#ParsedReport
30-03-2023

Exploitation is a Dish Best Served Cold: Winter Vivern Uses Known Zimbra Vulnerability to Target Webmail Portals of NATO-Aligned Governments in Europe

https://www.proofpoint.com/us/blog/threat-insight/exploitation-dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability

Actors/Campaigns:
Winter_vivern
Ta473

Threats:
Credential_harvesting_technique
Follina_vuln

Industry:
Government

Geo:
Russian, Russia, Ukrainian, Belarussian, Ukraine

CVEs:
CVE-2021-35207 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)

CVE-2022-30190 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2022-27926 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0)


IOCs:
Url: 7
Domain: 5

Softs:
wordpress, zimbra collaboration suite), zimbra collaboration suite

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA473 является APT, который с 2021 года атакует европейские правительственные, военные и дипломатические организации, а недавно начал атаковать выборных должностных лиц и сотрудников в США. Для защиты от TA473 поставщики систем безопасности рекомендуют установить исправления на все версии Zimbra Collaboration, используемые в публичных порталах веб-почты, особенно среди европейских правительственных организаций, и ограничить ресурсы публичных порталов веб-почты от публичного интернета.
-----

TA473, известный как Winter Vivern, является APT, отслеживаемым компанией Proofpoint с 2021 года. Этот агент был замечен в активных фишинговых кампаниях, направленных на европейские правительственные, военные и дипломатические организации. В конце 2022 года исследователи Proofpoint заметили фишинговые кампании, направленные на выборных должностных лиц и сотрудников в США. TA473 обычно использует однодневные уязвимости, такие как эксплойт CVE-2022-30190 (Follina), и отправляет письма со скомпрометированных адресов электронной почты, часто с доменов, размещенных на WordPress. TA473 также использует непропатченную уязвимость Zimbra в публичных порталах веб-почты, что позволяет им получить доступ к почтовым ящикам правительственных организаций в Европе.

TA473 использует инструменты сканирования, такие как Acunetix, для выявления незапароленных порталов веб-почты. TA473 тратит значительное время на изучение порталов веб-почты и написание специальных полезных нагрузок JavaScript для кражи имен пользователей, паролей, хранения активной сессии и CSRF-токенов из cookies. TA473 перерабатывает вредоносные полезные нагрузки JavaScript, разработанные для портала веб-почты каждого правительственного объекта, которые затем доставляются через фишинговые письма с вредоносными URL-адресами. TA473 использует структурированные пути URI, которые указывают хэшированное значение целевого лица, некодированное указание целевой организации и, в некоторых случаях, кодированные или открытые версии доброкачественного URL.

Исследователи Proofpoint выявили случаи использования CSRF JavaScript полезной нагрузки, доставляемой с помощью эксплуатации CVE-2022-27926 и других более ранних механизмов доставки. TA473 демонстрирует целенаправленность, настойчивость и повторяющийся процесс компрометации геополитически уязвимых целей, хотя по стандартам APT они не отличаются особой изощренностью. Для защиты от TA473 производители систем безопасности рекомендуют установить исправления на все версии Zimbra Collaboration, используемые в публичных порталах веб-почты, особенно среди европейских правительственных организаций, и ограничить доступ к ресурсам публичных порталов веб-почты из публичного интернета.

#ParsedReport
30-03-2023

What You Need to Know About the 3CX Supply Chain Attack

https://cyberint.com/blog/research/3cx-supply-chain-attack

Actors/Campaigns:
Smoothoperator
Lazarus

Threats:
Supply_chain_technique

Geo:
Korean

IOCs:
File: 2
Hash: 2
Domain: 21

Softs:
whatsapp, macos, android

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: VoIP-клиент настольного ПК компании 3CX стал объектом атаки на цепочку поставок, которая, как полагают, была организована северокорейской группой Lazarus Group, в результате чего появилось вредоносное программное обеспечение, способное вызвать кражу данных, бэкдор-приложения и обратные оболочки. Компания 3CX работает над обновлением для уменьшения нанесенного ущерба.
-----

Настольный клиент 3CX Voice Over Internet Protocol (VoIP) стал объектом атаки по цепочке поставок, которая затронула пользователей приложения как Windows, так и macOS. Угрожающим субъектам, стоящим за этой кампанией, удалось скомпрометировать инфраструктуру 3CX и развернуть вредоносное программное обеспечение, подписанное цифровыми подписями. Это вредоносное ПО известно как SmoothOperator и отвечает за загрузку и выполнение полезной нагрузки второго этапа из нескольких источников на GitHub. В результате этой атаки возможна кража данных, использование бэкдоров и обратных оболочек. Считается, что она была организована северокорейской группой Lazarus Group, хотя эта атрибуция не подтверждена. В настоящее время компания 3CX работает над обновлением программного обеспечения, которое позволит уменьшить ущерб, нанесенный этой атакой.

