#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинговые атаки, осуществляемые через электронную почту, являются распространенным методом, используемым киберпреступниками для получения несанкционированного доступа к аккаунтам на популярных сервисах. Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, расследовала инцидент, связанный с фишинговыми атаками со стороны подписчиков JokerDPR. Эти атаки включают создание поддельных доменов и веб-страниц, имитирующих законные сервисы, и распространение их по электронной почте. Для борьбы с этими атаками CERT-UA выпустила индикаторы компрометации (IOCS), которые помогают идентифицировать и атрибутировать атаки. Пользователям рекомендуется быть осторожными при взаимодействии с электронными письмами, проверять подлинность, прежде чем переходить по ссылкам или предоставлять конфиденциальную информацию, и применять строгие меры безопасности для защиты от фишинговых атак.
-----

Электронная почта является распространенным методом общения и обмена информацией, но киберпреступники часто используют ее для фишинговых атак.

Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA расследовала инцидент с фишингом, опубликованный в Telegram-канале JokerDPR.

Злоумышленники используют регистраторов доменов Tucows и Namecheap для создания поддельных доменных имен и веб-страниц, имитирующих законные сервисы.

Поддельные ссылки распространяются по электронной почте, часто со взломанных аккаунтов, чтобы обманом заставить людей разгласить конфиденциальную информацию.

CERT-UA выявил индикаторы компрометации (IOCS), которые помогают идентифицировать и приписывать эти атаки.

Пользователи должны быть осторожны при взаимодействии с электронными письмами, запрашивающими конфиденциальную информацию, проверять подлинность, прежде чем переходить по ссылкам или загружать вложения.

Крайне важно иметь современное антивирусное программное обеспечение, проявлять осторожность в общедоступных сетях Wi-Fi и регулярно информировать о методах фишинга и передовых методах кибербезопасности.

Рекомендуется применять строгие меры безопасности, такие как многофакторная аутентификация, шифрование и надежные политики паролей.

Регулярный мониторинг и обновление систем и программного обеспечения помогают поддерживать надежную защиту от киберугроз.

#ParsedReport #CompletenessMedium
12-01-2024

APT28: From initial attack to creating threats to a domain controller in an hour (CERT-UA#8399)

https://cert.gov.ua/article/6276894

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Masepie_tool
Steelhook_stealer
Oceanmap_backdoor
Impacket_tool
Smbexec_tool
Sysupdate

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1189, T1086, T1059, T1005, T1192, T1134, T1550, T1114, T1003, T1136, have more...

IOCs:
File: 10
Hash: 18
IP: 4
Domain: 8
Email: 2
Path: 20
Command: 27

Soft:
OPENSSH

Algorithms:
zip, base64, aes-128-cbc

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что произошла серия кибератак на государственные организации, связанных с распространением вредоносных электронных писем. Эти электронные письма содержат ссылки, ведущие к установке вредоносных программ на компьютеры получателей. Атаки приписываются группе APT28 и включают использование различных вредоносных инструментов и файлов, таких как MASEPIE, OPENSSH, STEELHOOK и OCEANMAP. Целью атак является нацеливание на информационно-коммуникационную систему всей организации, и аналогичные атаки наблюдались в польских организациях. Задействованные вредоносные программы используют различные языки программирования и каналы управления для своей работы, а также используют различные механизмы сохранения для поддержания доступа к скомпрометированным компьютерам.
-----

В период с 15 по 25 декабря 2023 года были обнаружены многочисленные инциденты, связанные с распространением вредоносных электронных писем среди государственных организаций. Эти электронные письма содержали ссылки на предполагаемые "документы", нажатие на которые приводило к повреждению компьютеров получателей в результате установки вредоносных программ. Расследование этих инцидентов показало, что предоставленные ссылки перенаправляли жертв на веб-сайт, где можно было загрузить файл быстрого доступа. При открытии этого файла запускалась команда PowerShell, которая затем загружала и запускала различные вредоносные инструменты и файлы.

