#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что "Space Pirates" - это группа киберпреступников, которая действует уже более трех лет и атакует государственные и образовательные учреждения, компании, занимающиеся безопасностью, и различные отрасли промышленности. Для проведения своих операций они используют различные инструменты и технологии, и за последние три года их тактика не претерпела существенных изменений. Однако они расширили географию своих атак и разработали новые инструменты, что привело к резкому увеличению числа атак на российские компании.
-----

В конце 2019 года Экспертный центр безопасности Positive Technologies (PT ESC) обнаружил новую группу киберпреступников под названием "Space Pirates". К 2022 году они действовали уже более трех лет и были выявлены в ходе расследований кибератак. Основными целями группы являются государственные и образовательные учреждения, охранные компании, предприятия авиационной, ракетно-космической и сельскохозяйственной отраслей, военно-промышленного и топливно-энергетического комплекса, а также компании, занимающиеся информационной безопасностью в России и Сербии.

Сетевая инфраструктура Space Pirates использует небольшое количество IP-адресов, на которые указывают DDNS-домены, и часто использует старые адреса сайтов, создавая на них домены более высокого уровня. Для осуществления своих операций Space Pirates используют веб-оболочку Godzilla, обфусцированный туннель Neo-reGeorg, а также бэкдор Deed RAT, который, как считается, является развитием ShadowPad и PlugX.

Кроме того, предполагается, что группа создала вредоносную программу под названием Voidoor, которая используется для взаимодействия с GitHub и voidtools. Жизненный цикл этой вредоносной программы включает в себя генерацию ссылок для доступа к списку жертв, загрузку файлов из репозиториев GitHub, создание задачи в планировщике и т.д. Известно также, что группа использует инструменты, написанные на языке Go и обфусцированные с помощью Garble, а также самописную утилиту, которая отслеживает подключенные носители и собирает с них файлы.

Тактика "Space Pirates" за три года их деятельности практически не изменилась: основными целями по-прежнему остаются шпионаж и кража конфиденциальной информации. Однако группа расширила географию атак и сферу своих интересов. Кроме того, они разработали новые и усовершенствовали старые инструменты, что привело к резкому увеличению числа атак на российские компании. Специалисты PT ESC продолжают отслеживать и реагировать на угрозы, в том числе связанные с "Space Pirates".

#ParsedReport #CompletenessLow
17-07-2023

Charming Kitten hackers use new NokNok malware for macOS

https://www.proofpoint.com/us/newsroom/news/charming-kitten-hackers-use-new-noknok-malware-macos

Report completeness: Low

Actors/Campaigns:
Charming_kitten
Apt42
Irgc

Threats:
Noknok
Gorjolecho
Ghostecho

Victims:
Macos users

Industry:
Government

Geo:
Iranian

ChatGPT TTPs:
do not use without manual check
T1036, T1566, T1086, T1218, T1140, T1064, T1074, T1566, T1036, T1071, have more...

IOCs:
Domain: 1

Soft:
macos, curl

Algorithms:
zip, base64

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа Charming Kitten с мая этого года замечена в использовании нового вредоносного ПО NokNok для атак на системы macOS. Вредоносная ссылка содержит макрос Google Script, который разворачивает бэкдор, позволяющий злоумышленникам выполнять команды на целевой системе. Полезная нагрузка NokNok собирает системную информацию и передает ее на свой командно-контрольный сервер, а также может обладать дополнительным функционалом, связанным со шпионажем. Данная кампания демонстрирует высокую степень возможностей группы Charming Kitten по атаке пользователей macOS.
-----

Исследователи безопасности обнаружили новую кампанию, приписываемую APT-группе Charming Kitten, в которой используется новое вредоносное ПО NokNok, нацеленное на системы macOS. Кампания активна с мая, и злоумышленники используют иную цепочку заражения, чем наблюдалось ранее. Вместо вредоносных документов Word хакеры используют LNK-файлы для развертывания полезной нагрузки. Предполагается, что угрожающая группировка связана с иранским государством, и в сентябре 2022 года правительству США удалось выявить ее членов и предъявить им обвинения.

