#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что учетная запись Mandiant в социальных сетях была взломана и использовалась для распространения фишинговых ссылок на средство для сбора криптовалюты под названием CLINKSINK. Средство для сбора криптовалюты CLINKSINK использовалось различными участниками угроз для кражи средств у пользователей криптовалюты Solana. Кампании с участием CLINKSINK проводятся через платформы социальных сетей и Discord, где распространяются фишинговые страницы для привлечения жертв. Вредоносный JavaScript-код CLINKSINK позволяет злоумышленникам подключаться к кошелькам жертв и красть средства. Mandiant выявил несколько кампаний CLINKSINK, связанных с общим оператором drainer-as-a-service (DaaS). Анализ кода показывает, что CLINKSINK является вариантом Chick Drainer, и существуют потенциальные подключения к другим связанным каналам, управляемым тем же участником.
-----

3 января 2024 года учетная запись Mandiant в социальных сетях была скомпрометирована и использовалась для распространения фишинговых ссылок на поставщика криптовалют под названием CLINKSINK. Однако после проведения расследования не было обнаружено доказательств какого-либо компрометации в облачных системах Mandiant или Google, которые привели к компрометации учетной записи. С декабря 2023 года различные злоумышленники использовали CLINKSINK drainer для кражи средств и токенов у пользователей криптовалюты Solana.

Кампании с участием CLINKSINK проводились через платформы социальных сетей, такие как X и Discord, где распространяются фишинговые страницы, чтобы заманить жертв приманками на тему токенов airdrop. Эти поддельные страницы загружают вредоносный JavaScript-код CLINKSINK, который позволяет злоумышленнику подключаться к кошелькам жертв и красть средства. Файл CLINKSINK запутан и специально нацелен на кошелек Phantom Desktop.

При анализе файла CLINKSINK было обнаружено, что он отправляет запрос POST на URL-адрес по адресу ontopothers.com, где в запрос включен оскорбительный термин. Сервер отвечает идентификатором группы чата Telegram, зашифрованным AES, и конфигурацией. Расшифровка ответа выявляет идентификатор группы чата Telegram и конфигурацию, которая включает адреса кошельков Solana, процент распределения украденных средств и сведения о контроле поведения. Жертве предлагается подключить свой кошелек Solana, и в случае успеха вредоносная программа запрашивает данные кошелька с другого URL-адреса по адресу ontopothers.com. Если будут возвращены действительные данные кошелька, жертве будет предложено подписать мошенническую транзакцию.

Mandiant выявил несколько кампаний CLINKSINK, в которых использовались 35 различных идентификаторов партнеров и 42 уникальных адреса кошелька Solana. Считается, что эти кампании связаны с общим оператором drainer-as-a-service (DaaS) из-за совпадения инфраструктуры и адресов Solana. Украденные средства делятся между аффилированным лицом и оператором сервиса на основе процента, полученного от сервиса drainer. В ходе недавних кампаний часть средств была отправлена на адрес предполагаемого оператора DaaS: B8Y1dERnVNoUUXeXA4NaCHiB9htcukMSkfHrFsTMHA7h.

Анализ кода выявил совпадения между CLINKSINK и кодом JavaScript, загруженным на pastebin.pl, что указывает на то, что CLINKSINK является вариантом Chick Drainer. В коде есть ссылки на @ChickDrainer, а телеграм-канал под названием @ChickDrainerLeaked утверждает, что произошла утечка исходного кода Chickdrainer. Этот канал содержит сообщения с техническими индикаторами и функциональностью, совместимыми с CLINKSINK, и делится пересылаемыми сообщениями с канала @RainbowDrainer, предполагая, что ими управляет общий участник.

