#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 23, windows: 3, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста заключается в том, что организация Lazarus, высокоактивная и изощренная группа по борьбе с киберугрозами, осуществила кибератаку, вооружив программу чтения SumatraPDF. Атака заключалась в установлении доверия с пользователями на социальных платформах и обманом вынудила их выполнить вредоносный код. Анализ показывает, что этот метод атаки соответствует историческим моделям поведения группы Lazarus, известной тем, что использует проекты с открытым исходным кодом в качестве оружия. Для защиты от таких атак предоставляются специальные рекомендации по предотвращению и устранению неполадок. Атака подчеркивает угрозу, исходящую от надежных проектов с открытым исходным кодом, используемых в качестве средств для кибератак. Основной целью атаки была кража важной пользовательской информации. Злоумышленники продемонстрировали передовые технические возможности и сложные стратегии, продемонстрировав свой профессионализм и техническую компетентность.
-----

Организация Lazarus, также известная как APT-C-26, является высокоактивной группой продвинутых постоянных угроз, известной своими изощренными методами атак.

Для осуществления кибератаки злоумышленники использовали вооруженный SumatraPDF Reader, проект с открытым исходным кодом.

Метод атаки соответствует исторической модели поведения группы Lazarus, что указывает на их причастность.

Социальные платформы использовались злоумышленниками для установления доверительных отношений с пользователями и обманом заставить их выполнить вредоносный код.

Для защиты от таких атак предоставляются специальные рекомендации по профилактике и устранению неполадок.

Организация Lazarus в первую очередь нацелена на финансовые учреждения и криптовалютные биржи, стремясь незаконно получить средства и украсть конфиденциальную информацию.

Злоумышленники устанавливают доверительные отношения с пользователем через Telegram и отправляют защищенные PDF-документы через модифицированный ридер SumatraPDF.

Внедренный вредоносный код запускает серию вредоносных действий, оставаясь незамеченным, несмотря на его передовые технические возможности.

Вооруженный считыватель SumatraPDF расшифровывает и высвобождает другие вредоносные полезные файлы, а для загрузки других полезных файлов выполняется вредоносный код типа downloader.

Анализ выявляет профессионализм и техническую компетентность злоумышленника в области передачи данных и управления ими, повышая устойчивость атаки и предоставляя злоумышленнику обратную связь в режиме реального времени.

#ParsedReport #CompletenessLow
29-01-2024

Attackers installing Linux backdoor accounts

https://asec.ahnlab.com/ko/60979

Report completeness: Low

Actors/Campaigns:
Kimsuky
Kono_dio_da

Threats:
Xmrig_miner
Tsunami_botnet
Shellbot
Logcleaner_tool

Victims:
Improperly managed linux systems

ChatGPT TTPs:
do not use without manual check
T1110, T1078, T1486, T1078.003, T1505.003, T1070, T1071, T1219, T1059

IOCs:
IP: 9

Soft:
task scheduler, ntab -l #, -l # w #, hadoop

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует постоянная атака на системы Linux через SSH, в первую очередь нацеленная на системы с паролями по умолчанию или слабыми паролями. Злоумышленники получают доступ к этим системам и устанавливают различные типы вредоносных программ, включая червей, майнеров монет и DDoS-ботов. Вместо установки вредоносного ПО некоторые злоумышленники создают бэкдорные учетные записи, чтобы сохранить контроль над зараженной системой. Они также используют методы сохранения, чтобы гарантировать, что их код запускается даже после перезагрузки. Злоумышленники сканируют серверы со службами SSH, активированными на порту 22, и используют атаки методом перебора или по словарю для получения действительных учетных данных. Важно внедрять меры безопасности, такие как брандмауэры и современные продукты безопасности, для защиты этих систем от таких атак.
-----

Аналитический центр безопасности AhnLab (ASEC) отслеживает атаки на системы Linux с помощью Linux SSH honeypot.

Атаки в первую очередь нацелены на неправильно управляемые системы Linux с паролями по умолчанию или ненадежными.

Злоумышленники используют атаки методом перебора или по словарю, чтобы получить доступ и установить вредоносные программы, такие как черви, майнеры монет и DDoS-боты.

Определенный тип атаки направлен на создание бэкдорных учетных записей вместо установки вредоносного ПО.

Злоумышленники добавляют новые учетные записи, меняют пароль учетной записи root или используют регистрацию SSH-ключа, чтобы получить контроль над зараженными системами.

Злоумышленники могут устанавливать различные вредоносные коды, включая программы-вымогатели, майнеры монет и DDoS-боты.

