#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что TA4557 - это угрожающий агент, который начал использовать новую технику, направленную на рекрутеров с помощью вредоносных писем, используя More_Eggs в качестве дроппера вредоносного ПО. Организации должны знать о тактике TA4557, чтобы защититься от этого злоумышленника и научить своих сотрудников распознавать вредоносные письма.
-----

С 2018 года TA4557 был известен тем, что использовал загрузчик More_Eggs в качестве дроппера вредоносного ПО. Однако в октябре 2023 года было замечено, что этот агент начал использовать новую технику, направленную на рекрутеров с помощью прямых электронных писем, которые в конечном итоге приводят к доставке вредоносного ПО. Эта новая техника включает в себя отправку письма рекрутеру с запросом о вакансии, и когда получатель отвечает на первое письмо, актер отправляет в ответ URL-ссылку на контролируемый TA4557 веб-сайт, выдавая его за резюме кандидата. Сайт содержит скрипт, который расшифровывает и сбрасывает в папку %APPDATA%\Microsoft DLL, использующую для обхода техники анти-песочницы и анти-анализа и сбрасывающую бэкдор More_Eggs.

More_eggs - это бэкдор на Javascript, используемый для установления персистентности, профилирования машины и сброса дополнительной полезной нагрузки. Кроме того, угрожающий агент подавал заявки на вакансии, размещенные на публичных досках объявлений или в LinkedIn, и вставлял вредоносные URL-адреса в приложение, что превращало атаку в двустороннюю.

Proofpoint отмечает, что в последнее время участились случаи, когда угрожающие субъекты используют доброкачественные сообщения для установления доверия и взаимодействия с целью перед отправкой вредоносного контента. Поэтому организации, использующие сторонние объявления о работе, должны знать о тактике, методах и процедурах (TTP) TA4557, чтобы защититься от этого вредоносного агента. Организациям рекомендуется обучать своих сотрудников тому, как распознать вредоносную электронную почту, и следить за тем, чтобы все меры безопасности были актуальными.

#ParsedReport #CompletenessLow
18-12-2023

Luring with love, a network of pig butchering mining scams robbed millions from victims wallets

https://news.sophos.com/en-us/2023/12/18/luring-with-love-defi-mining-scam-indepth

Report completeness: Low

Threats:
Pig_butchering

Industry:
Financial

Geo:
Singapore, Germany, Chinese, Poland

ChatGPT TTPs:
do not use without manual check
T1545, T1541, T1560, T1573, T1593

IOCs:
Domain: 313
Coin: 9
File: 1
IP: 1

Soft:
WhatsApp

Crypto:
tether, binance

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/defi-mining-scams-iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что организованные преступные группировки в Китае используют все более изощренные методы для обворовывания жертв, и что осведомленность и здоровый скептицизм - лучшая защита от этих мошенников. Биржи и разработчики кошельков совместно работают над блокировкой мошенничества, а пострадавшие должны предпринять определенные шаги, например, вывести средства и обратиться в правоохранительные органы. Список активных доменов, связанных с мошенничеством, можно найти на GitHub.
-----

Организованные преступные группировки в Китае использовали все более изощренные методы, чтобы похитить до 3 миллионов долларов у 90 жертв в период с июня по август. Предполагается, что для аферы использовались приложения для знакомств и социальные сети, генеративный искусственный интеллект для написания сообщений и поддельные мобильные приложения для торговли криптовалютой. Было выявлено пять кошельков с контролирующими контрактами, а из кошельков жертв была выведена криптовалюта Tether (USDT) на сумму более 1,22 миллиона долларов.

С помощью того же набора было обнаружено 60 мошеннических сайтов, а также еще 350 сайтов, зарегистрированных в домене верхнего уровня .top. Еще около 100 сайтов были обнаружены с использованием другого набора для мошенничества в сфере майнинга. Некоторые сайты используют API от WalletConnect, чтобы скрыть адрес контрактного кошелька.

Биржи и разработчики кошельков совместно работают над блокировкой мошенничества на уровне приложений, а разработчики инструментов для мошенничества принимают меры по блокировке сбора данных об узлах контрактов и ограничению кошельков, которые могут быть использованы для мошенничества.

Лучшая защита от этих постоянно развивающихся мошенничеств - информированность населения и здоровый скептицизм. Пострадавшие должны немедленно вывести все средства с кошелька, связанного с мошенническим сайтом, задокументировать все, что связано с аферой, и обратиться в правоохранительные органы. Сеть поддержки киберпреступности может помочь сообщить о преступлении и справиться с последствиями. Список активных доменов, связанных с этими аферами, можно найти на GitHub.

