#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Earth Preta - это APT-группа, которая с 2022 года нацелена на жертв в Азиатско-Тихоокеанском регионе, а недавно расширила свою деятельность на другие регионы. Группа использовала различные инструменты, методы и процедуры для проведения своих кампаний, и мы выявили ряд показателей, связанных с ней. Кроме того, мы смогли проанализировать рабочий процесс группы и заметили их склонность к повторному использованию определенных C&C-серверов и созданию своего арсенала с похожими C&C-протоколами и возможностями.
-----

Earth Preta - это передовая постоянная угроза (APT), действующая с 2022 года и нацеленная на жертв в Азиатско-Тихоокеанском регионе (APAC). В конце 2023 года мы заметили, что группа начала действовать в других регионах, таких как Восточная Европа и Западная Азия. Для проведения своих кампаний группа использовала различные инструменты, методы и процедуры (TTP), включая фишинговые электронные письма, вредоносные веб-сайты и вредоносное ПО.

В ходе нашего исследования мы выявили ряд признаков, связанных с APT-группой Earth Preta. К ним относятся кампания spear-phishing, начатая в ноябре 2022 года, доставка различных полезных нагрузок различным жертвам, размещение вредоносных веб-сайтов и использование таких вредоносных программ, как MIROGO, QMAGENT, TONEINS и TONESHELL. Мы также заметили тенденцию группы к повторному использованию определенных C&C-серверов в последующих волнах атак.

Мы смогли определить рабочий процесс кампаний Earth Preta, проанализировав скрипты, развернутые на сайтах загрузки вредоносных программ. Мы также заметили тенденцию группы к созданию своего арсенала с похожими протоколами C&C и возможностями на разных языках программирования, что свидетельствует о том, что участники Earth Preta, вероятно, оттачивали свои навыки разработки.

#ParsedReport #CompletenessMedium
14-06-2023

Threat Actor Targets Russian Gaming Community With WannaCry-Imitator

https://blog.cyble.com/2023/06/13/threat-actor-targets-russian-gaming-community-with-wannacry-imitator

Report completeness: Medium

Threats:
Wannacry

Victims:
Russian-speaking gamers

Industry:
Entertainment, Financial

Geo:
Russian

TTPs:
Tactics: 5
Technics: 7

IOCs:
Url: 3
Path: 3
File: 9
Command: 1
Hash: 6

Softs:
pyinstaller, task scheduler, telegram

Algorithms:
sha256, aes, sha1

Functions:
MutexAlreadyAcquired

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WannaCry 3.0 Ransomware - это вредоносная программа, которая эксплуатирует геймеров и нацелена на русскоязычных пользователей, используя модифицированную версию открытого ПО Crypter ransomware. Важно знать об этой угрозе и принять меры предосторожности.
-----

Cyble Research and Intelligence Labs (CRIL) обнаружила фишинговую кампанию, направленную на русскоязычных геймеров для распространения ransomware. На поддельном сайте размещается установочный файл, который содержит два файла - легитимный установщик игры и вымогательское ПО с именем WannaCry 3.0. Эта программа-вымогатель представляет собой модифицированную версию криптовалюты Ransomware Crypter с открытым исходным кодом, разработанную для Windows и написанную на языке Python.

Программа-вымогатель использует расширение файла wncry для шифрования файлов и создает в системе мьютекс с именем mutex_rr_windows. Он получает свои параметры конфигурации из файла runtime.cfg, который представляет собой JSON-файл. Кроме того, он добавляет два файла в папку C:\Users\user\AppData\Roaming, enc_test.txt и encrypted_files.txt. Для шифрования файлов он использует алгоритм шифрования AES и меняет фоновое изображение рабочего стола, чтобы показать дополнительную информацию. Он также содержит идентификатор учетной записи Telegram - wncry_support_bot - для ведения переговоров с субъектами угрозы.

WannaCry 3.0 Ransomware - это вредоносная программа, эксплуатирующая геймеров и нацеленная на русскоязычных пользователей. Она имеет простое управление и не имеет сайта утечки или выделенной ссылки на чат, но использует бота Telegram для связи, связанной с выкупом. Она является модифицированной версией Crypter ransomware с открытым исходным кодом, поэтому важно знать об этой угрозе и принять меры предосторожности.

