credential_dumping_technique
Screen_shotting_technique
Process_hollowing_technique
Mimikatz_tool
Plugx_rat
Shadowpad
Industry:
Healthcare, Telco, Entertainment, Foodtech, Financial
Geo:
Asian, Asia, Chinese, China
IOCs:
File: 6
Hash: 18
Path: 3
Links:
https://github.com/D4stiny/ForkPlaygroundhttps://github.com/gentilkiwi/mimikatzSecurity
Blackfly: Espionage Group Targets Materials Technology
Group targets multiple subsidiaries of single Asian conglomerate.
CTT Report Hub
#ParsedReport 28-02-2023 Blackfly: Espionage Group Targets Materials Technology https://symantec-enterprise-blogs.security.com/threat-intelligence/blackfly-espionage-materials Actors/Campaigns: Axiom (motivation: cyber_espionage) Threats: Credential_d…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Blackfly - одна из старейших и наиболее активных китайских группировок, действующих на основе современных постоянных угроз (APT), по крайней мере, с 2010 года. Она атаковала широкий спектр секторов, включая игровой, полупроводниковый, телекоммуникационный, производство материалов, фармацевтику, СМИ и рекламу, гостиничный бизнес, природные ресурсы, финтех и продукты питания. Атаки группы отличаются использованием семейств вредоносных программ PlugX/Fast (Backdoor.Korplug), Winnti/Pasteboy (Backdoor.Winnti) и Shadowpad (Backdoor.Shadowpad).
Недавно Blackfly обвинили в атаке на две дочерние компании азиатского конгломерата в секторе материалов и композитов, что наводит на мысль о том, что группа может пытаться украсть интеллектуальную собственность. По мнению исследователей безопасности, в ходе атаки использовалось несколько сложных инструментов, таких как руткит-драйвер, известный как Backdoor.Winnkit, инструмент для сброса учетных данных, инструмент для создания скриншотов, инструмент для отслеживания процессов, инструмент SQL-клиента и инструмент для настройки прокси. Группа также использовала общедоступные инструменты, такие как Mimikatz и ForkPlayground.
Несмотря на то, что в США против Blackfly было выдвинуто обвинение, она продолжает совершать нападения, не обращая внимания на огласку, которой подверглась группа. Хотя первоначально она сделала себе имя, атакуя игровой сектор, в настоящее время группа, похоже, сосредоточена на атаках на интеллектуальную собственность в различных секторах.
Blackfly - это очень сложная китайская группа передовых постоянных угроз (APT) с длинной историей успешных кибератак. С годами она сместила акцент с игр на кражу интеллектуальной собственности в различных отраслях. В последние месяцы она была связана с атаками на две дочерние компании азиатского конгломерата в секторе материалов и композитов. В ходе атаки использовалось несколько сложных инструментов и общедоступных программ. Несмотря на то, что против Blackfly было выдвинуто обвинение в США, она продолжает активную деятельность и не ослабевает от внимания к ней. Это подчеркивает необходимость для организаций сохранять бдительность и обеспечивать надежные меры безопасности для обнаружения и реагирования на угрозы, исходящие от этой высококвалифицированной APT-группы.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Blackfly - одна из старейших и наиболее активных китайских группировок, действующих на основе современных постоянных угроз (APT), по крайней мере, с 2010 года. Она атаковала широкий спектр секторов, включая игровой, полупроводниковый, телекоммуникационный, производство материалов, фармацевтику, СМИ и рекламу, гостиничный бизнес, природные ресурсы, финтех и продукты питания. Атаки группы отличаются использованием семейств вредоносных программ PlugX/Fast (Backdoor.Korplug), Winnti/Pasteboy (Backdoor.Winnti) и Shadowpad (Backdoor.Shadowpad).
Недавно Blackfly обвинили в атаке на две дочерние компании азиатского конгломерата в секторе материалов и композитов, что наводит на мысль о том, что группа может пытаться украсть интеллектуальную собственность. По мнению исследователей безопасности, в ходе атаки использовалось несколько сложных инструментов, таких как руткит-драйвер, известный как Backdoor.Winnkit, инструмент для сброса учетных данных, инструмент для создания скриншотов, инструмент для отслеживания процессов, инструмент SQL-клиента и инструмент для настройки прокси. Группа также использовала общедоступные инструменты, такие как Mimikatz и ForkPlayground.
Несмотря на то, что в США против Blackfly было выдвинуто обвинение, она продолжает совершать нападения, не обращая внимания на огласку, которой подверглась группа. Хотя первоначально она сделала себе имя, атакуя игровой сектор, в настоящее время группа, похоже, сосредоточена на атаках на интеллектуальную собственность в различных секторах.
Blackfly - это очень сложная китайская группа передовых постоянных угроз (APT) с длинной историей успешных кибератак. С годами она сместила акцент с игр на кражу интеллектуальной собственности в различных отраслях. В последние месяцы она была связана с атаками на две дочерние компании азиатского конгломерата в секторе материалов и композитов. В ходе атаки использовалось несколько сложных инструментов и общедоступных программ. Несмотря на то, что против Blackfly было выдвинуто обвинение в США, она продолжает активную деятельность и не ослабевает от внимания к ней. Это подчеркивает необходимость для организаций сохранять бдительность и обеспечивать надежные меры безопасности для обнаружения и реагирования на угрозы, исходящие от этой высококвалифицированной APT-группы.
Всем привет.
Давайте подумаем, что делать с саммари от ChatGPT:
Давайте подумаем, что делать с саммари от ChatGPT:
Final Results
43%
Оставялем саммари и перевод на RU
14%
Оставляем саммари, но делаем на ENG
29%
Убираем саммари вообще
14%
Хочу узнать результат
CTT Report Hub pinned «Всем привет.
Давайте подумаем, что делать с саммари от ChatGPT:»
Давайте подумаем, что делать с саммари от ChatGPT:»
Большое спасибо за ваше мнение!
Опрос закрываю.