#ParsedReport #CompletenessLow
12-01-2024

Cyber spies Sticky Werewolf came out of New Year's hibernation

https://habr.com/ru/companies/f_a_c_c_t/news/785472

Report completeness: Low

Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)

Threats:
Darktrack_rat
Ozone
Meta_stealer
Redline_stealer

Victims:
Russian telecommunications company, Russian pharmaceuticals, Federal security service, Government agencies, Financial companies

Industry:
Government, Telco, Healthcare, Financial

Geo:
Russian, Belarus

ChatGPT TTPs:
do not use without manual check
T1444, T1566, T1486

IOCs:
File: 2
Url: 3
Path: 1
IP: 1
Hash: 2

Algorithms:
sha1, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа кибершпионажа под названием Sticky Werewolf провела фишинговую атаку на российские организации во время новогодних праздников. Они нацелились на телекоммуникационную компанию, отправив фишинговые электронные письма, замаскированные под электронные письма Федеральной службы безопасности, с запросом заверенных копий документов. Однако система защиты компании, F.A.C.C.T. Managed XDR, успешно обнаружила и заблокировала эти электронные письма. У Sticky Werewolf есть история нападений на российские организации, использующие аналогичную тактику, и их основным методом атаки являются фишинговые электронные письма, содержащие ссылки на вредоносные файлы. Этот инцидент подчеркивает важность передовых систем кибербезопасности и постоянной бдительности в противодействии развивающимся киберугрозам.
-----

Во время новогодних праздников группа кибершпионажа под названием Sticky Werewolf предприняла атаку на российские организации. В период со 2 по 3 января они отправили около 250 фишинговых электронных писем телекоммуникационной компании. Однако система защиты компании, F.A.C.C.T. Managed XDR, смогла обнаружить и заблокировать эти электронные письма.

Фишинговые электронные письма были созданы так, чтобы они выглядели так, как будто они были от Федеральной службы безопасности, и в них запрашивались заверенные копии документов. В электронных письмах также содержалась ссылка на загрузку вредоносного файла. Этот тип атак не нов для Sticky Werewolf, поскольку ранее они атаковали российские фармацевтические компании в декабре 2023 года, выдавая себя за Министерство по чрезвычайным ситуациям и Министерство строительства.

Sticky Werewolf - группа кибершпионажа, действовавшая с апреля по октябрь 2023 года. За этот период они совершили не менее 30 атак на правительственные учреждения и финансовые компании в России и Беларуси. Их основной метод атаки - фишинговые электронные письма, содержащие ссылки на вредоносные файлы. Они также используют различные хакерские инструменты, такие как Darktrack RAT, Ozone RAT и MetaStealer stealer (который является разновидностью RedLine Stealer).

Стоит отметить, что F.A.C.C.T. Managed XDR успешно перехватила и заблокировала фишинговые электронные письма в ходе этой конкретной атаки. Это подчеркивает важность наличия передовых систем кибербезопасности для защиты от сложных и неизвестных киберугроз. Используя такие системы, организации могут снизить риски, связанные с попытками фишинга, и предотвратить несанкционированный доступ к своим сетям.

Настойчивость Sticky Werewolf в нападении на российские организации подчеркивает постоянную необходимость принятия надежных мер кибербезопасности. Предприятия и правительственные учреждения должны сохранять бдительность и постоянно обновлять свои средства защиты для противодействия этим развивающимся киберугрозам. Информирование сотрудников об опасностях фишинговых электронных писем и внедрение многоуровневых подходов к обеспечению безопасности могут значительно повысить устойчивость организации к подобным атакам.

#ParsedReport #CompletenessLow
12-01-2024

Analysis of an Info Stealer Chapter 1: The Phishing Website. Analysis of an Info Stealer - Chapter 1: The Phishing Website

https://medium.com/@icebre4ker/analysis-of-an-info-stealer-chapter-1-the-phishing-website-80712d21fb3b

Report completeness: Low

Victims:
South korean, indian, chinese mobile users

Geo:
India, Korea, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1192, T1566, T1204, T1512

IOCs:
IP: 4
Url: 6

Soft:
Android, Internet Explorer, WeChat, Chrome, macOS

Functions:
Date

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в Южной Корее проводится фишинговая кампания, целью которой является кража конфиденциальных данных у пользователей Android и iOS. Автор статьи исследует проблему, анализируя фишинговые веб-сайты, используемые в кампании, и обнаруживает методы, используемые для доставки вредоносных приложений. Цель статьи - дать представление о кампании и поделиться запросом, используемым для идентификации связанных фишинговых доменов.
-----

В ноябре 2023 года McAfee опубликовала статью, в которой освещалась проблема поддельных приложений для Android и iOS, крадущих SMS и контакты в Южной Корее. Киберпреступники распространяют вредоносные приложения через фишинговые веб-сайты для получения конфиденциальных данных от пользователей. Автор статьи решил продолжить расследование проблемы после того, как был заинтригован вредоносным приложением для iOS, упомянутым в отчете.