#ParsedReport
29-03-2023

SmoothOperator \| Ongoing Campaign Trojanizes 3CX Software in Software Supply Chain Attack

https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack

Actors/Campaigns:
Smoothoperator

Threats:
Supply_chain_technique

Industry:
Foodtech, Healthcare

IOCs:
Url: 1
Hash: 3
Email: 2
Domain: 18

Softs:
chrome, macos, android, freepbx

Algorithms:
base64

Win API:
DllGetClassObject

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания SentinelOne выявила вредоносную кампанию, направленную на платформы частных автоматических телефонных станций (PABX), и потенциальным жертвам были предоставлены технические индикаторы для охоты на кампанию SmoothOperator. Важно иметь меры безопасности для защиты от таких атак на цепочки поставок.
-----

Недавно компания SentinelOne выявила вредоносную кампанию, направленную на платформы частных автоматических телефонных станций (PABX), в частности на популярное программное обеспечение для голосовых и видеоконференций 3CXDesktopApp. Поведенческие обнаружения предотвратили запуск этих троянских программ установки и привели к немедленному карантину. Многоступенчатая цепочка атак начинается с троянизированного 3CXDesktopApp, после чего для подписи троянизированных двоичных файлов используются вредоносные сертификаты подписи кода. Угрожающий агент зарегистрировал обширную инфраструктуру, начиная с февраля 2022 года.

Вредоносный код использует загрузчик шеллкода для выполнения шеллкода из пространства кучи и рефлексивной загрузки DLL. Затем эта DLL загружает другую DLL-библиотеку, которая, по всей видимости, представляет собой программу для сбора информации о системе и данных браузера из браузеров Chrome, Edge, Brave и Firefox. Сюда входит запрос истории просмотров и данных из таблицы Places для браузеров на базе Firefox и таблицы History для браузеров на базе Chrome.

На данный момент компания SentinelOne выпустила запрос на удаление вредоносного хранилища, и клиентам не нужно предпринимать никаких действий. Потенциальным жертвам были предоставлены технические индикаторы для поиска кампании SmoothOperator. Пока неясно, кто стоит за этой атакой и какова ее конечная цель. Однако эта атака служит напоминанием о важности наличия мер безопасности для защиты от подобных атак на цепочки поставок.

#ParsedReport
30-03-2023

3CX: Supply Chain Attack Affects Thousands of Users Worldwide

https://symantec-enterprise-blogs.security.com/threat-intelligence/3cx-supply-chain-attack

Threats:
Supply_chain_technique

Geo:
Korea, Korean

IOCs:
Hash: 29
File: 22
Domain: 21

Softs:
windows installer, macos

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Связанные с Северной Кореей злоумышленники недавно использовали вредоносные библиотеки DLL для установки вредоносных программ, похищающих информацию, на компьютеры с 3CX DesktopApp, широко используемым настольным клиентом для голосовых и видеозвонков.
-----

Связанные с Северной Кореей злоумышленники недавно атаковали 3CX DesktopApp, широко используемый клиент для голосовых и видеозвонков, используя стратегию атаки, аналогичную атаке SolarWinds. Скомпрометированные программы установки для версий 18.12.407 и 18.12.416 Windows, а также версии 8.11.1213 и последней версии Mac содержали чистые версии приложения наряду с вредоносными библиотеками DLL. Вредоносные DLL с именем ffmpeg.dll использовались для установки на компьютер жертвы вредоносного ПО, похищающего информацию. Symantec идентифицировала два варианта вредоносной DLL с хэшами SHA256 aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 и 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 соответственно. После установки вредоносная программа способна собирать информацию с компьютера жертвы и отправлять ее злоумышленнику, что позволяет ему определить, возможна ли дальнейшая компрометация.