#ParsedReport #CompletenessLow
14-06-2023

Threat Hunt: KillNet s DDoS HEAD Flood Attacks - cc\.py

https://cybersecurity.att.com/blogs/security-essentials/killnets-ddos-head-flood-attacks-cc.py

Report completeness: Low

Actors/Campaigns:
Killnet

Victims:
State and local governments, telecommunications, and defense

Industry:
Telco, Government, Aerospace

Geo:
Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1105, T1095, T1497, T1498

IOCs:
File: 1

Languages:
perl, python

Links:
https://github.com/Leeon123/CC-attack

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Killnet - это группа передовых постоянных угроз (APT), базирующаяся в России и нацеленная на тех, кто поддерживает Украину и ее политическую повестку дня. Для защиты от вредоносной деятельности Killnet была создана виртуальная среда атаки, имитирующая тактику, методы и процедуры (TTPs) Killnet. Были разработаны две гипотезы для определения использования DDoS HEAD-флудов, которые могут быть использованы для защиты от вредоносной деятельности Killnet.
-----

Killnet - это группа постоянных угроз (APT), базирующаяся в России. Она действует как минимум с 2015 года и известна своими изощренными и постоянными атаками на различные отрасли, включая государственные и местные органы власти, телекоммуникации и оборону. Killnet связана с некоторыми громкими атаками, такими как взлом Демократического национального комитета (DNC) во время президентских выборов в США в 2016 году и DDoS-атаки на американские аэропорты и службу спутниковой широкополосной связи Starlink Элона Маска.

В последнее время Killnet атакует тех, кто наиболее активно поддерживает Украину и ее политическую повестку дня. Для борьбы с этой угрозой была создана виртуальная среда атаки для моделирования тактики, техники и процедур (ТТП) Killnet. Эта среда будет использоваться для написания обнаружений и запросов на поиск угроз, чтобы проактивно выявлять ТТП Killnet, компенсируя при этом ограничения традиционного исторического поиска IOC.

Для эмуляции атаки Killnet был использован cc.py, который генерировал непрерывные HEAD-запросы к серверу Apache. При просмотре HTTP-трафика HEAD было обнаружено, что после "HEAD /?" постоянно появляются цифры в диапазоне 11-12. Эта закономерность послужила основой для первой гипотезы, позволяющей определить использование DDoS HEAD-флуда. Для использования контекста, полученного из захвата пакетов, при анализе угроз можно использовать регулярные выражения, совместимые с Perl. Это позволяет писать правила Suricata/Snort, которые будут соответствовать наблюдаемым шаблонам в заголовках.

Кроме того, охотничьи запросы Splunk можно использовать для выявления "большого количества соединений из общего источника за короткий промежуток времени". Запрос разбивает временной столбец на 1-секундные отрезки, и можно установить порог для ретроактивного поиска в течение последних 7 дней с момента, когда активность была замечена впервые. Этот запрос служит в качестве второй гипотезы для определения использования DDoS HEAD-флудов.

Cc.py - это доступный в интернете инструмент Python, который может использоваться для DDoS-атак 7-го уровня. Он использует различные динамические характеристики для запуска DDoS-атак на веб-активы. Инструмент автоматизирует процесс использования открытых прокси-серверов для ретрансляции атак, сохраняя анонимность, что означает неэффективность традиционных методов блокировки на основе IP-адресов. Для запуска атаки используется следующая команда: python3 cc.py url http:// -f proxy.txt m head v 4 s 30. Эта команда определяет использование модуля "head" и устанавливает продолжительность атаки в 30 секунд. Модуль "head" заваливает целевой сервер непрерывными запросами HTTP HEAD до тех пор, пока он не будет выведен из строя.

Создав виртуальную среду атаки, можно написать запросы на обнаружение и поиск угроз, чтобы проактивно идентифицировать тактику, технику и процедуры Killnet, компенсируя при этом ограничения традиционного исторического поиска IOC. С помощью cc.py были разработаны две гипотезы для выявления использования DDoS HEAD-флудов. Первая гипотеза использует регулярные выражения, совместимые с Perl, для использования контекста, полученного из захвата пакетов при анализе угроз, а вторая гипотеза использует запросы Splunk hunt для выявления "большого количества соединений от общего источника за короткий промежуток времени". Оба этих метода могут быть использованы для защиты от вредоносной деятельности Killnet.

