#ParsedReport #CompletenessMedium
19-12-2023
Seedworm: Iranian Hackers Target Telecoms Orgs in North and East Africa
https://symantec-enterprise-blogs.security.com/threat-intelligence/iran-apt-seedworm-africa-telecoms
Report completeness: Medium
Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Threats:
Muddyc2go
Venom_proxy_tool
Simplehelp_tool
Lolbin_technique
Impacket_tool
Revsocks
Anydesk_tool
Victims:
Organizations operating in the telecommunications sector in egypt, sudan, and tanzania
Industry:
Telco
Geo:
Tanzania, Iranian, Egypt, African, Israel, Africa, Iran, Sudan
IOCs:
File: 2
Command: 2
IP: 8
Registry: 1
Hash: 4
Soft:
Windows registry
Languages:
powershell, java
Platforms:
cross-platform
Links:
19-12-2023
Seedworm: Iranian Hackers Target Telecoms Orgs in North and East Africa
https://symantec-enterprise-blogs.security.com/threat-intelligence/iran-apt-seedworm-africa-telecoms
Report completeness: Medium
Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Threats:
Muddyc2go
Venom_proxy_tool
Simplehelp_tool
Lolbin_technique
Impacket_tool
Revsocks
Anydesk_tool
Victims:
Organizations operating in the telecommunications sector in egypt, sudan, and tanzania
Industry:
Telco
Geo:
Tanzania, Iranian, Egypt, African, Israel, Africa, Iran, Sudan
IOCs:
File: 2
Command: 2
IP: 8
Registry: 1
Hash: 4
Soft:
Windows registry
Languages:
powershell, java
Platforms:
cross-platform
Links:
https://github.com/emilarner/revsockshttps://github.com/Dliv3/Venom/blob/master/README-en.mdSecurity
Seedworm: Iranian Hackers Target Telecoms Orgs in North and East Africa
MuddyC2Go framework and custom keylogger used in attack campaign.
CTT Report Hub
#ParsedReport #CompletenessMedium 19-12-2023 Seedworm: Iranian Hackers Target Telecoms Orgs in North and East Africa https://symantec-enterprise-blogs.security.com/threat-intelligence/iran-apt-seedworm-africa-telecoms Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Seedworm - иранская шпионская группа, действующая с 2017 года и нацеленная на телекоммуникационные организации в Африке. Они разработали собственные инструменты и продолжают использовать PowerShell и инструменты, связанные с PowerShell.
-----
Иранская шпионская группа Seedworm (она же Muddywater) действует с 2017 года и, как полагают, является подчиненной частью Министерства разведки и безопасности Ирана (MOIS). Группа атаковала организации во многих странах, уделяя особое внимание тем, кто работает в телекоммуникационном секторе в Египте, Судане и Танзании. В ноябре 2023 года исследователи из команды Threat Hunter Team компании Symantec обнаружили доказательства активности Seedworm, включая использование инфраструктуры MuddyC2Go, инструмента удаленного доступа SimpleHelp, Venom Proxy и пользовательского кейлоггера.
Впервые о фреймворке MuddyC2Go было написано в 2020 году, и он заменил предыдущую C&C-инфраструктуру PhonyC2. Он считывает URL-адрес команды и управления из значения реестра Windows и выполняет команду PowerShell для связи со своим C&C-сервером. Серверы размещены в компании Stark Industries, которая известна своей вредоносной активностью. MuddyC2Go использовался в атаках, начиная с 2020 года.
Помимо вышеперечисленных инструментов, Seedworm также использует такие "живые" инструменты, как Jabswitch.exe, Impacket WMIExec hacktool, Revsocks tool, AnyDesk, JumpCloud remote access software и Windows Scripting Files (WSF). Злоумышленники использовали WMI для запуска программы установки SimpleHelp в сети жертвы.