Злоумышленники начинают с рассылки электронных писем от имени американских экспертов в области ядерной энергетики, предлагая ознакомиться с проектами по внешнеполитической тематике. Заручившись доверием жертвы, хакеры отправляют вредоносную ссылку, содержащую макрос Google Script. Он перенаправляет жертву на URL-адрес Dropbox, содержащий защищенный паролем RAR-архив. После его выполнения на компьютере будет развернут GorjolEcho - простой бэкдор, позволяющий удаленным операторам выполнять команды на целевой системе.

Если хакеры определяют, что жертва использует macOS, они отправляют новую ссылку на library-store.camdvr.org, где размещается ZIP-файл, маскирующийся под приложение RUSI VPN. Этот файл содержит скрипт Apple, который при выполнении подхватывает полезную нагрузку NokNok и создает бэкдор в систему жертвы. NokNok собирает системную информацию, такую как версия ОС, запущенные процессы и установленные приложения. Затем он шифрует и кодирует эти данные в формате base64, после чего передает их на свой командно-контрольный (C2) сервер. Предполагается, что NokNok может обладать более специфическим шпионским функционалом, аналогичным GhostEcho - другому бэкдору с модулями, позволяющими делать скриншоты, выполнять команды и очищать следы заражения.

Последняя кампания демонстрирует высокую степень адаптивности и возможности группы Charming Kitten в отношении пользователей macOS, что свидетельствует о растущей угрозе сложных кампаний вредоносного ПО для этих систем.

#ParsedReport #CompletenessLow
17-07-2023

Spearphishing Campaign Targets Zimbra Webmail Portals of Government Organizations

https://blog.eclecticiq.com/spearphishing-campaign-targets-zimbra-webmail-portals-of-government-organizations

Report completeness: Low

Victims:
Government organizations

Industry:
Government, Education

Geo:
France, Ukrainian, Spanish, Russian, Indonesia, Ukraine, Spain

CVEs:
CVE-2020-35730 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- roundcube webmail (<1.4.10, <1.3.16, <1.2.13)
- fedoraproject fedora (32, 33)
- debian debian linux (9.0)

CVE-2020-12641 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- roundcube webmail (<1.3.11, <1.4.4, <1.2.10)
- opensuse leap (15.1, 15.2)
- opensuse backports sle (15.0)


IOCs:
Domain: 3
Email: 2
IP: 2

Soft:
zimbra, roundcube, wordpress, zimbra collaboration suite

Functions:
escapeXml

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи EclecticIQ выявили кампанию спирфишинга, направленную на правительственные организации с января 2023 года и использующую для кражи учетных данных электронной почты эксплуатируемые почтовые серверы Zimbra и Roundcube. Угрожающие лица применяли такие уловки, как использование VPN-сервисов, Google Firebase, MailChimp, chilipepper.io и webflow.io, чтобы скрыть свою личность, и потенциально использовали уязвимость нулевого дня в Zimbra Collaboration Suite (ZCS).
-----

Исследователи EclecticIQ выявили кампанию spearphishing, направленную на правительственные организации с января 2023 года и использующую эксплуатируемые почтовые серверы Zimbra и Roundcube.

Письма содержали фишинговые заманухи по обслуживанию Zimbra с целью обмана получателей и кражи учетных данных электронной почты.

Угрожающий агент успешно обошел антиспам-фильтры целевых государственных организаций.

Вполне вероятно, что угроза использовала VPN-сервисы для сокрытия своей реальной личности.

Угрожающий агент использовал легитимные веб-сервисы для сбора учетных данных электронной почты.

Угрожающий агент использовал ту же самую замануху Zimbra на испанском языке, чтобы нацелить ее на испаноязычных жертв.

Угрожающий агент мог использовать известные или неизвестные уязвимости в системах Roundcube & Zimbra для получения доступа.

Для обеспечения анонимности угроза использовала VPN-сервис CyberGhost.