Загруженные инструменты включали MASEPIE, который является интерпретатором языка программирования Python, и Client.py файл, классифицированный как MASEPIE. Этот инструмент облегчил функциональность других вредоносных программ, таких как OPENSSH (используется для создания туннеля), скрипты STEELHOOK PowerShell (используются для кражи данных из интернет-браузеров Chrome/Edge) и бэкдор OCEANMAP.

После заражения на скомпрометированных компьютерах были созданы дополнительные инструменты, такие как IMPACKET и SMBEXEC. Эти инструменты позволяли проводить разведку сети и предпринимать попытки бокового перемещения внутри сети. Комбинация методов, тактик, процедур и инструментов, использованных в этих атаках, указывала на причастность группы APT28, известного исполнителя угроз. Цель этих атак, по-видимому, заключается в нацеливании на информационно-коммуникационную систему всей организации, подразумевая, что компрометация любого компьютера в сети может представлять значительную угрозу.

Аналогичные атаки на польские организации также наблюдались, что свидетельствует о более широкой кампании. OCEANMAP, одна из задействованных вредоносных программ, разработана с использованием языка программирования C# и выполняет команды с помощью cmd.exe. Он использует протокол IMAP в качестве канала управления, при этом командные сообщения хранятся в черновиках сообщений в каталогах электронной почты. Бэкдор обеспечивает сохраняемость, создавая .URL-файл с именем "VMSearch.url" в каталоге автозапуска.

MASEPIE, разработанный с использованием Python, фокусируется на загрузке файлов и выполнении команд. Каналом управления служит протокол TCP, а шифрование данных реализовано с использованием алгоритма AES-128-CBC. Сохранение бэкдора поддерживается путем создания раздела реестра и файла LNK с именем "SystemUpdate.lnk" в каталоге автозагрузки.

Кроме того, сценарий STEELHOOK PowerShell используется для кражи данных из интернет-браузеров пользователей. Данные кодируются в base64 и отправляются через HTTP POST-запрос на сервер управления.

#ParsedReport #CompletenessLow
12-01-2024

Stories from the SOC: BlackCat on the prowl

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-blackcat-on-the-prowl

Report completeness: Low

Threats:
Blackcat
Revil
Impacket_tool
Lolbas_technique

Industry:
Healthcare, Entertainment

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1078, T1486, TA0006, TA0040, T1564

IOCs:
File: 5
Command: 2

Algorithms:
aes, xor

Languages:
python, rust

Links:
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с программой-вымогателем BlackCat, которая была нацелена на одного из клиентов Центра управления безопасностью AT&T Managed Detection and Response (MDR). AT&T SOC совместно с AT&T Alien Labs успешно обнаружили и устранили атаку. Программа-вымогатель BlackCat написана на Rust и может работать как в операционных системах Windows, так и Linux. Она использует методы шифрования и дешифрования, боковое перемещение по сети, библиотеку Impacket Python для манипулирования сетевыми протоколами и удаления теневых копий. В тексте также содержатся рекомендации по обнаружению и смягчению последствий такого типа атак.
-----

BlackCat - известная разновидность вредоносного ПО, связанная с вредоносной программой REvil и имеющая связи с российскими операторами.

BlackCat написан на языке Rust, известном своей производительностью и экономичностью.

BlackCat нацелен на различные отрасли, включая здравоохранение и развлечения.

Компания AT&T SOC успешно обнаружила и устранила атаку программы-вымогателя BlackCat на одного из своих клиентов.

Атака включала в себя вход пользователя в сеть клиента с помощью lsass.exe и шифрование нескольких файлов.

AT&T SOC использовала инструмент глубокой видимости SentinelOne для расследования инцидента.

Программа-вымогатель BlackCat написана на Rust и может работать в операционных системах Windows и Linux.

Вредоносная программа использует методы шифрования и дешифрования, чтобы запутать свои строки.

