#technique
Fork of freeBokuLoader which targets and frees Metsrv's initial reflective DLL package
https://github.com/attl4s/freeMetsrvLoader
Fork of freeBokuLoader which targets and frees Metsrv's initial reflective DLL package
https://github.com/attl4s/freeMetsrvLoader
GitHub
GitHub - attl4s/freeMetsrvLoader: freeBokuLoader fork which targets and frees Metsrv's initial reflective DLL package
freeBokuLoader fork which targets and frees Metsrv's initial reflective DLL package - attl4s/freeMetsrvLoader
#technique
I’d TAP That Pass -Temporary Access Passes (TAP) are enabled in the Azure AD tenant AND You have an authentication admin role in Azure AD You can assign users a short lived password called a Temporary Access Pass (TAP) that satisfies most multi-factor authentication requirements implemented in Azure
https://posts.specterops.io/id-tap-that-pass-8f79fff839ac
I’d TAP That Pass -Temporary Access Passes (TAP) are enabled in the Azure AD tenant AND You have an authentication admin role in Azure AD You can assign users a short lived password called a Temporary Access Pass (TAP) that satisfies most multi-factor authentication requirements implemented in Azure
https://posts.specterops.io/id-tap-that-pass-8f79fff839ac
Medium
I’d TAP That Pass
A better way to attack Azure AD with temporary access passes
IT Army of Ukraine: Analysis of Threat Actors In The Ukraine-Russia War
https://threatmon.io/it-army-of-ukraine-analysis-of-threat-actors-in-the-ukraine-russia-war/
https://threatmon.io/it-army-of-ukraine-analysis-of-threat-actors-in-the-ukraine-russia-war/
threatmon.io
IT Army of Ukraine: Analysis of Threat Actors In The Ukraine-Russia War | ThreatMon
Read to IT Army of Ukraine: Analysis of Threat Actors In The Ukraine-Russia War report and now download it to learn more details.
#ParsedReport
01-04-2023
3CX Supply Chain Attack Campaign. Infection Chain:
https://www.zscaler.com/security-research/3CX-supply-chain-attack-analysis-march-2023
Threats:
Supply_chain_technique
IOCs:
Path: 1
Url: 1
Hash: 4
Domain: 22
Softs:
3cxdesktopapp, chrome, 3cx electron, macos
Algorithms:
rc4, base64
Functions:
ico_decryption
Win API:
DllGetClassObject
01-04-2023
3CX Supply Chain Attack Campaign. Infection Chain:
https://www.zscaler.com/security-research/3CX-supply-chain-attack-analysis-march-2023
Threats:
Supply_chain_technique
IOCs:
Path: 1
Url: 1
Hash: 4
Domain: 22
Softs:
3cxdesktopapp, chrome, 3cx electron, macos
Algorithms:
rc4, base64
Functions:
ico_decryption
Win API:
DllGetClassObject
Zscaler
3CX supply chain attack analysis | 03-31-2023
Zscaler Security Advisory for 3CX Supply chain attack analysis.
#ParsedReport
02-04-2023
New IcedID variants shift from bank fraud to malware delivery
https://www.proofpoint.com/us/newsroom/news/new-icedid-variants-shift-bank-fraud-malware-delivery
Threats:
Icedid
Emotet
Aitm_technique
Industry:
Foodtech, Financial
Softs:
microsoft onenote, onenote
02-04-2023
New IcedID variants shift from bank fraud to malware delivery
https://www.proofpoint.com/us/newsroom/news/new-icedid-variants-shift-bank-fraud-malware-delivery
Threats:
Icedid
Emotet
Aitm_technique
Industry:
Foodtech, Financial
Softs:
microsoft onenote, onenote
BleepingComputer
New IcedID variants shift from bank fraud to malware delivery
New IcedID variants have been found without the usual online banking fraud functionality and instead focus on installing further malware on compromised systems.
CTT Report Hub
#ParsedReport 02-04-2023 New IcedID variants shift from bank fraud to malware delivery https://www.proofpoint.com/us/newsroom/news/new-icedid-variants-shift-bank-fraud-malware-delivery Threats: Icedid Emotet Aitm_technique Industry: Foodtech, Financial…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Обнаружены два новых варианта загрузчика вредоносного ПО IcedID, Lite и Forked, которые свидетельствуют о попытке субъектов угрозы обойти обнаружение, и в 2023 году могут появиться еще варианты.
-----
Недавно были обнаружены два новых варианта загрузчика вредоносного ПО IcedID - Lite и Forked. Вариант Lite встречается с ноября 2022 года, когда он был развернут в качестве полезной нагрузки второго этапа на системах, зараженных вредоносной программой Emotet. Вариант Forked впервые появился в феврале 2023 года, распространяясь через тысячи персонализированных фишинговых писем на тему счетов с использованием вложений Microsoft OneNote (.one) для выполнения вредоносного файла HTA. В конце февраля исследователи также наблюдали маломасштабную кампанию по распространению Forked IcedID через поддельные уведомления от Национального закона о безопасности движения и автотранспорта и Управления по контролю за продуктами и лекарствами США (FDA).
Варианты Lite и Forked загрузчика IcedID отличаются от стандартной версии размером и возможностями. Lite-вариант легче - 20 КБ, и не передает информацию о хосте в C2. Forked-версия бота на 64 КБ меньше, чем стандартная, в ней отсутствует система веб-инъекций, функции AiTM (adversary in the middle) и возможности обратного подключения.
Эти новые варианты IcedID свидетельствуют о переходе к специализации бота для доставки полезной нагрузки, и исследователи прогнозируют, что в 2023 году могут появиться новые варианты. Развертывание новых версий IcedID вызывает беспокойство, поскольку свидетельствует об усилиях субъектов угрозы обойти обнаружение.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Обнаружены два новых варианта загрузчика вредоносного ПО IcedID, Lite и Forked, которые свидетельствуют о попытке субъектов угрозы обойти обнаружение, и в 2023 году могут появиться еще варианты.
-----
Недавно были обнаружены два новых варианта загрузчика вредоносного ПО IcedID - Lite и Forked. Вариант Lite встречается с ноября 2022 года, когда он был развернут в качестве полезной нагрузки второго этапа на системах, зараженных вредоносной программой Emotet. Вариант Forked впервые появился в феврале 2023 года, распространяясь через тысячи персонализированных фишинговых писем на тему счетов с использованием вложений Microsoft OneNote (.one) для выполнения вредоносного файла HTA. В конце февраля исследователи также наблюдали маломасштабную кампанию по распространению Forked IcedID через поддельные уведомления от Национального закона о безопасности движения и автотранспорта и Управления по контролю за продуктами и лекарствами США (FDA).