#technique

A beacon object file implementation of PoolParty Process Injection Technique.

https://github.com/0xEr3bus/PoolPartyBof

#technique

PoC showcasing new DarkGate Install Script retrieval technique via DNS TXT Record

https://github.com/knight0x07/DarkGate-Install-Script-via-DNS-TXT-Record

#technique

Data Bouncing is a technique for transmitting data between two endpoints using DNS lookups and HTTP header manipulation. This PowerShell version encapsulates core functionalities of data bouncing, including reconnaissance, data exfiltration, and file reassembly, based on a proof of concept (PoC) by John and Dave.

https://github.com/Unit-259/DataBouncing

Bulk Analysis of Cobalt Strike's Beacon Configurations

https://www.archcloudlabs.com/projects/bulk-cs-analysis/

#ParsedReport #CompletenessHigh
18-12-2023

Lets Open(Dir) Some Presents: An Analysis of a Persistent Actors Activity. Lets Open(Dir) Some Presents: An Analysis of a Persistent Actor s Activity

https://thedfirreport.com/2023/12/18/lets-opendir-some-presents-an-analysis-of-a-persistent-actors-activity

Report completeness: High

Threats:
Metasploit_tool
Sliver_c2_tool
Opendir
Meterpreter_tool
Ghostcat_vuln
Beacon
Sharpersist_tool
Xmrig_miner
Linpeas_tool
Credential_dumping_technique
Dcsync_technique
Golden_ticket_technique
Powerview
Sysrv-hello
Netstat_tool
Cobalt_strike
Netcat_tool
Mimikatz_tool

Victims:
Indian and israeli governments and defense contractors, manufacturers of defense-related items, banks and financial institutions, escort service websites, hizb ut tahrir, baloch republican party, sindhudesh movement, sindhudesh revolutionary army (sra), tehreek-e-jafaria, umar media, federalpress, new izvestia, tabloid (novaya gazeta), freedom house, michigan state university, massachusetts institute of technology, harvard, lomonosov moscow state university, hse university, grameenphone, teletalk, jazz, bezeq, and cellcom

Industry:
Government, Telco, Financial, Aerospace, Military, Education

Geo:
Pakistan, India, Bangladesh, Russian, Israel

CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)

CVE-2021-21972 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.1.2, <4.2)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2013, 2019)

CVE-2019-9978 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- warfareplugins social warfare (<3.5.3)
- warfareplugins social warfare pro (<3.5.3)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (<121)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...

TTPs:
Tactics: 9
Technics: 38

IOCs:
Domain: 5
IP: 9
Email: 3
File: 27
Path: 3
Command: 10
Registry: 3
Url: 1
Hash: 86

Soft:
Telegram, WordPress, Apache Struts, JBoss, Windows service, Unix, Microsoft Defender, WhatsApp

Crypto:
monero

Algorithms:
md5

Languages:
python, php, powershell

Platforms:
intel, x64

Links:
https://github.com/mazen160/struts-pwn
https://github.com/rapid7/metasploit-framework/blob/1ee32a2d8ed6f1eb5073af2e9ceb263348ea2703/documentation/modules/exploit/linux/local/cve\_2021\_4034\_pwnkit\_lpe\_pkexec.md
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающий субъект полагался исключительно на инструменты и фреймворки с открытым исходным кодом и использовал различные тактики и приемы для эксплуатации своих жертв, такие как маскировка имен, обратные оболочки PowerShell, portfwd и netcat. Временная шкала кластерной активности показала, что угрозы были совершены в период с января 2023 года по октябрь 2023 года.
-----

Наблюдаемая деятельность угрожающих субъектов была направлена в основном на правительства и оборонные подрядчики, с ограниченным финансово мотивированным поведением, таким как развертывание криптомайнеров и нападение на финансовые сайты. При составлении отчета использовалась модель Diamond (жертва, возможности, противник, инфраструктура). Было установлено, что угрожающий субъект использовал исключительно инструменты и фреймворки с открытым исходным кодом, такие как sqlmap, ghauri, Metasploit и Sliver. Был составлен график сгруппированной активности на основе целей, который показал, что угрозы были совершены в период с января 2023 года по октябрь 2023 года.