Есть пара идей как еще улучшить перевод и само саммари. Будем еще подкручивать.
Опрос закрываю.
Есть пара идей как еще улучшить перевод и само саммари. Будем еще подкручивать.
👍2
#ParsedReport
01-03-2023
. Active hoze mining Trojan analysis
https://www.antiy.cn/research/notice&report/research_report/20230228.html
Threats:
Beacon
Xmrig_miner
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 4
Url: 7
IP: 6
Coin: 1
Hash: 6
Softs:
curl
Algorithms:
rc4, base64
Platforms:
intel, arm
01-03-2023
. Active hoze mining Trojan analysis
https://www.antiy.cn/research/notice&report/research_report/20230228.html
Threats:
Beacon
Xmrig_miner
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 4
Url: 7
IP: 6
Coin: 1
Hash: 6
Softs:
curl
Algorithms:
rc4, base64
Platforms:
intel, arm
www.antiy.cn
活跃的hoze挖矿木马分析
近期,安天CERT通过捕风蜜罐系统捕获了一批活跃的hoze挖矿木马样本,该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击。由于其初始攻击脚本名称与加密攻击脚本集合包的解密密钥均为“hoze”,具备一定的行为特征,因此安天CERT将该挖矿木马命名为hoze挖矿木马。
CTT Report Hub
#ParsedReport 01-03-2023 . Active hoze mining Trojan analysis https://www.antiy.cn/research/notice&report/research_report/20230228.html Threats: Beacon Xmrig_miner TTPs: Tactics: 5 Technics: 0 IOCs: File: 4 Url: 7 IP: 6 Coin: 1 Hash: 6 Softs: curl Algorithms:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Antiy CERT обанружили несколько майнеров, нацеленных на платформы Linux. Эти троянцы используют перебор слабых паролей SSH для получения доступа, инструмент shc для преобразования сценариев Shell в двоичные исполняемые файлы и алгоритм шифрования RC4 для повышения сложности обнаружения антивирусным ПО. Троян для майнинга hoze обладает вычислительной мощностью 1,5 MH/s и принес прибыль в размере 35 монет Monero.
Процесс запуска этих троянов включает несколько этапов, как показано на карте ATT&CK компании Antiy, соответствующей данному событию атаки. Начальный сценарий атаки использует технологию обфускации против обнаружения и изменяет атрибуты файлов, таких как файлы запланированных задач. Он также удаляет файлы, которые другие майнинговые троянцы часто резервируют или модифицируют в системе. После расшифровки init0 скрипт проверяет, установлен ли в системе инструмент загрузки, такой как curl, если нет, вводит команду для его установки. Сценарий uninstall.sh используется для удаления программ безопасности, а сценарий secure создает программу запланированных задач для текущего пользователя и системы. Наконец, сценарий проверяет, запущен ли майнер, и если нет, загружает майнер.
В заключение можно сказать, что троян для майнинга - это вредоносная атака, направленная на системы Linux через слабые пароли SSH. Он обладает вычислительной мощностью 1,5 MH/s, принес 35 монет Monero, и его трудно обнаружить из-за использования алгоритма шифрования RC4.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Antiy CERT обанружили несколько майнеров, нацеленных на платформы Linux. Эти троянцы используют перебор слабых паролей SSH для получения доступа, инструмент shc для преобразования сценариев Shell в двоичные исполняемые файлы и алгоритм шифрования RC4 для повышения сложности обнаружения антивирусным ПО. Троян для майнинга hoze обладает вычислительной мощностью 1,5 MH/s и принес прибыль в размере 35 монет Monero.
Процесс запуска этих троянов включает несколько этапов, как показано на карте ATT&CK компании Antiy, соответствующей данному событию атаки. Начальный сценарий атаки использует технологию обфускации против обнаружения и изменяет атрибуты файлов, таких как файлы запланированных задач. Он также удаляет файлы, которые другие майнинговые троянцы часто резервируют или модифицируют в системе. После расшифровки init0 скрипт проверяет, установлен ли в системе инструмент загрузки, такой как curl, если нет, вводит команду для его установки. Сценарий uninstall.sh используется для удаления программ безопасности, а сценарий secure создает программу запланированных задач для текущего пользователя и системы. Наконец, сценарий проверяет, запущен ли майнер, и если нет, загружает майнер.
В заключение можно сказать, что троян для майнинга - это вредоносная атака, направленная на системы Linux через слабые пароли SSH. Он обладает вычислительной мощностью 1,5 MH/s, принес 35 монет Monero, и его трудно обнаружить из-за использования алгоритма шифрования RC4.
#ParsedReport
01-03-2023
Linking and tracking UAC-0056 tooling through code reuse analysis
https://threatray.com/blog/linking-and-tracking-uac-0056-tooling-through-code-reuse-analysis
Actors/Campaigns:
Unc2589
Ember_bear
Threats:
Elephant_stealer
Elephant_implant
Elephant_loader
Elephant_dropper
Graphsteel
Grimplant
Graphiron
IOCs:
File: 1
Hash: 6
01-03-2023
Linking and tracking UAC-0056 tooling through code reuse analysis
https://threatray.com/blog/linking-and-tracking-uac-0056-tooling-through-code-reuse-analysis
Actors/Campaigns:
Unc2589
Ember_bear
Threats:
Elephant_stealer
Elephant_implant
Elephant_loader
Elephant_dropper
Graphsteel
Grimplant
Graphiron
IOCs:
File: 1
Hash: 6
Threatray
Linking and tracking UAC-0056 tooling through code reuse analysis | Threatray
Multiple blogs have reported about recent activities and tooling of UAC-0056 (also known as Nodaria, SaintBear, TA471).