Unraveling the Complex Infection Chain: Analysis of the SideCopy APT’s Attack

https://threatmon.io/unraveling-the-complex-infection-chain-analysis-of-the-sidecopy-apts-attack/

#ParsedReport #CompletenessLow
18-07-2023

Uncovering drIBAN fraud operations. Chapter 3: Exploring the drIBAN web inject kit

https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-3

Report completeness: Low

Threats:
Driban_tool
Anatsa
Starslord
Ramnit
Man-in-the-browser_technique
Polymorphism_technique

Victims:
Corporate banking environments

Industry:
Financial

Geo:
Russian

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что DrIBAN - это набор веб-инъекций, позволяющий перехватывать и управлять ответами на запросы из Интернета, и что для защиты от вредоносных действий и сохранения целостности европейского банковского сектора необходимо сотрудничество и единые стратегии защиты.
-----

DrIBAN - это впервые появившийся в 2019 году набор веб-инъекций, написанный преимущественно на JavaScript. Он представляет собой расширение техники захвата форм, которая позволяет перехватывать и управлять веб-ответами для изменения содержимого до его отображения в браузере. Набор состоит из трех основных модулей: Mule configuration, Swap engine и модуль визуализации. Конфигурация Mule содержит денежных мулов, контролируемых агентами угроз (TA), а движок Swap engine извлекает легитимные банковские переводы для перенаправления их мулам. Модуль визуализации заменяет ссылки на банковские счета мулов на легитимные, введенные жертвой. Для уменьшения видимости жертвы ТА используют технику строгой аутентификации клиента (SCA).

Техники уклонения впервые появились в июне 2021 года с помощью полиморфных технологий. Полезная нагрузка ATS подается динамически с сервера Command and Control (C2) через функцию Ramnit AddDrop. В полезных нагрузках веб-инъекций были замечены сообщения-вымогатели, написанные на плохом английском языке. Для внедрения полезной нагрузки в легитимные веб-сессии используются технологии Man-in-the-Browser.

Эта серия статей позволила проиллюстрировать работу современных ТА, восстановить цепочки заражения и повысить осведомленность об этой угрозе. Важно, чтобы европейские организации, включая частный сектор, финансовые учреждения, CERT, правоохранительные органы и другие, эффективно сотрудничали в борьбе с этими развивающимися угрозами. Обмен оперативной информацией об угрозах и надежные меры безопасности, такие как проактивное предотвращение, являются жизненно важными для защиты корпоративных банковских счетов и снижения воздействия сложных кампаний перспективных постоянных угроз (APT). Развивая сотрудничество и реализуя единую стратегию защиты, мы сможем укрепить нашу устойчивость к вредоносным действиям и защитить целостность европейского банковского сектора.

#ParsedReport #CompletenessLow
18-07-2023

The New Release of Danabot Version 3: What You Need to Know

https://flashpoint.io/blog/danabot-version-3-what-you-need-to-know

Report completeness: Low

Threats:
Danabot
Postgrabber_tool
Danatools
Hvnc_tool

ChatGPT TTPs:
do not use without manual check
T1036.003, T1114.001, T1056.001, T1082.001, T1083.001, T1083.002, T1086.001, T1203.001, T1573.001, T1546.001, have more...

Soft:
jabber, mysql

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Danabot версии 3 является более доступным и привлекательным для угроз набором вредоносных программ, что повышает риск атак с использованием Danabot, и аналитики Flashpoint отслеживают угрозы на предмет использования ботов Danabot версии 3 в дикой природе.
-----