Первоначально автор попытался найти ipa-файлы вредоносного приложения, перечисленные в индикаторах компрометации (IOCs). Они искали на таких платформах, как MalwareBazaar и VirusTotal, но безуспешно. Следовательно, они взяли на себя смелость провести собственное расследование, начав с источника - фишинговых веб-сайтов.

Анализ был сосредоточен на нескольких фишинговых веб-сайтах, нацеленных на пользователей в Южной Корее, Индии и Китае. На этих веб-сайтах были предусмотрены две кнопки для загрузки приложений для Android и iOS. Нажатие кнопки загрузки Android приводило к загрузке файлов .apk, в то время как кнопка загрузки iOS перенаправляла пользователей на веб-страницу.

На веб-странице использовались различные методы, основанные на свойствах браузера пользователя. Для устройств, отличных от iOS, отображался QR-код, поощряющий использование iPhone. Для устройств iOS был показан интерфейс веб-сайта, напоминающий Apple Store. В конце HTML-страницы был обнаружен запутанный код JavaScript. Этот код состоял примерно из 60 функций и строк для статического анализа, включая динамические значения.

Ответное сообщение сервера, полученное в ходе анализа, указывало на успешную операцию на китайском языке. Также был обнаружен файл plist, содержащий основную информацию о вредоносном приложении для iOS. Наконец, чтобы загрузить приложение на устройство iOS, был сделан запрос GET на определенную конечную точку с IP-адресом пользователя и строковым значением.

Целью этой статьи было предоставить подробную информацию о том, как эта фишинговая кампания распространяет вредоносные приложения как для устройств Android, так и для iOS. Кроме того, автор обнаружил другие фишинговые веб-сайты, нацеленные на пользователей в Индии и Китае, что расширило масштабы кампании.

В заключение автор поделился запросом, который они использовали в urlscan.io для идентификации некоторых фишинговых доменов, связанных с кампанией.

#ParsedReport #CompletenessMedium
12-01-2024

UAC-0184: Targeted attacks against Ukrainian servicemen using the topic of recruiting to the 3rd OSHBr and the IDF (CERT-UA#8386)

https://cert.gov.ua/article/6276988

Report completeness: Medium

Actors/Campaigns:
Uac0184

Threats:
Remcos_rat
Reversessh_tool
Azov

Victims:
Servicemen of the armed forces of ukraine

Industry:
Ics, Military

Geo:
Israel, Ukraine, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1195, T1560, T1023, T1064, T1059

IOCs:
File: 72
Email: 1
Hash: 146
IP: 5
Domain: 2

Algorithms:
aes-128-ecb, gzip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Группа экстренного реагирования Украины по кибербезопасности (CERT-UA) расследует серию кибератак, направленных против украинских военнослужащих. Злоумышленники распространяют архивы, содержащие файлы LNK, которые при запуске запускают цепочку вредоносных программ, предоставляющих несанкционированный удаленный доступ к целевым компьютерам. В атаках используются скрытые команды, код VBScript и сценарии PowerShell для загрузки и выполнения вредоносных файлов и поддельных документов, содержащих термины военного характера. Эти атаки, идентифицированные как UAC-0184, отличаются от других аналогичных киберугроз, и пользователям рекомендуется сообщать о любых подозрительных действиях, чтобы уменьшить потенциальный ущерб.
-----

Группа экстренного реагирования по кибербезопасности Украины (CERT-UA) предприняла действия по расследованию серии кибератак, направленных против украинских военнослужащих. Эти атаки маскируются под попытки вербовки в 3-ю отдельную штурмовую бригаду и Армию обороны Израиля (IDF). Было обнаружено, что неизвестные лица планируют распространять архивы, содержащие файлы LNK. Когда эти файлы будут запущены, они запустят цепочку вредоносных программ, состоящую из REMCOSRAT и REVERSESSH, предоставляя злоумышленникам несанкционированный удаленный доступ к целевым компьютерам.

