#ParsedReport #CompletenessHigh
07-06-2023

RomCom Resurfaces: Targeting Politicians in Ukraine and U.S.-Based Healthcare Providing Aid to Refugees from Ukraine

https://blogs.blackberry.com/en/2023/06/romcom-resurfaces-targeting-ukraine

Report completeness: High

Threats:
Romcom_rat
Supply_chain_technique
Teamviewer_tool
Logmein_tool
Typosquatting_technique

Victims:
Ukrainian politicians, us-based healthcare company

Industry:
Government, Foodtech, Healthcare, Media

Geo:
Russian, Ukrainian, Russia, Ukraine

TTPs:
Tactics: 9
Technics: 25

IOCs:
Domain: 3
Hash: 14
File: 13
Path: 3
IP: 5
Url: 2
Email: 1

Softs:
winscp

Algorithms:
sha256

Platforms:
x64, apple

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, chart: 1, code: 2, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RomCom - это активный троян удаленного доступа (RAT), нацеленный на частных лиц и организации в Украине и тех, кто оказывает помощь Украине, использующий вредоносные дропперы и фишинговые атаки для маскировки. Он собирает основные метаданные и отправляет их на свой командно-контрольный сервер. Важно знать об угрозе, исходящей от RomCom, и тактике защиты от таких атак.
-----

Угрожающий агент RomCom активно атаковал отдельных лиц и организации в Украине, а также тех в США, кто оказывает помощь бегущим из Украины. В середине марта 2023 года BlackBerry заметила увеличение телеметрии, связанной с отслеживанием оператора, стоящего за трояном удаленного доступа (RAT) RomCom. Считается, что первоначальным вектором заражения была целевая фишинговая атака с использованием клонированного веб-сайта, на котором размещалась вредоносная версия легитимного программного обеспечения. Вредоносный файл Installer.RemoteDesktopManager.2022.3.35.0.exe был размещен на обнаруженном клонированном/поддельном сайте.

Вредоносный дроппер содержал устаревший установщик для легитимной программы, чтобы еще больше замаскировать свои цели. Основным вредоносным бинарным файлом RomCom является файл %netid4050320587.dll0 %. В число загружаемых файлов также входят: prxyms4050320587.dll, update.conf и procsys.dll. Netid3231462335.dll - это основная полезная нагрузка RomCom RAT, prxyms1500330613.dll - файл RomCom Loader, procsys.dll - кража браузера, а update.conf - небольшой вспомогательный файл конфигурации для RomCom.

RomCom собирает основные метаданные хоста и пользователя, которые затем отправляет на свой командно-контрольный (C2) сервер startleague . net для регистрации. Если первоначальные запросы не могут быть обработаны, вместо этого он попытается подключиться через ICMP-запросы. Жертвы, ставшие объектами атак RomCom, в основном находились в Украине и включали представителей военной промышленности и здравоохранения.

В начале мая 2023 года через Twitter была выявлена потенциальная C2-инфраструктура RomCom. Проанализировав отмеченные IoC, команда BlackBerry Threat Research and Intelligence подтвердила, что образцы в цепочке атак действительно содержали полезную нагрузку RomCom. Этот образец маскировался под WinSCP, но не содержал самой полезной нагрузки RomCom. Вместо этого он попытался обратиться к отмеченным IoC'ам, чтобы загрузить и выполнить себя.

RomCom является постоянной угрозой, по крайней мере, с середины 2022 года, и объект угрозы, похоже, активно интересуется тем, что делают западные страны для поддержки Украины. Медицинские записи, хранящиеся в электронном виде, особенно уязвимы и могут быть использованы в будущих военных сценариях. Вторая часть исследования будет посвящена поведенческой инженерии обнаружения, охватывающей операции RomCom. Очень важно знать о потенциальной угрозе, исходящей от таких злоумышленников, как RomCom, и помнить о применяемых ими методах защиты от таких атак.