Варианты Lite и Forked загрузчика IcedID отличаются от стандартной версии размером и возможностями. Lite-вариант легче - 20 КБ, и не передает информацию о хосте в C2. Forked-версия бота на 64 КБ меньше, чем стандартная, в ней отсутствует система веб-инъекций, функции AiTM (adversary in the middle) и возможности обратного подключения.
Эти новые варианты IcedID свидетельствуют о переходе к специализации бота для доставки полезной нагрузки, и исследователи прогнозируют, что в 2023 году могут появиться новые варианты. Развертывание новых версий IcedID вызывает беспокойство, поскольку свидетельствует об усилиях субъектов угрозы обойти обнаружение.
#ParsedReport
03-04-2023
Ongoing Active Trojanized 3CX Desktop App Potentially Affecting 600K Users Globally
https://cloudsek.com/blog/ongoing-active-trojanized-3cx-desktop-app-potentially-affecting-600k-users-globally
Actors/Campaigns:
Lazarus
Threats:
Supply_chain_technique
Artemis
Industry:
Financial
IOCs:
File: 2
Domain: 21
Email: 4
Hash: 11
Softs:
3cx desktop app, macos, 3cxdesktopapp, (macos
Algorithms:
base64
YARA: Found
Links:
03-04-2023
Ongoing Active Trojanized 3CX Desktop App Potentially Affecting 600K Users Globally
https://cloudsek.com/blog/ongoing-active-trojanized-3cx-desktop-app-potentially-affecting-600k-users-globally
Actors/Campaigns:
Lazarus
Threats:
Supply_chain_technique
Artemis
Industry:
Financial
IOCs:
File: 2
Domain: 21
Email: 4
Hash: 11
Softs:
3cx desktop app, macos, 3cxdesktopapp, (macos
Algorithms:
base64
YARA: Found
Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/gen\_mal\_3cx\_compromise\_mar23.yarCloudsek
Ongoing Active Trojanized 3CX Desktop App Potentially Affecting 600K Users Globally | CloudSEK
On 29th March, 2023 there were reports of malicious activity originating from a signed 3CX desktop application. CrowdStrike’s Falcon Overwatch has claimed to have observed malicious activities from both Windows and macOS binaries.
#ParsedReport
03-04-2023
APT-C-23. 1. Attack Action Analysis
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492294&idx=1&sn=305266e33cb615257c8a8c03df43e36a&chksm=f9c1d1cfceb658d947b30e2453ec96cfd1d608c17aebca6e74c8ca8ed11c187569b44538756a&scene=178&cur_album_id=1955835290309230595
Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Manlinghua
Threats:
Beacon
Geo:
Israeli, Israel, Qatar
IOCs:
Hash: 6
Softs:
android
03-04-2023
APT-C-23. 1. Attack Action Analysis
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492294&idx=1&sn=305266e33cb615257c8a8c03df43e36a&chksm=f9c1d1cfceb658d947b30e2453ec96cfd1d608c17aebca6e74c8ca8ed11c187569b44538756a&scene=178&cur_album_id=1955835290309230595
Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Manlinghua
Threats:
Beacon
Geo:
Israeli, Israel, Qatar
IOCs:
Hash: 6
Softs:
android
Weixin Official Accounts Platform
APT-C-23(双尾蝎)组织最新攻击活动分析
近期,360烽火实验室再次发现哈马斯最新的攻击行动,本次攻击行动与《针对巴以地区围绕卡塔尔世界杯的攻击行动》报告中攻击组织存在较大关联
CTT Report Hub
#ParsedReport 03-04-2023 APT-C-23. 1. Attack Action Analysis https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492294&idx=1&sn=305266e33cb615257c8a8c03df43e36a&chksm=f9c1d1cfceb658d947b30e2453ec96cfd1d608c17aebca6e74c8ca8ed11c187569b44538756a&sc…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-C-23 (Двухвостый скорпион) - это организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года и нацеленная на образовательные и военные учреждения с использованием платформ Windows и Android. Она использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки и обладает возможностью кражи записей разговоров.
-----
APT-C-23 (Двухвостый скорпион) - организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года. Эта организация преимущественно нацелена на образовательные и военные учреждения, использующие платформы Windows и Android. Армия обороны Израиля сообщила об успешной защите от серии кибератак ХАМАС в феврале 2020 года, а 360 Beacon Labs обнаружила последнюю атаку ХАМАС APT-C-23 (Twin-Tailed Scorpion) в июне 2022 года, которая все еще активна.
Эта атака использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки. Злоумышленники изменили название и иконку легитимного инструмента воспроизведения видео под названием OPlayer и создали соответствующий фишинговый веб-сайт для доставки вредоносных приложений в виде подпакетов в легитимное приложение. Он модифицирует код легитимного приложения, чтобы побудить пользователя установить вредоносный подпакет и затем запустить его в фоновом режиме. Предполагается, что он способен похищать записи разговоров.
Атака была отнесена к APT-C-23 ("Двухвостый скорпион") из-за сходства с атакой, о которой сообщалось в отчете "Атаки на регион Палестина-Израиль вокруг чемпионата мира по футболу в Катаре". Кроме того, имя файла исходного кода JavaScript на фишинговом сайте и код для получения адреса загрузки приложения также совпадают. Это говорит о том, что злоумышленники освоили технологию и в будущем, скорее всего, будут атаковать самых разных жертв.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-C-23 (Двухвостый скорпион) - это организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года и нацеленная на образовательные и военные учреждения с использованием платформ Windows и Android. Она использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки и обладает возможностью кражи записей разговоров.
-----
APT-C-23 (Двухвостый скорпион) - организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года. Эта организация преимущественно нацелена на образовательные и военные учреждения, использующие платформы Windows и Android. Армия обороны Израиля сообщила об успешной защите от серии кибератак ХАМАС в феврале 2020 года, а 360 Beacon Labs обнаружила последнюю атаку ХАМАС APT-C-23 (Twin-Tailed Scorpion) в июне 2022 года, которая все еще активна.