BlackCat использует расшифрованные учетные данные для перемещения по сети и использует библиотеку Impacket Python для манипулирования сетевыми протоколами.

Он создает и запускает службу на удаленном компьютере с помощью двоичного файла программы-вымогателя.

Он удаляет теневые копии Windows и использует утилиты LOLBAS для удаления файлов теневых копий.

Мониторинг новых групп или администраторов, инициирование сброса паролей, проверка установленного программного обеспечения и смена паролей Kerberos - вот рекомендуемые шаги для обнаружения и смягчения последствий атак BlackCat.

Внесение файла-вымогателя в черный список и восстановление зараженных контроллеров домена являются важными шагами.

Скомпрометированные пароли пользователей, полученные из Alien Labs, могут помочь выявить потенциальные нарушения безопасности.

#ParsedReport #CompletenessLow
12-01-2024

Financial Fraud APK Campaign

https://unit42.paloaltonetworks.com/malicious-apks-steal-pii-from-chinese-users

Report completeness: Low

Threats:
Wildfire

Victims:
Chinese android users

Industry:
Financial

Geo:
Japanese, Chinese, Apac, Emea, Japan, China, America

ChatGPT TTPs:
do not use without manual check
T1192, T1371, T1137, T1406, T1003, T1071

IOCs:
Domain: 1
IP: 4
Url: 4
Hash: 5

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе семейства вредоносных файлов Android Package Kit (APK), нацеленных на китайских пользователей. Злоумышленники выдают себя за сотрудников правоохранительных органов и обманом заставляют жертв загружать вредоносное приложение, которое затем запрашивает конфиденциальную личную информацию для опустошения банковских счетов жертв. Метод доставки, по-видимому, является социальной инженерией, и злоумышленники используют тактику, обычно применяемую участниками угроз в Китае. Решения Palo Alto Networks в области кибербезопасности, такие как брандмауэр следующего поколения с облачными службами безопасности, обеспечивают защиту от этого вредоносного APK. В статье подчеркивается важность отказа от загрузки сторонних приложений из ненадежных источников и обмена конфиденциальной информацией с неизвестными источниками. Результаты были переданы Альянсу по борьбе с киберугрозами (CTA), чтобы обеспечить быстрое развертывание средств защиты и сбоев в работе против субъектов киберугроз.
-----

В тексте подчеркивается обнаружение семейства вредоносных файлов Android Package Kit (APK), предназначенных для китайских пользователей. Злоумышленники выдают себя за сотрудников правоохранительных органов и обманом заставляют жертв загружать вредоносное приложение под предлогом расследования их банковских транзакций. После установки приложение запрашивает конфиденциальную личную информацию, включая данные платежной карты, которую злоумышленники затем используют для обналичивания банковских счетов жертв. Активность, связанная с этими вредоносными APK-приложениями, была впервые обнаружена в ноябре 2022 года и резко возросла в сентябре 2023 года.

Образцы вредоносного ПО, вероятно, были получены жертвами из неофициальных сторонних источников, поскольку они не соответствовали официальным стандартам app Store. Методом доставки, скорее всего, была социальная инженерия, аналогичная тактике, используемой злоумышленниками в Китае. Вредоносное приложение под названием "Security Protection" запрашивало разрешение на совершение телефонных звонков и получение SMS-сообщений, эффективно блокируя любые оповещения о финансовом мошенничестве из законных источников.

Чтобы убедить жертв в легитимности приложения, злоумышленники предоставили номер судебного дела и сгенерировали поддельный юридический документ с именем жертвы. Затем они направляли жертв к загрузке полезной нагрузки следующего этапа, утверждая, что это необходимо для расследования их банковских транзакций и источника средств. Приложение поддерживало различные банковские учреждения, чтобы выглядеть более аутентично. Блокировка входящих звонков и сообщений затрудняла финансовым учреждениям контакт с жертвами и увеличивала вероятность того, что жертвы попадутся на удочку мошенников.

