#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos недавно обнаружила новую кампанию под названием Operation Blacksmith, проводимую северокорейской государственной группой Lazarus Group. Атака начинается с эксплуатации CVE-2021-44228, также известного как Log4Shell, на публичных серверах VMWare Horizon. Затем злоумышленники устанавливают специальные импланты и используют утилиты для дампа учетных данных, такие как ProcDump и MimiKatz. Также были обнаружены NineRAT, BottomLoader и DLRAT, которые могут использоваться для развертывания дополнительного вредоносного ПО, получения команд из C2 и их выполнения на зараженных конечных устройствах.
-----

Компания Cisco Talos недавно обнаружила новую кампанию под названием Operation Blacksmith, проводимую северокорейской государственной группировкой Lazarus Group. Группа использует несколько новых семейств вредоносных программ на базе DLang, два из которых являются троянами удаленного доступа (RAT). Одно из них использует ботов и каналы Telegram в качестве средства командно-контрольной связи (C2) и отслеживается как NineRAT; другое, не основанное на Telegram, отслеживается как DLRAT. Talos также заметила совпадение между своими находками и тактикой, методами и процедурами (TTP), соответствующими группе APT Onyx Sleet (PLUTIONIUM) или Andariel, которая считается подгруппой Lazarus.

Атака начинается с успешной эксплуатации CVE-2021-44228, также известного как Log4Shell, на публичных серверах VMWare Horizon в качестве средства первоначального доступа к уязвимым публичным серверам. Получив доступ, операторы проводят предварительную разведку, после чего устанавливают на зараженную систему специальный имплант. Это вредоносное ПО содержит жестко закодированные команды для проведения разведки системы, такие как ver, whoami и getmac. После первой инициализации и маяка в той же директории создается файл инициализации с именем SynUnst.ini. После маяка на C2 RAT публикует собранную информацию и жестко закодированную информацию о сессии.

Talos обнаружила HazyLoad, нацеленную на европейскую фирму и американский филиал южнокорейской компании, занимающейся физической безопасностью и видеонаблюдением, еще в мае 2023 года. Как только учетная запись пользователя была успешно создана, злоумышленники переключились на нее для своих действий с клавиатурой, которые включают загрузку и использование утилит для дампа учетных данных, таких как ProcDump и MimiKatz.

После того как сброс учетных данных завершен, NineRAT разворачивается на зараженных системах. NineRAT написан на языке DLang, может принимать команды от своего оператора Telegram и удалять себя из системы с помощью BAT-файла. Кроме того, были обнаружены BottomLoader, загрузчик на основе DLang, и DLRAT, загрузчик и RAT на основе DLang. BottomLoader может использоваться для развертывания дополнительного вредоносного ПО, получения команд из C2 и их выполнения на зараженных конечных устройствах. Команды, обычно выполняемые NineRAT, включают повторное снятие отпечатков пальцев с зараженных систем и сбор системной информации.

#ParsedReport #CompletenessMedium
11-12-2023

Sandman APT \| China-Based Adversaries Embrace Lua

https://www.sentinelone.com/labs/sandman-apt-china-based-adversaries-embrace-lua

Report completeness: Medium

Actors/Campaigns:
Sandman (motivation: cyber_espionage)
Winnti

Threats:
Storm-0866
Keyplug
Luadream

Industry:
Telco, Government

Geo:
Bulgaria, China, Chinese, Asian, Romanian

IOCs:
Domain: 6
IP: 13
Hash: 3

Algorithms:
rc4

Win API:
GetTickCount

Languages:
lua

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Прочные связи между APT-кластером Sandman и китайским угрожающим субъектом, использующим бэкдор KEYPLUG, показывают сложную природу китайской угрозы и указывают на то, что эти угрожающие субъекты будут продолжать сотрудничать и координировать свои действия для повышения функциональности, гибкости и скрытности своих вредоносных программ.
-----

Исследователи SentinelLabs, Microsoft и PwC выявили тесные связи между APT-кластером Sandman и базирующимся в Китае угрожающим субъектом, использующим общий бэкдор KEYPLUG STORM-0866/Red Dev 40. Этот кластер в основном нацелен на организации на Ближнем Востоке и Южно-Азиатском субконтиненте. Совпадение уникальных методов контроля и управления инфраструктурой, выбора хостинг-провайдеров и соглашений об именовании доменов позволяет предположить, что кластеры APT Sandman и STORM-0866/Red Dev 40 связаны между собой.