#ParsedReport #CompletenessMedium
14-06-2023

Cloud Mining Scam Distributes Roamer Banking Trojan

https://blog.cyble.com/2023/06/14/cloud-mining-scam-distributes-roamer-banking-trojan

Report completeness: Medium

Threats:
Roamer
Tron

Victims:
Unsuspecting individuals, cryptocurrency wallet applications, banking institutions

Industry:
Financial, Entertainment

Geo:
Vietnam, India

TTPs:
Tactics: 4
Technics: 10

IOCs:
Url: 10
File: 6
Hash: 5

Softs:
android, telegram

Wallets:
coinbase, metamask, tokenpocket, tronlink

Crypto:
bitcoin, ethereum, binance, kucoin

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банковский троян Roamer - это вредоносное приложение, которое нацелено на различные криптовалютные кошельки и банковские приложения и способно скомпрометировать конфиденциальные личные данные. Пользователи должны принимать меры по защите, например, сохранять бдительность, применять надежные меры безопасности и быть в курсе возникающих киберугроз.
-----

Киберпреступность становится все более изощренной, злоумышленники находят новые способы эксплуатации ничего не подозревающих людей и организаций. Недавно был выявлен агент угроз (TA), который использовал обманную тактику для распространения вредоносного ПО для Android через фишинговые веб-сайты и мошеннический канал Telegram. Вредоносное приложение, названное Roamer Banking Trojan, нацелено на различные криптовалютные кошельки и банковские приложения.

Банковский троянец Roamer использует службу Accessibility Service для извлечения конфиденциальной информации с зараженного устройства, такой как PIN-коды и пароли, хранящиеся в файле общих предпочтений config.xml. Кроме того, вредоносная программа способна перехватывать фотографии, собирать данные SMS, файлы и сведения о местоположении. Она также может выполнять такие операции, как автоматическое нажатие на компоненты, разблокировка и блокировка устройства, создание скриншотов, запуск записи экрана и замена данных буфера обмена.

Угроза, исходящая от банковского троянца Roamer, значительна из-за широкого спектра целевых приложений и возможности компрометации конфиденциальных персональных данных. Поэтому пользователи должны проявлять осторожность и принимать меры по защите от этого типа атак, например, сохранять бдительность, применять надежные меры безопасности и быть в курсе возникающих киберугроз. Кроме того, пользователям следует обращать внимание на подозрительные каналы для добычи криптовалюты на таких платформах, как Telegram, поскольку они могут привести к существенным финансовым потерям и значительным утечкам данных. Принимая необходимые меры предосторожности и сохраняя бдительность, пользователи и организации могут эффективно снизить риски, связанные с банковским троянцем Roamer и подобными атаками вредоносного ПО.

#ParsedReport #CompletenessMedium
14-06-2023

Understanding Ransomware Threat Actors: LockBit

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

Report completeness: Medium

Actors/Campaigns:
Blackmatter
Blackcat
Darkside (motivation: cyber_criminal)

Threats:
Lockbit
Stealbit
Blackcat
Conti
Credential_dumping_technique
Cobalt_strike
Metasploit_tool
Adfind_tool
Anydesk_tool
Atera_tool
Backstab_tool
Bloodhound_tool
Gmer_tool
Impacket_tool
Lazagne
Ligolo
Megasync_tool
Procdump_tool
Mimikatz_tool
Pchunter_tool
Powertool_tool
Process_hacker_tool
Plink_tool
Putty_tool
Seatbelt_tool
Screenconnect_tool
Connectwise_rat
Splashtop_tool
Teamviewer_tool
Log4shell_vuln
Uac_bypass_technique
Uacme
Blister_loader

Victims:
Organizations from various critical infrastructure sectors

Industry:
Energy, Foodtech, Government, Financial, Education, Transport, Healthcare

Geo:
Canadian, German, Australian, Canada, Australia, Germany, France

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)

CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2003 (r2, -)
- microsoft windows 7 (-)
- microsoft windows vista (-)
- microsoft windows xp (-)
have more...
CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)

CVE-2021-22986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
- f5 big-ip advanced firewall manager (<16.0.1.1, <15.1.2.1, <14.1.4, <12.1.5.3, <13.1.3.6)
- f5 big-ip application acceleration manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
- f5 big-ip analytics (<16.0.1.1, <13.1.3.6, <15.1.2.1, <14.1.4, <12.1.5.3)
- f5 big-ip application security manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
have more...
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 10
Technics: 42

IOCs:
File: 3
Email: 1

Softs:
esxi, macos, active directory, microsoft defender, sysinternals, local security authority, sysinternals psexec, psexec, softperfect network scanner, winscp, have more...

Algorithms:
des

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LockBit - это поставщик услуг Ransomware-as-a-Service, на счету которого множество успешных атак с использованием ransomware с 2020 года. Организациям следует сообщать властям об инцидентах с вымогательским ПО, чтобы помочь в расследовании и предотвращении дальнейших атак.
-----

LockBit - это поставщик услуг Ransomware-as-a-Service (RaaS), который несет ответственность за многие успешные атаки ransomware с 2020 года. LockBit предлагает своим филиалам гарантию оплаты, позволяя им получать платежи за выкуп до того, как отправить долю основной группе. Активность LockBit наблюдалась в разных странах: в 2022 году 18% инцидентов с ransomware произошли в Австралии, 22% - в Канаде, 23% - в Новой Зеландии и 16% - в США. Зафиксировано, что филиалы LockBit эксплуатируют многочисленные CVE, включая CVE-2021-44228, CVE-2021-22986, CVE-2019-0708 и CVE-2018-13379.

Важно помнить, что уплата выкупа не гарантирует восстановления файлов жертвы и может побудить злоумышленников атаковать другие организации. Поэтому организациям следует сообщать об инцидентах, связанных с ransomware, в соответствующие органы, чтобы помочь в расследовании и предотвращении дальнейших атак.

#technique

Gateway layer GZIP page zero-overhead injection script - allows you to inject JavaScript into a gziped HTTP response payload without the need to decompress (assuming you are in the TLS tunnel)

https://github-com.translate.goog/EtherDream/gzip-js-injector?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
15-06-2023

Hijacking S3 Buckets: New Attack Technique Exploited in the Wild by Supply Chain Attackers

https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers

Report completeness: Low

Threats:
Supply_chain_technique
Bignum

ChatGPT TTPs:
do not use without manual check
T1137.004, T1497, T1059.001, T1486

IOCs:
Hash: 6

Softs:
node.js

Algorithms:
sha1, sha256

Languages:
javascript

Links:
https://github.com/advisories/GHSA-7cgc-fjv4-52x6

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Checkmarx предупредила об атаке на экосистему открытого исходного кода. Атака была направлена на пакет NPM bignum и заключалась в захвате Amazon AWS S3, в котором хранились двоичные файлы, необходимые для его работы, и замене их на вредоносные.
-----

Checkmarx - компания по безопасности программного обеспечения, которая недавно предупредила об атаке на экосистему открытого исходного кода. Атака была направлена на пакет NPM bignum и заключалась в захвате Amazon AWS S3, в котором хранились двоичные файлы, необходимые для его работы, и замене их на вредоносные. Когда пользователи неосознанно загружали вредоносный двоичный файл, размещенный злоумышленником, он выполнял обычные и ожидаемые действия пакета, а также добавлял вредоносную полезную нагрузку, предназначенную для кражи учетных данных пользователя и отправки их в тот же перехваченный ведро. Эта атака подчеркивает хрупкость наших процессов цепочки поставок программного обеспечения и служит напоминанием о том, что полагаясь на программные зависимости для доставки скомпилированных частей во время сборки, можно непреднамеренно доставить вредоносное ПО, если злоумышленник завладеет его службой хранения.