Эта атака использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки. Злоумышленники изменили название и иконку легитимного инструмента воспроизведения видео под названием OPlayer и создали соответствующий фишинговый веб-сайт для доставки вредоносных приложений в виде подпакетов в легитимное приложение. Он модифицирует код легитимного приложения, чтобы побудить пользователя установить вредоносный подпакет и затем запустить его в фоновом режиме. Предполагается, что он способен похищать записи разговоров.
Атака была отнесена к APT-C-23 ("Двухвостый скорпион") из-за сходства с атакой, о которой сообщалось в отчете "Атаки на регион Палестина-Израиль вокруг чемпионата мира по футболу в Катаре". Кроме того, имя файла исходного кода JavaScript на фишинговом сайте и код для получения адреса загрузки приложения также совпадают. Это говорит о том, что злоумышленники освоили технологию и в будущем, скорее всего, будут атаковать самых разных жертв.
#ParsedReport
02-04-2023
A Comprehensive Analysis of the 3CX Attack
https://blog.cyble.com/2023/03/31/a-comprehensive-analysis-of-the-3cx-attack
Threats:
Supply_chain_technique
Dll_sideloading_technique
Industry:
Financial
Geo:
Korean
TTPs:
Tactics: 5
Technics: 9
IOCs:
File: 3
Path: 1
Hash: 24
Domain: 22
Softs:
3cx desktopapp, macos, 3cxdesktopapp, chrome, windows installer
Algorithms:
base64, rc4, aes
Win API:
VirtualProtect
YARA: Found
02-04-2023
A Comprehensive Analysis of the 3CX Attack
https://blog.cyble.com/2023/03/31/a-comprehensive-analysis-of-the-3cx-attack
Threats:
Supply_chain_technique
Dll_sideloading_technique
Industry:
Financial
Geo:
Korean
TTPs:
Tactics: 5
Technics: 9
IOCs:
File: 3
Path: 1
Hash: 24
Domain: 22
Softs:
3cx desktopapp, macos, 3cxdesktopapp, chrome, windows installer
Algorithms:
base64, rc4, aes
Win API:
VirtualProtect
YARA: Found
Cyble
Cyble - A Comprehensive Analysis Of The 3CX Attack
Cyble Research & Intelligence Labs analyzes the recent 3CX supply chain attack and the malicious methods employed by the attackers.
#ParsedReport
03-04-2023
The Rise of FusionCore An Emerging Cybercrime Group from Europe
https://www.cyfirma.com/outofband/the-rise-of-fusioncore-an-emerging-cybercrime-group-from-europe
Actors/Campaigns:
Fancy_bear
Kratos
Threats:
Fusioncore
Sarinlocker
Rootfinder
Cryptonic
Golden_mine
Typhon_reborn
Hydra
Nomercy_stealer
Necrosys_actor
Typhon-r
Apollorat
Typhon_stealer
Danielnusradin_actor
Serpent
Confuserex_tool
Nbminer
Xmrig_miner
Vipera
Redline_stealer
Lockbit
Process_injection_technique
Timestomp_technique
Credential_dumping_technique
Industry:
Financial
Geo:
Greek, Asia, Sweden, Pacific
TTPs:
Tactics: 10
Technics: 34
IOCs:
File: 1
Hash: 11
IP: 1
Softs:
telegram, virtualbox
Algorithms:
base64, aes
Platforms:
x64, x86
SIGMA: Found
03-04-2023
The Rise of FusionCore An Emerging Cybercrime Group from Europe
https://www.cyfirma.com/outofband/the-rise-of-fusioncore-an-emerging-cybercrime-group-from-europe
Actors/Campaigns:
Fancy_bear
Kratos
Threats:
Fusioncore
Sarinlocker
Rootfinder
Cryptonic
Golden_mine
Typhon_reborn
Hydra
Nomercy_stealer
Necrosys_actor
Typhon-r
Apollorat
Typhon_stealer
Danielnusradin_actor
Serpent
Confuserex_tool
Nbminer
Xmrig_miner
Vipera
Redline_stealer
Lockbit
Process_injection_technique
Timestomp_technique
Credential_dumping_technique
Industry:
Financial
Geo:
Greek, Asia, Sweden, Pacific
TTPs:
Tactics: 10
Technics: 34
IOCs:
File: 1
Hash: 11
IP: 1
Softs:
telegram, virtualbox
Algorithms:
base64, aes
Platforms:
x64, x86
SIGMA: Found
CYFIRMA
The Rise of FusionCore An Emerging Cybercrime Group from Europe - CYFIRMA
EXECUTIVE SUMMARY The CYFIRMA research team has identified a new up-and-coming European threat actor group known as FusionCore. Running Malware-as-a-service,...
CTT Report Hub
#ParsedReport 03-04-2023 The Rise of FusionCore An Emerging Cybercrime Group from Europe https://www.cyfirma.com/outofband/the-rise-of-fusioncore-an-emerging-cybercrime-group-from-europe Actors/Campaigns: Fancy_bear Kratos Threats: Fusioncore Sarinlocker…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: FusionCore - европейская группа угроз, предлагающая широкий спектр вредоносных программ и услуг хакеров по найму, в основном направленных на организации посредством фишинговых атак. Команды безопасности должны принимать проактивные меры для защиты от атак FusionCore.
-----
FusionCore - это европейская группа угроз, предлагающая широкий спектр вредоносных программ в качестве услуги, хакерских программ для наемных работников и партнерских программ по борьбе с вымогательством. Основанная в 2022 году пользователем Hydra, их каталог вредоносных программ включает Typhon-R Stealer, RootFinder Stealer, RootFinder RAT, Cryptonic Crypter, RootFinder Ransomware, RootFinder Miner, Golden Mine, ApolloRAT, SarinLocker и дроппер KratoS. Основные партнеры FusionCore включают NecroSys, DanielNusradin, InsaniumDev и SysKey.
Используя фишинг как основной вектор атаки для получения первоначального доступа, FusionCore специализируется на широком спектре вредоносных программ и, скорее всего, действует из Европы. Их вредоносные программы написаны на C++, C# и Go, а для майнинга криптовалюты они используют программное обеспечение с открытым исходным кодом, такое как NBMiner и Xmrig. FusionCore также использует обфускаторы с открытым исходным кодом .NET, такие как Obfuscar, NETShield и ConfuserEX, чтобы повысить уклончивость своих криптеров, которые используются для шифрования, обфускации и манипулирования вредоносным ПО.