CTT Report Hub
#ParsedReport 01-03-2023 Linking and tracking UAC-0056 tooling through code reuse analysis https://threatray.com/blog/linking-and-tracking-uac-0056-tooling-through-code-reuse-analysis Actors/Campaigns: Unc2589 Ember_bear Threats: Elephant_stealer Elephant_implant…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Недавние отчеты от Malwarebytes (22 апреля) и Mandiant (22 июля) выявили использование цепочки инструментов Elephant от UAC-0056 (также известного как Nodaria, SaintBear, TA471). Эта цепочка состоит из Elephant Stealer (GraphSteel), Elephant Implant (GrimPlant), Elephant Downloader и Elephant Dropper, написанных на языке программирования Go. Компания Symantec недавно сообщила о новом инструментарии Graphiron из UAC-0056. Graphiron - это двухэтапный инструментарий, состоящий из загрузчика (Downloader.Graphiron) и полезной нагрузки (Infostealer.Graphiron).
Для изучения сходства между последним инструментарием Graphiron и предыдущим инструментарием Elephant был проведен анализ сходства кода с помощью системы поиска кода. Система поиска кода может определять повторное использование кода на уровне функций в наборах образцов, а также осуществлять ретро-поиск функций в миллионах образцов вредоносного ПО. После анализа семейств Elephant и Graphiron было обнаружено, что все они имеют схожую процедуру расшифровки строк. Ретро-поиск этой общей процедуры расшифровки строк дал совпадения только в образцах из этих семейств, что позволяет предположить, что процедура расшифровки строк уникальна для UAC-0056 и полезна для отслеживания и связывания атак.
В целом, недавняя деятельность и инструментарий UAC-0056 были выявлены благодаря отчетам Malwarebytes, Mandiant и Symantec. Эти наборы инструментов, Elephant и Graphiron, имеют общую процедуру расшифровки строк, которая может быть использована для отслеживания и связывания атак UAC-0056. Для дальнейшего изучения сходства между двумя семействами был проведен анализ сходства кода, который подтвердил существование общей процедуры расшифровки строк и ее потенциальную полезность.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Недавние отчеты от Malwarebytes (22 апреля) и Mandiant (22 июля) выявили использование цепочки инструментов Elephant от UAC-0056 (также известного как Nodaria, SaintBear, TA471). Эта цепочка состоит из Elephant Stealer (GraphSteel), Elephant Implant (GrimPlant), Elephant Downloader и Elephant Dropper, написанных на языке программирования Go. Компания Symantec недавно сообщила о новом инструментарии Graphiron из UAC-0056. Graphiron - это двухэтапный инструментарий, состоящий из загрузчика (Downloader.Graphiron) и полезной нагрузки (Infostealer.Graphiron).
Для изучения сходства между последним инструментарием Graphiron и предыдущим инструментарием Elephant был проведен анализ сходства кода с помощью системы поиска кода. Система поиска кода может определять повторное использование кода на уровне функций в наборах образцов, а также осуществлять ретро-поиск функций в миллионах образцов вредоносного ПО. После анализа семейств Elephant и Graphiron было обнаружено, что все они имеют схожую процедуру расшифровки строк. Ретро-поиск этой общей процедуры расшифровки строк дал совпадения только в образцах из этих семейств, что позволяет предположить, что процедура расшифровки строк уникальна для UAC-0056 и полезна для отслеживания и связывания атак.
В целом, недавняя деятельность и инструментарий UAC-0056 были выявлены благодаря отчетам Malwarebytes, Mandiant и Symantec. Эти наборы инструментов, Elephant и Graphiron, имеют общую процедуру расшифровки строк, которая может быть использована для отслеживания и связывания атак UAC-0056. Для дальнейшего изучения сходства между двумя семействами был проведен анализ сходства кода, который подтвердил существование общей процедуры расшифровки строк и ее потенциальную полезность.
#ParsedReport
01-03-2023
Hunting for Honkbox \| Multistage macOS Cryptominer May Still Be Hiding
https://www.sentinelone.com/blog/hunting-for-honkbox-multistage-macos-cryptominer-may-still-be-hiding
Threats:
Honkbox
Xmrig_miner
IOCs:
Hash: 94
Softs:
macos, photoshop
Algorithms:
base64
Functions:
system
Platforms:
arm, apple
YARA: Found
01-03-2023
Hunting for Honkbox \| Multistage macOS Cryptominer May Still Be Hiding
https://www.sentinelone.com/blog/hunting-for-honkbox-multistage-macos-cryptominer-may-still-be-hiding
Threats:
Honkbox
Xmrig_miner
IOCs:
Hash: 94
Softs:
macos, photoshop
Algorithms:
base64
Functions:
system
Platforms:
arm, apple
YARA: Found
SentinelOne
Hunting for Honkbox | Multistage macOS Cryptominer May Still Be Hiding
A cryptominer that uses the Invisible Internet protocol, Honkbox variants could still be evading some detection solutions.
CTT Report Hub
#ParsedReport 01-03-2023 Hunting for Honkbox \| Multistage macOS Cryptominer May Still Be Hiding https://www.sentinelone.com/blog/hunting-for-honkbox-multistage-macos-cryptominer-may-still-be-hiding Threats: Honkbox Xmrig_miner IOCs: Hash: 94 Softs: macos…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
На прошлой неделе компания Apple выпустила обновление для своей внутренней службы блокировки файлов вредоносных программ XProtect, основанной на технологии YARA. Обновление добавило три сигнатуры для угрозы под названием Honkbox - криптоминера, характеризующегося использованием XMRig и Invisible Internet Project (I2P). Honkbox распространяется на PirateBay во взломанных приложениях уже не менее трех лет и является первой известной вредоносной программой для macOS, использующей I2P. Он обошел встроенные механизмы безопасности компании Apples, и некоторые его варианты остаются неизвестными для репутационных систем VirusTotal.
Honkbox - это активная угроза с множеством компонентов, некоторые из которых ранее не были задокументированы. Он состоит из трех вариантов, Honkbox_A, Honkbox_B и Honkbox_C. Honkbox_A подбрасывается как файл списка свойств в папку LaunchDaemons, а Honkbox_B и C маскируются под легитимные процессы mdworker_shared или mdworker_watchd и mdworker_local соответственно.
