#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ASEC обнаружила кампанию вредоносных атак с использованием бота Tsunami DDoS Bot, направленную на устройства IoT и серверы Linux. Угрожающие субъекты, стоящие за этой кампанией, использовали комбинацию других вредоносных программ, включая ShellBot, XMRig CoinMiner и Log Cleaner. Вредоносные атаки включают попытки входа на серверы SSH с помощью словарных атак и выполнение вредоносных команд.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил кампанию вредоносных атак с участием бота Tsunami DDoS Bot. Этот вредоносный бот используется для атак на устройства Интернета вещей (IoT) и серверы Linux. Угрожающие субъекты, стоящие за этой кампанией, используют комбинацию других вредоносных программ, включая ShellBot, XMRig CoinMiner и Log Cleaner.

Эта атака начинается с того, что угрожающий субъект пытается войти на плохо управляемые SSH-серверы, осуществляя атаки по словарю. Если в системе Linux используются простые учетные данные (ID/PW), она может быть уязвима для атак методом перебора или атаки по словарю, что позволяет субъекту угрозы выполнять вредоносные команды. После успешного входа в систему угрожающий агент выполняет команду для загрузки и запуска различных типов вредоносного ПО. Ключевой файл представляет собой Bash-скрипт типа загрузчика, который устанавливает дополнительные вредоносные программы.

Tsunami является вариантом вредоносной программы Kaiten DDoS bot и модифицирован агентом угрозы, чтобы иметь имя "ddoser v0.69". Он использует протокол IRC для связи с C&C-серверами, записывает свой собственный путь в файл /etc/rc.local и изменяет имя своего процесса на "kworker/0:0", чтобы скрыться. Он собирает системную информацию, выполняет команды и открывает обратные оболочки. ShellBot также является IRC-ботом, который использует протокол IRC, как Tsunami, и распространяется в общедоступном Docker-контейнере вместе с Tsunami.

Log Cleaner - это инструмент, используемый для удаления или изменения определенных журналов в файлах журналов. Предполагается, что агент угрозы установил Log Cleaner, чтобы затруднить последующий анализ нарушения. Вредоносная программа Log Cleaner включает MIG Logcleaner v2.0 и 0x333shadow Log Cleaner. MIG LogCleaner способен принимать в качестве аргументов различные опции, как показано ниже, для удаления нужных журналов из систем Linux, Unix и BSD. Он также может удалять строки, содержащие определенную строку, заменять строку или добавлять новую строку.

Файл ping6 представляет собой вредоносную программу ELF с простой структурой, которая перед выполнением командной строки устанавливает идентификатор пользователя и идентификатор группы как учетную запись root. CoinMiner, установленный агентом угрозы, - это XMRig CoinMiner, который используется для добычи монет Monero для агента угрозы.

#ParsedReport #CompletenessLow
21-06-2023

Analysis of Ransomware With BAT File Extension Attacking MS-SQL Servers (Mallox)

https://asec.ahnlab.com/en/54704

Report completeness: Low

Threats:
Targetcompany
Remcos_rat
Process_hollowing_technique

Victims:
Poorly managed ms-sql servers

IOCs:
File: 4
Hash: 1
Url: 1

Softs:
ms-sql, windows powershell

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Бесфайловые атаки становятся все более распространенными, поэтому организациям следует знать о них и принимать меры по защите от них.
-----

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил программу-вымогатель Mallox с расширением файла BAT, распространяемую на плохо управляемых серверах MS-SQL. Это пример бесфайловой атаки, которая становится все более распространенной, поскольку вредоносные программы устанавливаются на плохо управляемые серверы баз данных MS-SQL.

На рисунке 1 в журнале ASD показан URL загрузки в деталях обнаружения как Tst.bat, а на рисунке 2 показано, как был загружен BAT-файл. Согласно журналу, этот процесс воспроизводится через AhnLab EDR для анализа поведения вымогательского ПО.

Плохо управляемые серверы MS-SQL обычно подвергаются атакам методом грубой силы и по словарю, когда учетные данные не были должным образом защищены. Серверы MS-SQL часто устанавливаются вместе в процессе установки ERP и бизнес-решений, а также непосредственно строятся как серверы баз данных.