Деятельность Seedworm указывает на то, что они заинтересованы в телекоммуникационных организациях, особенно в африканских. Группа способна разрабатывать собственные инструменты и продолжает активно использовать PowerShell и инструменты, связанные с PowerShell. Эта деятельность представляет стратегический интерес для иранских угроз, и Seedworm продолжает активно действовать.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Seedworm - иранская шпионская группа, действующая с 2017 года и нацеленная на телекоммуникационные организации в Африке. Они разработали собственные инструменты и продолжают использовать PowerShell и инструменты, связанные с PowerShell.
-----
Иранская шпионская группа Seedworm (она же Muddywater) действует с 2017 года и, как полагают, является подчиненной частью Министерства разведки и безопасности Ирана (MOIS). Группа атаковала организации во многих странах, уделяя особое внимание тем, кто работает в телекоммуникационном секторе в Египте, Судане и Танзании. В ноябре 2023 года исследователи из команды Threat Hunter Team компании Symantec обнаружили доказательства активности Seedworm, включая использование инфраструктуры MuddyC2Go, инструмента удаленного доступа SimpleHelp, Venom Proxy и пользовательского кейлоггера.
Впервые о фреймворке MuddyC2Go было написано в 2020 году, и он заменил предыдущую C&C-инфраструктуру PhonyC2. Он считывает URL-адрес команды и управления из значения реестра Windows и выполняет команду PowerShell для связи со своим C&C-сервером. Серверы размещены в компании Stark Industries, которая известна своей вредоносной активностью. MuddyC2Go использовался в атаках, начиная с 2020 года.
Помимо вышеперечисленных инструментов, Seedworm также использует такие "живые" инструменты, как Jabswitch.exe, Impacket WMIExec hacktool, Revsocks tool, AnyDesk, JumpCloud remote access software и Windows Scripting Files (WSF). Злоумышленники использовали WMI для запуска программы установки SimpleHelp в сети жертвы.
Деятельность Seedworm указывает на то, что они заинтересованы в телекоммуникационных организациях, особенно в африканских. Группа способна разрабатывать собственные инструменты и продолжает активно использовать PowerShell и инструменты, связанные с PowerShell. Эта деятельность представляет стратегический интерес для иранских угроз, и Seedworm продолжает активно действовать.
Интересный проект по определению TTP по описанию.
Заявляется F1 Score = 0.64, против 0.28 у ChatGPT 3.5
https://github.com/Qihoo360/Luwak/tree/master
Вот преза
https://github.com/onhexgroup/Conferences/blob/main/Black%20Hat%20Asia%202023%20slides/AS-23-Wu-When-Knowledge-Graph-Meets-TTPs-Highly-Automated-and-Adaptive-Executable-TTP-Intelligence-for-Security-Evaluation.pdf
Будем тестить.
Заявляется F1 Score = 0.64, против 0.28 у ChatGPT 3.5
https://github.com/Qihoo360/Luwak/tree/master
Вот преза
https://github.com/onhexgroup/Conferences/blob/main/Black%20Hat%20Asia%202023%20slides/AS-23-Wu-When-Knowledge-Graph-Meets-TTPs-Highly-Automated-and-Adaptive-Executable-TTP-Intelligence-for-Security-Evaluation.pdf
Будем тестить.
GitHub
GitHub - Qihoo360/Luwak: 利用预训练语言模型从非结构化威胁报告中提取 MITRE ATT&CK TTP 信息
利用预训练语言模型从非结构化威胁报告中提取 MITRE ATT&CK TTP 信息. Contribute to Qihoo360/Luwak development by creating an account on GitHub.
CTT Report Hub
Интересный проект по определению TTP по описанию. Заявляется F1 Score = 0.64, против 0.28 у ChatGPT 3.5 https://github.com/Qihoo360/Luwak/tree/master Вот преза https://github.com/onhexgroup/Conferences/blob/main/Black%20Hat%20Asia%202023%20slides/AS-23-Wu…
Черт, опять подстава :) Тут моделька обучена на 89 TTP.
А я то думал...
Если BERT-модель используется в TRAM-решении, то здесь взяли ERNIE 2.0.
Я не настоящий сварщик, но вроде как ERNIE 2.0 точнее BERT на ряде задач, включая задачу классификации.