Брандмауэр нового поколения Palo Alto Networks с облачными службами безопасности, включая расширенный WildFire, защиту DNS и расширенную фильтрацию URL-адресов, обеспечил защиту от этого вредоносного APK. Песочница WildFire перехватила и предотвратила это конкретное семейство вредоносных программ, в то время как журналы динамического анализа выявили исходящие HTTP-соединения с удаленными конечными точками, связанными с вредоносным ПО. Множественные подключения к этим вредоносным IP-адресам и доменам в течение короткого периода времени служили индикаторами командно-контрольного трафика (C2), способствуя обнаружению и смягчению последствий.

Чтобы защититься от этой угрозы, в статье рекомендуется не загружать сторонние приложения из ненадежных источников и не делиться конфиденциальной информацией с неизвестными источниками. Клиенты Palo Alto Networks лучше защищены благодаря своим продуктам безопасности, которые включают расширенное предотвращение угроз и расширенную фильтрацию URL. Полученные результаты были переданы Альянсу по борьбе с киберугрозами (CTA) для содействия быстрому внедрению средств защиты и сбоев в работе от злоумышленников в киберпространстве.

#ParsedReport #CompletenessLow
12-01-2024

Rimasuta New Variant Switches to ChaCha20 Encryption Algorithm. Timeline

https://blog.xlab.qianxin.com/rimasuta-new-variant-switches-to-chacha20-encryption-en

Report completeness: Low

Threats:
Mirai

ChatGPT TTPs:
do not use without manual check
T1190, T1022, T1094, T1133, T1498, T1095

IOCs:
Hash: 1

Algorithms:
chacha20

Win Services:
bits

Languages:
javascript

Links:
https://github.com/rurban/fast-hash/blob/master/fasthash.c?ref=blog.xlab.qianxin.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ ботнета Rimasuta, разновидности вредоносного ПО Mirai. Ботнет эволюционировал и претерпел значительные изменения в структуре кода и функциональности. Он использует уязвимости, проводит DDoS-атаки и использует уникальные методы распространения. Конечная цель Rimasuta неясна, но, возможно, это создание своей прокси-сети. Пользователям рекомендуется отслеживать исходящий трафик по IP-адресу прокси-сервера Rimasuta и анализировать данные о трафике для домена Tor Rimasuta, чтобы обнаружить заражение. В анализе также обсуждается временная шкала Rimasuta и ее коммуникационный дизайн, включающий SOCKS5 с использованием метода Tor Proxy.
-----

Анализ сосредоточен на эволюции ботнета Rimasuta, который является разновидностью вредоносного ПО Mirai. Первоначально он назывался Mirai_ptea, но позже был изменен на Mirai_ptea_Rimasuta из-за недовольства автора. Было замечено, что ботнет использует уязвимости, проводит DDoS-атаки и использует уникальные методы распространения.

Анализ показывает, что Rimasuta претерпела значительные изменения в структуре кода и функциональности. Компания переработала свой алгоритм шифрования, теперь используя алгоритм ChaCha20, и обновила свой протокол связи Command and Control (C2). Ботнет также внес изменения в свою таблицу строк и включил сбор информации о пользователях в фазу согласования ключей. Конечная цель Rimasuta неясна, но, возможно, это создание своей прокси-сети.

Чтобы обнаружить заражение, пользователям рекомендуется отслеживать исходящий трафик по IP-адресу прокси-сервера Rimasuta и анализировать данные о трафике для домена Tor Rimasuta. Для этой цели приведен пример правила Snort.

В анализе обсуждается временная шкала Rimasuta, отмечается, что она была обнаружена в июне 2021 года и считалась недолговечной сетью зомби. Однако недавно она всплыла на поверхность с изменениями в алгоритмах шифрования, форматах протоколов и других аспектах. Ботнет по-прежнему использует прокси-сервер Tor для связи и использует протокол STUN для сбора информации о пользователях.