Методы сохранения используются для поддержания контроля, такие как регистрация в разделах системного реестра и создание учетных записей бэкдора.

Kimsuky threat group использует RDP для управления системами Windows и создания скрытых учетных записей.

Злоумышленники сканируют службы SSH на порту 22 и используют атаки методом перебора или по словарю для получения действительных учетных данных.

Автоматизированные скрипты используются для добавления бэкдорных учетных записей и изменения паролей учетных записей root.

Злоумышленники могут вставить открытые ключи SSH для входа в систему, используя скомпрометированные или вновь созданные учетные записи.

Учетные записи бэкдоров и SSH-ключи могут использоваться отдельно или в сочетании с другими вредоносными программами.

Атака KONO DIO DA добавила открытый ключ SSH вместе с установкой XMRig coin miner.

Злоумышленники используют сжатые файлы и вредоносные скрипты Bash для установки открытых ключей SSH во время атак.

Постоянно наблюдались атаки, нацеленные на уязвимые SSH-серверы Linux с использованием бэкдорных учетных записей.

Бэкдор-аккаунты позволяют злоумышленникам не только устанавливать вредоносные программы, но и потенциально продавать их в темной сети.

Меры безопасности, такие как брандмауэры, современные продукты безопасности и меры предосторожности против заражения вредоносными программами, имеют решающее значение для защиты системы.

#ParsedReport #CompletenessLow
29-01-2024

Stately Taurus Targets Myanmar Amidst Concerns over Military Junta s Handling of Rebel Attacks

https://csirt-cti.net/2024/01/23/stately-taurus-targets-myanmar

Report completeness: Low

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Pubload
Plugx_rat
Toneshell

Victims:
Myanmar ministry of defence and foreign affairs

Industry:
Military, Government

Geo:
America, Philippines, Asia, Myanmar, Asian, American, Malaysia, China, Chinese

ChatGPT TTPs:
do not use without manual check
T1078, T1001, T1105, T1005, T1118, T1060, T1038, T1158, T1085, T1032, have more...

IOCs:
Path: 2
IP: 3
File: 3
Hash: 7

Algorithms:
zip, rc4

Functions:
GetCurrentRollback, GetCurrentDeploy

Links:
https://github.com/Matmaus/LnkParse3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что были проведены две киберкампании, направленные против Министерства обороны и иностранных дел Мьянмы, которые были приписаны китайской группе Advanced Persistent Threat (APT), известной как Stately Taurus. В этих кампаниях использовались такие методы, как перехват заказа на поиск библиотеки DLL, развертывание имплантата PlugX и связь с определенными серверами C2. Сходство между кампаниями и предыдущей инфраструктурой, связанной с Stately Taurus, убедительно свидетельствует об их принадлежности. Эти нападения совпадают с действиями повстанцев на севере Мьянмы, и рекомендуется принять контрмеры против этой экстремистской группировки.
-----

В тексте описываются две киберкампании, направленные против Министерства обороны и иностранных дел Мьянмы. Кампании были приписаны китайской группе Advanced Persistent Threat (APT), известной как Stately Taurus. Первая кампания была замечена 9 ноября 2023 года и была обнаружена с помощью вредоносного архива, отправленного в VirusTotal. Исполнитель угрозы использовал перехват порядка поиска DLL для загрузки вредоносной библиотеки DLL после выполнения двоичного файла-приманки. Вредоносная программа добилась сохранения, скопировав себя и библиотеку DLL в "C:\ProgramData\gameinstall" и создав ключ автозапуска. Она связалась с сервером C2 по IP-адресу 123.253.32.15, замаскировав трафик под трафик обновления Microsoft.

Вторая кампания проводилась 17 января 2024 года и включала в себя использование образа оптического диска (ISO), содержащего ярлыки LNK. Эта кампания проводилась по методологии, аналогичной первой, с использованием имплантата PlugX. Способ доставки соответствовал вредоносной программе TONESHELL, задокументированной TrendMicro. Вредоносная программа попыталась установить связь с двумя серверами C2 по IP-адресам 103.159.132.80 и 37.120.222.19. Однако на момент написания статьи эти серверы не отвечали.

Несмотря на невозможность исследовать этап внедрения PlugX во второй кампании, сходство между двумя кампаниями позволяет с высокой степенью уверенности отнести их к Stately Taurus. Обе кампании использовали перехват порядка поиска DLL и создали ключи автозапуска с похожими схемами именования для сохранения. Двоичный код, проверяющий аргументы командной строки, также содержал общий код и типографские ошибки.

Анализ серверов C2 показал, что для каждого хоста были зарегистрированы разные сертификаты, но они имели одно и то же общее имя и находились в одной автономной системе. Эти результаты согласуются с предыдущими публикациями, документирующими инфраструктуру, связанную с Stately Taurus.