А я то думал...
Если BERT-модель используется в TRAM-решении, то здесь взяли ERNIE 2.0.
Я не настоящий сварщик, но вроде как ERNIE 2.0 точнее BERT на ряде задач, включая задачу классификации.
#ParsedReport #CompletenessLow
20-12-2023
Shielding Against Android Phishing in Indian Banking
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/shielding-against-android-phishing-in-indian-banking
Report completeness: Low
Victims:
Users of mobile banking applications in india
Industry:
Financial
Geo:
Indian, India
IOCs:
Hash: 38
Soft:
Android, WhatsApp
20-12-2023
Shielding Against Android Phishing in Indian Banking
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/shielding-against-android-phishing-in-indian-banking
Report completeness: Low
Victims:
Users of mobile banking applications in india
Industry:
Financial
Geo:
Indian, India
IOCs:
Hash: 38
Soft:
Android, WhatsApp
McAfee Blog
Shielding Against Android Phishing in Indian Banking | McAfee Blog
Authored by Neil Tyagi and Fernando Ruiz In a digitally evolving world, the convenience of banking through mobile applications has revolutionized
CTT Report Hub
#ParsedReport #CompletenessLow 20-12-2023 Shielding Against Android Phishing in Indian Banking https://www.mcafee.com/blogs/other-blogs/mcafee-labs/shielding-against-android-phishing-in-indian-banking Report completeness: Low Victims: Users of mobile banking…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что в Индии растет число фишинговых атак. Android/Banker.AFX - это вредоносный код, замаскированный под инструмент проверки, который собирает личную и финансовую информацию.-----
Мобильный банкинг произвел революцию в обращении с финансами, но он также открыл двери для фишинга на Android. Android/Banker.AFX - это вредоносный код, скрытый под видом инструмента проверки, который собирает личную и финансовую информацию и перехватывает SMS-сообщения, чтобы украсть средства банковского счета. McAfee Mobile Security предлагает защиту от этого типа банковского трояна, а также от других угроз безопасности.
В Индии растет число фишинговых атак, поскольку киберпреступники создают обманчивые сообщения и подсказки, чтобы заставить пользователей предпринять немедленные действия, которые кажутся безобидными, но имеют далеко идущие последствия. Вредоносная программа маскируется под инструмент проверки, предлагая пользователю загрузить пакет для Android (APK), чтобы завершить процесс "Знай своего клиента" (KYC). Если пользователь загружает пакет, вредоносная программа собирает конфиденциальную информацию о пользователе, например данные кредитной карты, и передает ее злоумышленникам с помощью Firebase - легального сервиса, которым также злоупотребляют преступники.
Вредоносная программа также требует обычных разрешений, таких как RECEIVE_SMS, которые следует предоставлять только приложениям, связанным с обменом сообщениями, которым вы доверяете. За последние 30 дней McAfee предотвратила более 360 заражений устройств Android/Banker.AXF!ML. Индия подчеркивает серьезную угрозу, которую представляет собой эта банковская вредоносная программа в цифровом ландшафте страны, при этом несколько заражений было обнаружено и в других странах мира, возможно, от индийских пользователей SBI, проживающих в других странах.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что в Индии растет число фишинговых атак. Android/Banker.AFX - это вредоносный код, замаскированный под инструмент проверки, который собирает личную и финансовую информацию.-----
Мобильный банкинг произвел революцию в обращении с финансами, но он также открыл двери для фишинга на Android. Android/Banker.AFX - это вредоносный код, скрытый под видом инструмента проверки, который собирает личную и финансовую информацию и перехватывает SMS-сообщения, чтобы украсть средства банковского счета. McAfee Mobile Security предлагает защиту от этого типа банковского трояна, а также от других угроз безопасности.