#ParsedReport
30-03-2023

3CX Supply Chain Compromise Leads to ICONIC Incident

https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Iconicstealer

Geo:
Korea, Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 7
Url: 18
Domain: 28
Email: 5
Hash: 24

Softs:
macos, windows installer, chrome

Algorithms:
aes-gcm, gzip, xor, base64

Platforms:
x64

YARA: Found

Links:
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/decrypt\_ico.py
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/rules.yar
https://gist.github.com/gravitino/391bcc2f3cab0a8906e4
https://github.com/SigmaHQ/sigma/pull/4151/files
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/suri.rules
https://github.com/Neo23x0/signature-base/blob/master/yara/gen\_mal\_3cx\_compromise\_mar23.yar
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/iocs.csv
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/github\_summary.csv

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Volexity приписывает компрометацию цепочки поставок северокорейскому субъекту угроз, при этом вредоносные обновления устанавливаются на конечные точки через приложение 3CX Desktop, и все затронутые конечные точки должны быть изолированы и исследованы.
-----

29 марта 2023 года компании Volexity стало известно о компрометации цепочки поставок северокорейским субъектом угроз. Вредоносные обновления были установлены на конечных устройствах с приложением 3CX Desktop в рамках стандартного процесса автоматического обновления. Эта вредоносная деятельность, вероятно, началась еще раньше 22 марта 2023 года. Вредоносные программы установки для Windows и macOS были получены непосредственно с серверов загрузки 3CX.

Анализ, проведенный компанией Volexity, показал, что вредоносная версия ffmpeg.dll использовалась в целях тестирования. Первый коммит на странице GitHub, содержащий ICO-файл с зашифрованным URL 3cx.com, был добавлен 7 декабря 2022 года, что позволяет предположить, что злоумышленник мог начать тестирование бэкдора уже в это время. Домен и веб-инфраструктура, использованные в атаке, были зарегистрированы еще в ноябре 2022 года.

Вредоносная программа случайным образом выбирает один из серверов из списка для получения полезной нагрузки второго этапа. Заголовок cookie является решающим компонентом для получения полезной нагрузки второго этапа. Каждый из живых серверов возвращал идентичные ответы, состоящие из шеллкода, за которым следовала 64-битная DLL, которую Volexity называет ICONICSTEALER. Компонентом бэкдора является libffmpeg.dylib, расположенный в /Contents/Frameworks/Electron Framework.framework/Versions/A/Libraries. Домены были зарегистрированы у нескольких провайдеров, включая NameCheap, Public Domain Registry и NameSilo.

CrowdStrike приписывает эту активность северокорейской группировке LABYRINTH CHOLLIMA. Регистрация инфраструктуры и общедоступные артефакты позволяют предположить, что злоумышленник имел доступ к поставщику программного обеспечения по крайней мере в начале декабря 2022 года. Любая конечная точка, затронутая этим вредоносным обновлением, должна быть изолирована и исследована на предмет дальнейших признаков компрометации.

#ParsedReport
30-03-2023

Updates from the MaaS: new threats delivered through NullMixer. Executive Summary

https://medium.com/@lcam/updates-from-the-maas-new-threats-delivered-through-nullmixer-d45defc260d1

Actors/Campaigns:
Pseudomanuscrypt
Lazarus
Killnet
Noname057

Threats:
Nullmixer
Raccoon_stealer
Fabookie
Crashedtech_loader
Redline_stealer
Confuseex_tool

Industry:
Iot

Geo:
American, Chinese, Latvian, Ukrainian, Italian, Kazakhstan, Belarus, Azerbaijan, America, Tajikistan, France, Pakistani, French, Moldova, Uzbekistan, Turkmenistan, Kyrgyzstan, Russian, Italy, Russia, North-korean, Armenia

TTPs:
Tactics: 1
Technics: 1

IOCs:
File: 11
Hash: 8
Command: 2
Path: 1

Softs:
wordpress, chrome, discord, telegram, authy

Algorithms:
curve25519, zip, ecc, xor

Languages:
php

YARA: Found

Links:
https://github.com/luca-m/what\_is\_this\_c2

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа NullMixer - это международная преступная операция, в которой использовались методы социальной инженерии, отравления SEO и вредоносной рекламы для получения первоначального доступа к более чем 8 тысячам конечных точек, причем особое внимание уделялось североамериканским, итальянским и французским целям. Она смогла заразить операционные системы Windows 10 Professional и Enterprise, включая несколько Datacenter версий Windows Server и устройства Windows Embedded, что свидетельствует о проникновении вредоносной программы даже в среды IoT.
-----

Вредоносная программа NullMixer - это распространенная по всему миру преступная операция, предоставляющая услуги по заражению различным субъектам преступных угроз. В течение марта 2023 года она смогла установить первоначальный доступ к более чем 8 тысячам конечных точек, уделяя особое внимание североамериканским, итальянским и французским целям. Злоумышленники использовали методы социальной инженерии, отравления SEO и вредоносной рекламы для заманивания своих жертв. Первоначальная полезная нагрузка включала исполняемый архив WinRAR, содержащий множество двоичных файлов, в том числе службы похищения информации и загрузчика нетрадиционных вредоносных программ. Анализ C2-инфраструктур, задействованных в этой волне, показал, что Италия и Франция были самыми целевыми европейскими странами. Менее чем за 30 дней злоумышленникам, стоящим за атакой, удалось поразить более 8 тысяч жертв.