Группа находится под сильным влиянием греческой и римской мифологии, что заметно в названиях их псевдонимов и флагманских вредоносных программ. FusionCore - молодая группа амбициозных разработчиков вредоносных программ, расширяющих свой арсенал такими инструментами, как AnthraXXXLocker и Cryptonic. Среди целей FusionCore - муниципалитет Линдесберга в Швеции и компания, занимающаяся информационной безопасностью в Азиатско-Тихоокеанском регионе.
Разнообразный каталог вредоносных программ FusionCore представляет собой многогранный риск для организации, чреватый финансовыми потерями, сбоями в работе и репутационным ущербом. Для защиты от того, что невозможно увидеть, группам безопасности необходим полный обзор поверхности атаки, поэтому они должны внедрить сегментацию сети для ограничения воздействия успешных атак, развернуть решения для защиты конечных точек, обучить сотрудников передовым методам обеспечения безопасности, а также контролировать сетевой трафик и действия пользователей для обнаружения и реагирования на подозрительное поведение.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: FusionCore - европейская группа угроз, предлагающая широкий спектр вредоносных программ и услуг хакеров по найму, в основном направленных на организации посредством фишинговых атак. Команды безопасности должны принимать проактивные меры для защиты от атак FusionCore.
-----
FusionCore - это европейская группа угроз, предлагающая широкий спектр вредоносных программ в качестве услуги, хакерских программ для наемных работников и партнерских программ по борьбе с вымогательством. Основанная в 2022 году пользователем Hydra, их каталог вредоносных программ включает Typhon-R Stealer, RootFinder Stealer, RootFinder RAT, Cryptonic Crypter, RootFinder Ransomware, RootFinder Miner, Golden Mine, ApolloRAT, SarinLocker и дроппер KratoS. Основные партнеры FusionCore включают NecroSys, DanielNusradin, InsaniumDev и SysKey.
Используя фишинг как основной вектор атаки для получения первоначального доступа, FusionCore специализируется на широком спектре вредоносных программ и, скорее всего, действует из Европы. Их вредоносные программы написаны на C++, C# и Go, а для майнинга криптовалюты они используют программное обеспечение с открытым исходным кодом, такое как NBMiner и Xmrig. FusionCore также использует обфускаторы с открытым исходным кодом .NET, такие как Obfuscar, NETShield и ConfuserEX, чтобы повысить уклончивость своих криптеров, которые используются для шифрования, обфускации и манипулирования вредоносным ПО.
Группа находится под сильным влиянием греческой и римской мифологии, что заметно в названиях их псевдонимов и флагманских вредоносных программ. FusionCore - молодая группа амбициозных разработчиков вредоносных программ, расширяющих свой арсенал такими инструментами, как AnthraXXXLocker и Cryptonic. Среди целей FusionCore - муниципалитет Линдесберга в Швеции и компания, занимающаяся информационной безопасностью в Азиатско-Тихоокеанском регионе.
Разнообразный каталог вредоносных программ FusionCore представляет собой многогранный риск для организации, чреватый финансовыми потерями, сбоями в работе и репутационным ущербом. Для защиты от того, что невозможно увидеть, группам безопасности необходим полный обзор поверхности атаки, поэтому они должны внедрить сегментацию сети для ограничения воздействия успешных атак, развернуть решения для защиты конечных точек, обучить сотрудников передовым методам обеспечения безопасности, а также контролировать сетевой трафик и действия пользователей для обнаружения и реагирования на подозрительное поведение.
#ParsedReport
03-04-2023
The many faces of the IcedID attack kill chain
https://www.menlosecurity.com/blog/the-many-faces-of-the-icedid-attack-kill-chain
Actors/Campaigns:
Xinglocker
Threats:
Icedid
Html_smuggling_technique
Quantum_locker
Mount_locker
Astro_locker
Conti
IOCs:
File: 4
Path: 3
Hash: 23
IP: 13
Domain: 10
Softs:
onenote, zoom, wordpress, microsoft teams, chrome
Algorithms:
zip
Functions:
alert
Languages:
visual_basic, javascript
03-04-2023
The many faces of the IcedID attack kill chain
https://www.menlosecurity.com/blog/the-many-faces-of-the-icedid-attack-kill-chain
Actors/Campaigns:
Xinglocker
Threats:
Icedid
Html_smuggling_technique
Quantum_locker
Mount_locker
Astro_locker
Conti
IOCs:
File: 4
Path: 3
Hash: 23
IP: 13
Domain: 10
Softs:
onenote, zoom, wordpress, microsoft teams, chrome
Algorithms:
zip
Functions:
alert
Languages:
visual_basic, javascript
Menlosecurity
The IcedID attack kill chain - Blog | Menlo Security
Analysis and insights of IcedID malware campaigns, a modular trojan that's one of the most notorious pieces of malware.
CTT Report Hub
#ParsedReport 03-04-2023 The many faces of the IcedID attack kill chain https://www.menlosecurity.com/blog/the-many-faces-of-the-icedid-attack-kill-chain Actors/Campaigns: Xinglocker Threats: Icedid Html_smuggling_technique Quantum_locker Mount_locker…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: IcedID - это печально известная вредоносная программа, которая в последние пару месяцев становится все более активной, используя множество векторов и методов атаки для обеспечения устойчивости и кражи учетных данных пользователей.
-----
IcedID, модульный троян, впервые появившийся в 2017 году, - это печально известная вредоносная программа, которая в последние пару месяцев становится все более активной. Злоумышленники используют фишинговые электронные письма, поддельные программы установки Zoom, вредоносные файлы .one или кампании вредоносной рекламы, содержащие ссылки или вложения на веб-сайты, на которых размещаются вредоносные полезные нагрузки, такие как файлы OneNote, файлы JavaScript, файлы Visual Basic Script (VBS) и исполняемые файлы (EXE). Затем вредоносная полезная нагрузка загружается с командно-контрольных (C2) серверов, контролируемых злоумышленниками. Вредоносные рекламные кампании, направленные на корпоративное население, могут привести жертв к доменам, содержащим скрипты, используемые для заражения.
Еще одним вектором атаки, использованным IcedID, был OneNote, который эксплуатировался благодаря своим возможностям обмена файлами. Угрозы могли загружать вредоносные файлы, такие как скрипты, EXE и документы, на страницы OneNote, которые затем могли быть переданы потенциальным жертвам. При открытии эти вредоносные файлы загружали дополнительные компоненты и неосознанно устанавливали IcedID в систему. В декабре 2022 года кампания IcedID была замечена в использовании файлов .url для получения файла .bat с файлового сервера WebDav с открытым каталогом.