Анализ артефактов показал, что угрожающий агент использовал различные тактики и техники для эксплуатации своих жертв. База данных Sliver содержала имена и токены операторов сервера Sliver. Сканирование Nuclei выявило критические уязвимости, и угрожающий агент использовал subfinder для выявления поддоменов своих целей перед проведением дальнейшего сканирования. Amass использовался для разведки целей, а Shodan - для поиска CVE-2022-42475. Инструмент OWASP Meterpreter использовался для генерации различных полезных нагрузок, а LinPEAS - для обнаружения путей повышения привилегий.

Угрожающий агент также использовал маскировочные соглашения об именах, чтобы слиться с системами, и certutil для загрузки PowerView и выполнения различных команд обнаружения. Они использовали Invoke-adPEAS и net user /domain для обнаружения общих ресурсов домена. В одном случае угроза использовала хитроумную технику самораспространения в Linux для выполнения удаленного скрипта, который был связан с ботнетом Sysrv-Hello. Meterpreter также использовался для отключения Microsoft Defender, а certutil - для загрузки и запуска PowerView.

Помимо вышеперечисленных тактик, угрожающий агент использовал обратные оболочки PowerShell, portfwd и netcat, а также загружал веб-оболочку weevely. Sliver использовался для загрузки модифицированных версий .bashrc на скомпрометированные хосты, а также для установки динамического проброса портов на прокси-хосты. История платежей XMR Monero Mining показала активность по адресу XMR, исполняемому скриптом, а в корне открытой директории был обнаружен gost. Службы Threat Intel отслеживали сервер с 2022-11-16 по 2023-02-13 и еще раз 2023-10-09. В opendir была найдена копия версии 4.7 Cobalt Strike.

#ParsedReport #CompletenessLow
18-12-2023

QR Phishing Leads to Microsoft 365 Account Compromise

https://www.secureworks.com/blog/qr-phishing-leads-to-microsoft-365-account-compromise

Report completeness: Low

Threats:
Qshing_technique

Victims:
Multinational construction and real estate company, microsoft 365 account

Geo:
Bulgarian

IOCs:
IP: 1

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: QR-фишинг - это метод атаки, используемый субъектами угроз для обхода традиционных мер безопасности. Организациям следует рассказать сотрудникам об опасностях QR-фишинга и использовать имеющиеся средства контроля для проверки и ограничения доступа с помощью перечисленных индикаторов.
-----

По мере того как кибератаки становятся все более изощренными, участники угроз используют методы, которые позволяют им обходить традиционные меры безопасности. Одним из примеров является QR-фишинг - тип атаки, при котором вредоносный контент размещается на шлюзе межпланетной файловой системы (IPFS). Этот метод позволяет злоумышленникам избежать затрат и усилий, связанных с размещением собственной инфраструктуры, и затрудняет правоохранительным органам уничтожение вредоносного контента.

В сентябре 2023 года специалисты по реагированию на инциденты Secureworks обнаружили взлом сети, который начался с фишингового письма, содержащего PDF-вложение с QR-кодом. При сканировании с помощью мобильного устройства код направлял жертву на URL-адрес с уникальным параметром cfg, который похищал токены сеанса и перенаправлял ее на шлюз ipfs.io, содержащий вредоносную страницу входа для сбора учетных данных учетной записи Microsoft. После первого успешного входа в учетную запись электронной почты угрожающий агент устанавливал приложение-аутентификатор для многофакторной аутентификации (MFA) и создавал правило входящих сообщений для удаления входящих писем из домена жертвы. Затем они приняли разрешение на использование приложения от Microsoft, разрешив доступ к приложению PerfectData Software, которое экспортирует почтовые ящики для резервного копирования.

Анализ Secureworks Counter Threat Unit (CTU) показал, что тот же адрес электронной почты отправил аналогичное сообщение международной компании, занимающейся строительством и недвижимостью, и это сообщение также содержало вложение со строкой "Paystubs#503" в названии файла. Вложение выдавало себя за запрос на обновление платежной ведомости и включало логотип и название компании жертвы в отказ от конфиденциальности, чтобы казаться легитимным.

Исследователи CTU заметили, что растет число фишинговых атак с использованием QR-кодов для обхода обычных фильтров электронной почты. В отличие от многих обычных фишинговых атак, QR-коды требуют от жертвы сканирования изображения с помощью мобильного устройства, что расширяет площадь атаки и повышает вероятность успеха. Кроме того, корпоративные системы безопасности могут не иметь возможности отслеживать сообщения, передаваемые через персональные устройства.