Пакет вредоносных программ включает два неизвестных загрузчика, входящих в бизнес MaaS и PPI (CrashedLoader и Koi), а также фрагменты противоречивого, потенциально связанного с Северной Кореей псевдоманускриптного кода. Он также включает файл KiffAppE2.exe, который работает как вторичный загрузчик. Этот загрузчик основан на Crashtech Loader и использует пользовательскую криптографию ECC для защиты связи. Дополнительные полезные нагрузки включают кражу кошелька Fabookie.

Большинство жертв устанавливают операционные системы Windows 10 Professional и Enterprise, включая несколько Datacenter-версий Windows Server. Некоторые из них также являются Windows Embedded, что свидетельствует о проникновении такого вредоносного ПО даже в IoT-среды. Это указывает на то, что злоумышленники воспользовались услугами технически подкованных пользователей, включая ИТ-персонал, и сумели заразить микро- или малые предприятия или частных пользователей, а также корпоративные машины и IoT-устройства на базе Windows.

#ParsedReport
30-03-2023

GoatRAT Attacks Automated Payment Systems

https://labs.k7computing.com/index.php/goatrat-attacks-automated-payment-systems

Threats:
Goatrat

Industry:
Financial

Geo:
Brazilian

IOCs:
Domain: 1
Hash: 1
File: 2

Softs:
android, telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Com.goatmw - это вредоносное средство удаленного администрирования (RAT) для Android, предназначенное для кражи денег путем получения доступа и контроля над целевыми устройствами и инициирования мошеннических денежных операций с использованием PIX-ключа. Важно принимать проактивные меры для защиты от таких угроз.
-----

Банковский троян GoatRAT - это вредоносное средство удаленного администрирования (RAT) для Android, предназначенное для получения доступа и контроля над целевыми устройствами, что позволяет проводить мошеннические денежные операции с использованием PIX-ключа. Вредоносная программа работает путем инициирования службы под названием Server, которая связывается с командно-контрольным (C2) сервером и запрашивает PIX-ключ для проведения мошеннических операций. После получения ключа вредоносная программа накладывает экран поверх целевых банковских приложений, запрашивая у пользователя разрешение на доступ и наложение. Если разрешение получено, вредоносная программа получает контроль над устройством, запрашивает PIX-ключ и вводит сумму денег для инициирования транзакции.

Банковские троянцы для Android становятся все более распространенными, а авторы вредоносных программ находят новые способы кражи денег. Com.goatmw - один из примеров, направленный на определенные бразильские банки. Важно принимать упреждающие меры для защиты от таких угроз, например, использовать надежное решение для обеспечения безопасности мобильных устройств.

#ParsedReport
30-03-2023

ASEC Weekly Malware Statistics (March 20th, 2023 March 26th, 2023)

https://asec.ahnlab.com/en/50667

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Agent_tesla
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
IP: 8
Domain: 3
Url: 6
Email: 2
File: 11

Softs:
telegram, nsis installer, discord

Languages:
php, visual_basic

#ParsedReport
30-03-2023

Forensic Triage of a Windows System running the Backdoored 3CX Desktop App

https://www.cadosecurity.com/forensic-triage-of-a-windows-system-running-the-backdoored-3cx-desktop-app

Threats:
Credential_stealing_technique

IOCs:
File: 6

Softs:
windows defender

YARA: Found

Links:
https://github.com/IconStorages
https://github.com/cado-security

#ParsedReport
30-03-2023

Mac Malware MacStealer Spreads as Fake P2E Apps

https://www.trendmicro.com/en_us/research/23/c/mac-malware-macstealer-spreads-as-fake-p2-e-apps.html

Threats:
Macstealer
Cpypwdstealer

Industry:
Financial

IOCs:
Domain: 8
File: 2
Hash: 50
Url: 10

Softs:
discord, telegram, macos, keplr, keychain, 'macos, tiktok

Algorithms:
zip

Languages:
cpython, python

Platforms:
apple, arm

Links:
https://github.com/Nuitka/Nuitka/blob/develop/nuitka/build/static\_src/OnefileBootstrap.c
https://github.com/n0fate/chainbreaker
https://github.com/Nuitka/Nuitka