В Индии растет число фишинговых атак, поскольку киберпреступники создают обманчивые сообщения и подсказки, чтобы заставить пользователей предпринять немедленные действия, которые кажутся безобидными, но имеют далеко идущие последствия. Вредоносная программа маскируется под инструмент проверки, предлагая пользователю загрузить пакет для Android (APK), чтобы завершить процесс "Знай своего клиента" (KYC). Если пользователь загружает пакет, вредоносная программа собирает конфиденциальную информацию о пользователе, например данные кредитной карты, и передает ее злоумышленникам с помощью Firebase - легального сервиса, которым также злоупотребляют преступники.
Вредоносная программа также требует обычных разрешений, таких как RECEIVE_SMS, которые следует предоставлять только приложениям, связанным с обменом сообщениями, которым вы доверяете. За последние 30 дней McAfee предотвратила более 360 заражений устройств Android/Banker.AXF!ML. Индия подчеркивает серьезную угрозу, которую представляет собой эта банковская вредоносная программа в цифровом ландшафте страны, при этом несколько заражений было обнаружено и в других странах мира, возможно, от индийских пользователей SBI, проживающих в других странах.
#ParsedReport #CompletenessMedium
20-12-2023
A Look at the Nim-based Campaign Using Microsoft Word Docs to Impersonate the Nepali Government
https://www.netskope.com/blog/a-look-at-the-nim-based-campaign-using-microsoft-word-docs-to-impersonate-the-nepali-government
Report completeness: Medium
Threats:
Dark_power_ransomware
Menorah
Industry:
Government
Geo:
Nepal
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1045, T1547.001
IOCs:
File: 13
Path: 2
Command: 1
Domain: 4
Url: 1
Hash: 12
Soft:
Microsoft Word
Algorithms:
md5, sha1, sha256, zip, base64
Languages:
javascript
20-12-2023
A Look at the Nim-based Campaign Using Microsoft Word Docs to Impersonate the Nepali Government
https://www.netskope.com/blog/a-look-at-the-nim-based-campaign-using-microsoft-word-docs-to-impersonate-the-nepali-government
Report completeness: Medium
Threats:
Dark_power_ransomware
Menorah
Industry:
Government
Geo:
Nepal
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1045, T1547.001
IOCs:
File: 13
Path: 2
Command: 1
Domain: 4
Url: 1
Hash: 12
Soft:
Microsoft Word
Algorithms:
md5, sha1, sha256, zip, base64
Languages:
javascript
Netskope
A Look at the Nim-based Campaign Using Microsoft Word Docs to Impersonate the Nepali Government
Summary Threat actors often employ stealthy attack techniques to elude detection and stay under the defender’s radar. One way they do so is by using
CTT Report Hub
#ParsedReport #CompletenessMedium 20-12-2023 A Look at the Nim-based Campaign Using Microsoft Word Docs to Impersonate the Nepali Government https://www.netskope.com/blog/a-look-at-the-nim-based-campaign-using-microsoft-word-docs-to-impersonate-the-nepali…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносное ПО, написанное на необычных языках программирования, становится все более популярным среди угроз, поскольку дает такие преимущества, как уклонение от обнаружения с помощью сигнатур и препятствование анализу со стороны аналитиков вредоносного ПО. Netskope Threat Labs проанализировала вредоносный бэкдор, написанный на языке Nim, а Netskope Advanced Threat Protection обеспечивает проактивную защиту от образцов вредоносных документов Office "нулевого дня" и APT.