#ParsedReport #CompletenessMedium
08-06-2023

Unmasking the Darkrace Ransomware Gang

https://blog.cyble.com/2023/06/08/unmasking-the-darkrace-ransomware-gang

Report completeness: Medium

Threats:
Darkrace
Lockbit

Industry:
Financial, Ics

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 13
Command: 3
IP: 1
Path: 1
Hash: 3

Softs:
msexchange

Algorithms:
sha1, aes, exhibit, sha256

Functions:
WoW64DisableWow64FsRedirection

Win API:
AllocateAndInitializeSid, CheckTokenMembership, GetProcAddress, WinExec, SHEmptyRecycleBinA, GetLogicalDriveStringsW, GetDriveTypeW

Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Darkrace ransomware - это новая угроза, направленная на операционные системы Windows и использующая стратегию двойного вымогательства для максимального воздействия на жертву.-----

Ransomware продолжает оставаться одной из самых серьезных угроз кибербезопасности для организаций. Недавно Cyble Research and Intelligence Labs (CRIL) обнаружила новую программу-вымогатель под названием Darkrace, которая имеет сходство с Lockbit Ransomware. Darkrace нацелен на операционные системы Windows и представляет собой 32-разрядное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицируемое по хэш-значению SHA256.

Darkrace ransomware использует мьютекс, который предотвращает повторное заражение жертвы, и включает белый список файлов и расширений файлов, которые будут исключены из процесса шифрования. Он проверяет, принадлежит ли токен имперсонации текущего потока группе Administrators, затем удаляет теневые копии зараженной системы, генерирует случайное расширение файла .1352FF327 и сбрасывает файл иконки. Он создает запись в реестре, удаляет данные из корзины и останавливает несколько служб, связанных с базами данных, резервным копированием и критическими функциями системы. Она создает пакетный файл, выполняющий команды ping и taskkill, шифрует файлы с помощью алгоритма шифрования AES и выдает записку с контактными данными для начала переговоров с группой ransomware. Программа-вымогатель также очищает журналы событий, завершает собственные запущенные процессы, удаляет свой исполняемый файл и инициирует перезагрузку системы.

Darkrace ransomware имеет много общих черт с печально известным LockBit ransomware и нацелена на предприятия, применяя двойной подход для максимального использования своих возможностей. Помимо шифрования файлов жертвы, злоумышленники применяют стратегию двойного вымогательства: выманивают конфиденциальные данные и используют угрозу их публикации на своем сайте утечки onion для принуждения к выплате выкупа. Анализ показывает, что Darkrace демонстрирует высокий уровень целенаправленности, что позволяет предположить, что злоумышленники могут заранее знать свои цели.

#ParsedReport #CompletenessMedium
08-06-2023

Lazarus attack group exploiting vulnerabilities in domestic financial security solutions

https://asec.ahnlab.com/ko/53832

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Watering_hole_technique
Kisa
Lazardoor
Trojan/win.agent
Lazarloader

Industry:
Financial

Geo:
Korea

IOCs:
File: 8
Path: 1
IP: 1
Hash: 10
Url: 9

Algorithms:
sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что группа атак Lazarus использует уязвимости в INISAFE CrossWeb EX и MagicLine4NX, а также в программах VestCert и TCO!Stream для осуществления своих атак. Организациям рекомендуется установить патч на последнюю версию этих программ для предотвращения атак, а для уязвимых версий программного обеспечения рекомендуется ручное удаление и переустановка.
-----

Группа атак Lazarus использует уязвимости INISAFE CrossWeb EX и MagicLine4NX для своих атак. Организациям, использующим эти программы, рекомендуется установить патч на последнюю версию для предотвращения атак. Злоумышленники используют метод "водяной скважины" для первоначального проникновения в систему, а затем используют уязвимость выполнения сторонних библиотек в программе VestCert для выполнения PowerShell, который подключается к серверу C2, загружает и выполняет вредоносный код.