Аналитики компании Flashpoint отслеживают недавно выпущенную DBot v.3 - третью версию известного пакета вредоносных программ Danabot. Эта версия нацелена на сохранение и извлечение полезной информации, которая впоследствии может быть монетизирована, и использует социальную инженерию в почтовых угрозах для сбора информации от своих жертв. Бот оснащен вредоносными программами-крадунами, функциями "обнюхивания" буфера обмена, кейлоггинга, захвата файлов и кошельков, постграббером, инструментом захвата форм, троянами удаленного доступа (RAT), HTML-инъекциями, перенаправлением и блокировкой веб-запросов, Tor fallback для восстановления командно-контрольного (C2) прокси, а также интеграцией Jabber для получения уведомлений. Наряду с этим OnlineServer - портативное исполняемое (PE) приложение, выполняющее роль панели для RAT-функционала Danabot и позволяющее взаимодействовать с API Danabot, выдавать терминальные команды на системы жертв, предоставлять жертвам удаленный доступ через скрытые виртуальные сетевые вычисления, создавать ботов, упаковывать и криптовать ботов, строить прокси-цепочки для C2-связи ботов, а также задействовать API для работы с криптовалютой и базой данных.

Наиболее важными изменениями по сравнению с DanaTools (версия 2) и DBot v.3 являются реструктуризация цен и улучшение поддержки клиентов. С выходом DBot v.3 субъекты угроз получили большую гибкость в выборе необходимых им инструментов благодаря новым структурам подписки, таким как использование stealer, stealer plus HVNC, stealer и PostGrabber, stealer, Postgrabber и HVNC, stealer, PostGrabber, HVNC, API, персональный сервер и персональная поддержка, а также демо-версия stealer, HVNC и PostGrabber. Кроме того, на сайте Danabot Tor появились инструкции по установке и настройке панели, а также видеодемонстрации и варианты генерации ботов, что делает его более доступным и привлекательным для субъектов угроз. В настоящее время аналитики Flashpoint отслеживают угрозы на предмет использования ботов Danabot версии 3 в реальных условиях.

Danabot версии 3 предназначен для работы с браузерами, FTP-, SSH- и почтовыми клиентами, а также для сбора данных при копировании информации между приложениями. Кроме того, в состав бота входят кейлоггер, граббер кошельков, постграббер, HTML-инъекции, перенаправление и блокирование веб-запросов, Tor fallback для восстановления C2-прокси и интеграция с Jabber для получения уведомлений. Бот способен настраиваться под нужды пользователя, позволяя ему выбирать необходимые инструменты через структуру подписки. Кроме того, на сайте Danabot Tor можно найти инструкции по установке и настройке панели, а также видеодемонстрации и варианты генерации бота.

Аналитики компании Flashpoint активно отслеживают угрозы на предмет использования ботов Danabot версии 3 в природе. Реструктуризация и снижение барьера входа делают DBot v.3 более доступным и привлекательным для угроз, а значит, повышают риск атак с использованием Danabot. Чтобы узнать о последних обновлениях, связанных с DBot v.3, а также о других растущих вредоносных угрозах, рекомендуем подписаться на бесплатную пробную версию.

#ParsedReport #CompletenessMedium
18-07-2023

Possible Supply-Chain Attack Targeting Pakistani Government Delivers Shadowpad

https://www.trendmicro.com/en_us/research/23/g/supply-chain-attack-targeting-pakistani-government-delivers-shad.html

Report completeness: Medium

Actors/Campaigns:
Axiom
Earth_lusca
Tonto_team
Calypso
Webworm
Driftingcloud

Threats:
Supply_chain_technique
Shadowpad
Dll_sideloading_technique
Dead_drop_technique
Mitm_technique
Deed_rat
Trojan.win64.poppingbee.zbjf
Backdoor.win64.poppingbee.zajf
Trojan.win64.poppingbee.a

Victims:
Pakistan government entity, Pakistani public sector bank, Pakistani telecommunications provider

Industry:
Government, Telco, Financial

Geo:
Pakistani, Pakistan, Afghanistan, Chinese

IOCs:
File: 9
Domain: 2
IP: 1
Url: 2
Hash: 18

Algorithms:
aes-cbc, xor

Win API:
CryptDeriveKey

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно мы обнаружили атаку на пакистанскую правительственную организацию, в ходе которой модифицированная версия приложения "Электронный офис" использовалась для доставки образца Shadowpad. Угрожающий агент имел доступ к последней версии Shadowpad, что позволяет предположить его связь с китайской группой угроз. Кроме того, угрожающий субъект подготовился к атаке, тщательно выбрав адрес C&C, чтобы он не выделялся на фоне легитимного сетевого трафика.
-----