-----
Вредоносное ПО, написанное на необычных языках программирования, становится все более популярным среди угрожающих субъектов благодаря преимуществам, которые оно дает, например, уклонению от сигнатурного обнаружения и затруднению анализа со стороны аналитиков, не знакомых с языком. Недавно специалисты Netskope Threat Labs проанализировали вредоносный бэкдор, написанный на Nim - относительно новом языке программирования. Вредоносный документ Word был отправлен в виде вложения в электронное письмо, в котором утверждалось, что он исходит от представителя правительства Непала, отправляющего информацию о мерах безопасности. После активации макроса в документе появляется бэкдор Nim под названием conhost.exe, который запускается с теми же привилегиями, что и текущий пользователь, вошедший в систему. Чтобы избежать обнаружения, бэкдор выполняет фоновую проверку перед подключением к своему командно-контрольному серверу и завершает работу, если запущен какой-либо из известных инструментов анализа. Кроме того, перед отправкой на вредоносный сервер он шифрует имя хоста с помощью функции bakery. Netskope Advanced Threat Protection обеспечивает проактивную защиту от образцов вредоносных документов Office "нулевого дня" и APT с помощью механизмов статического анализа и "облачной песочницы". Злоумышленники продолжают использовать редкие языки программирования, поскольку их сложнее обнаружить и проанализировать, и Netskope Threat Labs будет продолжать отслеживать использование непопулярных языков программирования.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносное ПО, написанное на необычных языках программирования, становится все более популярным среди угроз, поскольку дает такие преимущества, как уклонение от обнаружения с помощью сигнатур и препятствование анализу со стороны аналитиков вредоносного ПО. Netskope Threat Labs проанализировала вредоносный бэкдор, написанный на языке Nim, а Netskope Advanced Threat Protection обеспечивает проактивную защиту от образцов вредоносных документов Office "нулевого дня" и APT.
-----
Вредоносное ПО, написанное на необычных языках программирования, становится все более популярным среди угрожающих субъектов благодаря преимуществам, которые оно дает, например, уклонению от сигнатурного обнаружения и затруднению анализа со стороны аналитиков, не знакомых с языком. Недавно специалисты Netskope Threat Labs проанализировали вредоносный бэкдор, написанный на Nim - относительно новом языке программирования. Вредоносный документ Word был отправлен в виде вложения в электронное письмо, в котором утверждалось, что он исходит от представителя правительства Непала, отправляющего информацию о мерах безопасности. После активации макроса в документе появляется бэкдор Nim под названием conhost.exe, который запускается с теми же привилегиями, что и текущий пользователь, вошедший в систему. Чтобы избежать обнаружения, бэкдор выполняет фоновую проверку перед подключением к своему командно-контрольному серверу и завершает работу, если запущен какой-либо из известных инструментов анализа. Кроме того, перед отправкой на вредоносный сервер он шифрует имя хоста с помощью функции bakery. Netskope Advanced Threat Protection обеспечивает проактивную защиту от образцов вредоносных документов Office "нулевого дня" и APT с помощью механизмов статического анализа и "облачной песочницы". Злоумышленники продолжают использовать редкие языки программирования, поскольку их сложнее обнаружить и проанализировать, и Netskope Threat Labs будет продолжать отслеживать использование непопулярных языков программирования.
#ParsedReport #CompletenessHigh
19-12-2023
Fog of cyber war: spies from Cloud Atlas attack Russian companies under the guise of supporting SVO participants
https://www.facct.ru/blog/cloud-atlas
Report completeness: High
Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
Russian agro-industrial enterprise and a state-owned research company
Industry:
Military, Financial
Geo:
Slovenia, Azerbaijan, Belarus, Moscow, Russia, Russian, Turkey
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
TTPs:
Tactics: 9
Technics: 21
IOCs:
Email: 2
File: 9
Path: 13
Registry: 2
Url: 14
Domain: 2
Hash: 40
IP: 1
Soft:
Microsoft Office, Component Object Model, Telegram, Viber, WhatsApp
Algorithms:
sha256, md5, xor, sha1
Languages:
visual_basic
Platforms:
x64
19-12-2023
Fog of cyber war: spies from Cloud Atlas attack Russian companies under the guise of supporting SVO participants
https://www.facct.ru/blog/cloud-atlas
Report completeness: High
Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
Russian agro-industrial enterprise and a state-owned research company
Industry:
Military, Financial
Geo:
Slovenia, Azerbaijan, Belarus, Moscow, Russia, Russian, Turkey
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
TTPs:
Tactics: 9
Technics: 21
IOCs:
Email: 2
File: 9
Path: 13
Registry: 2
Url: 14
Domain: 2
Hash: 40
IP: 1
Soft:
Microsoft Office, Component Object Model, Telegram, Viber, WhatsApp
Algorithms:
sha256, md5, xor, sha1
Languages:
visual_basic
Platforms:
x64
F6
Туман кибервойны: шпионы из Cloud Atlas атакуют российские компании под видом поддержки участников СВО - F6
Эксперты F6 проанализировали новые атаки шпионской группы Cloud Atlas.
