#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносное ПО, написанное на необычных языках программирования, становится все более популярным среди угроз, поскольку дает такие преимущества, как уклонение от обнаружения с помощью сигнатур и препятствование анализу со стороны аналитиков вредоносного ПО. Netskope Threat Labs проанализировала вредоносный бэкдор, написанный на языке Nim, а Netskope Advanced Threat Protection обеспечивает проактивную защиту от образцов вредоносных документов Office "нулевого дня" и APT.
-----

Вредоносное ПО, написанное на необычных языках программирования, становится все более популярным среди угрожающих субъектов благодаря преимуществам, которые оно дает, например, уклонению от сигнатурного обнаружения и затруднению анализа со стороны аналитиков, не знакомых с языком. Недавно специалисты Netskope Threat Labs проанализировали вредоносный бэкдор, написанный на Nim - относительно новом языке программирования. Вредоносный документ Word был отправлен в виде вложения в электронное письмо, в котором утверждалось, что он исходит от представителя правительства Непала, отправляющего информацию о мерах безопасности. После активации макроса в документе появляется бэкдор Nim под названием conhost.exe, который запускается с теми же привилегиями, что и текущий пользователь, вошедший в систему. Чтобы избежать обнаружения, бэкдор выполняет фоновую проверку перед подключением к своему командно-контрольному серверу и завершает работу, если запущен какой-либо из известных инструментов анализа. Кроме того, перед отправкой на вредоносный сервер он шифрует имя хоста с помощью функции bakery. Netskope Advanced Threat Protection обеспечивает проактивную защиту от образцов вредоносных документов Office "нулевого дня" и APT с помощью механизмов статического анализа и "облачной песочницы". Злоумышленники продолжают использовать редкие языки программирования, поскольку их сложнее обнаружить и проанализировать, и Netskope Threat Labs будет продолжать отслеживать использование непопулярных языков программирования.

#ParsedReport #CompletenessHigh
19-12-2023

Fog of cyber war: spies from Cloud Atlas attack Russian companies under the guise of supporting SVO participants

https://www.facct.ru/blog/cloud-atlas

Report completeness: High

Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
Russian agro-industrial enterprise and a state-owned research company

Industry:
Military, Financial

Geo:
Slovenia, Azerbaijan, Belarus, Moscow, Russia, Russian, Turkey

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 9
Technics: 21

IOCs:
Email: 2
File: 9
Path: 13
Registry: 2
Url: 14
Domain: 2
Hash: 40
IP: 1

Soft:
Microsoft Office, Component Object Model, Telegram, Viber, WhatsApp

Algorithms:
sha256, md5, xor, sha1

Languages:
visual_basic

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, chats: 1, schema: 2, dump: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что шпионская группа Cloud Atlas активно атакует промышленные предприятия и государственные компании, используя вредоносные вложения в электронных письмах, и что существует система проактивного поиска и защиты от сложных и неизвестных киберугроз, которая может обеспечить защиту от целого ряда киберрисков.
-----

Эксперты F.A.C.C.T. недавно проанализировали новые атаки шпионской группы Cloud Atlas, проправительственной APT, ориентированной на кибершпионаж и кражу конфиденциальной информации. Она действует с 2014 года и в основном нацелена на промышленные предприятия и государственные компании в России, Беларуси, Азербайджане, Турции и Словении. Основной вектор атак, используемый группировкой, - целевые электронные письма с вредоносными вложениями.

В ходе последней кампании с адресов antonowadebora@yandex.ru и mil.dip@mail.ru были отправлены два письма, в которых использовались актуальные темы - поддержка участников СВО и постановка на воинский учет. В первом письме злоумышленники утверждали, что представляют Московскую городскую организацию Общероссийского профсоюза работников государственных учреждений, и предлагали организовать сбор открыток и поздравлений для участников СВО и их семей. Контакты, указанные в письме, были реальными и могли быть найдены в открытом доступе.

Во втором письме злоумышленники представлялись Ассоциацией учебных центров и рассказывали об изменениях в законодательстве, касающихся введения воинского учета и резервирования граждан в запас. Вредоносное вложение в этом письме представляло собой RTF-файл, содержащий эксплойт для уязвимости CVE-2017-11882. В случае ее использования запускался шеллкод, предназначенный для загрузки и выполнения HTA-файла по ссылке. Адрес ссылки хранился в теле шеллкода, зашифрованный однобайтовым ключом (0x16).