#ParsedReport #CompletenessLow
21-06-2023

Fortinet Reverses Flutter-based Android Malware Fluhorse

https://www.fortinet.com/blog/threat-research/fortinet-reverses-flutter-based-android-malware-fluhorse

Report completeness: Low

Actors/Campaigns:
Moneymonger

Threats:
Fluhorse

Geo:
Asia

IOCs:
Hash: 20
Url: 3
File: 3

Softs:
android, flutter, openssl

Algorithms:
aes-128-cbc, sha256, zip, aes

Functions:
main

Platforms:
arm

Links:
https://github.com/dart-lang/sdk/blob/main/runtime/vm/constants\_x64.h#L22
https://github.com/shounakmulay/Telephony/blob/develop/lib/telephony.dart#L27
https://github.com/Impact-I/reFlutter/releases

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Android/Fluhorse - это недавно обнаруженное семейство вредоносных программ, использующих Flutter SDK для создания вредоносных приложений на различных платформах. Оно распространяется с вредоносного URL-адреса и заманивает жертв, заставляя их ввести свои учетные данные.
-----

Android/Fluhorse - это недавно обнаруженное семейство вредоносных программ, использующих Flutter SDK для создания приложений на различных платформах. Впервые эта вредоносная программа была замечена в мае 2023 года и имела базовую обфускацию, но образец, найденный в июне, был упакован, что указывает на дальнейшую зрелость. Она распространяется с вредоносного URL hxxps://fasd1 . oss-ap-southeast-1.aliyuncs.com/ETC .apk и была доступна в Азии с 12 июня. Эта вредоносная программа выдает себя за легитимное приложение для электронной системы оплаты проезда, используемой в Южной Азии, и заманивает жертв ввести свои учетные данные. Затем она крадет эти данные, а также коды 2FA (двухфакторной аутентификации), прослушивая входящие SMS и перенаправляя их на веб-сайт, контролируемый злоумышленниками. Жертвы могли загрузить эту вредоносную программу более 100 000 раз.

Вредоносный пакет Dart с именем sms_fluter содержит основную полезную нагрузку вредоносной программы (com.dsfdgfd.sdfsdf.MainActivity). Он использует пакет Dart Telephony, который позволяет ему прослушивать входящие SMS в фоновом режиме, отправлять сообщение на удаленный веб-сайт в асинхронной задаче и читать ответ. Обращение Flutter-приложений в статическое состояние - это прорыв для исследователей антивирусных программ, поскольку в будущем ожидается появление большего количества вредоносных Flutter-приложений. Необходимо наращивать опыт и совершенствовать инструменты для работы с этими образцами.

#ParsedReport #CompletenessMedium
21-06-2023

Graphican: Flea Uses New Backdoor in Attacks Targeting Foreign Ministries

https://symantec-enterprise-blogs.security.com/threat-intelligence/flea-backdoor-microsoft-graph-apt15

Report completeness: Medium

Actors/Campaigns:
Playful_taurus
Fancy_bear

Threats:
Graphican
Lolbin_technique
Ketrican
Bs2005
Graphite
Safetykatz_tool
Mimikatz_tool
Pypykatz_tool
Credential_dumping_technique
Pupykatz_tool
Lazagne
Quarks
Pwdump_tool
Sharpsecdump_tool
Impacket_tool
K8tools_tool
Ehole_tool
Antsword
Behinder
Chinachopper
Godzilla_loader

Industry:
Government, Ngo, Financial

Geo:
Russian, China, Americas, Chinese, America

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...

IOCs:
File: 1
Hash: 46
IP: 2
Domain: 5

Softs:
internet explorer, microsoft exchange

Algorithms:
sha256

Links:
https://github.com/AlessandroZ/LaZagne
https://github.com/gentilkiwi/mimikatz

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Flea (она же APT15, Nickel), занимающаяся продвинутыми постоянными угрозами (APT), активна как минимум с 2004 года и нацелена на правительственные организации, дипломатические структуры и неправительственные организации (НПО). В последние годы известно, что группа использует различные инструменты, в том числе новый бэкдор Graphican, инструменты "living-of-the-land" и другие инструменты, ранее связанные с Flea. Эти инструменты и методы указывают на то, что группа остается активной и продолжает разрабатывать новые инструменты, несмотря на долгие годы своей деятельности.
-----