HTML smuggling также наблюдалась в октябре 2022 года, когда IcedID был доставлен через фишинговое письмо с вложением HTML. Когда пользователи открывали и нажимали на приманку, они загружали защищенный паролем zip-файл, содержащий вредоносный ISO-файл. Считается, что IcedID в основном используется бандой Quantum Ransomware, однако конечная цель последних цепочек заражения пока не раскрыта.
IcedID закрепляетя с помощью методов манипулирования реестром, внедряет вредоносное содержимое в легитимные веб-страницы, собирает сохраненные учетные данные из веб-браузеров, делает скриншоты и записывает нажатия клавиш, а также пытается отключить продукты безопасности. Все эти методы делают IcedID одной из самых опасных угроз, существующих в настоящее время.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: IcedID - это печально известная вредоносная программа, которая в последние пару месяцев становится все более активной, используя множество векторов и методов атаки для обеспечения устойчивости и кражи учетных данных пользователей.
-----
IcedID, модульный троян, впервые появившийся в 2017 году, - это печально известная вредоносная программа, которая в последние пару месяцев становится все более активной. Злоумышленники используют фишинговые электронные письма, поддельные программы установки Zoom, вредоносные файлы .one или кампании вредоносной рекламы, содержащие ссылки или вложения на веб-сайты, на которых размещаются вредоносные полезные нагрузки, такие как файлы OneNote, файлы JavaScript, файлы Visual Basic Script (VBS) и исполняемые файлы (EXE). Затем вредоносная полезная нагрузка загружается с командно-контрольных (C2) серверов, контролируемых злоумышленниками. Вредоносные рекламные кампании, направленные на корпоративное население, могут привести жертв к доменам, содержащим скрипты, используемые для заражения.
Еще одним вектором атаки, использованным IcedID, был OneNote, который эксплуатировался благодаря своим возможностям обмена файлами. Угрозы могли загружать вредоносные файлы, такие как скрипты, EXE и документы, на страницы OneNote, которые затем могли быть переданы потенциальным жертвам. При открытии эти вредоносные файлы загружали дополнительные компоненты и неосознанно устанавливали IcedID в систему. В декабре 2022 года кампания IcedID была замечена в использовании файлов .url для получения файла .bat с файлового сервера WebDav с открытым каталогом.
HTML smuggling также наблюдалась в октябре 2022 года, когда IcedID был доставлен через фишинговое письмо с вложением HTML. Когда пользователи открывали и нажимали на приманку, они загружали защищенный паролем zip-файл, содержащий вредоносный ISO-файл. Считается, что IcedID в основном используется бандой Quantum Ransomware, однако конечная цель последних цепочек заражения пока не раскрыта.
IcedID закрепляетя с помощью методов манипулирования реестром, внедряет вредоносное содержимое в легитимные веб-страницы, собирает сохраненные учетные данные из веб-браузеров, делает скриншоты и записывает нажатия клавиш, а также пытается отключить продукты безопасности. Все эти методы делают IcedID одной из самых опасных угроз, существующих в настоящее время.
#ParsedReport
03-04-2023
UNC215: Spotlight on a Chinese Espionage Campaign in Israel
https://www.mandiant.com/resources/blog/unc215-chinese-espionage-campaign-in-israel
Actors/Campaigns:
Unc215 (motivation: cyber_espionage)
Emissary_panda
Threats:
Focusfjord
Credential_harvesting_technique
Adfind_tool
Hyperbro
Sysupdate
Twoface
Mimikatz_tool
Credential_dumping_technique
Process_injection_technique
Process_hollowing_technique
Timestomp_technique
Dll_sideloading_technique
Luckymouse
Mispadu
Cmder
Industry:
Healthcare, Financial, Entertainment, Telco, Transport, Government
Geo:
America, Chinese, Israeli, Iceland, Iran, Turkish, China, Asia, Uzbekistan, Israel, Kazakhstan, Iranian
CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)
TTPs:
Tactics: 1
Technics: 54
IOCs:
Hash: 23
IP: 19
File: 5
Softs:
microsoft sharepoint, active directory, telegram, windows update service, outlook, windows service
Platforms:
intel
Links:
03-04-2023
UNC215: Spotlight on a Chinese Espionage Campaign in Israel
https://www.mandiant.com/resources/blog/unc215-chinese-espionage-campaign-in-israel
Actors/Campaigns:
Unc215 (motivation: cyber_espionage)
Emissary_panda
Threats:
Focusfjord
Credential_harvesting_technique
Adfind_tool
Hyperbro
Sysupdate
Twoface
Mimikatz_tool
Credential_dumping_technique
Process_injection_technique
Process_hollowing_technique
Timestomp_technique
Dll_sideloading_technique
Luckymouse
Mispadu
Cmder
Industry:
Healthcare, Financial, Entertainment, Telco, Transport, Government
Geo:
America, Chinese, Israeli, Iceland, Iran, Turkish, China, Asia, Uzbekistan, Israel, Kazakhstan, Iranian
CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)
TTPs:
Tactics: 1
Technics: 54
IOCs:
Hash: 23
IP: 19
File: 5
Softs:
microsoft sharepoint, active directory, telegram, windows update service, outlook, windows service
Platforms:
intel
Links:
https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/emissary\_panda\_registryMandiant
UNC215: Spotlight on a Chinese Espionage Campaign in Israel | Mandiant
CTT Report Hub
#ParsedReport 03-04-2023 UNC215: Spotlight on a Chinese Espionage Campaign in Israel https://www.mandiant.com/resources/blog/unc215-chinese-espionage-campaign-in-israel Actors/Campaigns: Unc215 (motivation: cyber_espionage) Emissary_panda Threats: Focusfjord…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: UNC215 - китайская шпионская группа, которая действует как минимум с 2014 года, а с 2019 года нацелилась на правительства и организации на Ближнем Востоке и в Центральной Азии, вероятно, в стратегических интересах, связанных с инициативой "Пояс и путь" и технологическим сектором Израиля.