Файлы LNK обычно содержат скрытую команду, которая загружает и выполняет HTA-файл с помощью mshta.exe. HTA-файл содержит запутанный программный код. Код VBScript в HTA-файле затем инициирует команду PowerShell для расшифровки (с использованием AES-128-ECB), распаковки (с использованием GZIP) и выполнения другого сценария PowerShell. Этот последующий скрипт отвечает за загрузку и выполнение файлов вредоносного ПО, а также документа-приманки в формате PDF или DOCX.

Содержание этих документов-приманок важно для военных, поскольку они включают такие термины, как "опрос заключенного", "геолокация", "кодовые команды" и "позывные". Стоит отметить, что, хотя в этих атаках могут использоваться общедоступные инструменты, специфические характеристики отличают их от других подобных киберугроз. Этому конкретному кластеру угроз присвоен идентификатор UAC-0184.

Пользователям настоятельно рекомендуется сохранять бдительность и сообщать о любой подозрительной активности на своих компьютерах или в промышленных системах управления (ICS) Вооруженных Сил Украины в Центр кибербезопасности ITS (подразделение A0334) по электронной почте. Немедленное сообщение имеет важное значение для уменьшения потенциального ущерба.

#ParsedReport #CompletenessLow
12-01-2024

Analysis of an Info Stealer Chapter 2: The iOS App. Analysis of an Info Stealer - Chapter 2: The iOS App

https://medium.com/@icebre4ker/analysis-of-an-info-stealer-chapter-2-the-ios-app-0529e7b45405

Report completeness: Low

Victims:
Iphone users

ChatGPT TTPs:
do not use without manual check
T1566, T1558, T1213, T1105, T1046

IOCs:
File: 4
Hash: 2
Url: 1

Soft:
Android, Telegram, macOS

Algorithms:
md5

Languages:
javascript, swift

Links:
https://github.com/LaurieWired/iOS\_Reverse\_Engineering/blob/main/SwiftNameDemangler.py
https://github.com/sensepost/objection
https://github.com/Alamofire/Alamofire
https://github.com/AloneMonkey/frida-ios-dump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста - анализ приложения для кражи информации для iOS, которое распространялось через фишинговый веб-сайт. Автор обсуждает различные шаги, предпринятые при анализе, включая удаление файла .ipa для статического анализа, использование инструментов обратного проектирования, таких как Ghidra, для проверки кода и использование таких методов, как анализ сетевого трафика и динамический анализ с помощью таких инструментов, как Frida, Objection и Burp. Автор раскрывает важные функции, конечные точки и серверные подключения, используемые вредоносной программой, предоставляя представление о ее функциональности и потенциальном влиянии на пользовательские данные. В ходе анализа в соответствующих каталогах не было найдено никакой полезной информации. В статье также упоминаются советы по повышению эффективности анализа приложений iOS.
-----

В этой статье автор продолжает свой анализ приложения-похитителя информации для iOS, которое было доставлено через фишинговый веб-сайт. Они упоминают, что изучат всю цепочку атак и дадут несколько советов по повышению эффективности анализа приложений для iOS.

Первым шагом в анализе является выгрузка файла .ipa с помощью frida dump, который позволяет выполнять статический анализ. Затем автор переходит к анализу файла viewer с помощью Ghidra, инструмента обратного проектирования. Они используют скрипт под названием SwiftNameDemangler.py для улучшения читаемости кода и упрощения кода Swift.

Используя функцию поиска ссылок в Ghidra, автор идентифицирует основную функцию вредоносного ПО под названием FUN_1000111e4(void). Эта функция проверяет, имеет ли приложение доступ к контактам пользователя, проверяя, были ли предоставлены необходимые разрешения при запуске приложения. Автор также отмечает наличие URL-адреса для сервера управления (C2), который является https://api.telegraming.pro. Они также упоминают пути, используемые приложением, такие как "getregistertoken" и "getuploadtoken". Библиотека Alamofire используется для обмена данными по протоколу HTTP.

Статический анализ предоставляет обзор функциональности вредоносного ПО, в то время как динамический анализ проводится с использованием таких инструментов, как Frida, Objection и Burp. Приложение предлагает пользователю ввести номер телефона и отображает кнопку с надписью "Открыть альбом", хотя предполагается, что "альбом" может быть ошибкой копирования и вставки.