Группа передовых постоянных угроз (APT) Flea (она же APT15, Nickel) действует как минимум с 2004 года и считается крупной и хорошо обеспеченной ресурсами группой. В последнее время в центре ее внимания оказались Северная и Южная Америка, причем группа в основном нацелена на правительственные организации, дипломатические учреждения и неправительственные организации (НПО) с целью сбора разведданных. Известно, что для этого Flea использует электронную почту в качестве первоначального вектора заражения, а также эксплуатирует общедоступные приложения и использует VPN.

С конца 2022 по начало 2023 года Flea провела новую атакующую кампанию, направленную в основном на министерства иностранных дел в Северной и Южной Америке. Группа также атаковала финансовый департамент правительства в Северной и Южной Америке и корпорацию, продающую продукцию в Центральной и Южной Америке. Была также одна исключительная жертва, расположенная в одной из европейских стран, которая ранее, в июле 2022 года, подверглась, казалось бы, несвязанной атаке вымогательского ПО.

Злоумышленники использовали целый ряд инструментов, включая новый бэкдор Graphican, инструменты "living-of-the-land" и другие инструменты, ранее связанные с Flea. Graphican является развитием известного Flea бэкдора Ketrican и использует Microsoft Graph API и OneDrive для получения командно-контрольной инфраструктуры (C&C). Среди других используемых инструментов - EWSTEW, Mimikatz, Pypykatz, Safetykatz, Lazagne, Quarks PwDump, SharpSecDump, K8Tools, EHole, веб-оболочки и эксплойт CVE-2020-1472.

Использование Flea нового бэкдора указывает на то, что группа остается активной и продолжает разрабатывать новые инструменты, несмотря на долгие годы своей деятельности. Сходство функциональных возможностей Graphican и Ketrican, а также использование Microsoft Graph API и OneDrive для получения своего C&C-сервера может свидетельствовать о том, что группа не очень обеспокоена тем, что ей приписывают активность. Похоже, что интересы группы остаются такими же, какими они были в последние годы, даже несмотря на то, что ее инструменты и методы продолжают развиваться.

#ParsedReport #CompletenessLow
21-06-2023

Kimsuky Distributing CHM Malware Under Various Subjects

https://asec.ahnlab.com/en/54678

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/bat.runner
Trojan/vbs.runner
Infostealer/bat.generic
Infostealer/vbs.generic

Industry:
Financial

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1055, T1056, T1036, T1218

IOCs:
File: 21
Path: 2
Registry: 1
Url: 4
Hash: 10

Softs:
curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky распространяет вредоносное ПО через файлы CHM, которые выглядят как обычные окна справки. Эти файлы могут передавать данные пользователя, что позволяет группе осуществлять более сложные атаки. Чтобы защитить себя, пользователи должны знать о рисках и принимать меры по защите, например, дважды проверять электронные письма из неизвестных источников и регулярно проводить проверку ПК.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) внимательно следил за деятельностью группы Kimsuky, продвинутой группы постоянных угроз (APT), в течение последнего месяца мая. Традиционно эта группа распространяла вредоносное ПО через документы, но в последнее время она экспериментирует и с файлами CHM. CHM-файлы выглядят как обычные окна справки, что затрудняет для пользователей их отличить от легитимных файлов. Темы этих CHM-файлов варьируются в зависимости от того, на кого они направлены.

Когда пользователь открывает CHM-файл, вредоносные команды выполняются через объект ярлыка. Этот объект вызывает другой скрипт, который загружает два дополнительных вредоносных файла: BAT-файл и CAB-файл. Файл BAT обеспечивает утечку данных пользователя, а файл CAB загружает больше вредоносных программ, что позволяет группе осуществлять более сложные атаки. Похоже, что группа также проверяет украденные данные пользователей и загружает дополнительные вредоносные файлы только тогда, когда система становится целью.

В связи с характером этих атак пользователи должны знать о рисках и принять меры для защиты. Важно дважды проверять электронные письма из неизвестных источников и избегать открытия любых подозрительных файлов. Кроме того, пользователи должны регулярно проверять ПК и следить за тем, чтобы их продукты безопасности всегда были в актуальном состоянии. Таким образом, они могут свести к минимуму вероятность стать жертвой этих атак.