-----
UNC215 - китайская шпионская группа, действующая как минимум с 2014 года. Их целью являются организации, имеющие стратегическое значение для финансовых, дипломатических и стратегических целей Пекина, включая правительства, технологии, телекоммуникации, оборону, финансы, развлечения и здравоохранение. Группа в основном использует уязвимость CVE-2019-0604 в Microsoft SharePoint для установки веб-оболочек и полезной нагрузки FOCUSFJORD на цели на Ближнем Востоке и в Центральной Азии. Они используют различные тактики для сокрытия своей деятельности, такие как строки на иностранных языках, код, связанный с иранскими акторами, и повторно используемые SSL-сертификаты. Они также пытаются минимизировать количество криминалистических доказательств, оставленных на скомпрометированных узлах, и используют доверительные отношения для латерального перемещения.
Деятельность UNC215 на Ближнем Востоке началась в начале 2019 года, а с января 2019 года наблюдались нападения на израильские государственные учреждения, ИТ-провайдеров и телекоммуникационные организации. Неясно, являются ли инструменты FOCUSFJORD и HYPERBRO исключительно разработкой и использованием UNC215 или это общие ресурсы с другими группами. Хотя между UNC215 и APT27 есть совпадения в выборе целей и высокоуровневых методов, нет достаточных доказательств, чтобы сделать вывод, что за оба вида деятельности отвечает один и тот же субъект.
Многомиллиардные инвестиции Китая, связанные с инициативой "Пояс и путь" (BRI), и интерес к мощному технологическому сектору Израиля, возможно, стимулируют активность UNC215 в регионе. Вероятно, они стремятся отслеживать потенциальные препятствия на пути этих проектов и будут продолжать атаковать правительства и организации, участвующие в них. Эта деятельность соответствует стратегическим интересам Китая на Ближнем Востоке.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: UNC215 - китайская шпионская группа, которая действует как минимум с 2014 года, а с 2019 года нацелилась на правительства и организации на Ближнем Востоке и в Центральной Азии, вероятно, в стратегических интересах, связанных с инициативой "Пояс и путь" и технологическим сектором Израиля.
-----
UNC215 - китайская шпионская группа, действующая как минимум с 2014 года. Их целью являются организации, имеющие стратегическое значение для финансовых, дипломатических и стратегических целей Пекина, включая правительства, технологии, телекоммуникации, оборону, финансы, развлечения и здравоохранение. Группа в основном использует уязвимость CVE-2019-0604 в Microsoft SharePoint для установки веб-оболочек и полезной нагрузки FOCUSFJORD на цели на Ближнем Востоке и в Центральной Азии. Они используют различные тактики для сокрытия своей деятельности, такие как строки на иностранных языках, код, связанный с иранскими акторами, и повторно используемые SSL-сертификаты. Они также пытаются минимизировать количество криминалистических доказательств, оставленных на скомпрометированных узлах, и используют доверительные отношения для латерального перемещения.
Деятельность UNC215 на Ближнем Востоке началась в начале 2019 года, а с января 2019 года наблюдались нападения на израильские государственные учреждения, ИТ-провайдеров и телекоммуникационные организации. Неясно, являются ли инструменты FOCUSFJORD и HYPERBRO исключительно разработкой и использованием UNC215 или это общие ресурсы с другими группами. Хотя между UNC215 и APT27 есть совпадения в выборе целей и высокоуровневых методов, нет достаточных доказательств, чтобы сделать вывод, что за оба вида деятельности отвечает один и тот же субъект.
Многомиллиардные инвестиции Китая, связанные с инициативой "Пояс и путь" (BRI), и интерес к мощному технологическому сектору Израиля, возможно, стимулируют активность UNC215 в регионе. Вероятно, они стремятся отслеживать потенциальные препятствия на пути этих проектов и будут продолжать атаковать правительства и организации, участвующие в них. Эта деятельность соответствует стратегическим интересам Китая на Ближнем Востоке.
#ParsedReport
03-04-2023
Too Log; Didn't Read - Unknown Actor Using CLFS Log Files for Stealth
https://www.mandiant.com/resources/blog/unknown-actor-using-clfs-log-files-for-stealth
Threats:
Privatelog
Stashlog
Dll_sideloading_technique
Process_injection_technique
TTPs:
Tactics: 1
Technics: 5
IOCs:
File: 10
Registry: 1
Path: 5
Email: 1
Coin: 1
Hash: 3
Softs:
windows registry
Algorithms:
hc-128, xor
Functions:
RegCreateKeyTransacted, RegOpenKeyTransacted, RegDeleteKeyTransacted, main, CoCreateGUID, ReadLogFile, ReadNextLogFile, NtCreateSection
Win API:
CreateLogFile, CloseAndResetLogFile, GetVolumeNameForVolumeMountPointW, ReserveAndAppendLog, CreateLogMarshallingArea, CreateFileTransactedA, VirtualProtect, CreateTransaction, PTOpenProviderEx, LoadLibrary, have more...
YARA: Found
Links:
03-04-2023
Too Log; Didn't Read - Unknown Actor Using CLFS Log Files for Stealth
https://www.mandiant.com/resources/blog/unknown-actor-using-clfs-log-files-for-stealth
Threats:
Privatelog
Stashlog
Dll_sideloading_technique
Process_injection_technique
TTPs:
Tactics: 1
Technics: 5
IOCs:
File: 10
Registry: 1
Path: 5
Email: 1
Coin: 1
Hash: 3
Softs:
windows registry
Algorithms:
hc-128, xor
Functions:
RegCreateKeyTransacted, RegOpenKeyTransacted, RegDeleteKeyTransacted, main, CoCreateGUID, ReadLogFile, ReadNextLogFile, NtCreateSection
Win API:
CreateLogFile, CloseAndResetLogFile, GetVolumeNameForVolumeMountPointW, ReserveAndAppendLog, CreateLogMarshallingArea, CreateFileTransactedA, VirtualProtect, CreateTransaction, PTOpenProviderEx, LoadLibrary, have more...
YARA: Found
Links:
https://github.com/forrest-orr/phantom-dll-hollower-pochttps://github.com/microsoft/Detourshttps://github.com/libyal/libfsclfs/blob/main/documenation/Common%20Log%20File%20System%20(CLFS).asciidocMandiant
Too Log; Didn't Read — Unknown Actor Using CLFS Log Files for Stealth | Mandiant
CTT Report Hub
#ParsedReport 03-04-2023 Too Log; Didn't Read - Unknown Actor Using CLFS Log Files for Stealth https://www.mandiant.com/resources/blog/unknown-actor-using-clfs-log-files-for-stealth Threats: Privatelog Stashlog Dll_sideloading_technique Process_injection_technique…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Mandiant обнаружила два новых семейства вредоносных программ, PRIVATELOG и STASHLOG, которые используют Common Log File System (CLFS) для сокрытия данных, и создала правила YARA для их поиска. Эти семейства вредоносных программ еще не были замечены в средах клиентов, поэтому важно сохранять бдительность и использовать инструменты, предоставленные компанией Mandiant, для их обнаружения.