Во время анализа сетевого трафика автор обнаруживает две важные конечные точки: "/getregistertoken" и "/getuploadtoken". Информация, отправляемая на сервер C2, включает сведения о сети, модель iPhone, номер телефона жертвы и версию iOS. Автор отслеживает методы, начинающиеся с "URLSession" в "Alamofire.SessionDelegate", чтобы собрать больше информации.

Frida генерирует файлы JavaScript в каталоге под названием "__handlers__", которые можно редактировать для генерации выходных данных. Objection используется для извлечения каталогов, связанных с приложением, таких как библиотека, кэши и документы. Однако в ходе анализа в этих каталогах не было обнаружено никакой полезной информации.

#ParsedReport #CompletenessLow
12-01-2024

Thousands of Sites with Popup Builder Compromised by Balada Injector

https://blog.sucuri.net/2024/01/thousands-of-sites-with-popup-builder-compromised-by-balada-injector.html

Report completeness: Low

Threats:
Balada_injector

Geo:
Moldova

ChatGPT TTPs:
do not use without manual check
T1050, T1100, T1584, T1036, T1068, T1059, T1059.001

IOCs:
Domain: 39
Url: 6
File: 3
IP: 4

Soft:
WordPress

Algorithms:
base64

Functions:
WPD_init

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании кибератак, известной как Balada Injector. Кампания нацелена на веб-сайты путем заражения их более старыми версиями плагина Popup Builder. Злоумышленники используют недавно зарегистрированный домен под названием specialcraftbox.com и на данный момент заразили более 6200 сайтов. Атака включает внедрение скрипта в базу данных, попытку установки бэкдора и выполнение различных вредоносных действий. Злоумышленники используют уязвимости, такие как сохраненная уязвимость XSS в плагине Popup Builder, для быстрого заражения уязвимых веб-сайтов. Рекомендуются меры по защите веб-сайтов от заражения вредоносными программами, включая мониторинг на наличие вредоносных администраторов и плагинов, внедрение принципов 2FA и наименьших привилегий для учетных записей администраторов и оперативное удаление бэкдоров веб-сайтов.
-----

Кампания Balada Injector стартовала 13 декабря, заражая веб-сайты старыми версиями плагина Popup Builder. В атаке использовался недавно зарегистрированный домен под названием specialcraftbox.com. На данный момент с помощью инъекции было обнаружено более 6200 сайтов.

Злоумышленники внедряют скрипт в базу данных, а затем пытаются внедрить бэкдор. В этом случае внедренный скрипт проверяет наличие определенных ключевых слов в файлах cookie, связанных с администратором. Если файлы cookie отсутствуют, он загружает последующие скрипты, ответственные за вредоносные перенаправления и мошеннические push-уведомления из hxxps://soft.specialcraftbox.com/KQGrXb?c= + window.местоположение.имя хоста и hxxps://rest.greenfastline.com/vkRJGzsp. Однако, если обнаружены файлы cookie администратора, скрипт добавляет параметр "a=1" к следующему URL-адресу вызова. Этот скрипт использует преимущество загрузки и выполнения администратором сайта для загрузки, установки и активации вредоносного плагина wp-felody.php. URL скомпрометированного сайта затем передается обратно в hxxps://get.specialcraftbox.com/loc/r.php?zd= + window.местоположение.origin.

Основную функциональность бэкдора можно найти в функции WPD_init(). Отправка POST-запроса с параметром "w33=w33" подтверждает наличие бэкдора. Другой набор параметров POST, "q33" и "q34", используются для загрузки и выполнения произвольного PHP-кода. Этот код загружается во временный каталог и удаляется сразу после выполнения. Кроме того, другой уровень бэкдора извлекает код из http://get.specialcraftbox.com/loc/gr.txt, сохраняет его во временном каталоге системы, выполняет его, а затем удаляет с диска.

Операторы Balada зарегистрировали домены specialcraftbox.com и greenfastline.com специально для кампании Popup Builder и использовали брандмауэр CloudFlare, чтобы скрыть свои IP-адреса. Однако 6 января 2024 года CloudFlare заблокировала домен specialcraftbox.com, и он был перенесен на сервер в Молдове. 9 января 2024 года greenfastline.com также пришлось перейти на тот же сервер. Домены, участвующие в перенаправлениях на мошеннические push-уведомления, следуют определенному шаблону, используя поддомены и определенные параметры URL.