#ParsedReport #CompletenessMedium
21-06-2023

Key takeaways. Initial research exposing JOKERSPY

https://www.elastic.co/security-labs/inital-research-of-jokerspy

Report completeness: Medium

Actors/Campaigns:
Ref9134

Threats:
Jokerspy
Swiftbelt_tool
Seth_locker
Seatbelt_tool

Victims:
Japanese cryptocurrency exchange

Geo:
Japanese, Japan

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 1
Hash: 3
File: 4

Softs:
macos

Crypto:
bitcoin, ethereum

Algorithms:
base64, sha256

Languages:
python

Platforms:
apple

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_potential\_privilege\_escalation\_via\_tcc\_bypass\_with\_fake\_tcc.db.toml
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/MacOS\_Hacktool\_Swiftbelt.yar
https://github.com/GhostPack/Seatbelt
https://github.com/elastic/endpoint-rules/blob/1006a4d9a3d95e35149a3640fadf68a32c02afa9/rules/execution\_dylib\_extracted\_to\_new\_directory.toml#L10

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа угроз под названием JOKERSPY пытается использовать японскую криптовалютную биржу, используя пользовательские инструменты с открытым исходным кодом для разведки и управления. Их первоначальный доступ, скорее всего, был получен через вредоносный или заблокированный плагин или зависимость от третьей стороны.
-----

REF9134 - это вторжение в японского поставщика криптовалютных услуг, которое было обнаружено Elastic Security Labs в конце мая 2023 года. Первоначальный доступ для этой вредоносной программы, скорее всего, был получен через вредоносный или отключенный плагин или зависимость от третьей стороны, которая позволила агенту угрозы получить доступ. Вредоносная программа использовала sh.py - бэкдор на языке Python, применяемый для развертывания и выполнения других возможностей пост-эксплуатации, таких как Swiftbelt - инструмент перечисления данных после эксплойта macOS с открытым исходным кодом.

Бэкдор sh.py загружает свою конфигурацию из файла \~/Public/Safari/sar.dat, который содержит такие важные элементы, как URL-адреса команд и управления (C2), таймер сна для целей маячка и уникальный девятизначный идентификатор, присвоенный каждому агенту. Вредоносная программа собирает и передает различную системную информацию, включая имя хоста, имя пользователя, имя домена, текущий каталог, абсолютный путь исполняемого бинарного файла, версию ОС, является ли ОС 64-битной, 64-битный процесс и версию Python.

Вторжение было обнаружено оповещением конечной точки, которое зафиксировало выполнение двоичного файла (xcc). Противник выполнил самоподпись, используя встроенный инструмент macOS codesign. После выполнения xcc угрожающий агент попытался обойти разрешения TCC, создав собственную базу данных TCC и попытавшись заменить существующую. 1 июня из того же каталога, что и xcc, был замечен новый инструмент на базе Python, который использовался для выполнения Swiftbelt.

Swiftbelt вызывает код Swift, чтобы избежать создания артефактов командной строки. Предупреждение сигнатуры показало, что Swiftbelt был записан в /Users/shared/sb и выполнен с помощью интерпретатора оболочки bash, sh. Полная командная строка, которую наблюдали исследователи, была Users/Shared/sb /bin/sh -c /users/shared/sb /users/shared/sb.log 2 &1, демонстрируя, что угрожающий агент фиксировал результаты в sb.log, а ошибки направлял в STDOUT.

Группа угроз, стоящая за этим вторжением, была названа Bitdefender JOKERSPY и использует пользовательские инструменты с открытым исходным кодом для разведки и управления. Целью этой вредоносной активности является известная японская криптовалютная биржа. Предполагается, что вредоносный доступ был осуществлен через вредоносный или скрытый плагин или зависимость от третьей стороны. Точные мотивы и цели этого вторжения все еще расследуются, но уже ясно, что злоумышленники пытаются использовать криптовалютную биржу в Японии.