#ParsedReport #CompletenessLow
15-06-2023

Fake Security Researcher GitHub Repositories Deliver Malicious Implant. Key Takeaways

https://vulncheck.com/blog/fake-repos-deliver-malicious-implant

Report completeness: Low

Threats:
Findzip

Victims:
Security researchers

IOCs:
File: 2

Softs:
chrome, discord, whatsapp

Algorithms:
zip

Languages:
python

Links:
https://github.com/researchkendra91/signal-zeroday-exploit
https://github.com/darthvander20/whatsapp-zero-day-exploit/blob/main/poc.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносный агент атаковал исследователей безопасности, создав сеть поддельных учетных записей и репозиториев на GitHub, и компания VulnCheck приняла меры по удалению вредоносного репозитория. Исследователи безопасности должны предпринять меры по защите от потенциальных атак и сохранять бдительность в отношении угрозы, исходящей от злоумышленника.
-----

VulnCheck выявил злоумышленника, который атакует исследователей безопасности, создавая сеть поддельных аккаунтов и репозиториев на GitHub. Эти учетные записи, которые выдают себя за часть несуществующей компании по безопасности под названием High Sierra Cyber Security, содержат вредоносные репозитории, утверждающие, что это эксплойты для таких популярных продуктов, как Chrome, Exchange, Discord и других. Злоумышленники приложили немало усилий, чтобы придать этим аккаунтам и репозиториям законный вид, используя снимки голов настоящих исследователей безопасности из таких компаний, как Rapid7, и рекламируя свои находки в Twitter.

В ответ на это VulnCheck принял меры и сообщил о вредоносном репозитории на GitHub, который был немедленно удален.

Неизвестно, были ли попытки злоумышленников успешными, но, учитывая, что они продолжают действовать в этом направлении, можно предположить, что они уверены в своих силах. Также неизвестно, является ли это одиночкой или организованной кампанией, но в любом случае исследователям безопасности необходимо сохранять бдительность, чтобы защитить себя и свои данные от потенциальных угроз.

#ParsedReport #CompletenessLow
15-06-2023

Mystic Stealer Evolving stealth Malware

https://www.cyfirma.com/outofband/mystic-stealer-evolving-stealth-malware

Report completeness: Low

Threats:
Mystic_stealer

Victims:
Individuals and organizations handling sensitive data, such as those in healthcare, finance, technology and cryptocurrency transactions

Industry:
Financial, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1497, T1036, T1117, T1099, T1071, T1029, T1490, T1486, T1476, T1191, have more...

IOCs:
IP: 30
Hash: 1

Softs:
telegram, ubuntu, debian, chromium, outlook

Algorithms:
sha256, exhibit

Languages:
python

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mystic Stealer - это сложное и развивающееся вредоносное ПО с низким уровнем обнаружения, способное похищать данные из браузеров, криптовалютных расширений и Outlook. Она представляет значительный риск для компаний и частных лиц, участвующих в криптовалютных операциях.
-----

Mystic Stealer - это сложная и эволюционирующая вредоносная программа, которая с момента своего дебюта в апреле 2023 года создает волны киберугроз. Создатель угроз, стоящий за Mystic Stealer, постоянно совершенствует вредоносную программу на основе отзывов известных ветеранов на подпольных форумах, что приводит к постоянным обновлениям и улучшениям. Mystic Stealer имеет низкий процент обнаружения, написан на языках Python и C и поддерживает все версии Windows от XP до Windows 11. Она также способна обходить большинство антивирусных продуктов благодаря технике манипулирования кодом.

Наше расследование, проведенное разведкой открытых источников (OSINT), выявило существование более 50 активно работающих командно-контрольных (C2) серверов, что свидетельствует о растущей распространенности этой угрозы. Вредоносная программа доступна для подписки по цене 150 долларов США в месяц или 390 долларов США за три месяца, хотя ожидается, что эта цена будет расти в связи с ее растущей популярностью.

Установка сервера производится самими участниками угроз, а покупателю предоставляется полный контроль над C&C-панелью. C&C-панель совместима исключительно с серверами LINUX и может быть доступна с любого компьютера, используя данные IP-адреса и порта. Конструктор вредоносного ПО прост и визуально привлекателен и позволяет покупателю предоставить членам команды разрешение на доступ к панели и просмотр результатов, ограничивая при этом их возможность загружать журналы.