Злоумышленники также используют уязвимость в TCO!Stream для распространения вредоносного ПО с исходной системы-жертвы на внутренние системы. Клиент всегда прослушивает порт TCP 3511 для связи с сервером. Злоумышленник создает командный пакет, который загружает и выполняет определенный файл с сервера с помощью самодельного вредоносного ПО и отправляет его клиенту. Клиент, получивший эту команду, обращается к серверу TCO!Stream, скачивает и выполняет подготовленный злоумышленником вредоносный файл. Вредоносный код, созданный злоумышленником, выполняется с помощью структуры командной строки.

Компания ASEC проанализировала уязвимости VestCert и TCO!Stream, которые эксплуатировались Lazarus, и сообщила об этом в KISA, в настоящее время уязвимости устранены. Однако во многих местах все еще используются уязвимые версии программного обеспечения, поэтому рекомендуется переустановить его после ручного удаления.

#ParsedReport #CompletenessLow
08-06-2023

Facebook clickbait leads to money scam for users

https://www.malwarebytes.com/blog/threat-intelligence/2023/06/thousands-of-malicious-google-cloud-run-instances-deployed-to-scam-facebook-users

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Facebook users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1102, T1497, T1189, T1490

IOCs:
Domain: 10
IP: 4

Links:
https://github.com/MBThreatIntel/TSS/blob/master/cloudrun.txt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют посты-приманки в Facebook для отправки жертв на мошеннические страницы, размещенные на бессерверной платформе Google, используя методы маскировки для обмана онлайн-платформ и средств безопасности. Чтобы оставаться в безопасности, пользователям следует проявлять бдительность при переходе по ссылкам из социальных сетей и использовать Malwarebytes Browser Guard для защиты от вредоносного кода.
-----

Социальные сети стали неотъемлемой частью нашей жизни, позволяя нам поддерживать связь с семьей и друзьями и даже открывать для себя новые источники развлечений. К сожалению, это также делает их мишенью для злоумышленников. В одной из недавних кампаний киберпреступники используют посты-приманки в Facebook, чтобы направить жертв на мошеннические страницы, размещенные в инфраструктуре Google. Это необычный подход, поскольку мошенничества с технической поддержкой никогда ранее не размещались на бессерверной платформе Google.

Мошенники использовали методы маскировки, чтобы обмануть онлайн-платформы и средства безопасности. При посещении этих URL-адресов с помощью VPN или из-за пределов страны, на которую направлена атака, будет показано то, что выглядит как типичный новостной сайт - одно и то же содержание с разными доменными именами. Но если реальный человек нажмет на сообщение Facebook, он получит перенаправление 302. Это инструкция на стороне сервера, которая позволит беспрепятственно загрузить другой сайт.

Google предлагает бесплатные кредиты и два миллиона запросов в месяц, что делает его недорогой платформой для мошенников. Чтобы избежать обнаружения, мошенники устанавливают запланированную задачу, которая создает новый URL-адрес Cloud Run каждые пять минут. Этот новый URL затем присваивается маскировочному домену для вредоносного перенаправления.

#ParsedReport #CompletenessHigh
08-06-2023

Asylum Ambuscade: crimeware or cyberespionage?

https://www.welivesecurity.com/2023/06/08/asylum-ambuscade-crimeware-or-cyberespionage

Report completeness: High

Actors/Campaigns:
Asylum_ambuscade (motivation: cyber_espionage)
Gamaredon (motivation: cyber_espionage)

Threats:
Cobalt_strike
Sunseed
Follina_vuln
Ahkbot
Qakbot
Nodebot
Junk_code_technique
Vmprotect_tool
Beacon
Nltest_tool
Hiddenvnc_tool
Hvnc_tool
Rhadamanthys
Autohk
Screenshotter
Ghostnet

Victims:
Smbs and individuals in north america and europe, governments in central asia and europe

Industry:
Financial, Government

Geo:
America, Ukraine, Africa, Asia, Canadian, Armenia, Ukrainian

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...