#ParsedReport #CompletenessHigh
21-06-2023

RedEyes Group Wiretapping Individuals (APT37)

https://asec.ahnlab.com/en/54349

Report completeness: High

Actors/Campaigns:
Apt37 (motivation: information_theft)
Scarcruft

Threats:
Goably
Kisa
W4sp
Dll_sideloading_technique
Trojan/win.loader.c5424444

Victims:
North korean defectors, human rights activists, and university professors

Industry:
Education

Geo:
Korea, Korean

TTPs:
Tactics: 5
Technics: 1

IOCs:
File: 6
Command: 2
Path: 6
Registry: 1
IP: 1
Url: 3
Hash: 6

Softs:
task scheduler, component object model

Algorithms:
zip, base64

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, dump: 2, code: 8, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Группа RedEyes - это спонсируемая государством APT-группа, которая в основном осуществляет атаки на частных лиц, эксплуатируя платформу Ably и используя CHM-файл с вредоносным PowerShell-скриптом для выполнения Infostealer с функциями прослушки. Они используют технику повышения привилегий под названием T1546.015 для выполнения дополнительных вредоносных программ и используют FadeStealer Infostealer в бесфайловой форме. Их основной целью является кража информации и несанкционированное прослушивание людей.
-----

RedEyes - спонсируемая государством APT-группа, осуществляющая атаки на частных лиц.

В мае 2023 года Центр экстренного реагирования безопасности AhnLab (ASEC) обнаружил группу RedEyes, использующую Infostealer с функциями прослушки и бэкдор, разработанный с помощью GoLang, который эксплуатирует платформу Ably.

Для осуществления первоначального взлома угроза использовала файл CHM (Compiled HTML Help File).

Вредоносный сценарий PowerShell, выполняемый MSHTA.exe, использует команду для регистрации себя в ключе реестра автозапуска.

Угрожающий агент использует бэкдор AblyGo и MSTHA PowerShell, чтобы в конечном итоге выполнить Infostealer в безфайловой форме.

FadeStealer имеет функцию прослушивания микрофонов и извлечения данных со съемных носителей и смартфонов.

Группа RedEyes в основном занимается кражей информации и несанкционированным прослушиванием частных лиц в Южной Корее.

#ParsedReport #CompletenessLow
21-06-2023

Dissecting TriangleDB, a Triangulation spyware implant

https://securelist.com/triangledb-triangulation-implant/110050

Report completeness: Low

Actors/Campaigns:
Triangulation

Threats:
Triangledb
Chrysaor
Reign
Beacon

IOCs:
Hash: 3

Softs:
imessage, unix, macos

Algorithms:
3des, sha1, sha256, xor

Languages:
objective_c

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что недавно обнаруженная шпионская программа TriangleDB, нацеленная на iOS, использует эксплойты для получения доступа к устройству и взаимодействует с сервером C2, отправляя сообщения о сердцебиении и отслеживая изменения в папках. Среди обнаруженных интересных команд - CRXShowTables, CRXConfigureDBServer и CRXPollRecords. Также возможно, что подобный имплант может быть направлен на устройства macOS.
-----

Недавнее обнаружение шпионской программы TriangleDB, нацеленной на iOS, раскрыло некоторые интересные подробности о том, как она работает. Эта конкретная часть вредоносного ПО поставляется на устройства iOS с помощью эксплойтов, которые могут быть использованы для получения доступа к устройству, например, для выхода из песочницы iMessage и получения привилегий root через уязвимость в ядре. В ходе операции "Триангуляция" удалось найти как можно больше частей цепочки эксплойтов.

После запуска имплантат начинает взаимодействовать с сервером C2, используя для обмена данными библиотеку Protobuf. Конфигурация имплантата содержит два сервера: основной и резервный. Обычно имплантат использует основной сервер, а в случае ошибки он переключается на резервный сервер. Имплантат периодически посылает сигналы сердцебиения, которые содержат системную информацию, включая версию имплантата, идентификаторы устройства (IMEI, MEID, серийный номер и т.д.) и конфигурацию демона обновления.