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют методы социальной инженерии для распространения MacStealer, вредоносного криптовалютного кошелька и похитителя информации, замаскированного под легитимное игровое приложение play-to-earn (P2E), чтобы украсть данные кошельков жертв, криптовалютные кошельки и пользовательскую информацию. Люди должны знать об этой кампании и принять меры для своей защиты.
-----

MacStealer - это вредоносный криптовалютный кошелек и похититель информации, замаскированный под плагиатную версию легитимного игрового приложения "Играй и зарабатывай" (P2E). Он распространяется через сторонние веб-сайты, платформы социальных сетей, такие как Twitter, Discord и Telegram, и рекламируется как легальная игровая компания, предлагающая работу в качестве бета-тестеров. Используя методы социальной инженерии, киберпреступники пытаются похитить данные кошельков жертв, криптовалютные кошельки и пользовательскую информацию.

Анализ исходного образца показал, что MacStealer представляет собой скрипт на языке Python, скомпилированный в двоичный файл Mach-O. Он пытается отправить украденную информацию на командно-контрольный (C&C) сервер в Zip-файле. Жертвы предупреждали других об этой кампании в Twitter, а некоторые учетные записи даже были верифицированы, чтобы создать ложную иллюзию легитимности.

Вредоносная программа использует растущую популярность P2E-игр и их прибыльные цели, поскольку в них часто используются криптовалюты и кошельки. Людям следует остерегаться установки приложений из неофициальных источников и убедиться, что их решения безопасности включены для обнаружения, блокировки и снижения рисков.

#ParsedReport
30-03-2023

APT Profile: APT-C-35 / DoNot Team

https://socradar.io/apt-profile-apt-c-35-donot-team

Actors/Campaigns:
Donot (motivation: cyber_espionage)
Sandworm
Lazarus
Dropping_elephant

Threats:
Wannacry
Ehdevel
Yty

Industry:
Government, Telco

Geo:
Russian, Iranian, Asian, Kashmir, Norway, Asia, Pakistani, India, Chinese, Australia, Korean, Indian, Pakistan

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)

CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-8570 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 1
Technics: 14

IOCs:
Path: 1
File: 3

Softs:
microsoft office, android

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-35 - это спонсируемая государством группа, нацеленная на страны Южной Азии, в частности на регион Кашмир, в целях шпионажа. Организациям и частным лицам в регионе следует принять меры по защите от их атак.
-----

APT-C-35 - это спонсируемая государством Advanced Persistent Threat (APT), предположительно связанная с индийским правительством. Известно, что группа действует с 2016 года, и основной причиной ее атак является шпионаж в интересах индийского правительства. Она была замечена в основном в нападениях на страны Южной Азии, в частности на регион Кашмир. За прошедшие годы группа разработала целый ряд вредоносных инструментов и программ для шпионажа. К ним относятся EHDevel, YTY, Jaca, Gedit, Henos, DarkMusical и другие.

Группа использует фишинговые кампании для доставки вредоносных документов, содержащих вредоносные макросы, эксплойты CVE-2018-0802, CVE-2017-0199, CVE-2017-8570 и CVE-2017-11882, а также вредоносное ПО для Android, замаскированное под поддельные иконки приложений и сообщения об ошибках. В число используемых группой ТТП входят загрузка файлов из %public%\Music\Symphony с определенными расширениями, отправка обманных сообщений, чтобы создать впечатление, что программное обеспечение удаляет себя, и использование фреймворка вредоносного ПО YTY для сбора и передачи данных.

Организациям и частным лицам в регионе Кашмир следует проявлять повышенную бдительность в отношении атак группы и принимать такие меры, как избегать загрузки документов, прикрепленных к электронным письмам из неизвестных источников, принимать меры против уязвимости CVE-2017-11882, отслеживать и обнаруживать исполняемые файлы, а также блокировать исполняемые файлы, выполняемые из каталога %temp% и AppData.

#ParsedReport
30-03-2023

New TACTICAL#OCTOPUS Attack Campaign Targets US Entities with Malware Bundled in Tax-Themed Documents

https://www.securonix.com/blog/new-tacticaloctopus-attack-campaign-targets-us-entities-with-malware-bundled-in-tax-themed-documents

Threats:
Octopus
Cobalt_strike
Kovter
Process_injection_technique
Procmon_tool
Beacon

Geo:
Russian

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 11
Path: 2
IP: 4
Url: 3
Hash: 63
Command: 1

Softs:
internet explorer, windows powershell, microsoft powershell

Algorithms:
base64, des, zip

Languages:
visual_basic

Platforms:
x86

Links:
https://github.com/bobby-tablez/IP-Obfuscator