Недавно мы обнаружили модифицированный установщик приложения E-Office, используемого правительством Пакистана, в образце Shadowpad, что говорит о возможной атаке по цепочке поставок. Поскольку файл MSI-установщика не был подписан, неясно, получил ли угрожающий агент легитимный инсталлятор и модифицировал его, добавив вредоносные файлы, или же пользователи были привлечены к запуску этой троянизированной версии с помощью атак социальной инженерии. В настоящее время пакистанское государственное учреждение, о котором идет речь, проводит детальный криминалистический анализ своих систем для расследования этого инцидента.

Shadowpad - передовое семейство вредоносных программ, обнаруженное в 2017 году в результате атаки по цепочке поставок на популярное программное обеспечение для управления серверами, приписываемой APT41, а с 2019 года распространяемое несколькими китайскими угрозами, такими как Earth Akhlut или Earth Lusca. E-Office - приложение, призванное помочь государственным ведомствам перейти на безбумажный режим работы и поставляемое только государственным организациям.

Анализ вредоносного MSI-инсталлятора выявил наличие Telerik.Windows.Data.Validation.dll, 64-битного не-DLL PE-исполняемого файла, который является легитимным файлом applaunch.exe, подписанным Microsoft. Известно, что этот файл используется различными субъектами угроз для боковой загрузки вредоносных файлов с именем mscoree.dll. Mscoree.dll - это вредоносная DLL, которая расшифровывает и загружает файл mscoree.dll.dat, являющийся полезной нагрузкой Shadowpad.

В нашей телеметрии обнаружены три цели, расположенные в Пакистане: две из них - представители государственного/общественного сектора и одна - телекоммуникационного оператора. В двух случаях образец Shadowpad попал на жертву после выполнения инсталлятора E-Office с обратной загрузкой. Для третьей жертвы вектор заражения пока неизвестен. Мы не нашли достаточных доказательств, чтобы приписать эту атаку известному угрожающему субъекту, хотя выявили один дроппер, с высокой степенью вероятности принадлежащий угрожающему субъекту Calypso, еще один образец вредоносного ПО, вероятно, являющийся вариантом Shadowpad, с низкой степенью вероятности принадлежащий угрожающему субъекту Calypso, семейство вредоносных программ, принадлежащее угрожающему субъекту DriftingCloud, и полезную нагрузку, приписываемую Bronze University.

Эта атака демонстрирует возможности очень способного угрожающего субъекта, которому удалось получить и модифицировать инсталлятор правительственного приложения для компрометации чувствительных целей. Тот факт, что угрожающий агент имеет доступ к последней версии Shadowpad, потенциально связывает его с группой китайских угрожающих агентов. Кроме того, угрожающий агент тщательно выбрал один из своих C&C-адресов, чтобы он не выделялся на фоне легитимного сетевого трафика, что еще раз свидетельствует о его подготовительных возможностях. Учитывая постоянные обновления Shadowpad, мы ожидаем, что в будущем появится еще больше угроз, использующих эту версию.

#ParsedReport #CompletenessMedium
18-07-2023

FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware

https://symantec-enterprise-blogs.security.com/threat-intelligence/syssphinx-fin8-backdoor

Report completeness: Medium

Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Hornworm (motivation: financially_motivated)
Carbanak (motivation: financially_motivated)
Blackmatter (motivation: financially_motivated)

Threats:
Sardonic
Blackcat
Lolbin_technique
Ragnar_locker
Viking
Carbon
Badhatch_tool
Impacket_tool
Confuserex_tool
Polymorphism_technique

Victims:
Organizations in the hospitality, retail, entertainment, insurance, technology, chemicals, and finance sectors