-----
Команда Mandiant Advanced Practices недавно обнаружила два новых семейства вредоносных программ - PRIVATELOG и STASHLOG. Эти образцы используют новую технику сокрытия данных, используя Common Log File System (CLFS). Это дает злоумышленникам возможность скрыть свои данные в виде записей журнала удобным способом, поскольку они доступны через API-функции, схожие по своей природе с вредоносным ПО, которое может полагаться на реестр Windows или расширенные атрибуты NTFS для сокрытия своих данных.
PRIVATELOG - это необфусцированная 64-битная DLL с именем prntvpt.dll, а STASHLOG имеет два различных режима работы. Строки, используемые обоими примерами, обфусцированы, каждая из них зашифрована уникальным потоком байтов. Используемый алгоритм шифрования - HC-128, который редко встречается во вредоносных программах.
Mandiant создал правила YARA для поиска PRIVATELOG и STASHLOG, а также возможных вариантов, основанных на различных методологиях и уникальных строках, которые они используют. Эти правила следует тщательно протестировать, прежде чем запускать их в производственной среде. В дополнение к статическому поиску с помощью Yara, Mandiant также рекомендует искать подобные индикаторы компрометации в событиях процесса, загрузки изображений или записи файлов в типичных журналах EDR.
Компания Mandiant пока не обнаружила PRIVATELOG или STASHLOG в средах клиентов или не восстановила полезную нагрузку второго этапа, запущенную PRIVATELOG. Это указывает на то, что вредоносная программа может находиться в стадии разработки, быть работой исследователя или целенаправленной деятельностью. Поэтому важно сохранять бдительность и использовать инструменты, предоставленные компанией Mandiant, для обнаружения этой новой угрозы.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Mandiant обнаружила два новых семейства вредоносных программ, PRIVATELOG и STASHLOG, которые используют Common Log File System (CLFS) для сокрытия данных, и создала правила YARA для их поиска. Эти семейства вредоносных программ еще не были замечены в средах клиентов, поэтому важно сохранять бдительность и использовать инструменты, предоставленные компанией Mandiant, для их обнаружения.
-----
Команда Mandiant Advanced Practices недавно обнаружила два новых семейства вредоносных программ - PRIVATELOG и STASHLOG. Эти образцы используют новую технику сокрытия данных, используя Common Log File System (CLFS). Это дает злоумышленникам возможность скрыть свои данные в виде записей журнала удобным способом, поскольку они доступны через API-функции, схожие по своей природе с вредоносным ПО, которое может полагаться на реестр Windows или расширенные атрибуты NTFS для сокрытия своих данных.
PRIVATELOG - это необфусцированная 64-битная DLL с именем prntvpt.dll, а STASHLOG имеет два различных режима работы. Строки, используемые обоими примерами, обфусцированы, каждая из них зашифрована уникальным потоком байтов. Используемый алгоритм шифрования - HC-128, который редко встречается во вредоносных программах.
Mandiant создал правила YARA для поиска PRIVATELOG и STASHLOG, а также возможных вариантов, основанных на различных методологиях и уникальных строках, которые они используют. Эти правила следует тщательно протестировать, прежде чем запускать их в производственной среде. В дополнение к статическому поиску с помощью Yara, Mandiant также рекомендует искать подобные индикаторы компрометации в событиях процесса, загрузки изображений или записи файлов в типичных журналах EDR.
Компания Mandiant пока не обнаружила PRIVATELOG или STASHLOG в средах клиентов или не восстановила полезную нагрузку второго этапа, запущенную PRIVATELOG. Это указывает на то, что вредоносная программа может находиться в стадии разработки, быть работой исследователя или целенаправленной деятельностью. Поэтому важно сохранять бдительность и использовать инструменты, предоставленные компанией Mandiant, для обнаружения этой новой угрозы.
#ParsedReport
03-04-2023
UNC1151 Assessed with High Confidence to have Links to Belarus, Ghostwriter Campaign Aligned with Belarusian Government Interests
https://www.mandiant.com/resources/blog/unc1151-linked-to-belarus-government
Actors/Campaigns:
Ghostwriter (motivation: cyber_espionage)
Fancy_bear
Duke
Turla
Sandworm
Threats:
Gophish_tool
Credential_harvesting_technique
Industry:
Government, Media
Geo:
Ukrainian, Irish, Lithuania, Poland, Russian, Russia, German, Minsk, Latvian, France, Belarusian, Ukraine, Estonia, Germany, Latvia, American, Colombian, Polish, Belarus, Malta
IOCs:
File: 1
Softs:
telegram, outlook
03-04-2023
UNC1151 Assessed with High Confidence to have Links to Belarus, Ghostwriter Campaign Aligned with Belarusian Government Interests
https://www.mandiant.com/resources/blog/unc1151-linked-to-belarus-government
Actors/Campaigns:
Ghostwriter (motivation: cyber_espionage)
Fancy_bear
Duke
Turla
Sandworm
Threats:
Gophish_tool
Credential_harvesting_technique
Industry:
Government, Media
Geo:
Ukrainian, Irish, Lithuania, Poland, Russian, Russia, German, Minsk, Latvian, France, Belarusian, Ukraine, Estonia, Germany, Latvia, American, Colombian, Polish, Belarus, Malta
IOCs:
File: 1
Softs:
telegram, outlook
Mandiant
UNC1151 Assessed to have Links to Belarusian Government
Mandiant Threat Intelligence assesses with high confidence that UNC1151 is linked to Belarus and most closely aligns with Belarusian government interests.
CTT Report Hub
#ParsedReport 03-04-2023 UNC1151 Assessed with High Confidence to have Links to Belarus, Ghostwriter Campaign Aligned with Belarusian Government Interests https://www.mandiant.com/resources/blog/unc1151-linked-to-belarus-government Actors/Campaigns: Ghostwriter…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: UNC1151 связана с белорусским правительством и провела множество вторжений в украинские государственные структуры с целью получения конфиденциальной информации. Данные свидетельствуют о том, что операторы, стоящие за UNC1151, находятся в Минске, Беларусь, и группа участвовала в информационных операциях в поддержку интересов Минска после спорных выборов в Беларуси в августе 2020 года.