SSL-сертификат, присвоенный домену ssl.explorecell . com компании LuaDream C2, использовался на серверах с IP-адресами 185.51.134 . 27 и 45.80.148 . 151. Dan.det-ploshadka . com и ssl.e-novauto . com использовались как серверы KEYPLUG C2, приписанные к STORM-0866/Red Dev 40. Хотя образцы не имеют прямых признаков, которые позволили бы с уверенностью классифицировать их как тесно связанные, есть признаки общей практики разработки и некоторые совпадения в функциональных возможностях и дизайне, что позволяет предположить наличие общих функциональных требований со стороны операторов.

LuaDream и KEYPLUG - это отдельные штаммы вредоносного ПО, реализованные на C++ и Lua соответственно. LuaDream и KEYPLUG имеют модульный и многопротокольный дизайн, реализуя поддержку протоколов HTTP, TCP, WebSocket и QUIC для C2-коммуникаций. Порядок, в котором они оценивают настроенный протокол, одинаков, а сочетание QUIC и WebSocket - относительно редкая особенность, которая может быть результатом общих функциональных требований операторов.

Они собирают и передают системную и пользовательскую информацию, такую как MAC-адрес, версия ОС, IP-адрес, имя компьютера и имя пользователя. Они создают потоки для отправки и получения данных C2, устанавливают соединение с сервером C2, обрабатывают команды бэкдора и управляют плагинами. Они оба генерируют одноразовые целочисленные значения, основанные на времени работы системы.

Тесные связи между APT-кластером Sandman и базирующимся в Китае угрожающим субъектом, использующим бэкдор KEYPLUG, свидетельствуют о сложной природе китайского ландшафта угроз. Вполне вероятно, что эти угрожающие субъекты продолжат сотрудничать и координировать свои действия, изучая новые подходы к повышению функциональности, гибкости и скрытности своих вредоносных программ. Принятие парадигмы разработки Lua является убедительной иллюстрацией этого.

#ParsedReport #CompletenessLow
12-12-2023

Security Brief: TA4557 Targets Recruiters Directly via Email

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta4557-targets-recruiters-directly-email

Report completeness: Low

Actors/Campaigns:
Magecart (motivation: financially_motivated)
Cobalt
Evilnum

Threats:
Lolbin_technique
More_eggs

IOCs:
File: 2
Hash: 3

Algorithms:
sha256, rc4, zip

Win API:
NtQueryInformationProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что TA4557 является уникальным и опасным субъектом угроз в киберпреступном мире благодаря его сложным навыкам социальной инженерии, использованию вредоносных URL-адресов, приманкам на тему кандидатов на работу и мерам уклонения, применяемым для того, чтобы затруднить обнаружение вредоносного контента. Кроме того, было замечено, что деятельность этого угрожающего субъекта частично совпадает с деятельностью других угрожающих субъектов.
-----

Компания Proofpoint отслеживает угрожающего актера TA4557 с 2018 года и идентифицирует его как опытную и финансово мотивированную группу. В октябре 2023 года группа перешла к новой тактике - отправке прямых электронных писем рекрутерам с вредоносными URL-адресами без гиперссылок. Это дополнение к старой технике подачи заявок на открытые объявления о работе. При выполнении LNK злоупотребляет функциями легитимного программного обеспечения, чтобы загрузить и выполнить скрипт. Скрипт загружает бэкдор More_Eggs вместе с исполняемым файлом MSXSL. Бэкдор способен устанавливать постоянство, профилировать машину и передавать дополнительную полезную нагрузку.

TA4557 продемонстрировали сложные навыки социальной инженерии, подстраивая свои заманухи под конкретные вакансии, размещенные в Интернете. Письма оформляются так, что создается впечатление, будто их отправил легитимный соискатель, что затрудняет обнаружение вредоносного содержимого автоматическими средствами защиты. Кроме того, злоумышленники регулярно меняют электронные адреса отправителей, домены поддельных резюме и инфраструктуру, чтобы сделать содержимое писем более убедительным и трудным для обнаружения.

Использование этой техники в сочетании с изощренными приманками и мерами уклонения, применяемыми TA4557, делает его уникальным и опасным субъектом угроз в киберпреступном мире. Они отличаются от других приоритетных угроз, отслеживаемых Proofpoint, благодаря использованию инструментов и вредоносного ПО, нацеленности на кампании, использованию приманок на тему кандидатов на работу и контролируемой агентом инфраструктуре. Кроме того, было замечено, что деятельность TA4557 частично пересекается с деятельностью FIN6, Cobalt Group и Evilnum, хотя Proofpoint отслеживает их как отдельные кластеры активности.