Industry:
Financial, Chemical, Healthcare, Entertainment, Retail

IOCs:
Command: 5
File: 5
Url: 1
Hash: 23
IP: 1
Domain: 4

Soft:
psexec

Algorithms:
sha256, rc4

Functions:
Symantec, GetComputerName

Win API:
QueueUserAPC

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Syssphinx - это финансово мотивированная киберпреступная группа, действующая с 2016 г. и замеченная в развертывании угроз ransomware, а также в совершенствовании своих инструментов и тактик, чтобы избежать обнаружения.
-----

Syssphinx (она же FIN8) - финансово мотивированная киберпреступная группа, действующая как минимум с января 2016 года. Она известна тем, что атакует организации в сфере гостиничного бизнеса, розничной торговли, развлечений, страхования, технологий, химической промышленности и финансов и использует так называемую тактику "жизни на земле", применяя встроенные инструменты и интерфейсы, такие как PowerShell и WMI, а также злоупотребляя легитимными сервисами для маскировки своей деятельности. Социальная инженерия и spear-phishing - два предпочтительных для группы метода первоначальной компрометации. Изначально специализировавшаяся на атаках на точки продаж (POS), Syssphinx в последнее время стала использовать в своих атаках и угрозы вымогательства.

В июне 2021 года было замечено, что Syssphinx развернула программу-рансомер Ragnar Locker на машинах, скомпрометированных в начале года в одной из финансовых компаний США. В январе 2022 года с Syssphinx было связано семейство программ-вымогателей, известное под названием White Rabbit, а в декабре 2022 года группа попыталась развернуть программу-вымогатель Noberus. Оператором Noberus является финансово мотивированная киберпреступная группа, которую Symantec называет Coreid (также известная как Blackmatter, Carbon Spider, FIN7).

Команда Syssphinx также была замечена в использовании варианта бэкдора Sardonic для доставки программы Noberus ransomware. Анализ бэкдора показал, что он является частью фреймворка Sardonic, ранее использовавшегося группой и проанализированного в отчете Bitdefender за 2021 год. Однако, судя по всему, большинство функций бэкдора были изменены, чтобы придать ему новый вид.

Сценарий PowerShell, используемый Syssphinx, может удалить себя, проверить архитектуру текущего процесса и выбрать 32- или 64-битную версию закодированного .NET Loader в зависимости от ситуации, декодировать двоичный файл .NET Loader и загрузить его в текущий процесс, а также запустить основную функциональность .NET Loader, где инжектор и бэкдор расшифровываются и управление передается инжектору.

Инжектор выполнен в виде шеллкода, точка входа которого показана на рис. 3. Подпрограмма decrypt_dwords, показанная на рисунке 3, расшифровывает несколько слов и открывает короткий фрагмент кода. Цель инжектора - запустить бэкдор во вновь созданном процессе WmiPrvSE.exe, который он пытается запустить в сессии-0 (best effort), используя токен, украденный из процесса lsass.exe.

Бэкдор выполнен в виде шелл-кода, и его точка входа выглядит аналогично точке входа инжектора, за исключением полиморфизма. Образец допускает одновременный запуск до 10 интерактивных процессов. Бэкдор поддерживает три различных формата для расширения своей функциональности: PE DLL-плагины, шеллкод-плагины и шеллкод с другим соглашением о передаче аргументов. Бэкдор взаимодействует со своим командно-контрольным сервером (C&C), обмениваясь сообщениями переменного размера с помощью определенной структуры.

Syssphinx продемонстрировала свое стремление извлечь максимальную прибыль из организаций-жертв, расширив сферу своей деятельности с POS-атак до развертывания программ-вымогателей. Группа также продолжает разрабатывать и совершенствовать свои инструменты и тактику, чтобы избежать обнаружения. Описанные в данном отчете инструменты и тактики подчеркивают, что эта высококвалифицированная финансовая угроза по-прежнему представляет серьезную опасность для организаций.