TTPs:
Tactics: 10
Technics: 24

IOCs:
File: 6
Url: 1
Path: 5
Command: 1
Hash: 31
IP: 88
Domain: 2

Softs:
autohotkey, node.js, active directory, google chrome, hrome is, hrome in, internet explorer

Algorithms:
sha1, gzip, base64, xor

Win API:
CryptUnprotectData, CreateThread, CreateRemoteThread RtlCreateUserThread, NtMapViewOfSection

Win Services:
InfoPath

Languages:
javascript, visual_basic, python, lua

Links:
https://github.com/Sentinel-One/CobaltStrikeParser

#ParsedReport #ExtractedSchema

Classified images:
code: 9, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Asylum Ambuscade - это киберпреступная группа, действующая с 2020 года и нацеленная на правительства, частных лиц и малые и средние предприятия в Европе и Северной Америке. Они используют цепочку компрометации для нападения на своих жертв и, как было установлено, проводят операции по кибершпионажу. С января 2022 года по всему миру было насчитано более 4 500 жертв.
-----

Asylum Ambuscade - киберпреступная группа, действующая как минимум с 2020 года и нацеленная на правительственные организации в Европе и Центральной Азии, а также на частных лиц и малые и средние предприятия в Северной Америке и Европе. В марте 2022 года исследователи из компании Proofpoint разоблачили группу в том, что она атаковала сотрудников европейских государственных учреждений, участвующих в оказании помощи украинским беженцам. Похоже, что группа также проводила некоторые кибершпионские кампании на стороне.

Группа использует цепочку компрометации своих жертв, начиная с письма с рассылкой, содержащего вредоносное вложение в виде таблицы Excel, в котором содержится код VBA для загрузки MSI-пакета с удаленного сервера и установки SunSeed, загрузчика на основе Lua. В июне 2022 года группа перешла на использование уязвимости Follina вместо кода VBA. Вредоносное письмо содержит написанный на украинском языке документ-обманку о предупреждении безопасности, касающемся атаки Gamaredon в Украине. Если машина считается интересной, злоумышленники запускают следующий этап: AHKBOT. Это загрузчик на базе AutoHotkey, который может быть расширен плагинами, написанными на AutoHotkey, чтобы шпионить за машиной жертвы. В марте 2023 года группа разработала аналог AHKBOT на Node.js под названием NODEBOT.

Целью этой группы является кража конфиденциальной информации и учетных данных веб-почты с официальных правительственных порталов веб-почты, а также криптовалюты у трейдеров. Для этого она использует вредоносные Google Ads, Traffic Direction System (TDS), Tcl, VBS и другие языки сценариев. Чтобы заманить людей нажать на вредоносные файлы, злоумышленники используют такие имена файлов, как Document_12_dec-1532825.js, TeamViewer_Setup.js или AnyDeskInstall.js. Эти скрипты обфусцированы с помощью имен случайных переменных и нежелательного кода, чтобы обойти обнаружение.

С января 2022 года по всему миру было насчитано более 4 500 жертв Asylum Ambuscade. Довольно необычно застать киберпреступную группу, проводящую целенаправленные операции кибершпионажа, поэтому исследователям следует внимательно следить за деятельностью Asylum Ambuscade.