CTT Report Hub
#ParsedReport #CompletenessHigh 19-12-2023 Fog of cyber war: spies from Cloud Atlas attack Russian companies under the guise of supporting SVO participants https://www.facct.ru/blog/cloud-atlas Report completeness: High Actors/Campaigns: Cloudatlas (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что шпионская группа Cloud Atlas активно атакует промышленные предприятия и государственные компании, используя вредоносные вложения в электронных письмах, и что существует система проактивного поиска и защиты от сложных и неизвестных киберугроз, которая может обеспечить защиту от целого ряда киберрисков.
-----
Эксперты F.A.C.C.T. недавно проанализировали новые атаки шпионской группы Cloud Atlas, проправительственной APT, ориентированной на кибершпионаж и кражу конфиденциальной информации. Она действует с 2014 года и в основном нацелена на промышленные предприятия и государственные компании в России, Беларуси, Азербайджане, Турции и Словении. Основной вектор атак, используемый группировкой, - целевые электронные письма с вредоносными вложениями.
В ходе последней кампании с адресов antonowadebora@yandex.ru и mil.dip@mail.ru были отправлены два письма, в которых использовались актуальные темы - поддержка участников СВО и постановка на воинский учет. В первом письме злоумышленники утверждали, что представляют Московскую городскую организацию Общероссийского профсоюза работников государственных учреждений, и предлагали организовать сбор открыток и поздравлений для участников СВО и их семей. Контакты, указанные в письме, были реальными и могли быть найдены в открытом доступе.
Во втором письме злоумышленники представлялись Ассоциацией учебных центров и рассказывали об изменениях в законодательстве, касающихся введения воинского учета и резервирования граждан в запас. Вредоносное вложение в этом письме представляло собой RTF-файл, содержащий эксплойт для уязвимости CVE-2017-11882. В случае ее использования запускался шеллкод, предназначенный для загрузки и выполнения HTA-файла по ссылке. Адрес ссылки хранился в теле шеллкода, зашифрованный однобайтовым ключом (0x16).
Используя COM-объект, злоумышленники получили значение параметра USERDOMAIN из ключа реестра HKCU\Volatile Environment и проверили наличие VBS-скрипта khaki.xml:khaki.vbs в запуске. Затем они отправили GET-запрос на получение следующего этапа по ссылке hxxps://avito-service.net/service/37.html/bersim, используя определенный User-Agent. Проверив размер полученного файла, они отправили данные для чтения через POST-запрос по той же ссылке, открыли файлы в режиме записи, чтобы очистить их содержимое, а затем выполнили VBS-код с временными задержками 118150 мс (\~118 сек), 52905 мс (\~53 сек), 2183361 мс + случайное целое число (от \~36 мин).
Наконец, исследователи выявили другие вредоносные документы, связанные с доменом network-list .com, используя граф исследования сетевой инфраструктуры.
Учитывая успешный опыт блокирования атак группы Cloud Atlas, система проактивного поиска и защиты от сложных и неизвестных киберугроз обеспечивает защиту от широкого спектра киберрисков, включая ransomware, банковские трояны, шпионские программы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных, как внутри, так и за пределами защищаемого периметра.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что шпионская группа Cloud Atlas активно атакует промышленные предприятия и государственные компании, используя вредоносные вложения в электронных письмах, и что существует система проактивного поиска и защиты от сложных и неизвестных киберугроз, которая может обеспечить защиту от целого ряда киберрисков.
-----
Эксперты F.A.C.C.T. недавно проанализировали новые атаки шпионской группы Cloud Atlas, проправительственной APT, ориентированной на кибершпионаж и кражу конфиденциальной информации. Она действует с 2014 года и в основном нацелена на промышленные предприятия и государственные компании в России, Беларуси, Азербайджане, Турции и Словении. Основной вектор атак, используемый группировкой, - целевые электронные письма с вредоносными вложениями.