Коммуникационный дизайн Rimasuta предполагает непрямую связь с C2 с использованием метода "SOCKS5 с прокси-сервером Tor". Бот подключается к прокси-серверу и запрашивает подключение к случайно выбранному домену Tor из списка Tor. Согласование ключей происходит для шифрования и отправки пользовательской информации с использованием шифрования ChaCha20. C2 может расшифровать полученную информацию.

#ParsedReport #CompletenessHigh
12-01-2024

The Rising Threat of Pikabot

https://www.esentire.com/blog/the-rising-threat-of-pikabot

Report completeness: High

Threats:
Pikabot
Process_hollowing_technique
Anydesk_tool

Victims:
Manufacturing companies, Business service companies

Geo:
Russian, Emea, Africa, America, Apac, Ukrainian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1059.007, T1560.001, T1083, T1005, T1016, T1082, T1055.012, T1012, T1190, have more...

IOCs:
File: 4
Path: 1
Domain: 3
Url: 6
IP: 20
Hash: 2

Soft:
curl, Slack, Zoom

Algorithms:
zip, base64, aes, rc4

Languages:
python, javascript

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/PikaBot/Pikabot\_1-2-2024.yar
https://github.com/esThreatIntelligence/iocs/blob/main/PikaBot/PikaBot-1-2-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что eSentire Threat Response Unit (TRU) - это специализированная команда, нацеленная на повышение устойчивости организаций к киберугрозам. Они идентифицировали вредоносную программу Pikabot, которая распространяется через фишинговые электронные письма, содержащие вредоносные ZIP-архивы, и использует различные методы, такие как удаление процесса и шифрование. Пользователям важно быть осторожными при загрузке вложений и доступе к веб-сайтам, чтобы предотвратить использование злоумышленниками, которые часто используют целенаправленные подходы. TRU предоставляет правила Yara и индикаторы компрометации (IOCS), которые помогают обнаруживать и удалять заражения Pikabot.
-----

eSentire TRU - это команда, специализирующаяся на повышении устойчивости организаций к киберугрозам.

TRU состоит из квалифицированных охотников за угрозами и исследователей, которые вносят свой вклад в разработку моделей обнаружения угроз.

Команда проводит проактивную охоту за угрозами и использует глобальные проверки угроз, расследования и оригинальные исследования.

Они идентифицировали вредоносную программу Pikabot, которая распространяется через вложения электронной почты в виде ZIP-архивов.

Pikabot использует запутанный JavaScript и встроенное шифрование RC4, чтобы избежать анализа.

Вредоносная программа внедряется в процесс SearchProtocolHost.exe, используя удаление процесса.

Pikabot собирает информацию о хост-системе и передает ее на сервер управления.

Если системным языком является русский или украинский, Pikabot воздерживается от выполнения дальнейшего кода, предлагая целенаправленный подход.

Вредоносная программа создает значение мьютекса, чтобы предотвратить повторное заражение хоста.

Было замечено, что Pikabot распространяется путем бесплатной загрузки с вредоносного веб-сайта.

Вредоносная программа выдает себя за легальное программное обеспечение, такое как AnyDesk, Slack и Zoom, для распространения через вредоносную рекламу.

Злоумышленники используют социальную инженерию с помощью фишинговых писем с вредоносными ссылками для распространения Pikabot.

Важно информировать пользователей о рисках, связанных с нежелательными электронными письмами, и осторожной загрузке вложений.

Использование доверия представляет собой значительный риск, поскольку злоумышленники выдают себя за законные ресурсы.

Правила и индикаторы компрометации Yara (IOCs) могут помочь в обнаружении и удалении заражений Pikabot.

#ParsedReport #CompletenessHigh
12-01-2024

CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer Campaign

https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html

Report completeness: High

Threats:
Phemedrone
Dll_sideloading_technique
Vmprotect_tool
Donut

Industry:
Entertainment

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...