#ParsedReport #CompletenessLow
08-06-2023

Malware Being Distributed Disguised as a Job Application Letter

https://asec.ahnlab.com/en/53744

Report completeness: Low

Threats:
Dropper/win.agent.c5433106
Dropper/win.agent.c5433107
Trojan/win32.agent.c174738

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1129, T1190, T1140, T1497, T1083

IOCs:
File: 18
Url: 5
Path: 3
Registry: 1
Domain: 1
Hash: 4

Functions:
InternetShortcut

Win Services:
AvastSvc, Mcshield

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что вредоносная часть программного обеспечения, замаскированная под письмо о приеме на работу, распространяется через вредоносные URL-адреса и может выполнять такие вредоносные действия, как кража информации и настройка параметров Интернета, захват скриншотов, управление службами и проверка данных интернет-куки. Пользователям рекомендуется проявлять осторожность при работе с письмами-соискателями.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил вредоносную программу, замаскированную под письмо о приеме на работу, которое распространяется через вредоносные URL-адреса. URL-адреса оформлены так, что напоминают корейский сайт по поиску работы, поэтому пользователям трудно распознать, что они поддельные. Вредоносный файл, загружаемый с этих URL, имеет расширение файла экранной заставки (.scr) и иконку документа HWP, а при его выполнении данные сжатого файла сохраняются во внутреннем RCDATA. Затем этому файлу присваивается имя "six random characters.zip", а соответствующий ему исполняемый файл "six random characters.exe" запускается через файл ярлыка.

Этот исполняемый файл загружает файл "cmcs21.dll", который создается одновременно, и выполняет экспортную функцию "CMGetCommandString". Затем загруженный файл "cmcs21.dll" регистрирует запись в реестре, чтобы обеспечить непрерывный запуск вредоносного файла. Затем он считывает и декодирует файл "yga.txt" и вводит данные в рекурсивно выполняемый процесс "wechatweb.exe". В результате вредоносное поведение, такое как кража информации, может выполняться в соответствии с командами угрожающего агента. Кроме того, эта вредоносная программа может настраивать параметры Интернета, делать скриншоты, управлять службами и проверять данные интернет-куки.

Вредоносный файл также создает в той же папке файл с именем "six random characters.Kinf", в котором хранятся закодированные данные кейлоггинга. Кроме того, вредоносная программа проверяет наличие различных антивирусных процессов, включая процесс с названием продукта AhnLab (V3Lite.exe). В связи с этим пользователям рекомендуется проявлять осторожность при работе с письмами о приеме на работу, поскольку они могут содержать вредоносное программное обеспечение.

#ParsedReport #CompletenessLow
08-06-2023

APT-C-55KimsukyQuasar RAT. 1. Attack activity analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492682&idx=1&sn=a8d1e06b180d93021da9023d773941da&chksm=f9c1d743ceb65e558f03c369efc336ae837f0cea080ec40d5bf96b7a092260a21ebb7c4f159a&scene=178&cur_album_id=1955835290309230595

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Quasar_rat
Smokeloader
Babyshark
Carbon

Victims:
South korean think tanks

Geo:
Korean, Russia, Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 12
File: 3
Coin: 1

Algorithms:
quicklz, base64

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
code: 5, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация APT-C-55 (Kimsuky) использует CHM-файлы, замаскированные под "поздравления с днем рождения", для доставки вредоносной программы Quasar RAT с целью получения доступа к информации пользователя. Вредоносный CHM-файл выступает в качестве начальной полезной нагрузки, которая затем загружает полезную нагрузку следующего этапа с удаленного C2-сервера и загружает Quasar RAT в пространство процесса CasPol.exe.
-----

Организация APT-C-55 (Kimsuky) - это группа угроз, действующая с 2013 года. Их атаки в основном направлены на Южную Корею с целью кражи конфиденциальной информации и других данных. Недавно эта группа была обнаружена при использовании CHM-файлов, замаскированных под "поздравления с днем рождения", для доставки вредоносного ПО Quasar RAT с целью получения доступа к информации пользователя.

Quasar RAT - это троянец удаленного доступа с открытым исходным кодом, написанный на .NET и предназначенный для операционных систем Windows. Он обладает такими мощными функциями, как удаленный доступ к рабочему столу, управление файлами и системами, подслушивание, восстановление пароля и удаленные команды Shell. Вредоносный CHM-файл выступает в качестве начальной полезной нагрузки в этой атаке. После его выполнения запускается вредоносный скрипт, который встраивает Base64-кодированный PowerShell-сценарий в VBS-файл. VBS-файл отвечает за загрузку следующего этапа полезной нагрузки с удаленного C2-сервера. Этот этап отвечает за распаковку сценария PowerShell и загрузку Quasar RAT в пространство процесса CasPol.exe. После загрузки RAT сможет получить информацию о пользователе.