-----
Компания Mandiant Threat Intelligence с высокой степенью достоверности установила, что UNC1151 связан с белорусским правительством. Эта оценка основана на технических и геополитических показателях. UNC1151 действует с 2017 года, атакуя ряд правительственных организаций и организаций частного сектора, в основном в Украине, Литве, Латвии, Польше и Германии. Он зарегистрировал домены для кражи учетных данных, отправлял фишинговые электронные письма правительствам Колумбии, Ирландии и Швейцарии и провел несколько значительных вторжений в украинские государственные структуры. Источники письменного контента для операций Ghostwriter и вредоносного ПО, используемого UNC1151, остаются неопределенными.
Чувствительные технические данные указывают на то, что операторы, стоящие за UNC1151, скорее всего, находятся в Минске, Беларусь. Эта оценка основана на многочисленных источниках, которые связывают эту деятельность с лицами, находящимися в Беларуси. Кроме того, отдельные технические доказательства подтверждают связь между операторами, стоящими за UNC1151, и белорусскими военными. Доказательства местонахождения в Беларуси и связи с белорусскими военными были непосредственно замечены компанией Mandiant. Эти связи были подтверждены отдельными источниками.
Операции UNC1151 были сосредоточены на получении конфиденциальной информации, и никаких попыток монетизации обнаружено не было. До 2020 года информационные операции Ghostwriter были в основном антинатовскими, но с середины 2020 года они сосредоточились на соседях Беларуси, распространяя дезинформацию, представляя присутствие иностранных войск в регионе как угрозу для жителей и утверждая, что затраты на членство в НАТО наносят ущерб местному населению. После спорных выборов в Беларуси в августе 2020 года операции "Автора призраков" стали более четко соответствовать интересам Минска. Продвигаемые нарративы были сосредоточены на обвинениях в коррупции или скандалах в правящих партиях Литвы и Польши, попытках создать напряженность в польско-литовских отношениях и дискредитации белорусской оппозиции. Операции писателей-призраков также были представлены на белорусском государственном телевидении как факт.
UNC1151 не нацеливалась на российские или белорусские государственные структуры, и не было никаких пересечений с другими отслеживаемыми российскими группами, включая APT28, APT29, Turla, Sandworm и TEMP.Armageddon. Хотя мы не можем исключить поддержку или участие России в операциях UNC1151 или Ghostwriter, ТТП, используемые UNC1151, уникальны для этой группы. Высокоуровневые ТТП пересекаются с российскими операциями, и большая часть целевых и информационных операций соответствует российским целям.
Белорусское спонсорство UNC1151 и связи с операциями "Ghostwriter" демонстрируют доступность и скрытность провокационных информационных операций. Хотя операция кибершпионажа была регионально ориентированной и в основном использовала платформу с открытым исходным кодом для кражи учетных данных, она была способна поддерживать эффективные информационные операции. Подобные кибер-операции являются одним из многих инструментов, используемых правительствами для достижения своих целей, и существуют не в вакууме, а используются наряду с другими видами операций.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: UNC1151 связана с белорусским правительством и провела множество вторжений в украинские государственные структуры с целью получения конфиденциальной информации. Данные свидетельствуют о том, что операторы, стоящие за UNC1151, находятся в Минске, Беларусь, и группа участвовала в информационных операциях в поддержку интересов Минска после спорных выборов в Беларуси в августе 2020 года.
-----
Компания Mandiant Threat Intelligence с высокой степенью достоверности установила, что UNC1151 связан с белорусским правительством. Эта оценка основана на технических и геополитических показателях. UNC1151 действует с 2017 года, атакуя ряд правительственных организаций и организаций частного сектора, в основном в Украине, Литве, Латвии, Польше и Германии. Он зарегистрировал домены для кражи учетных данных, отправлял фишинговые электронные письма правительствам Колумбии, Ирландии и Швейцарии и провел несколько значительных вторжений в украинские государственные структуры. Источники письменного контента для операций Ghostwriter и вредоносного ПО, используемого UNC1151, остаются неопределенными.
Чувствительные технические данные указывают на то, что операторы, стоящие за UNC1151, скорее всего, находятся в Минске, Беларусь. Эта оценка основана на многочисленных источниках, которые связывают эту деятельность с лицами, находящимися в Беларуси. Кроме того, отдельные технические доказательства подтверждают связь между операторами, стоящими за UNC1151, и белорусскими военными. Доказательства местонахождения в Беларуси и связи с белорусскими военными были непосредственно замечены компанией Mandiant. Эти связи были подтверждены отдельными источниками.
Операции UNC1151 были сосредоточены на получении конфиденциальной информации, и никаких попыток монетизации обнаружено не было. До 2020 года информационные операции Ghostwriter были в основном антинатовскими, но с середины 2020 года они сосредоточились на соседях Беларуси, распространяя дезинформацию, представляя присутствие иностранных войск в регионе как угрозу для жителей и утверждая, что затраты на членство в НАТО наносят ущерб местному населению. После спорных выборов в Беларуси в августе 2020 года операции "Автора призраков" стали более четко соответствовать интересам Минска. Продвигаемые нарративы были сосредоточены на обвинениях в коррупции или скандалах в правящих партиях Литвы и Польши, попытках создать напряженность в польско-литовских отношениях и дискредитации белорусской оппозиции. Операции писателей-призраков также были представлены на белорусском государственном телевидении как факт.
UNC1151 не нацеливалась на российские или белорусские государственные структуры, и не было никаких пересечений с другими отслеживаемыми российскими группами, включая APT28, APT29, Turla, Sandworm и TEMP.Armageddon. Хотя мы не можем исключить поддержку или участие России в операциях UNC1151 или Ghostwriter, ТТП, используемые UNC1151, уникальны для этой группы. Высокоуровневые ТТП пересекаются с российскими операциями, и большая часть целевых и информационных операций соответствует российским целям.
Белорусское спонсорство UNC1151 и связи с операциями "Ghostwriter" демонстрируют доступность и скрытность провокационных информационных операций. Хотя операция кибершпионажа была регионально ориентированной и в основном использовала платформу с открытым исходным кодом для кражи учетных данных, она была способна поддерживать эффективные информационные операции. Подобные кибер-операции являются одним из многих инструментов, используемых правительствами для достижения своих целей, и существуют не в вакууме, а используются наряду с другими видами операций.