TTPs:

ChatGPT TTPs:
do not use without manual check
T1298, T1547, T1078, T1043, T1213, T1027, T1073, T1548, T1218.017, T1055, have more...

IOCs:
File: 16
Path: 3
Hash: 45
Url: 31
IP: 1

Soft:
Windows Defender SmartScreen, Telegram, Discord, Microsoft Windows Defender SmartScreen, Windows PowerShell, LastPass, KeePass, Telegram.Telegram

Wallets:
jaxx, electrum, guarda_wallet

Algorithms:
crc-32, lznt1, zip, base64, xor, rc4

Win API:
GetModuleHandleExW, GetModuleFileNameW, GetProcAddress, LoadLibraryA, lstrcatW, CreateDirectoryW, CreateFileW, GetFileSize, LocalAlloc, ReadFile, have more...

Languages:
jscript, powershell

Links:
https://github.com/TheWover/donut

#ParsedReport #ExtractedSchema

Classified images:
windows: 22, schema: 1, code: 10, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании Phemedrone Stealer, угрозы кибербезопасности, использующей уязвимость CVE-2023-36025. Этот похититель нацелен на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями, делая снимки экрана и собирая системную информацию, которая затем отправляется злоумышленникам. Phemedrone Stealer - это инструмент с открытым исходным кодом, доступный на GitHub и Telegram, что делает его широко доступным для злоумышленников. Несмотря на то, что уязвимость была исправлена, она по-прежнему используется различными вредоносными кампаниями. В статье подчеркивается важность использования комплексных решений для обеспечения безопасности и многоуровневой стратегии защиты для снижения этих рисков кибербезопасности.
-----

Важные факты из текста:.

Кампания по краже Phemedrone использует уязвимость CVE-2023-36025.

Уязвимость позволяет обходить предупреждения и проверки в SmartScreen Защитника Windows.

Компания Trend Micro обнаружила свидетельства активного использования этой уязвимости.

Phemedrone Stealer нацелен на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями.

Он делает снимки экрана, собирает системную информацию и отправляет украденные данные злоумышленникам.

Phemedrone Stealer - это программа для кражи данных с открытым исходным кодом, поддерживаемая на GitHub и Telegram.

Корпорация Майкрософт исправила эту уязвимость, но она все еще используется.

Вектор атаки включает размещение вредоносных файлов быстрого доступа к Интернету на таких платформах, как Discord или облачные сервисы, и обман пользователей с целью их открытия.

Загрузчик запутывается и загружает ZIP-файл с GitHub для выполнения следующего этапа атаки.

Файл wer.dll имеет решающее значение для функциональности загрузчика и упакован и защищен, чтобы избежать обнаружения.

Второй этап загрузки включает в себя расшифровку защищенного pdf-файла и использование загрузчика второго этапа под названием Donut.

Phemedrone Stealer нацелен на множество приложений и служб, собирая конфиденциальную информацию и отправляя ее злоумышленникам.

Несмотря на то, что уязвимость была исправлена, злоумышленники продолжают использовать ее в различных кампаниях вредоносного ПО.

Организациям рекомендуется использовать комплексные решения для обеспечения безопасности и многоуровневую стратегию защиты для снижения киберрисков.

#ParsedReport #CompletenessLow
12-01-2024

"Kyivstar debt", "SBU request": new UAC-0050 attack using RemcosRAT (CERT-UA#8338)

https://cert.gov.ua/article/6276824

Report completeness: Low

Actors/Campaigns:
Uac-0050

Threats:
Remcos_rat

Victims:
Kyivstar subscribers, Ukrainian government organizations

Industry:
Government

Geo:
Malaysian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1059.001, T1106, T1204, T1560, T1219, T1021, T1021.002

IOCs:
File: 16
Hash: 59
IP: 16
Registry: 4
Path: 3
Command: 11