#ParsedReport #CompletenessMedium
12-12-2023

How one country is impacting supply chains. IOC

https://checkmarx.com/blog/how-one-country-is-impacting-supply-chains

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Supply_chain_technique

Geo:
Korean, Korea

IOCs:
Url: 4
Domain: 1
IP: 9
Hash: 54
File: 6

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Северная Корея расширяет свои стратегии кибератак, нацеливаясь на глобальные цепочки поставок с помощью вредоносных программных пакетов на платформах с открытым исходным кодом. Организациям необходимо проявлять бдительность и принимать меры для защиты своих систем от компрометации цепочек поставок.
-----

Северная Корея наращивает свои стратегии кибератак, уделяя особое внимание взлому цепочек поставок. Для этого используются пакеты с открытым исходным кодом на платформах NPM, PyPi и GitHub, чтобы проникнуть в организации и нарушить их цепочки поставок программного обеспечения. Недавно вредоносные пакеты, связанные с Crypto на NPM, были использованы для получения полезной нагрузки второго этапа из удаленного местоположения. Эта полезная нагрузка была связана с недавней деятельностью Lazarus.

Вредоносный скрипт был разработан специально для машин под управлением Windows и состоял из нескольких этапов. Он подтверждал тип операционной системы, после чего записывал два файла, preinstall.bat и preinstall.ps1. Затем он загружал файл с именем npm.mov с жестко заданного IP-адреса и сохранял его локально под именем sqlite.a. Затем он выполнил сценарий PowerShell, который установил политику выполнения на Bypass, чтобы избежать ограничений на запуск сценариев. Затем сценарий считывал все байты из файла sqlite.a в переменную с именем $bytes. Затем данные в переменной $bytes проходили через своего рода операцию расшифровки, в результате которой расшифрованные данные записывались в файл по адресу $path2 (sql.tmp). Сценарий Powershell завершался принудительным удалением исходного файла sqlite.a из системы.

Операция Contagious Interview - это недавняя операция, к которой приписывают угрозы, поддерживаемые Северной Кореей. Эта операция отличается сложной тактикой социальной инженерии, направленной на разработчиков программного обеспечения, которые выдавали себя за потенциальных работодателей. Угрожающие лица создавали несколько учетных записей для размещения нескольких репозиториев GitHub, создавая инфраструктуру, направленную на завоевание доверия своих жертв. Было обнаружено, что репозиторий, форкнутый из репозитория GitHub подставного работодателя, содержит вредоносный код, внедренный в файл NPM.

В 2023 году наблюдается всплеск северокорейской кибернетической активности, направленной на глобальные цепочки поставок. Это вызывает все большую обеспокоенность, поскольку такая деятельность может иметь серьезные последствия для безопасности нашей цифровой инфраструктуры. Организациям необходимо проявлять бдительность и принимать меры для защиты своих систем от компрометации цепочек поставок. К таким мерам относятся регулярный мониторинг компонентов цепочки поставок на предмет наличия вредоносного кода, использование безопасных методов кодирования и применение статического анализа кода для обнаружения вредоносного кода.

#ParsedReport #CompletenessMedium
13-12-2023

Malvertisers zoom in on cryptocurrencies and initial access

https://www.malwarebytes.com/blog/threat-intelligence/2023/12/malvertisers-zoom-in-on-cryptocurrencies-and-initial-access

Report completeness: Medium

Threats:
Hiroshimanukes
Fakebat
Cloaking_technique
Dll_sideloading_technique
Junk_code_technique

IOCs:
Domain: 20
File: 6
Path: 1
Hash: 6
IP: 1

Soft:
zoom, WinSCP, TradingView, Electrum-LTC

Algorithms:
base64, zip

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, code: 3, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В поисковых запросах Google по запросу Zoom были замечены вредоносные объявления, которые использовались для рассылки вредоносных загрузок ИТ-администраторам. Было выявлено два случая, HiroshimaNukes и FakeBat, которые активно отслеживаются и сообщаются, чтобы обеспечить защиту клиентов.
-----

В последний месяц мы наблюдаем увеличение количества вредоносных объявлений в поисковых запросах Google о Zoom, популярном программном обеспечении для проведения видеоконференций. Эти объявления используются угрожающими субъектами для того, чтобы нацелить ИТ-администраторов на вредоносные загрузки. Было выявлено два случая: HiroshimaNukes и FakeBat.

HiroshimaNukes - это вредоносная программа-дроппер, которая использует несколько техник для обхода обнаружения: от побочной загрузки DLL до больших полезных нагрузок. Его цель - сбросить дополнительное вредоносное ПО, как правило, крадущее данные с последующей эксфильтрацией. Вредоносная реклама перенаправляет на домен, который проверяет IP-адрес посетителя и выполняет перенаправление на поддельную версию сайта Zoom. Этот сайт предназначен для того, чтобы обманом заставить пользователя загрузить вредоносную версию программы установки Zoom.