Сервер C2 отвечает на сообщения сердцебиения командами. Команды передаются в виде сообщений Protobuf, имена типов которых начинаются с CRX. Смысл этих имен неясен, но имплант способен отслеживать изменения в папках, ища измененные файлы, имена которых соответствуют заданным регулярным выражениям. Мониторинг изменений осуществляется путем получения файлового дескриптора каталога Unix и назначения на него обработчика событий vnode. Когда имплант получает уведомление об изменении, обработчик событий ищет измененные файлы, соответствующие регулярному выражению, предоставленному злоумышленником. Такие файлы затем планируются для загрузки на сервер C2.

Разработчики называют расшифровку строк unmunging, а по всему коду различным сущностям были даны имена из терминологии баз данных, из-за чего имплантат получил название TriangleDB. Некоторые из обнаруженных интересных команд включают CRXShowTables (перечисление каталогов), CRXConfigureDBServer (изменение адресов сервера C2) и CRXPollRecords (отслеживание изменений в папках).

Имплант также запрашивает у операционной системы множество прав доступа (разрешений), некоторые из которых не используются в коде. Существование метода populateWithFieldsMacOSOnly означает, что устройства macOS также могут быть нацелены на подобный имплант. Таким образом, функциональные возможности, предоставляемые этими правами, могут быть реализованы в модулях.

#ParsedReport #CompletenessMedium
21-06-2023

Threat Group Assessment: Muddled Libra

https://unit42.paloaltonetworks.com/muddled-libra

Report completeness: Medium

Actors/Campaigns:
Muddled_libra (motivation: cyber_criminal, information_theft)
0ktapus

Threats:
Supply_chain_technique
Redline_stealer
Anydesk_tool
Splashtop_tool
Teamviewer_tool
Disabling_antivirus_technique
Raccoon_stealer
Credential_stealing_technique
Mimikatz_tool
Procdump_tool
Dcsync_technique
Impacket_tool
Bloodhound_tool
Adrecon
Rvtools_tool

Victims:
Organizations in the software automation, bpo, telecommunications and technology industries

Industry:
Telco, Bp_outsourcing

Geo:
America, Japan, Apac, Emea

TTPs:
Tactics: 12
Technics: 0

IOCs:
Domain: 4
IP: 27

Softs:
telegram, active directory, sysinternals psexec, confluence, microsoft office 365, outlook

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Muddled Libra - это группа угроз, которая действует с середины 2022 года и нацелена на крупные аутсорсинговые фирмы, предоставляющие услуги дорогостоящим криптовалютным учреждениям и частным лицам.
-----

Muddled Libra - это изощренная группа угроз, действующая с середины 2022 года и нацеленная на крупные аутсорсинговые фирмы, предоставляющие услуги дорогостоящим криптовалютным учреждениям и частным лицам. Группа обладает широким набором инструментов для атак, который включает в себя практическую социальную инженерию, smishing-атаки, тестирование на проникновение и инструменты криминалистики. Muddled Libra хорошо знают своих жертв и умело обходят общие средства контроля безопасности и получают конфиденциальные данные путем кражи учетных данных.

Muddled Libra уделяет особое внимание сохранению доступа к целевым средам. Группа использует различные инструменты удаленного мониторинга и управления (RMM) для создания бэкдоров и часто использует коммерческие виртуальные частные сети (VPN), чтобы скрыть свое географическое положение. Они также используют похожие домены в атаках smishing, а также прокси-сервисы по месту жительства, что помогает им смешиваться с законным трафиком.

При атаке Muddled Libra использует приманки, отправляемые непосредственно на мобильные телефоны сотрудников, утверждая, что им необходимо обновить информацию об учетной записи или пройти повторную аутентификацию в корпоративном приложении. Сообщения содержат ссылки на поддельные корпоративные домены, которые имитируют знакомые страницы входа в систему. Получив доступ, злоумышленники быстро переходят к повышению уровня доступа, используя такие инструменты для кражи учетных данных, как Mimikatz, ProcDump, DCSync, Raccoon Stealer и LAPSToolkit.

Muddled Libra также использует законные инструменты тестирования на проникновение для составления карты среды и выявления интересующих целей, и они успешно находят конфиденциальные данные в широком спектре общих хранилищ данных. Для завершения атаки группа может использовать Sysinternals PsExec или Impacket для удаленного выполнения, и они часто пытаются создать обратные прокси-оболочки или защищенные туннели оболочки (SSH) для командования и управления или эксфильтрации.