#ParsedReport #CompletenessLow
07-06-2023

Progress MOVEit Transfer Vulnerability Being Actively Exploited

https://blog.qualys.com/vulnerabilities-threat-research/2023/06/07/progress-moveit-transfer-vulnerability-being-actively-exploited

Report completeness: Low

Threats:
Lemurloot
Clop

Industry:
Government, Healthcare

CVEs:
CVE-2023-34363 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-34362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix


IOCs:
File: 2
Hash: 26

Softs:
moveit

Algorithms:
sha256, gzip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организациям, использующим продукт Progress MOVEit Transfer, рекомендуется как можно скорее устранить критическую уязвимость (CVE-2023-34362), поскольку она активно эксплуатируется бандой cl0p ransomware. Qualys Threat Research Unit и VMDR выпустили ресурсы по обнаружению уязвимых активов и поиску действий после эксплуатации, соответственно.
-----

CVE-2023-34362 - это уязвимость SQL Injection в продукте Progress MOVEit Transfer, которая затрагивает все версии до 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) и 2023.0.1 (15.0.1). Эта уязвимость позволяет неаутентифицированному удаленному злоумышленнику собрать информацию из базы данных бэкенда, включая хранящийся в ней контент. Затем злоумышленники могут сбросить веб-оболочку LEMURLOOT, которая дает им доступ к выполнению множества действий, таких как извлечение системных настроек Azure, запрос конфиденциальных данных, создание пользователей, выполнение команд или загрузка файлов с объекта.

Банда cl0p ransomware активно использует эту уязвимость и утверждает, что она поразила сотни организаций. Они предлагают выкуп за похищенные данные или их бесплатное удаление для определенных групп, таких как правительственные, городские или полицейские организации, больницы, детские дома, дома престарелых или благотворительные фонды. Если выкуп не будет выплачен в течение 3 дней, злоумышленники угрожают обнародовать всю информацию.

Организациям, использующим это программное обеспечение, рекомендуется как можно скорее исправить эту критическую уязвимость. Qualys Threat Research Unit выпустила QID 378543, с помощью которого клиенты могут сканировать свои устройства для обнаружения уязвимых активов. VMDR также позволяет проактивно отслеживать эти угрозы с помощью прямой трансляции, предоставляемой для определения приоритетов угроз. В средах, которые подозревают, что они могли быть скомпрометированы, можно отслеживать действия после эксплойта путем поиска хэшей и имен файлов, указанных в документе IOC, предоставленном консультантом по безопасности MOVEit.

#ParsedReport #CompletenessMedium
08-06-2023

Stealth Soldier Backdoor Used in Targeted Espionage Attacks in North Africa. Key findings

https://research.checkpoint.com/2023/stealth-soldier-backdoor-used-in-targeted-espionage-attacks-in-north-africa

Report completeness: Medium

Threats:
Hyperssl
Backdoor.win32.stealthsoldier.a
Backdoor.win32.stealthsoldier.b
Powerplus
Webadmin_tool

Victims:
Libyan and egyptian targets

Industry:
Government

Geo:
Libyan, Egyptian, Africa, Libya

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1112, T1032, T1036, T1204, T1071, T1078, T1083, T1082, T1053, have more...

IOCs:
File: 18
Command: 1
Domain: 7
IP: 6
Path: 2
Url: 1
Hash: 14

Softs:
telegram, outlook, android

Algorithms:
gzip, xor

Win API:
CreateThread

Links:
https://github.com/moonD4rk/HackBrowserData

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 3