#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6, dump: 2, table: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что вариант вредоносной программы Go Stealer используется для нападения на военно-воздушные силы Индии. Вредоносная программа распространяется через ZIP-файл с именем SU-30_Aircraft_Procurement, и злоумышленник может использовать спам-письма или другие каналы для распространения ссылки на вредоносное ПО. Предполагается, что мотивом атаки является приобретение министерством обороны Индии 12 истребителей Су-30 MKI. Вариант Go Stealer в этой атаке нацелен на несколько браузеров и осуществляет эксфильтрацию данных через Slack. Цель злоумышленника - украсть учетные данные для входа в систему и файлы cookie из определенных браузеров. Заражение вредоносным ПО инициируется через ссылку, распространяемую в спам-письмах или чатах. Полезная нагрузка Go Stealer представляет собой 64-разрядный исполняемый файл, который крадет данные из браузеров и использует Slack API для загрузки украденных данных. Этот конкретный вариант представляет потенциальную угрозу для сотрудников министерства обороны Индии, поскольку он фокусируется на краже точной и конфиденциальной информации.
-----

Важные факты из текста:.

Разновидность вредоносной программы Go Stealer нацелена на военно-воздушные силы Индии.

Вредоносная программа распространяется через ZIP-файл с именем SU-30_Aircraft_Procurement.

Злоумышленник может распространять ссылку на вредоносное ПО через спам-письма или другие каналы.

Атака использует одобрение министерством обороны Индии проекта по приобретению истребителей Су-30 MKI в качестве приманки.

Атака включает в себя последовательность файлов: ZIP-файл, ISO-файл, .lnk-файл и полезную нагрузку Go Stealer.

Вариант Go Stealer, используемый в этой атаке, может быть нацелен на несколько браузеров и осуществлять эксфильтрацию данных через Slack.

Вредоносная программа фокусируется на краже учетных данных для входа в систему и файлов cookie из определенных браузеров.

Вредоносная программа запускается по ссылке, распространяемой в спам-письмах или чатах.

Полезная нагрузка Go Stealer представляет собой 64-разрядный исполняемый файл на языке программирования Go, основанный на коде с открытым исходным кодом.

Украденные данные хранятся в файле JSON, и похититель использует Slack API для потенциальной эксфильтрации.

Вредоносная программа представляет угрозу для индийского оборонного персонала благодаря расширенным функциям и специфическому таргетингу на конфиденциальную информацию.

#ParsedReport #CompletenessLow
17-01-2024

Lazarus DLL-Side Loading (2)

https://asec.ahnlab.com/ko/60470

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Spear-phishing_technique
Supply_chain_technique
Lazarloader

Victims:
Domestic companies, Institutions, Think tanks

TTPs:

ChatGPT TTPs:
do not use without manual check
T1574.002, T1192, T1195

IOCs:
File: 3
Path: 2
Hash: 2

Win API:
GetSystemFirmwareTable

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что атакующая группа Lazarus использовала метод, называемый боковой загрузкой DLL, для выполнения вредоносного кода в целевых системах. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки DLL в одном и том же пути к папке, так что при запуске приложения вредоносная библиотека DLL выполняется первой. Конкретная атака, упомянутая в тексте, включала модификацию файлов DLL, ответственных за выполнение функций бэкдора. AhnLab Smart Defense infrastructure подтвердила использование группой Lazarus загрузки на стороне DLL и определила тип используемого вредоносного ПО.
-----

Атакующая группа Lazarus, известная своими атаками на отечественные компании, учреждения и аналитические центры, использовала метод, называемый боковой загрузкой DLL, для выполнения вредоносного кода. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки DLL в одном и том же пути к папке, так что при запуске приложения вредоносная библиотека DLL выполняется первой. 12 января 2024 года AhnLab Smart Defense infrastructure подтвердила использование Lazarus group загрузки на стороне DLL.

В ходе этой конкретной атаки группа Lazarus модифицировала два DLL-файла: wbemcomn.dll и netutils.dll. Эти модифицированные библиотеки DLL отвечают за выполнение функций бэкдора. wbemcomn.библиотека dll имеет процедуру проверки цели заражения, которая использует вызов API GetSystemFirmwareTable для получения информации, относящейся к конкретной системе. Затем эта информация используется для расшифровки зашифрованной строки в области ресурсов файла DLL. Расшифрованное значение соответствует пути к файлу, который загружается и используется для вредоносных действий. Это указывает на то, что атака специально разработана для работы только в определенной системе, поскольку информация о пути к файлу не может быть получена с помощью другой системной информации.