Чтобы снизить риск заражения этим видом вредоносного ПО, исследователи CTU рекомендуют организациям рассказать сотрудникам об опасностях QR-фишинга и о том, как важно проявлять осторожность перед сканированием любого QR-кода. Организациям также следует внедрить процесс сообщения о подозрительных электронных письмах и проверки того, что QR-код был отправлен из подлинного источника с законной деловой целью. Кроме того, организациям следует использовать имеющиеся средства контроля для проверки и ограничения доступа с использованием показателей, перечисленных в таблице 1. Наконец, важно помнить, что домен может содержать вредоносное содержимое, поэтому, прежде чем открывать его в браузере, подумайте о рисках.

#ParsedReport #CompletenessMedium
18-12-2023

Kasablanka. 2. Attribution Research and Judgment

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494512&idx=1&sn=151caeb7b46c3a6a58af714a576a8442&chksm=f9c1d879ceb6516fc6f52a837ad5d8084ab4cc643ea6bbb035e979ba80b5c76bd90ecfa9bb11&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Medium

Actors/Campaigns:
Kasablanka (motivation: information_theft)

Threats:
Venomrat
Lodarat
S500rat
Hvnc_tool

Victims:
Units or people in the nagorno-karabakh region

Industry:
Telco

Geo:
Asia, Azerbaijan, Armenia

ChatGPT TTPs:
do not use without manual check
T1086, T1204, T1036, T1064, T1486, T1059

IOCs:
IP: 2
Hash: 5
Url: 3
File: 6

Soft:
Android, Windows kernel, Windows Event Tracing

Algorithms:
xor, base64, md5

Functions:
EtwEventWrite

Win API:
AmsiScanBuffer

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6, chats: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Kasablanka - это APT-организация, идентифицированная компанией Cisco, которая недавно атаковала Нагорно-Карабахский регион с помощью фишинговых писем, содержащих вредоносные документы. Документы содержат код для загрузки и выполнения вредоносной программы VenomRAT, которая позволяет использовать функции кейлоггинга для кражи секретов.
-----

Kasablanka - это APT-организация, выявленная компанией Cisco и известная своими атаками на Ближний Восток, Центральную Азию, Восточную Европу и другие регионы. Недавно институт 360 Advanced Threat Research Institute обнаружил фишинговые атаки, которые могли исходить от этой группы, направленные на регион Нагорного Карабаха. Этот регион является спорной территорией между Азербайджаном и Арменией, двумя странами, которые находятся в состоянии конфликта уже много лет.

Злоумышленник использовал версию VenomRAT под названием Venom RAT + HVNC + Stealer + Grabber v6.0.3, которая основана на последнем публичном исходном коде. IP-адрес C&C связан с организацией Kasablanka, а документы-приманки и информация в теле письма написаны на армянском языке, что указывает на то, что атака, скорее всего, была направлена на подразделения или людей в регионе Нагорного Карабаха.

Злоумышленник рассылал фишинговые письма с прикрепленными вредоносными документами, которые побуждали жертву включить макросы. В версиях ниже Office 2016 код макроса удалялся из данных потока PROJECT документа, что затрудняло его обнаружение. На данный момент только три движка на VT могут обнаружить и уничтожить этот образец. Основная функция вредоносного макроса - сохранить часть кода Powershell в виде bat-файла и скрыть его выполнение. Этот код используется для загрузки вредоносной полезной нагрузки с удаленного конца и ее выполнения.

Вредоносная полезная нагрузка представляет собой исполняемый файл на языке C#, который используется для расшифровки полезной нагрузки и ее выполнения. Полезная нагрузка представляет собой VenomRAT версии v6.0.3, который создает мьютекс "ajmlxbvgoegjpkevdnz" для поддержания его работы и включает функции кейлоггинга для кражи секретов. Сервер может выпускать различные плагины, которые охватывают управление файлами, поиск файлов, удаленный рабочий стол, удаленную камеру, загрузку/выгрузку файлов, управление процессами, управление реестром, кражу паролей в браузере и антивирусное ПО.

#ParsedReport #CompletenessLow
18-12-2023

xorbot: A Stealthy Botnet Family That Defies Detection

https://nsfocusglobal.com/xorbot-a-stealthy-botnet-family-that-defies-detection

Report completeness: Low

Threats:
Xorbot
Junk_code_technique
Mirai
Udpflood_technique
Tcpflood_technique
Synflood_technique
Ackflood_technique

Victims:
European and united states countries

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 1
Hash: 2

Soft:
crontab

Algorithms:
xor

Functions:
_libc_connect, _libc_recv

Platforms:
mips, x86, arm