Mystic Stealer способен извлекать данные из браузеров, построенных на платформах Chromium и Mozilla, наряду с более чем 70 криптовалютными расширениями и Outlook. Все журналы надежно хранятся и расшифровываются на сервере, обеспечивая максимальную безопасность и прозрачность.

Учитывая постоянный спрос на мощных похитителей информации, Mystic Stealer становится потенциальным соперником в этой области. Компании, работающие с конфиденциальными данными, такими как PII, финансовые документы или интеллектуальная собственность, являются привлекательными целями для Mystic Stealer, а также лица, участвующие в криптовалютных транзакциях. Mystic Stealer представляет собой значительные риски и потенциальные последствия с точки зрения управления ландшафтом внешних угроз и может привести к финансовым потерям, сбоям в работе, проблемам с соблюдением нормативных требований и репутационному ущербу.

#ParsedReport #CompletenessMedium
15-06-2023

Shuckworm: Inside Russia s Relentless Cyber Campaign Against Ukraine

https://symantec-enterprise-blogs.security.com/threat-intelligence/shuckworm-russia-ukraine-military

Report completeness: Medium

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Leviathan

Threats:
Html_smuggling_technique
Pterodo
Giddome

Victims:
Security services, military, and government organizations in ukraine

Industry:
Government

Geo:
Ukrainian, Russian, Ukraine, Russia

IOCs:
File: 47
Registry: 1
Hash: 13
IP: 158

Softs:
telegram

Algorithms:
base64

Languages:
visual_basic, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что связанная с Россией группа Shuckworm осуществляет многочисленные кибератаки на украинские службы безопасности, военные и правительственные организации и использует различные методы для уклонения от обнаружения. Эта деятельность позволяет предположить, что поддерживаемые российским государством группы атак отдают предпочтение дорогостоящим украинским целям в попытках найти данные, которые могут потенциально помочь их военным операциям.
-----

Shuckworm, также известная как Gamaredon и Armageddon, - связанная с Россией группа, которая атакует Украину с 2014 года. Эта группа совершала многочисленные кибератаки на украинские службы безопасности, военные и правительственные организации, причем некоторые вторжения продолжались до трех месяцев. Было замечено, что Shuckworm использует фишинговые письма с вредоносными вложениями в качестве первоначального вектора заражения, а также вредоносное ПО для распространения по USB. В качестве командных и управляющих серверов злоумышленники использовали легитимные сервисы, такие как сервис обмена сообщениями Telegram и платформа микроблогов Telegraph.

Чтобы избежать обнаружения, Shuckworm регулярно обновляет свой инструментарий и методы обфускации. Группа была замечена в использовании пользовательского вредоносного бэкдора, известного как Pterodo, а также инструмента для похищения информации под названием Giddome. На зараженных компьютерах были обнаружены конфиденциальные документы, связанные с украинскими службами безопасности или государственными ведомствами.

Цели этой кампании позволяют предположить, что российские группы атак, поддерживаемые российскими государствами, отдают предпочтение дорогостоящим украинским объектам в попытках найти данные, которые могут помочь их военным операциям. Эта активность свидетельствует о том, что Shuckworm продолжает неустанно фокусироваться на Украине, и что эта группа, вероятно, будет оставаться угрозой в регионе в течение некоторого времени.

#ParsedReport #CompletenessMedium
15-06-2023

ChamelGang and ChamelDoH: A DNS-over-HTTPS implant

https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant

Report completeness: Medium

Actors/Campaigns:
Chamelgang

Threats:
Chameldoh
Domain_fronting_technique

Victims:
Energy, aviation, and government organizations in russia, the united states, japan, turkey, taiwan, vietnam, india, afghanistan, lithuania, and nepal

Industry:
Energy, Aerospace, Government

Geo:
Turkey, Vietnam, China, Japan, Nepal, Afghanistan, Russia, Taiwan, India, Lithuania

ChatGPT TTPs:
do not use without manual check
T1218.001, T1090.003, T1088.003, T1565.001

IOCs:
Hash: 10
IP: 2
Domain: 9

Algorithms:
base64, aes-128

Win Services:
bits

YARA: Found