Нападения совпадают с нападениями этнических повстанцев на севере Мьянмы со стороны Альянса трех братьев (3BHA), который захватывает аванпосты и военные позиции хунты. Китай выразил обеспокоенность по поводу этих нападений, поскольку они могут повлиять на торговые пути и безопасность вдоль границы между Мьянмой и Китаем.

Основываясь на исторических отчетах и сходствах в тактике, методах и процедурах (TTP), весьма вероятно, что эти атаки могут быть приписаны Stately Taurus. У группы есть история нападений на азиатские страны, включая Мьянму, в соответствии с геополитическими интересами правительства Китая. Рекомендуется принять контрмеры для защиты от этой группы APT, поскольку они также нацелены на страны Европы и Северной Америки.

#ParsedReport #CompletenessHigh
29-01-2024

PikaBot Rising. Distribution Mechanisms

https://blog.pulsedive.com/pikabot

Report completeness: High

Threats:
Pikabot
Qakbot
Dll_sideloading_technique
Process_hollowing_technique
Lolbin_technique
Anydesk_tool
Antidebugging_technique

Geo:
Georgian, Ukrainian, Slovenian, Russian, Belarusian

TTPs:
Tactics: 7
Technics: 20

IOCs:
IP: 4
File: 4
Hash: 1

Algorithms:
zip

Functions:
GetUserDefaultLandID

Win API:
GetProcAddress, LoadLibraryA, CheckRemoteDebuggerPresent, IsDebuggerPresent, beep, NtGlobalFlag, NtQueryInformationProcess, GetWriteWatch, GlobalMemoryStatusEx, GetUserDefaultLangID, have more...

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Pikabot - это известная вредоносная программа-загрузчик, которая распространяется с начала 2023 года. В основном она распространяется через спам-письма, использует перехваченные потоки электронной почты и может быть загружена через вложения или ссылки. Pikabot позволяет злоумышленникам удаленно выполнять команды, собирать разведывательные данные и проникать в скомпрометированные системы с помощью дополнительных инструментов. Он распространяется через malspam и кампании по вредоносной рекламе, используя различные маскировки, такие как JavaScript, ZIP-архивы, IMG или PDF-файлы. Вредоносная программа использует методы антианализа, чтобы избежать обнаружения и затруднить анализ. После активации Pikabot устанавливает соединения с сервером команд и контроля и выполняет команды для сбора дополнительной информации о скомпрометированном хосте.
-----

Pikabot - это вредоносная программа-загрузчик, распространенность которой растет с начала 2023 года. В основном она распространяется через спам-рассылки, используя перехваченные потоки электронной почты для доставки вложений или ссылок для скачивания. Вредоносная программа приобрела популярность после удаления Qakbot в августе 2023 года.

Pikabot - это новый загрузчик, который предоставляет злоумышленникам возможности удаленного выполнения команд, позволяя им собирать разведывательную информацию или внедрять дополнительные инструменты в скомпрометированные системы. Было замечено, что он распространяется через кампании malspam и malvertising.

В кампаниях malspam Pikabot часто запускается с файла JavaScript или ZIP-архива, содержащего файл IMG или PDF. Файл JavaScript используется для загрузки и выполнения полезной нагрузки второго этапа, в то время как файл IMG содержит файл LNK, маскирующийся под документ Word, и библиотеку DLL Pikabot. Для файлов PDF он служит приманкой для загрузки образца библиотеки DLL. DLL-файл выполняется с использованием LOLBIN, rundll32.exe.

Вредоносные рекламные кампании также использовались для распространения Pikabot, причем один экземпляр выдавал себя за инструмент удаленного доступа AnyDesk. Платная реклама использовалась для отображения вверху результатов поиска Google, перенаправляя пользователей на страницу, имитирующую веб-сайт AnyDesk. На этой странице был размещен вредоносный msi-файл, который запускал Pikabot с использованием методов опустошения процесса.

Образцы Pikabot используют различные методы антианализа, чтобы избежать обнаружения и усложнить анализ. Он запускает обработчики исключений, проверяет наличие отладчиков, использующих определенные API, загружает ненужные библиотеки, задерживает выполнение и использует другие тактики, препятствующие отладке и анализу. Он также выполняет проверки на основе системного языка, завершая их, если системный язык соответствует определенным странам или регионам.

После завершения проверок на предмет защиты от анализа Pikabot устанавливает соединения с сервером команд и контроля и выполняет команды для сбора дополнительной информации о скомпрометированном хосте. Эти команды включают сбор сетевой информации с помощью ipconfig.exe и сбор пользовательской информации с помощью whoami.exe.