В ходе последней кампании с адресов antonowadebora@yandex.ru и mil.dip@mail.ru были отправлены два письма, в которых использовались актуальные темы - поддержка участников СВО и постановка на воинский учет. В первом письме злоумышленники утверждали, что представляют Московскую городскую организацию Общероссийского профсоюза работников государственных учреждений, и предлагали организовать сбор открыток и поздравлений для участников СВО и их семей. Контакты, указанные в письме, были реальными и могли быть найдены в открытом доступе.
Во втором письме злоумышленники представлялись Ассоциацией учебных центров и рассказывали об изменениях в законодательстве, касающихся введения воинского учета и резервирования граждан в запас. Вредоносное вложение в этом письме представляло собой RTF-файл, содержащий эксплойт для уязвимости CVE-2017-11882. В случае ее использования запускался шеллкод, предназначенный для загрузки и выполнения HTA-файла по ссылке. Адрес ссылки хранился в теле шеллкода, зашифрованный однобайтовым ключом (0x16).
Используя COM-объект, злоумышленники получили значение параметра USERDOMAIN из ключа реестра HKCU\Volatile Environment и проверили наличие VBS-скрипта khaki.xml:khaki.vbs в запуске. Затем они отправили GET-запрос на получение следующего этапа по ссылке hxxps://avito-service.net/service/37.html/bersim, используя определенный User-Agent. Проверив размер полученного файла, они отправили данные для чтения через POST-запрос по той же ссылке, открыли файлы в режиме записи, чтобы очистить их содержимое, а затем выполнили VBS-код с временными задержками 118150 мс (\~118 сек), 52905 мс (\~53 сек), 2183361 мс + случайное целое число (от \~36 мин).
Наконец, исследователи выявили другие вредоносные документы, связанные с доменом network-list .com, используя граф исследования сетевой инфраструктуры.
Учитывая успешный опыт блокирования атак группы Cloud Atlas, система проактивного поиска и защиты от сложных и неизвестных киберугроз обеспечивает защиту от широкого спектра киберрисков, включая ransomware, банковские трояны, шпионские программы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных, как внутри, так и за пределами защищаемого периметра.
#ParsedReport #CompletenessLow
20-12-2023
New MetaStealer malvertising campaigns
https://www.malwarebytes.com/blog/threat-intelligence/2023/12/new-metastealer-malvertising-campaigns
Report completeness: Low
Threats:
Meta_stealer
Redline_stealer
Fakebat
Pikabot
Anydesk_tool
Victims:
Users who clicked on the malicious ads and met the selection criteria
Geo:
Russian
IOCs:
File: 1
Domain: 11
Hash: 3
Algorithms:
zip
Languages:
powershell
20-12-2023
New MetaStealer malvertising campaigns
https://www.malwarebytes.com/blog/threat-intelligence/2023/12/new-metastealer-malvertising-campaigns
Report completeness: Low
Threats:
Meta_stealer
Redline_stealer
Fakebat
Pikabot
Anydesk_tool
Victims:
Users who clicked on the malicious ads and met the selection criteria
Geo:
Russian
IOCs:
File: 1
Domain: 11
Hash: 3
Algorithms:
zip
Languages:
powershell
Malwarebytes
New MetaStealer malvertising campaigns
In recent malvertising campaigns, threat actors dropped the MetaStealer information stealer, more or less coinciding with a new version release.
CTT Report Hub
#ParsedReport #CompletenessLow 20-12-2023 New MetaStealer malvertising campaigns https://www.malwarebytes.com/blog/threat-intelligence/2023/12/new-metastealer-malvertising-campaigns Report completeness: Low Threats: Meta_stealer Redline_stealer Fakebat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: MetaStealer - популярная вредоносная программа, используемая преступниками для кражи криптовалютных кошельков, учетных данных и других предметов. Она распространялась в основном через вредоносный спам и взломанное программное обеспечение, но недавно была использована в кампании по вредоносной рекламе. Разработчики внесли изменения во вредоносную программу, а Google был предупрежден о вредоносной рекламе. Вполне вероятно, что преступники будут и дальше распространять это вредоносное ПО.