Lazarus group - очень опасная и глобально активная APT-группа, использующая различные векторы атак, включая точечный фишинг и атаки на цепочки поставок. AhnLab диагностировала этот тип вредоносного ПО, используемого Lazarus group.

#ParsedReport #CompletenessMedium
17-01-2024

New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs

https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs

Report completeness: Medium

Actors/Campaigns:
Charming_kitten

Threats:
Mediapl
Mischieftut
Nircmd_tool
Eyeglass

Industry:
Education, Military

Geo:
Israel, Iran, Tehran, Belgium, France

TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 8
File: 4
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, curl, Windows Media Player, Microsoft Edge

Algorithms:
base64, sha256, cbc, aes

Languages:
powershell

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft обнаружила киберкампанию под названием Mint Sandstorm, целью которой являются высокопоставленные лица в университетах и исследовательских организациях. Кампания использует сложные методы фишинга, скомпрометированные учетные записи электронной почты и пользовательские бэкдоры для кражи конфиденциальной информации у своих целей. Считается, что Mint Sandstorm связана с APT35 и Charming Kitten и имеет связи с военной разведкой Ирана. Microsoft предоставляет информацию об анализе, обнаружении и защите, чтобы помочь организациям защититься от этой угрозы. Кампания включает в себя новые тактики, такие как использование скомпрометированных учетных записей электронной почты, использование команды curl для подключения к серверу управления и предоставления пользовательского бэкдора под названием MediaPl. Кампания начинается с выдачи себя за известных лиц и использования вредоносных доменов для распространения вредоносных файлов. Mint Sandstorm также использует методы сохранения и использует пользовательские бэкдоры, такие как MediaPl и MischiefTut, для получения и поддержания удаленного доступа к целевым системам. Microsoft предлагает свой антивирус Defender и Defender for Endpoint в качестве решений для обнаружения и устранения этих угроз.
-----

Киберкампания, известная как Mint Sandstorm (PHOSPHORUS), нацелена на высокопоставленных лиц в университетах и исследовательских организациях во многих странах.

Mint Sandstorm использует сложные методы фишинга и пользовательские фишинговые приманки, отправляемые через скомпрометированные учетные записи электронной почты.

Кампания направлена на кражу конфиденциальной информации у особо ценных объектов, предоставляя информацию по вопросам безопасности и политики.

Mint Sandstorm имеет связи с APT35 и Charming Kitten, оба связаны с военной разведкой Ирана.

Мотивом кампании может быть сбор информации о войне Израиля и ХАМАСА.

Корпорация Майкрософт предоставляет информацию об анализе, обнаружении, поиске и защите, чтобы помочь организациям защититься от Mint Sandstorm.

Mint Sandstorm применяет новую тактику, в том числе использует скомпрометированные учетные записи электронной почты, использует команду curl для подключения к серверу управления и предоставляет пользовательский бэкдор под названием MediaPl.

Кампания начинается с того, что вы выдаете себя за известных людей и отправляете первоначальные безобидные электронные письма для укрепления доверия.

Вредоносный домен cloud-document-edit.onrender.com используется для размещения файла архива RAR, содержащего файл .pdf.lnk, который запускает загрузку вредоносных файлов.

Методы сохранения включают изменение разделов реестра и создание запланированных задач в целевой среде.

Бэкдор MediaPl замаскирован под проигрыватель Windows Media и взаимодействует с сервером управления.

Другим используемым бэкдором является MischiefTut, реализованный в PowerShell, способный проводить разведку и загружать дополнительные инструменты.

Возможности удаленного доступа Mint Sandstorm представляют значительную угрозу конфиденциальности системы с потенциальными юридическими и репутационными рисками для затронутых организаций.

Антивирус Microsoft Defender идентифицирует MediaPl и MischiefTut как вредоносные программы.

Корпорация Майкрософт предлагает средства обнаружения, оповещения, отчеты и рекомендуемые действия для защиты от Mint Sandstorm.

#ParsedReport #CompletenessLow
18-01-2024

Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

https://www.varonis.com/blog/outlook-vulnerability-and-new-ways-to-leak-ntlm-hashes

Report completeness: Low

Threats:
Mitm_technique

Industry:
Ics

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)


ChatGPT TTPs:
do not use without manual check
T1212, T1110, T1566, T1552, T1557.001

IOCs:
File: 2
Path: 1

Soft:
Outlook, Windows File Explorer, Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Varonis Threat Labs обнаружила новую уязвимость в Microsoft Outlook, а также эксплойты, нацеленные на Windows Performance Analyzer и Windows File Explorer. Эти уязвимости могут позволить злоумышленникам получить доступ к хэшированным паролям NTLM v2, потенциально ставя под угрозу учетные записи пользователей. Корпорация Майкрософт признала серьезность эксплойта Outlook и выпустила исправление для него, а также рекомендовала меры по защите от атак NTLM версии 2.
-----

Недавно Varonis Threat Labs обнаружила новую уязвимость в Microsoft Outlook (CVE-2023-35636), которая может быть использована для получения доступа к хэшированным паролям NTLM версии 2. Эта уязвимость, наряду с эксплойтами, предназначенными для Windows Performance Analyzer (WPA) и Windows File Explorer, может позволить злоумышленникам выполнять автономные атаки методом перебора или ретрансляции аутентификации для компрометации учетных записей пользователей.