Используя COM-объект, злоумышленники получили значение параметра USERDOMAIN из ключа реестра HKCU\Volatile Environment и проверили наличие VBS-скрипта khaki.xml:khaki.vbs в запуске. Затем они отправили GET-запрос на получение следующего этапа по ссылке hxxps://avito-service.net/service/37.html/bersim, используя определенный User-Agent. Проверив размер полученного файла, они отправили данные для чтения через POST-запрос по той же ссылке, открыли файлы в режиме записи, чтобы очистить их содержимое, а затем выполнили VBS-код с временными задержками 118150 мс (\~118 сек), 52905 мс (\~53 сек), 2183361 мс + случайное целое число (от \~36 мин).

Наконец, исследователи выявили другие вредоносные документы, связанные с доменом network-list .com, используя граф исследования сетевой инфраструктуры.

Учитывая успешный опыт блокирования атак группы Cloud Atlas, система проактивного поиска и защиты от сложных и неизвестных киберугроз обеспечивает защиту от широкого спектра киберрисков, включая ransomware, банковские трояны, шпионские программы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных, как внутри, так и за пределами защищаемого периметра.

#ParsedReport #CompletenessLow
20-12-2023

New MetaStealer malvertising campaigns

https://www.malwarebytes.com/blog/threat-intelligence/2023/12/new-metastealer-malvertising-campaigns

Report completeness: Low

Threats:
Meta_stealer
Redline_stealer
Fakebat
Pikabot
Anydesk_tool

Victims:
Users who clicked on the malicious ads and met the selection criteria

Geo:
Russian

IOCs:
File: 1
Domain: 11
Hash: 3

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MetaStealer - популярная вредоносная программа, используемая преступниками для кражи криптовалютных кошельков, учетных данных и других предметов. Она распространялась в основном через вредоносный спам и взломанное программное обеспечение, но недавно была использована в кампании по вредоносной рекламе. Разработчики внесли изменения во вредоносную программу, а Google был предупрежден о вредоносной рекламе. Вполне вероятно, что преступники будут и дальше распространять это вредоносное ПО.
-----

MetaStealer - популярное вредоносное ПО, впервые выпущенное в 2022 году и основанное на коде RedLine. Он становится все более популярным среди преступников, так как используется в качестве инструмента для кражи криптовалютных кошельков, учетных данных и других предметов, которые можно монетизировать. MetaStealer распространялся в основном через вредоносный спам и взломанное программное обеспечение, но недавно он был использован в кампании по вредоносной рекламе.

Разработчики MetaStealer совершенствуют свой продукт и внесли такие изменения, как избавление от PowerShell и перекомпиляция вредоносной DLL. Как видно из активности сетевого трафика, обе полезные нагрузки, по-видимому, относятся к ветви MetaStealer 3.x.

Вполне вероятно, что преступники будут и дальше распространять это вредоносное ПО, поскольку оно часто используется для получения начального доступа для исполнителей программ-вымогателей. Компания Google была предупреждена о вредоносной рекламе, и инфраструктура, на которой она размещена, была заблокирована.

#ParsedReport #CompletenessLow
19-12-2023

Threat Actors Exploit CVE-2017-11882 To Deliver Agent Tesla

https://www.zscaler.com/blogs/security-research/threat-actors-exploit-cve-2017-11882-deliver-agent-tesla

Report completeness: Low

Threats:
Agent_tesla
Steganography_technique

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


IOCs:
File: 2
Hash: 90

Soft:
Microsoft Office, Microsoft Excel, Telegram, Chromium, Iridium Browser, CentBrowser, SeaMonkey, Vivaldi, Amigo, 7Star, have more...

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организациям необходимо быть в курсе последних событий на арене киберугроз, чтобы защитить свои цифровые активы от вредоносных программ, таких как Agent Tesla, которая может похищать данные и отправлять их боту Telegram, контролируемому субъектом угрозы.
-----

Agent Tesla - это мощный кейлоггер, который присутствует на рынке угроз с 2014 года. Недавно специалисты Zscaler ThreatLabz обнаружили вредоносную кампанию, использующую уязвимость CVE-2017-11882 XLAM, обнаруженную в редакторе уравнений Microsoft Office, для распространения Agent Tesla. Угрожающие лица используют такие слова, как orders и invoices, в спам-сообщениях, содержащих вредоносные вложения, которые используют уязвимость, позволяя загружать дополнительные файлы под видом законных операций.