Вредоносная программа содержит несколько методов уклонения от обнаружения, включая отслеживание запуска Activity Monitor и уничтожение всех своих процессов и выход из программы в случае обнаружения. Вредоносная программа также содержит жестко закодированные URL, связанные с I2P, которые встречаются только в Honkbox_A, и тысячи 2044-байтовых base64-кодированных _строк в Honkbox_B и C. Понимание поведения Honkbox при исполнении относительно просто для аналитика, поскольку оно в основном изложено в виде обычных текстовых строк в самих двоичных файлах.
SentinelOne Singularity обнаруживает и защищает от всех известных вариантов Honkbox. Группам безопасности рекомендуется ознакомиться с приведенными ниже индикаторами, чтобы защитить свои системы от этой угрозы. Для получения дополнительной информации о том, как SentinelOne может помочь защитить ваш парк macOS, свяжитесь с нами или запросите демонстрацию.
Honkbox - это новая часть вредоносного ПО для macOS, которое было успешным и относительно незаметным в течение нескольких лет. Он использует множество методов уклонения от обнаружения, таких как маскировка под легитимные процессы, мониторинг активности и использование I2P. Авторы не обращали внимания на обфускацию или препятствование статическому анализу исследователей, но это может измениться в свете недавнего интереса. Команды безопасности должны изучить индикаторы, чтобы убедиться, что их системы защищены от Honkbox, и рассмотреть возможность использования решения Singularity от SentinelOne для комплексной защиты.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
На прошлой неделе компания Apple выпустила обновление для своей внутренней службы блокировки файлов вредоносных программ XProtect, основанной на технологии YARA. Обновление добавило три сигнатуры для угрозы под названием Honkbox - криптоминера, характеризующегося использованием XMRig и Invisible Internet Project (I2P). Honkbox распространяется на PirateBay во взломанных приложениях уже не менее трех лет и является первой известной вредоносной программой для macOS, использующей I2P. Он обошел встроенные механизмы безопасности компании Apples, и некоторые его варианты остаются неизвестными для репутационных систем VirusTotal.
Honkbox - это активная угроза с множеством компонентов, некоторые из которых ранее не были задокументированы. Он состоит из трех вариантов, Honkbox_A, Honkbox_B и Honkbox_C. Honkbox_A подбрасывается как файл списка свойств в папку LaunchDaemons, а Honkbox_B и C маскируются под легитимные процессы mdworker_shared или mdworker_watchd и mdworker_local соответственно.
Вредоносная программа содержит несколько методов уклонения от обнаружения, включая отслеживание запуска Activity Monitor и уничтожение всех своих процессов и выход из программы в случае обнаружения. Вредоносная программа также содержит жестко закодированные URL, связанные с I2P, которые встречаются только в Honkbox_A, и тысячи 2044-байтовых base64-кодированных _строк в Honkbox_B и C. Понимание поведения Honkbox при исполнении относительно просто для аналитика, поскольку оно в основном изложено в виде обычных текстовых строк в самих двоичных файлах.
SentinelOne Singularity обнаруживает и защищает от всех известных вариантов Honkbox. Группам безопасности рекомендуется ознакомиться с приведенными ниже индикаторами, чтобы защитить свои системы от этой угрозы. Для получения дополнительной информации о том, как SentinelOne может помочь защитить ваш парк macOS, свяжитесь с нами или запросите демонстрацию.
Honkbox - это новая часть вредоносного ПО для macOS, которое было успешным и относительно незаметным в течение нескольких лет. Он использует множество методов уклонения от обнаружения, таких как маскировка под легитимные процессы, мониторинг активности и использование I2P. Авторы не обращали внимания на обфускацию или препятствование статическому анализу исследователей, но это может измениться в свете недавнего интереса. Команды безопасности должны изучить индикаторы, чтобы убедиться, что их системы защищены от Honkbox, и рассмотреть возможность использования решения Singularity от SentinelOne для комплексной защиты.
#ParsedReport
01-03-2023
Multi-Year Spearphishing Campaign Targets the Maritime Industry Likely for Financial Gain
https://blog.eclecticiq.com/multi-year-spearphishing-campaign-targets-the-maritime-industry-likely-for-financial-gain
Actors/Campaigns:
Bec (motivation: financially_motivated)
Threats:
Agent_tesla
Formbook
Velvetsweatshop_technique
Lokibot_stealer
Process_injection_technique
Industry:
Transport, Maritime, Financial
Geo:
Norway
CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
CVE-2017-0199 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
TTPs:
IOCs:
IP: 1
Email: 1
Domain: 4
Url: 17
File: 2
Softs:
microsoft office word
01-03-2023
Multi-Year Spearphishing Campaign Targets the Maritime Industry Likely for Financial Gain
https://blog.eclecticiq.com/multi-year-spearphishing-campaign-targets-the-maritime-industry-likely-for-financial-gain
Actors/Campaigns:
Bec (motivation: financially_motivated)
Threats:
Agent_tesla
Formbook
Velvetsweatshop_technique
Lokibot_stealer
Process_injection_technique
Industry:
Transport, Maritime, Financial
Geo:
Norway
CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
CVE-2017-0199 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
TTPs:
IOCs:
IP: 1
Email: 1
Domain: 4
Url: 17
File: 2
Softs:
microsoft office word
Eclecticiq
Multi-Year Spearphishing Campaign Targets the Maritime Industry Likely for Financial Gain
EclecticIQ researchers observed multiple weaponized phishing emails probably targeting the Security Service of Ukraine (SSU), NATO allies like Latvia, and private companies, Culver Aviation.