Balada Injector использует известные уязвимости, в частности сохраненную уязвимость XSS в плагине Popup Builder. Несмотря на выпуск исправленной версии, более 3000 веб-сайтов все еще были заражены неделями спустя. Злоумышленники имеют возможность идентифицировать уязвимые веб-сайты и заражать тысячи в течение нескольких часов. Чтобы защитить веб-сайты от заражения вредоносными программами, рекомендуется отслеживать наличие вредоносных администраторов WordPress и плагинов, внедрять принципы 2FA и наименьших привилегий для учетных записей администраторов, предотвращать межсайтовое заражение и оперативно удалять бэкдоры веб-сайта. Доступно руководство по безопасности веб-сайта с полезными советами. Денис Синегубко, старший исследователь вредоносных программ в Sucuri, отвечает за исследование возникающих угроз и создание сигнатур для проверки сайта.

#ParsedReport #CompletenessLow
12-01-2024

Modus operandi UAC-0177 (JokerDPR) on the example of one of the cyber attacks (CERT-UA#8290)

https://cert.gov.ua/article/6276799

Report completeness: Low

Actors/Campaigns:
Jokerdpr

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1194, T1568

IOCs:
IP: 3
Domain: 274
File: 3

Soft:
Telegram, Outlook, outlook.outlook

Wallets:
coinbase

Crypto:
binance

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинговые атаки, осуществляемые через электронную почту, являются распространенным методом, используемым киберпреступниками для получения несанкционированного доступа к аккаунтам на популярных сервисах. Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, расследовала инцидент, связанный с фишинговыми атаками со стороны подписчиков JokerDPR. Эти атаки включают создание поддельных доменов и веб-страниц, имитирующих законные сервисы, и распространение их по электронной почте. Для борьбы с этими атаками CERT-UA выпустила индикаторы компрометации (IOCS), которые помогают идентифицировать и атрибутировать атаки. Пользователям рекомендуется быть осторожными при взаимодействии с электронными письмами, проверять подлинность, прежде чем переходить по ссылкам или предоставлять конфиденциальную информацию, и применять строгие меры безопасности для защиты от фишинговых атак.
-----

Электронная почта является распространенным методом общения и обмена информацией, но киберпреступники часто используют ее для фишинговых атак.

Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA расследовала инцидент с фишингом, опубликованный в Telegram-канале JokerDPR.

Злоумышленники используют регистраторов доменов Tucows и Namecheap для создания поддельных доменных имен и веб-страниц, имитирующих законные сервисы.

Поддельные ссылки распространяются по электронной почте, часто со взломанных аккаунтов, чтобы обманом заставить людей разгласить конфиденциальную информацию.

CERT-UA выявил индикаторы компрометации (IOCS), которые помогают идентифицировать и приписывать эти атаки.

Пользователи должны быть осторожны при взаимодействии с электронными письмами, запрашивающими конфиденциальную информацию, проверять подлинность, прежде чем переходить по ссылкам или загружать вложения.

Крайне важно иметь современное антивирусное программное обеспечение, проявлять осторожность в общедоступных сетях Wi-Fi и регулярно информировать о методах фишинга и передовых методах кибербезопасности.

Рекомендуется применять строгие меры безопасности, такие как многофакторная аутентификация, шифрование и надежные политики паролей.

Регулярный мониторинг и обновление систем и программного обеспечения помогают поддерживать надежную защиту от киберугроз.

#ParsedReport #CompletenessMedium
12-01-2024

APT28: From initial attack to creating threats to a domain controller in an hour (CERT-UA#8399)

https://cert.gov.ua/article/6276894

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Masepie_tool
Steelhook_stealer
Oceanmap_backdoor
Impacket_tool
Smbexec_tool
Sysupdate

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1189, T1086, T1059, T1005, T1192, T1134, T1550, T1114, T1003, T1136, have more...

IOCs:
File: 10
Hash: 18
IP: 4
Domain: 8
Email: 2
Path: 20
Command: 27

Soft:
OPENSSH

Algorithms:
zip, base64, aes-128-cbc

Languages:
python, powershell, javascript