Затем полезная нагрузка внедряется в процесс RegAsm, и Agent Tesla начинает свою вредоносную деятельность. Agent Tesla крадет данные из почтовых клиентов и FTP-приложений, внедряет хуки клавиатуры и буфера обмена, а также использует оконные хуки. Он также может извлекать сохраненные пароли из различных веб-браузеров, регистрировать элементы буфера обмена и делать скриншоты. Похищенные данные затем отправляются боту Telegram, контролируемому угрозой.

Для защиты своих цифровых активов организациям необходимо быть в курсе последних событий в сфере киберугроз. По мере развития угроз должны меняться и меры безопасности для защиты от них. Agent Tesla - лишь одна из многих вредоносных программ, и организациям необходимо предпринять необходимые шаги, чтобы обеспечить безопасность своих сетей.

#ParsedReport #CompletenessLow
20-12-2023

Dark Web Profile: Cyber Toufan Al-aqsa

https://socradar.io/dark-web-profile-cyber-toufan-al-aqsa

Report completeness: Low

Actors/Campaigns:
Cyber_toufan

Victims:
Israeli companies and organizations including security firms, government agencies, and commercial entities

Industry:
E-commerce, Foodtech, Government

Geo:
Iranian, Iran, Israel, Israeli

TTPs:
Tactics: 4
Technics: 4

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что "Кибер Туфан" - это таинственная группа, которая быстро приобрела известность благодаря серии агрессивных кибератак, оказывающих геополитическое и психологическое воздействие, и организациям необходимо использовать передовые решения безопасности для эффективной борьбы с этими угрозами.
-----

Cyber Toufan, таинственная группа, появившаяся в цифровой тени 16 ноября 2023 года, быстро приобрела известность благодаря серии агрессивных кибератак на израильские организации. Эксперты по кибербезопасности и разведка указывают на возможную иранскую поддержку, учитывая стиль группы, цели и геополитическую подоплеку ее атак. Операции "Кибер Туфана" включают в себя масштабные взломы данных и извлечение конфиденциальной информации, затрагивая как организации, так и частных лиц. Они выбирают стратегические цели, фокусируясь на израильских компаниях и организациях, обладающих значительной ценностью или секретной информацией, включая охранные фирмы, правительственные учреждения и коммерческие структуры. Они также ведут психологическую войну, используя свои кибератаки для политических заявлений и распространения пропаганды.

Сообщается, что Cyber Toufan может координировать свои действия с другими хакерскими группами и участвовать в более крупных коллективных операциях, что свидетельствует об уровне организации и сотрудничества, необычном для независимых хакерских групп. Общее число утечек документов достигло более 100, а в число известных жертв вошли известный израильский поставщик систем водоснабжения Bermad, а также OSEM (компания по производству продуктов питания), H&O (бренд одежды) и Hagarin (бренд электронной коммерции).

Деятельность Cyber Toufan вызвала подозрения в государственном спонсорстве, причем многие признаки указывают на Иран. Эти предположения подкрепляются анализами экспертов по кибербезопасности, например, из Check Point Software, которые отмечают сходство тактики Cyber Toufan и других связанных с Ираном группировок. Международный институт по борьбе с терроризмом (ICT) также дает представление об этой предполагаемой связи.

Кибератаки, осуществленные Cyber Toufan, имеют далеко идущие последствия, как с точки зрения кибербезопасности, так и с точки зрения геополитики. С геополитической точки зрения, предполагаемое государственное спонсорство Cyber Toufan добавляет новый уровень сложности в международные отношения, особенно на Ближнем Востоке. Это свидетельствует о растущем использовании кибервойны в качестве инструмента в более широких геополитических стратегиях. С психологической точки зрения, использование "Кибер Туфаном" кибератак в пропагандистских целях оказывает психологическое воздействие, сея страх и неуверенность, что является неотъемлемой частью современной тактики ведения войны.

Чтобы эффективно бороться с этими угрозами, организациям необходимо использовать передовые решения в области безопасности. Мониторинг темного интернета от SOCRadar необходим для всестороннего мониторинга деятельности в темном и глубоком интернете, обеспечивая раннее предупреждение и оперативную информацию для предотвращения или смягчения киберугроз со стороны таких групп, как Cyber Toufan. Организации могут лучше защитить себя на этом развивающемся поле кибернетической битвы, сохраняя бдительность и используя передовые решения безопасности.