CTT Report Hub
#ParsedReport 01-03-2023 Multi-Year Spearphishing Campaign Targets the Maritime Industry Likely for Financial Gain https://blog.eclecticiq.com/multi-year-spearphishing-campaign-targets-the-maritime-industry-likely-for-financial-gain Actors/Campaigns: Bec…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Группа разведки и исследований EclecticIQ недавно обнаружила единый кластер угроз, нацеленный на морскую отрасль в рамках многолетней кампании. Начиная с октября 2020 года, группа использует спирфишинговые электронные письма для распространения вредоносных программ Agent Tesla и Formbook. В сообщениях часто используются реальные названия морских судов в теме письма и в тексте, а также специфическая для судоходства терминология, например VSL (переменное ограничение скорости). Все это делается для того, чтобы придать письмам более достоверный вид и обманом заставить ничего не подозревающих жертв нажать на вредоносные вложения.
29 июля 2022 года кампания перешла от распространения Agent Tesla с помощью вложений CAB-файлов к распространению Formbook. Письма были отправлены с одного и того же адреса IPv4 (173[.44.40.60) и одного и того же адреса электронной почты для ответа (fredyanni101[@]gmail.com). Для распространения Formbook использовались четыре различных способа доставки, каждый из которых включал в себя вложенный документ Microsoft Office или RAR-файл, причем последний содержал собственно исполняемый файл Formbook. Все документы были зашифрованы паролем VelvetSweatshop.
Аналитики считают, что кампания, скорее всего, имеет финансовую подоплеку. Использование товарных RAT показывает, что целью кампании является сбор конфиденциальной информации, такой как учетные данные, токены сессий и списки электронной почты. Эта информация может быть использована для будущих атак Business Email Compromise (BEC) или продана для предоставления начального доступа другим операторам.
В связи с большим количеством коммуникаций, происходящих в морской отрасли, а также частыми обвинениями, которые происходят, вероятно, в долгосрочной перспективе она будет продолжать становиться мишенью для более убедительных копьеносцев. Легкая доступность информации о реальных перевозках в Интернете делает использование этих данных в электронных письмах простым и привлекательным для групп вымогателей. Морские компании должны сосредоточиться на обучении своих пользователей распознавать фишинговые приманки, чтобы снизить вероятность стать жертвой подобных кампаний.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Группа разведки и исследований EclecticIQ недавно обнаружила единый кластер угроз, нацеленный на морскую отрасль в рамках многолетней кампании. Начиная с октября 2020 года, группа использует спирфишинговые электронные письма для распространения вредоносных программ Agent Tesla и Formbook. В сообщениях часто используются реальные названия морских судов в теме письма и в тексте, а также специфическая для судоходства терминология, например VSL (переменное ограничение скорости). Все это делается для того, чтобы придать письмам более достоверный вид и обманом заставить ничего не подозревающих жертв нажать на вредоносные вложения.
29 июля 2022 года кампания перешла от распространения Agent Tesla с помощью вложений CAB-файлов к распространению Formbook. Письма были отправлены с одного и того же адреса IPv4 (173[.44.40.60) и одного и того же адреса электронной почты для ответа (fredyanni101[@]gmail.com). Для распространения Formbook использовались четыре различных способа доставки, каждый из которых включал в себя вложенный документ Microsoft Office или RAR-файл, причем последний содержал собственно исполняемый файл Formbook. Все документы были зашифрованы паролем VelvetSweatshop.
Аналитики считают, что кампания, скорее всего, имеет финансовую подоплеку. Использование товарных RAT показывает, что целью кампании является сбор конфиденциальной информации, такой как учетные данные, токены сессий и списки электронной почты. Эта информация может быть использована для будущих атак Business Email Compromise (BEC) или продана для предоставления начального доступа другим операторам.
В связи с большим количеством коммуникаций, происходящих в морской отрасли, а также частыми обвинениями, которые происходят, вероятно, в долгосрочной перспективе она будет продолжать становиться мишенью для более убедительных копьеносцев. Легкая доступность информации о реальных перевозках в Интернете делает использование этих данных в электронных письмах простым и привлекательным для групп вымогателей. Морские компании должны сосредоточиться на обучении своих пользователей распознавать фишинговые приманки, чтобы снизить вероятность стать жертвой подобных кампаний.
#ParsedReport
01-03-2023
Ransomware Attack on IL&FS
https://blog.cyble.com/2023/03/01/ransomware-attack-on-ilfs
Threats:
Lockbit
Quantum_locker
Conti
Industry:
Government, Financial, Healthcare
Geo:
Indian, France, India
IOCs:
Hash: 4
01-03-2023
Ransomware Attack on IL&FS
https://blog.cyble.com/2023/03/01/ransomware-attack-on-ilfs
Threats:
Lockbit
Quantum_locker
Conti
Industry:
Government, Financial, Healthcare
Geo:
Indian, France, India
IOCs:
Hash: 4
Cyble
Ransomware Attack on IL&FS
Cyble Research & Intelligence Labs analyzes the alleged compromise of IL&FS by the LOCKBIT Ransomware group.
CTT Report Hub
#ParsedReport 01-03-2023 Ransomware Attack on IL&FS https://blog.cyble.com/2023/03/01/ransomware-attack-on-ilfs Threats: Lockbit Quantum_locker Conti Industry: Government, Financial, Healthcare Geo: Indian, France, India IOCs: Hash: 4
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
28 февраля 2023 года индийская инвестиционная компания Infrastructure Leasing & Financial Services Limited (IL&FS) была скомпрометирована группой LOCKBIT ransomware. Группа утверждала, что получила доступ к огромному количеству данных, содержащих контракты, личные данные, паспорта, почтовую корреспонденцию и финансовые документы, которые они угрожали удалить с серверов и публично разгласить в рамках своей техники вымогательства. Это четвертая итерация вымогательской программы LOCKBIT, получившая название LOCKBIT Green. Она была создана на основе исходного кода программы Conti ransomware.