В случае эксплойта Outlook злоумышленник добавляет два заголовка к электронному письму, инструктируя Outlook поделиться содержимым и связаться с указанным компьютером. Перехватив сообщение, злоумышленники могут получить хэш NTLM v2, используемый для аутентификации.

Для использования эксплойта WPA злоумышленники создают вредоносную ссылку, при нажатии на которую жертва перенаправляет их на полезную нагрузку, которая извлекает их хэшированный пароль NTLM v2. Эксплойт использует обработчик URI в операционной системе, направляя компьютер жертвы на доступ к компьютеру злоумышленника через SMB.

Аналогичным образом, эксплойт Windows File Explorer включает отправку вредоносной ссылки жертве, которая, щелкнув по ней, позволяет злоумышленнику получить хэш и попытаться взломать пароль пользователя в автономном режиме. Этот эксплойт использует доверенный характер проводника файлов Windows и может быть распространен различными способами, такими как фишинг по электронной почте или социальные сети.

Корпорация Майкрософт признала серьезность эксплойта Outlook, классифицировав его как важную уязвимость с рейтингом 6,5. 12 декабря 2023 года они выпустили исправление для CVE-2023-35636. Кроме того, Корпорация Майкрософт рекомендует меры по защите от атак NTLM версии 2, включая включение подписи SMB для обнаружения несанкционированного доступа к SMB-трафику и блокировку исходящего NTLM версии 2.

#ParsedReport #CompletenessMedium
19-01-2024

Russian threat group COLDRIVER expands its targeting of Western officials to include the use of malware

https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware

Report completeness: Medium

Actors/Campaigns:
Seaborgium (motivation: government_sponsored)

Threats:
Spica_backdoor
Scout

Victims:
High-profile individuals in ngos, Former intelligence and military officials, Nato governments

Industry:
Government, Military, Ngo

Geo:
Ukraine, Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1036, T1096, T1059, T1348, T1090, T1005, T1053

IOCs:
File: 1
IP: 1
Hash: 6
Url: 1

Soft:
Chrome, Opera, telegram

Algorithms:
zip, sha256

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что российская группа угроз, известная как COLDRIVER, нацелена на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительства стран НАТО. Первоначально они использовали фишинг с использованием учетных данных, но теперь расширили свою тактику, включив вредоносное ПО, распространяя его через PDF-документы. COLDRIVER использует учетные записи для олицетворения, чтобы установить доверительные отношения со своими целями перед запуском фишинговых кампаний. Они были нарушены командой безопасности TAG, которая добавила их известные домены и хэши в списки блокировок для безопасного просмотра. TAG заметил, что COLDRIVER отправляет зашифрованные PDF-документы адресатам и предоставляет ссылку на утилиту дешифрования, которая на самом деле является бэкдором под названием SPICA. SPICA позволяет COLDRIVER получить доступ к компьютеру жертвы и обеспечивает сохранение с помощью запутанной команды PowerShell. TAG подозревает, что SPICA используется, по крайней мере, с ноября 2022 года. TAG обнаружил несколько вариантов зашифрованной PDF-приманки и извлек один экземпляр SPICA. Они используют результаты своих исследований для улучшения продуктов Google и информируют целевых пользователей для повышения безопасности.
-----

Террористическая группа COLDRIVER, предположительно из России, нацелена на высокопоставленных лиц в неправительственных организациях, бывших сотрудников разведки и военных, а также правительства стран НАТО.

Изначально COLDRIVER фокусировался на фишинге учетных данных, но теперь использует вредоносное ПО, в частности бэкдор под названием SPICA.

Учетные записи для олицетворения используются COLDRIVER для установления доверительных отношений с целями перед запуском фишинговых кампаний.

Цели в первую очередь находятся в Украине, странах НАТО, академических институтах и НПО.

COLDRIVER распространяет вредоносное ПО через PDF-файлы в качестве документов-приманки.

Служба безопасности TAG прервала одну из кампаний COLDRIVER, добавив их известные домены и хэши в списки заблокированных для безопасного просмотра.