#ParsedReport #CompletenessMedium
20-12-2023

Operation HamsaUpdate: A Sophisticated Campaign Delivering Wipers Puts Israeli Infrastructure at Risk

https://intezer.com/blog/research/stealth-wiper-israeli-infrastructure

Report completeness: Medium

Actors/Campaigns:
Hamsaupdate

Threats:
Hatef
Hamsa
Handala
Process_hacker_tool

Victims:
Israeli customers

Geo:
Israel, Russia, Palestinian, Israeli, Chelyabinsk

IOCs:
Hash: 13
File: 5
IP: 1

Soft:
BIG-IP, Telegram, Ubuntu, Debian, Windows Media Player

Algorithms:
base64, zip, rc4, lznt1

Functions:
DeleteDrirectorys

Win API:
RtlDecompressFragment

Languages:
autoit, delphi

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Национальное киберуправление Израиля выпустило срочное предупреждение о чрезвычайно изощренной фишинговой кампании, в которой используются убедительные электронные письма и сложные методы социальной инженерии. Вредоносный код состоит из многоступенчатого загрузчика, включая чистильщик, который нацелен на системы Windows и Linux. Эта кампания подчеркивает необходимость применения надежных защитных стратегий и глубокого понимания принципов цифровой безопасности.
-----

19 декабря Национальное киберуправление Израиля выпустило срочное предупреждение о чрезвычайно изощренной фишинговой кампании, получившей название Operation HamsaUpdate. В этой кампании используются убедительно написанные письма на иврите и сложные методы социальной инженерии, чтобы заставить жертв выполнить вредоносный код на своих серверах. Используемое вредоносное ПО представляет собой wiper, который нацелен на системы Windows и Linux. Чтобы помочь в выявлении и борьбе с этой угрозой, Национальное киберуправление Израиля обнародовало соответствующие индикаторы компрометации, в том числе варианты вредоносной программы-чистильщика под названиями Hatef (Windows) и Hamsa (Linux).

Электронное письмо, используемое для атаки, тщательно составлено для использования недавней уязвимости, обнаруженной в платформе BIG-IP компании F5 - передовом контроллере доставки приложений. Оно предупреждает адресата о потенциальной угрозе для его организации и призывает его принять немедленные меры. Злоумышленники демонстрируют продвинутый уровень тактики, манипулируя целями, чтобы те неосознанно поставили под угрозу свою собственную сетевую безопасность.

Вредоносный код состоит из многоступенчатого загрузчика, включающего вторую ступень, написанную на Delphi. Этот загрузчик инициирует выполнение инжектора AutoIt под названием Handala. Полезная нагрузка ресурса отличается в зависимости от варианта: один из них извлекает исполняемый файл программы-чистильщика - Hatef.exe, а другой содержит два ресурса: Hatef.exe и Handala.exe. Программа-чистильщик проводит проверку, чтобы убедиться, что она является единственным экземпляром, запущенным в системе, а затем приступает к затиранию ключевых системных путей на всех подключенных дисках. Кроме того, она отправляет разведывательную информацию в канал Telegram.

Инжектор Handala запускает обфусцированный скрипт для обнаружения активного защитного ПО и отключает его. Затем он создает новый раздел, отформатированный с использованием файловой системы XFS, полностью удаляя остатки данных. Затем внедренный шелл-код связывается с сервером C2 по HTTPS и внедряется в процесс Windows Media Player.

Эта кампания свидетельствует о постоянно меняющемся ландшафте кибервойны и подчеркивает необходимость надежных оборонительных стратегий и глубокого понимания тонкостей цифровой безопасности.

#ParsedReport #CompletenessMedium
21-12-2023

BattleRoyal, DarkGate Cluster Spreads via Email and Fake Browser Updates

https://www.proofpoint.com/us/blog/threat-insight/battleroyal-darkgate-cluster-spreads-email-and-fake-browser-updates

Report completeness: Medium

Actors/Campaigns:
Battleroyal (motivation: cyber_criminal)
Rogueraticate

Threats:
Darkgate
Steganography_technique
Netsupportmanager_rat

Geo:
Usa, Canada

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...

IOCs:
File: 2
Url: 7
Hash: 7
IP: 1
Domain: 2

Soft:
Microsoft Teams, curl

Algorithms:
zip, sha256

Functions:
Proofpoint

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4