С декабря 2022 года группа LOCKBIT значительно активизировала свою деятельность, нацелившись на организации в США, Великобритании и Франции. Их основными целями являются организации в сфере услуг, за которыми следуют здравоохранение, BFSI и правительственные организации. Cyble Research & Intelligence Labs (CRIL) проанализировала 12 образцов утечки данных, полученных в результате атаки на IL&FS, включая конфиденциальные меморандумы о взаимопонимании, изображения паспортов, трехсторонние соглашения, декларации о доходах, аудиторские отчеты, документы об ипотеке и соглашения об оказании услуг по эксплуатации и управлению.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
28 февраля 2023 года индийская инвестиционная компания Infrastructure Leasing & Financial Services Limited (IL&FS) была скомпрометирована группой LOCKBIT ransomware. Группа утверждала, что получила доступ к огромному количеству данных, содержащих контракты, личные данные, паспорта, почтовую корреспонденцию и финансовые документы, которые они угрожали удалить с серверов и публично разгласить в рамках своей техники вымогательства. Это четвертая итерация вымогательской программы LOCKBIT, получившая название LOCKBIT Green. Она была создана на основе исходного кода программы Conti ransomware.
С декабря 2022 года группа LOCKBIT значительно активизировала свою деятельность, нацелившись на организации в США, Великобритании и Франции. Их основными целями являются организации в сфере услуг, за которыми следуют здравоохранение, BFSI и правительственные организации. Cyble Research & Intelligence Labs (CRIL) проанализировала 12 образцов утечки данных, полученных в результате атаки на IL&FS, включая конфиденциальные меморандумы о взаимопонимании, изображения паспортов, трехсторонние соглашения, декларации о доходах, аудиторские отчеты, документы об ипотеке и соглашения об оказании услуг по эксплуатации и управлению.
#ParsedReport
28-02-2023
CrowdStrike Uncovers I2Pminer MacOS Mineware Variant
https://www.crowdstrike.com/blog/i2pminer-macos-mineware-analysis
Threats:
I2pminer
Xmrig_miner
TTPs:
Tactics: 5
Technics: 6
IOCs:
Hash: 4
IP: 1
Url: 3
Softs:
macos, curl, unix
Algorithms:
base64
Platforms:
arm, apple
Links:
28-02-2023
CrowdStrike Uncovers I2Pminer MacOS Mineware Variant
https://www.crowdstrike.com/blog/i2pminer-macos-mineware-analysis
Threats:
I2pminer
Xmrig_miner
TTPs:
Tactics: 5
Technics: 6
IOCs:
Hash: 4
IP: 1
Url: 3
Softs:
macos, curl, unix
Algorithms:
base64
Platforms:
arm, apple
Links:
https://github.com/PurpleI2P/i2pdcrowdstrike.com
CrowdStrike Uncovers I2Pminer MacOS Mineware Variant
CrowdStrike analyzes a macOS-targeted mineware campaign that delivers open source XMRig cryptomining software and Invisible Internet Protocol (I2P) network tooling.
CTT Report Hub
#ParsedReport 28-02-2023 CrowdStrike Uncovers I2Pminer MacOS Mineware Variant https://www.crowdstrike.com/blog/i2pminer-macos-mineware-analysis Threats: I2pminer Xmrig_miner TTPs: Tactics: 5 Technics: 6 IOCs: Hash: 4 IP: 1 Url: 3 Softs: macos, curl,…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Компания CrowdStrike недавно выявила вредоносную кампанию по добыче криптовалюты, нацеленную на пользователей macOS. Дроппер, который маскировался под легитимные приложения, такие как Logic Pro X, Final Cut Pro, Traktor или различные продукты Adobe Creative Suite, содержал легитимную версию приложения и инструментарий I2P. I2P - это анонимный сетевой уровень, который обеспечивает сквозное шифрование для пользователей. Дроппер также выполнял сценарий, который загружал и настраивал пользовательское программное обеспечение майнера XMRig, позволяя ему туннелировать трафик в сеть I2P и начинать операции по добыче.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Компания CrowdStrike недавно выявила вредоносную кампанию по добыче криптовалюты, нацеленную на пользователей macOS. Дроппер, который маскировался под легитимные приложения, такие как Logic Pro X, Final Cut Pro, Traktor или различные продукты Adobe Creative Suite, содержал легитимную версию приложения и инструментарий I2P. I2P - это анонимный сетевой уровень, который обеспечивает сквозное шифрование для пользователей. Дроппер также выполнял сценарий, который загружал и настраивал пользовательское программное обеспечение майнера XMRig, позволяя ему туннелировать трафик в сеть I2P и начинать операции по добыче.
#ParsedReport
01-03-2023
Can You See It Now? An Emerging LockBit Campaign
https://www.fortinet.com/blog/threat-research/emerging-lockbit-campaign
Threats:
Lockbit
Uac_bypass_technique
Motw_bypass_technique
Geo:
Mexican, Spanish
TTPs:
Tactics: 4
Technics: 13
IOCs:
File: 4
Hash: 15
Domain: 1
IP: 2
Url: 4
Softs:
sysinternals, bcdedit, winlogon, windows explorer, windows service
Languages:
python, visual_basic
01-03-2023
Can You See It Now? An Emerging LockBit Campaign
https://www.fortinet.com/blog/threat-research/emerging-lockbit-campaign
Threats:
Lockbit
Uac_bypass_technique
Motw_bypass_technique
Geo:
Mexican, Spanish
TTPs:
Tactics: 4
Technics: 13
IOCs:
File: 4
Hash: 15
Domain: 1
IP: 2
Url: 4
Softs:
sysinternals, bcdedit, winlogon, windows explorer, windows service
Languages:
python, visual_basic
Fortinet Blog
Can You See It Now? An Emerging LockBit Campaign | FortiGuard Labs
A new LockBit ransomware campaign has been using a combination of techniques effective against AV and EDR solutions. Learn more about the infection chain and Tactics, Techniques and Procedures (TTP…
CTT Report Hub
#ParsedReport 01-03-2023 Can You See It Now? An Emerging LockBit Campaign https://www.fortinet.com/blog/threat-research/emerging-lockbit-campaign Threats: Lockbit Uac_bypass_technique Motw_bypass_technique Geo: Mexican, Spanish TTPs: Tactics: 4 Technics:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Лаборатории FortiGuard Labs недавно обнаружили новую тревожную кампанию по борьбе с вымогательским ПО LockBit, которое активно с 2019 года. LockBit - это особо опасная форма вымогательского ПО, которая уже успешно атаковала различные отрасли, включая критическую инфраструктуру. Атака начинается с контейнера .img, который используется для обхода механизма защиты Mark of The Web (MOTW). Затем применяется техника социальной инженерии, при которой только один файл виден пользователю при монтировании контейнера, а остальные файлы скрыты от глаз. В некоторых случаях сценарии Python используются для выполнения сценариев BAT, которые затем могут быть использованы для извлечения полезной нагрузки LockBit ransomware из защищенного паролем архива.