FakeBat - это начальная точка входа, используемая субъектами угроз, которая часто применяется для отслеживания жертв через неизвестную панель под названием Hunting panel 1.40. Вредоносный инсталлятор содержит несколько файлов, но основные вредоносные компоненты содержатся в сценариях PowerShell. Этот скрипт включает в себя командно-контрольный сервер, а также другие команды, такие как отчет телеметрии о машине и установленном защитном ПО. На этом сервере находится страница входа в Hunting Panel 1.40, которая, вероятно, используется угрожающим субъектом для отслеживания своих кампаний по рассылке вредоносной рекламы и полезной нагрузки.

Малвертайзинг продолжает оставаться привилегированным вектором доставки вредоносного ПО, когда угрожающие субъекты способны обойти проверку рекламы и решения по обеспечению безопасности. Мы активно отслеживаем и сообщаем о таких кампаниях, чтобы обеспечить защиту наших клиентов. Мы благодарим Сергея Франкоффа, исследователя вредоносных программ и соучредителя Open Analysis, за помощь в работе над дроппером HiroshimaNukes.

#ParsedReport #CompletenessLow
13-12-2023

Mallox Resurrected \| Ransomware Attacks Exploiting MS-SQL Continue to Burden Enterprises

https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises

Report completeness: Low

Threats:
Targetcompany
Burden
Blackbasta
Revil
Conti
Blackcat
Lockbit
Cobalt_strike
Sliver

CVEs:
CVE-2020-0618 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2014, 2016, 2012)

CVE-2019-1068 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft sql server (2014, 2016, 2017)


IOCs:
File: 5
Email: 1
Hash: 29
Url: 1
IP: 5

Soft:
MS-SQL, Microsoft SQL Server, Microsoft SQL Server Reporting Services, Windows Defender, Internet Explorer, bcdedit

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mallox - это Ransomware-as-a-Service (RaaS), действующий с 2021 года и представляющий собой постоянную угрозу. Они получают доступ к уязвимым сервисам, используя старые уязвимости и атаки методом перебора по словарю, и рекламируют свои услуги на подпольных форумах и рынках. Несмотря на неудачи, Mallox не прекращает компрометацию и итерации успешных версий своего вымогательского ПО.
-----

Mallox - это Ransomware-as-a-Service (RaaS), которая активна с 2021 года и продолжает оставаться постоянной угрозой. Группа получает доступ к уязвимым и публично доступным сервисам, в частности к интерфейсам MS-SQL и ODBC, используя старые уязвимости удаленного выполнения кода (RCE), такие как CVE-2019-1068 в Microsoft SQL Server и CVE-2020-0618 в Microsoft SQL Server Reporting Services, а также основанные на словаре атаки методом брутфорса на слабо настроенные сервисы и приложения, открытые для публичного доступа в Интернет. Полезные нагрузки Mallox остались неизменными: изменились основные функциональные возможности и примечания к выкупу, вносимые после шифрования. К зашифрованным файлам добавляется расширение .mallox, а в каждую папку с заблокированными файлами записывается записка с именем выкупа HOW TO BACK FILES.TXT.

Mallox рекламирует свои услуги на подпольных форумах и рынках, таких как Nulled и RAMP, и поддерживает сайт утечек на базе TOR, где регулярно публикует объявления о недавно взломанных организациях и выкладывает украденные данные, а также присутствует в Twitter/X для аналогичных целей. Несмотря на неудачи, такие как выпуск публичного дешифратора для ранних версий своих полезных нагрузок, Mallox продолжает поддерживать постоянный поток компроматов и итераций успешных версий своих программ-вымогателей.

#ParsedReport #CompletenessHigh
13-12-2023

Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a

Report completeness: High

Actors/Campaigns:
Duke
Fancy_bear

Threats:
Supply_chain_technique
Spear-phishing_technique
Wellmess_rat
Wellmail
Password_spray_technique
Nltest_tool
Netstat_tool
Edrsandblast_tool
Mimikatz_tool
Dll_hijacking_technique
Graphicalproton
Winpeas_tool
Lsadump_tool
Rubeus_tool
Powersploit
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique
Golden_ticket_technique

Victims:
Energy trade association; companies that provide software for billing, medical devices, customer care, employee monitoring, financial management, marketing, sales, and video games; as well as hosting companies, tools manufacturers and small and large it companies

Industry:
Financial, Military, Biotechnology, Healthcare, Energy, Government

Geo:
Australia, Russian, Russia, Polish, Asia, Canadian

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)


TTPs:
Tactics: 2
Technics: 35

IOCs:
File: 27
Command: 4
Path: 15
Registry: 4
IP: 4
Domain: 1
Hash: 28
Url: 1

Soft:
JetBrains TeamCity, TeamCity, JetBrains, Visual Studio, Microsoft OneDrive, Windows Registry, WordPress, Microsoft SQL server

Win Services:
bits

Languages:
powershell

Platforms:
x86

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4