#ParsedReport #CompletenessMedium
17-07-2023

Analysis of Storm-0558 techniques for unauthorized email access

https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access

Report completeness: Medium

Actors/Campaigns:
Storm-0558 (motivation: cyber_espionage)
Apt31

Threats:
Credential_harvesting_technique
Chinachopper

Victims:
Us and european diplomatic, economic, and legislative governing bodies, and individuals connected to taiwan and uyghur geopolitical interests

Industry:
Telco, Government

Geo:
Chinese, China, Taiwan

IOCs:
IP: 38
Hash: 3

Soft:
outlook, azure active directory, azure ad, softether

Algorithms:
sha1

Functions:
GetAccessTokenForResource, GetAccessTokenForResourceAPI, REST, OWA, GetConversationItems, GetAccessTokensForResource

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и заблокировала вредоносную кампанию китайского угрожающего агента Storm-0558, направленную на дипломатические, экономические и законодательные органы США и Европы, а также на лиц, связанных с тайваньскими и уйгурскими геополитическими интересами.
-----

Недавно, 11 июля 2023 г., компания Microsoft опубликовала два блога, в которых подробно описала вредоносную кампанию, проводимую китайским агентом угроз Storm-0558. Угроза направлена на дипломатические, экономические и законодательные органы США и Европы, а также на лиц, связанных с геополитическими интересами Тайваня и Уйгурского полуострова. Специалисты Microsoft Threat Intelligence с умеренной уверенностью считают, что Storm-0558 - это китайский угрожающий агент, преследующий свои цели с помощью сбора учетных данных, фишинговых кампаний и атак на токены OAuth.

16 июня 2023 года компания Microsoft получила уведомление об аномальном доступе к данным Exchange Online, приписываемом злоумышленнику Storm-0558. Действующее лицо получало доступ к данным Exchange Online с помощью Outlook Web Access (OWA), подделывая токены аутентификации с использованием приобретенного корпоративного ключа подписи Azure AD. Дальнейший анализ показал, что в действительности злоумышленник подделывал токены Azure AD с помощью приобретенного потребительского ключа подписи учетной записи Microsoft (MSA) из-за ошибки проверки в коде Microsoft.

В ответ на это компания Microsoft предприняла меры по блокированию соответствующих злоупотреблений, аннулировала все ключи MSA, активные до инцидента, обновила свои системы, аннулировала все ранее активные ключи и выпустила новые ключи. Корпорация Microsoft увидела, что Storm-0558 перешел на другие методы, и не наблюдала никакой активности агентов, связанной с ключами, после аннулирования приобретенного агентом ключа подписи MSA. Microsoft продолжает изучать другие способы получения ключа и добавлять дополнительные меры защиты.

В ходе расследования Microsoft выявила несколько отличительных возможностей Storm-0558, которые способствуют применению угрожающим агентом методов вторжения. Эти возможности включают набор сценариев PowerShell и Python для выполнения вызовов REST API к службе OWA Exchange Store, маршрутизацию веб-запросов через прокси-сервер Tor или несколько жестко закодированных прокси-серверов SOCKS5, а также использование выделенной инфраструктуры под управлением прокси-программного обеспечения SoftEther.

Текущий мониторинг показал, что все действия агентов, связанные с этим инцидентом, были заблокированы. Microsoft продолжит отслеживать активность Storm-0558 и обеспечивать защиту наших клиентов. Корпорация Microsoft успешно заблокировала эту кампанию Storm-0558 и уведомила об этом затронутых клиентов. Корпорация Microsoft выявила основную причину, установила постоянное отслеживание кампании, пресекла вредоносную деятельность, обеспечила защиту среды, уведомила всех затронутых клиентов и скоординировала свои действия с различными государственными структурами.

#ParsedReport #CompletenessLow
19-07-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/07/dangerouspassword_dev.html

Report completeness: Low

Actors/Campaigns:
Cryptocore
Snatchcrypto

Threats:
Vmprotect_tool
Pythonhttpbackdoor
Jokerspy

Victims:
Developers of cryptocurrency exchange businesses

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.004, T1036, T1140, T1105, T1086, T1218, T1064, T1078, T1070, have more...

IOCs:
File: 6
Domain: 4
Hash: 19

Soft:
macos, node.js, task scheduler, mac os

Algorithms:
base64

Languages:
python, javascript

Links:
https://github.com/mnooner256/pyqrcode

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 3