Злоумышленники, стоящие за этой кампанией, продемонстрировали творческое и широкое использование подписанных, легитимных исполняемых файлов. Сюда входит монтирование файлов .img с помощью Windows Explorer, выполнение сценария Python с помощью подписанного интерпретатора, извлечение зашифрованных архивов с помощью 7-zip и автоматический вход в систему с помощью Sysinternals Autologon. Полагаясь на эти проверенные инструменты, авторы вредоносного ПО снижают затраты на разработку, избегая при этом обнаружения средствами РЭБ.
Похоже, что группа LockBit или ее филиалы нацелены на испаноязычных жертв, поскольку все замеченные образцы были направлены на мексиканские или испанские фирмы, в основном в консалтинговом и юридическом секторах. Такая уклончивость свидетельствует о том, что киберпреступники продолжают использовать все более туманные методы, чтобы избежать обнаружения. Стоит отметить, что многие полезные нагрузки, использованные в этой кампании, могут быть связаны с утечкой билдера LockBit в конце 2022 года, что затрудняет однозначное отнесение атаки к одной группе.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Лаборатории FortiGuard Labs недавно обнаружили новую тревожную кампанию по борьбе с вымогательским ПО LockBit, которое активно с 2019 года. LockBit - это особо опасная форма вымогательского ПО, которая уже успешно атаковала различные отрасли, включая критическую инфраструктуру. Атака начинается с контейнера .img, который используется для обхода механизма защиты Mark of The Web (MOTW). Затем применяется техника социальной инженерии, при которой только один файл виден пользователю при монтировании контейнера, а остальные файлы скрыты от глаз. В некоторых случаях сценарии Python используются для выполнения сценариев BAT, которые затем могут быть использованы для извлечения полезной нагрузки LockBit ransomware из защищенного паролем архива.
Злоумышленники, стоящие за этой кампанией, продемонстрировали творческое и широкое использование подписанных, легитимных исполняемых файлов. Сюда входит монтирование файлов .img с помощью Windows Explorer, выполнение сценария Python с помощью подписанного интерпретатора, извлечение зашифрованных архивов с помощью 7-zip и автоматический вход в систему с помощью Sysinternals Autologon. Полагаясь на эти проверенные инструменты, авторы вредоносного ПО снижают затраты на разработку, избегая при этом обнаружения средствами РЭБ.
Похоже, что группа LockBit или ее филиалы нацелены на испаноязычных жертв, поскольку все замеченные образцы были направлены на мексиканские или испанские фирмы, в основном в консалтинговом и юридическом секторах. Такая уклончивость свидетельствует о том, что киберпреступники продолжают использовать все более туманные методы, чтобы избежать обнаружения. Стоит отметить, что многие полезные нагрузки, использованные в этой кампании, могут быть связаны с утечкой билдера LockBit в конце 2022 года, что затрудняет однозначное отнесение атаки к одной группе.
#ParsedReport
01-03-2023
Iron Tigers SysUpdate Reappears, Adds Linux Targeting
https://www.trendmicro.com/en_us/research/23/c/iron-tiger-sysupdate-adds-linux-targeting.html
Actors/Campaigns:
Emissary_panda (motivation: information_theft, cyber_espionage)
Drbcontrol
Threats:
Sysupdate
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
Rshell
Vmprotect_tool
Redline_stealer
Hyperbro
Trojanspy.win32.predatorthief.a
Industry:
Government, Retail, Financial, Healthcare, Energy, Entertainment
Geo:
Taiwan, German, China, Philippines, Chinese, French, Mongolian, Asia
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 25
IP: 1
Hash: 29
Softs:
mac os, chrome
Algorithms:
cbc, base32, des, shikata_ga_nai
Win API:
GetNetworkParams
01-03-2023
Iron Tigers SysUpdate Reappears, Adds Linux Targeting
https://www.trendmicro.com/en_us/research/23/c/iron-tiger-sysupdate-adds-linux-targeting.html
Actors/Campaigns:
Emissary_panda (motivation: information_theft, cyber_espionage)
Drbcontrol
Threats:
Sysupdate
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
Rshell
Vmprotect_tool
Redline_stealer
Hyperbro
Trojanspy.win32.predatorthief.a
Industry:
Government, Retail, Financial, Healthcare, Energy, Entertainment
Geo:
Taiwan, German, China, Philippines, Chinese, French, Mongolian, Asia
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 25
IP: 1
Hash: 29
Softs:
mac os, chrome
Algorithms:
cbc, base32, des, shikata_ga_nai
Win API:
GetNetworkParams
Trend Micro
Iron Tiger’s SysUpdate Reappears, Adds Linux Targeting
We detail the update that advanced persistent threat (APT) group Iron Tiger made on the custom malware family SysUpdate. In this version, we also found components that enable the malware to compromise Linux systems.