-----
MetaStealer - популярное вредоносное ПО, впервые выпущенное в 2022 году и основанное на коде RedLine. Он становится все более популярным среди преступников, так как используется в качестве инструмента для кражи криптовалютных кошельков, учетных данных и других предметов, которые можно монетизировать. MetaStealer распространялся в основном через вредоносный спам и взломанное программное обеспечение, но недавно он был использован в кампании по вредоносной рекламе.
Разработчики MetaStealer совершенствуют свой продукт и внесли такие изменения, как избавление от PowerShell и перекомпиляция вредоносной DLL. Как видно из активности сетевого трафика, обе полезные нагрузки, по-видимому, относятся к ветви MetaStealer 3.x.
Вполне вероятно, что преступники будут и дальше распространять это вредоносное ПО, поскольку оно часто используется для получения начального доступа для исполнителей программ-вымогателей. Компания Google была предупреждена о вредоносной рекламе, и инфраструктура, на которой она размещена, была заблокирована.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: MetaStealer - популярная вредоносная программа, используемая преступниками для кражи криптовалютных кошельков, учетных данных и других предметов. Она распространялась в основном через вредоносный спам и взломанное программное обеспечение, но недавно была использована в кампании по вредоносной рекламе. Разработчики внесли изменения во вредоносную программу, а Google был предупрежден о вредоносной рекламе. Вполне вероятно, что преступники будут и дальше распространять это вредоносное ПО.
-----
MetaStealer - популярное вредоносное ПО, впервые выпущенное в 2022 году и основанное на коде RedLine. Он становится все более популярным среди преступников, так как используется в качестве инструмента для кражи криптовалютных кошельков, учетных данных и других предметов, которые можно монетизировать. MetaStealer распространялся в основном через вредоносный спам и взломанное программное обеспечение, но недавно он был использован в кампании по вредоносной рекламе.
Разработчики MetaStealer совершенствуют свой продукт и внесли такие изменения, как избавление от PowerShell и перекомпиляция вредоносной DLL. Как видно из активности сетевого трафика, обе полезные нагрузки, по-видимому, относятся к ветви MetaStealer 3.x.
Вполне вероятно, что преступники будут и дальше распространять это вредоносное ПО, поскольку оно часто используется для получения начального доступа для исполнителей программ-вымогателей. Компания Google была предупреждена о вредоносной рекламе, и инфраструктура, на которой она размещена, была заблокирована.
#ParsedReport #CompletenessLow
19-12-2023
Threat Actors Exploit CVE-2017-11882 To Deliver Agent Tesla
https://www.zscaler.com/blogs/security-research/threat-actors-exploit-cve-2017-11882-deliver-agent-tesla
Report completeness: Low
Threats:
Agent_tesla
Steganography_technique
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
IOCs:
File: 2
Hash: 90
Soft:
Microsoft Office, Microsoft Excel, Telegram, Chromium, Iridium Browser, CentBrowser, SeaMonkey, Vivaldi, Amigo, 7Star, have more...
Algorithms:
base64
Languages:
powershell
19-12-2023
Threat Actors Exploit CVE-2017-11882 To Deliver Agent Tesla
https://www.zscaler.com/blogs/security-research/threat-actors-exploit-cve-2017-11882-deliver-agent-tesla
Report completeness: Low
Threats:
Agent_tesla
Steganography_technique
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
IOCs:
File: 2
Hash: 90
Soft:
Microsoft Office, Microsoft Excel, Telegram, Chromium, Iridium Browser, CentBrowser, SeaMonkey, Vivaldi, Amigo, 7Star, have more...
Algorithms:
base64
Languages:
powershell
Zscaler
CVE-2017-11882 To Deliver Agent Tesla | ThreatLabz
Understand how threat actors exploit CVE-2017-11882 to deliver Agent Tesla for data exfiltration