COLDRIVER отправляет целевым пользователям безопасные PDF-документы из учетных записей олицетворения, которые выглядят зашифрованными. Они предоставляют ссылку на утилиту для расшифровки, которая на самом деле является бэкдором SPICA.

SPICA, написанная на Rust, использует JSON поверх websockets для управления.

SPICA выполняет такие действия, как расшифровка встроенного PDF-файла, установление постоянства и ожидание команд от злоумышленников.

TAG подозревает, что использование SPICA датируется как минимум ноябрем 2022 года.

TAG обнаружил четыре различных варианта зашифрованного PDF-файла и извлек один экземпляр SPICA с именем "Proton-decrypter.exe.".

TAG добавляет идентифицированные вредоносные веб-сайты, домены и файлы в режим безопасного просмотра для защиты пользователей и информирует целевых пользователей Gmail и Workspace об активности злоумышленников, поддерживаемых правительством.

#ParsedReport #CompletenessMedium
18-01-2024

When the Hunter Becomes the Hunted

https://checkmarx.com/blog/when-the-hunter-becomes-the-hunted

Report completeness: Medium

Threats:
Supply_chain_technique
Metasploit_tool

ChatGPT TTPs:
do not use without manual check
T1195, T1212, T1053, T1064, T1204, T1105, T1128, T1011

IOCs:
Domain: 1
File: 1
Command: 1
Hash: 2
IP: 1
Url: 1

Soft:
Telegram, NET framework, Windows task scheduler

Algorithms:
xor, zip, sha256

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователь кибербезопасности анализирует вредоносный пакет Python из репозитория PyPI, который нацелен как на системы Windows, так и на Linux. Пакет крадет конфиденциальную информацию из веб-браузеров и загружает ее на сервер. Украденные данные включают файлы ярлыков, которые запускают вредоносный код при нажатии. Дальнейшее расследование показывает, что пакет содержит бэкдор, созданный с использованием платформы Metasploit, которая взаимодействует с обработчиком и извлекает данные. Этот инцидент подчеркивает риск появления вредоносных пакетов в цепочке поставок программного обеспечения и необходимость постоянной бдительности в области кибербезопасности.
-----

В этой статье исследователь кибербезопасности анализирует вредоносный пакет Python с именем "testfiwldsd21233s" из репозитория PyPI. Пакет способен нацеливаться как на системы на базе Windows, так и на Linux. В Windows он развертывает вредоносный исполняемый файл, в то время как в Linux он использует собственный код Python для работы в качестве вредоносного ПО для кражи данных. Пакет систематически собирает конфиденциальную информацию из веб-браузеров и сохраняет ее во временные файлы, которые затем загружаются на сервер. Украденные данные можно загрузить, используя жестко запрограммированный URL-адрес API Telegram-бота.

Любопытство исследователя заставляет их изучить отфильтрованные данные из пакета. Они обнаруживают, что данные включают файлы быстрого доступа с расширением ".lnk", которые потенциально могут выполнять вредоносный код при нажатии. Исследователи обнаруживают команду PowerShell в свойствах этих файлов, которая указывает, что при открытии любого из этих файлов команда будет выполнена. Они извлекают вредоносный исполняемый файл из одного из файлов быстрого доступа и анализируют его.

Вредоносный исполняемый файл идентифицируется как бэкдор, созданный с использованием платформы Metasploit framework. Он связывается с обработчиком по IP-адресу "128.199.113.162" и использует URL-адрес "hxxp://128.199.113.162/upwawsfrg.php" для эксфильтрации данных и получения других полезных данных.

Этот инцидент подчеркивает важность тщательной проверки компонентов или зависимостей в цепочке поставок программного обеспечения. Менеджеры пакетов с открытым исходным кодом могут стать мишенью для продвинутых постоянных угроз (APT) и других злоумышленников, которые отравляют их вредоносными пакетами. Организации любого размера могут быть уязвимы к таким нарушениям, которые могут иметь разрушительные последствия.

Обнаружение исследователем того, что он стал мишенью злоумышленника, придает истории неожиданный поворот. Это превращает анализ нарушения кибербезопасности в битву умов между исследователем и хакером. Это демонстрирует необходимость постоянной бдительности в области кибербезопасности и подчеркивает важность упреждающего мониторинга и обнаружения подозрительных действий в экосистеме программного обеспечения.

#ParsedReport #CompletenessLow
18-01-2024

Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

https://www.varonis.com/blog/outlook-vulnerability-new-ways-to-leak-ntlm-hashes

Report completeness: Low

Threats:
Mitm_technique

Industry:
Ics

CVEs:
CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1558, T1110, T1212, T1562, T1222, T1134

IOCs:
File: 2
Path: 1

Soft:
Outlook, Windows File Explorer, Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4