CTT Report Hub
#ParsedReport 01-03-2023 Iron Tigers SysUpdate Reappears, Adds Linux Targeting https://www.trendmicro.com/en_us/research/23/c/iron-tiger-sysupdate-adds-linux-targeting.html Actors/Campaigns: Emissary_panda (motivation: information_theft, cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Группа перспективных постоянных угроз (APT) Iron Tiger действует уже более десяти лет, проводя кибершпионские операции. В 2022 году они обновили свое семейство вредоносных программ SysUpdate, добавив новые функции и поддержку систем Linux. Злоумышленники зарегистрировали доменное имя, связанное с их старейшим образцом для Windows, за месяц до запуска командно-контрольной конфигурации (C&C) и подождали еще один месяц до компиляции вредоносного образца. Вредоносная программа была разработана для обхода решений безопасности и имела сложную логику загрузки.
Злоумышленники использовали легитимный подписанный файл Microsoft Resource Compiler, который подвержен уязвимости боковой загрузки DLL. Вредоносный rc.dll загружает в память файл с именем rc.bin, который представляет собой закодированный в Shikata Ga Nai шеллкод, который распаковывает и загружает в память первый этап. В зависимости от количества параметров командной строки выполняются различные действия, такие как заражение системы и отправка информации о зараженной машине, зашифрованной с помощью DES.
Также было замечено, что SysUpdate использует DNS TXT-запросы в качестве C&C-коммуникации. Вредоносная программа получает настроенные DNS-серверы, вызывая API-функцию GetNetworkParams, и анализирует связанный список DnsServerList. Доменное имя, с которым связывается программа, меняется, но кодированная серия всегда одна и та же. Ответ C&C соответствует формату, ожидаемому вредоносной программой, и запускается несколько потоков для обработки дальнейших команд.
ELF-файлы, относящиеся к инфраструктуре C&C, были написаны на C++ и использовали библиотеку Asio. Информация о скомпрометированном компьютере отправляется на C&C, зашифрованная с помощью жестко закодированного ключа и алгоритма DES CBC. Кроме того, вредоносный сертификат использовался для подписи множества файлов, включая демо-версию VMProtect. Этот сертификат был отозван, хотя закрытый ключ, вероятно, был извлечен из демо-версии VMProtect или продан различным группам, включая Iron Tiger.
Компания Iron Tiger также была замечена нацеленной на игорную индустрию на Филиппинах. Доменное имя, схожее с названием компании, было зарегистрировано и использовалось в качестве C&C. В качестве приманки использовалось чат-приложение Youdu, чтобы заставить жертву открыть вредоносный файл, что соответствует предыдущим кампаниям 2020 и 2021 годов. Организациям рекомендуется усилить меры безопасности и быть бдительными в отношении подобных угроз.
Подводя итог, можно сказать, что Iron Tigers обновляют свои инструменты для добавления функций и переносимости на другие платформы. Они проявляют интерес к индустрии азартных игр и региону Юго-Восточной Азии и, как известно, используют чат-приложения в качестве векторов заражения. Вполне возможно, что их цель может быть шире, чем наблюдается в настоящее время, поскольку образцы HyperBro были подписаны украденным сертификатом Cheetah и использовались на Тайване, Филиппинах, в Германии и Франции. Организации должны принять это к сведению и соответствующим образом усилить свои меры безопасности.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Группа перспективных постоянных угроз (APT) Iron Tiger действует уже более десяти лет, проводя кибершпионские операции. В 2022 году они обновили свое семейство вредоносных программ SysUpdate, добавив новые функции и поддержку систем Linux. Злоумышленники зарегистрировали доменное имя, связанное с их старейшим образцом для Windows, за месяц до запуска командно-контрольной конфигурации (C&C) и подождали еще один месяц до компиляции вредоносного образца. Вредоносная программа была разработана для обхода решений безопасности и имела сложную логику загрузки.
Злоумышленники использовали легитимный подписанный файл Microsoft Resource Compiler, который подвержен уязвимости боковой загрузки DLL. Вредоносный rc.dll загружает в память файл с именем rc.bin, который представляет собой закодированный в Shikata Ga Nai шеллкод, который распаковывает и загружает в память первый этап. В зависимости от количества параметров командной строки выполняются различные действия, такие как заражение системы и отправка информации о зараженной машине, зашифрованной с помощью DES.
Также было замечено, что SysUpdate использует DNS TXT-запросы в качестве C&C-коммуникации. Вредоносная программа получает настроенные DNS-серверы, вызывая API-функцию GetNetworkParams, и анализирует связанный список DnsServerList. Доменное имя, с которым связывается программа, меняется, но кодированная серия всегда одна и та же. Ответ C&C соответствует формату, ожидаемому вредоносной программой, и запускается несколько потоков для обработки дальнейших команд.
ELF-файлы, относящиеся к инфраструктуре C&C, были написаны на C++ и использовали библиотеку Asio. Информация о скомпрометированном компьютере отправляется на C&C, зашифрованная с помощью жестко закодированного ключа и алгоритма DES CBC. Кроме того, вредоносный сертификат использовался для подписи множества файлов, включая демо-версию VMProtect. Этот сертификат был отозван, хотя закрытый ключ, вероятно, был извлечен из демо-версии VMProtect или продан различным группам, включая Iron Tiger.
Компания Iron Tiger также была замечена нацеленной на игорную индустрию на Филиппинах. Доменное имя, схожее с названием компании, было зарегистрировано и использовалось в качестве C&C. В качестве приманки использовалось чат-приложение Youdu, чтобы заставить жертву открыть вредоносный файл, что соответствует предыдущим кампаниям 2020 и 2021 годов. Организациям рекомендуется усилить меры безопасности и быть бдительными в отношении подобных угроз.
Подводя итог, можно сказать, что Iron Tigers обновляют свои инструменты для добавления функций и переносимости на другие платформы. Они проявляют интерес к индустрии азартных игр и региону Юго-Восточной Азии и, как известно, используют чат-приложения в качестве векторов заражения. Вполне возможно, что их цель может быть шире, чем наблюдается в настоящее время, поскольку образцы HyperBro были подписаны украденным сертификатом Cheetah и использовались на Тайване, Филиппинах, в Германии и Франции. Организации должны принять это к сведению и соответствующим образом усилить свои меры безопасности.