#ParsedReport #CompletenessMedium
30-01-2024

Security Brief: Tis the Season for Tax Hax

https://www.proofpoint.com/us/blog/threat-insight/security-brief-tis-season-tax-hax

Report completeness: Medium

Actors/Campaigns:
Ta576 (motivation: financially_motivated, cyber_criminal)
Ta558

Threats:
Lolbas_technique
Heavens_gate_technique
Parallax_rat

Victims:
Accounting and finance organizations, Legal industries

Industry:
Financial

Geo:
America

ChatGPT TTPs:
do not use without manual check
T1566, T1568, T1112, T1219, T1574, T1086, T1064, T1552

IOCs:
File: 1
Email: 1
Url: 8
IP: 1
Hash: 1

Soft:
Microsoft Word

Algorithms:
aes, sha256, zip

Win API:
decompress

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует субъект киберпреступной угрозы под названием TA576, который нацелен на бухгалтерские и финансовые организации, особенно во время налогового сезона в США. Они используют кампании по электронной почте небольшого объема и используют трояны удаленного доступа (RATs) в качестве основного метода атаки. Злоумышленник компрометирует учетные записи электронной почты и использует недавно зарегистрированный домен для легитимности. Они также используют приманки на налоговую тематику, чтобы запросить помощь в подготовке налогов. Цепочка атак TA576 включает в себя различные тактики и приемы, включая использование URL-адресов web.app, ZIP-файлов, LNK-файлов, сценариев PowerShell и методов living off the land binary и script (LOLBAS). Недавно они начали использовать Parallax RAT в качестве полезной нагрузки. Proofpoint отслеживает TA576 с 2018 года и обнаружила, что они нацелены на бухгалтерию, финансы и юридические услуги. Кампании, проведенные TA576 во время налогового сезона, указывают на то, что другие участники угроз могут использовать схожие темы. Цепочка атак TA576 демонстрирует растущую тенденцию среди киберпреступников, демонстрируя творческий подход и эксперименты в разработке цепочек атак.
-----

TA576 - это субъект киберпреступной угрозы, который специально нацелен на бухгалтерские и финансовые организации, в первую очередь во время налогового сезона в Соединенных Штатах. Они используют кампании по электронной почте небольшого объема для распространения троянов удаленного доступа (RATs) в качестве основного метода атаки. Чтобы создать ощущение законности, злоумышленник компрометирует учетные записи электронной почты и использует недавно зарегистрированный домен в качестве адреса для ответа. Они также используют приманки налоговой тематики, чтобы запросить помощь в подготовке налоговой декларации.

Цепочка атак TA576 включает в себя несколько тактик и приемов. Они используют URL-адрес web.app, ZIP-файлы, LNK-файлы, скрипты PowerShell и методы living off the land binary и script (LOLBAS). Полезная нагрузка доставляется через HTA-файл, который загружает исполняемый файл в папку %appdata% и выполняет его. Примечательно, что в своих кампаниях 2024 года TA576 начала использовать Parallax RAT в качестве полезной нагрузки, что является новой разработкой. Эта цепочка атак, сочетающая методы LOLBAS и несколько сценариев PowerShell, отличает их от предыдущих кампаний, в которых использовались другие типы полезной нагрузки.

Proofpoint отслеживает TA576 с 2018 года, отслеживая методы создания спам-рассылок, использование вредоносных программ, способы доставки и другие идентифицируемые характеристики. Хотя злоумышленник в первую очередь нацелен на бухгалтерские и финансовые организации, также было замечено, что он нацелен на смежные отрасли, такие как юридические услуги. Неясно, каковы их точные цели после получения доступа к целевым организациям.

Ежегодные кампании на налоговую тематику, проводимые TA576, служат напоминанием о том, что киберпреступники используют сезонные мероприятия для осуществления своей деятельности. Это также служит ранним показателем того, что другие участники угроз могут использовать аналогичные темы в течение налогового сезона. Фактически, Proofpoint уже наблюдал за другим субъектом угрозы, TA558, и другими кластерами угроз, не имеющими атрибутов, включающими налоговую тематику в свои кампании. Ожидается, что другие субъекты последуют этому примеру, по крайней мере, до апреля 2024 года.

Цепочка атак TA576 демонстрирует растущую тенденцию среди киберпреступников. Они используют такие методы поведения, как "жизнь за пределами земли", которые предполагают использование существующих сценариев и служб на скомпрометированном хосте для вредоносных целей. Кроме того, они объединяют несколько сценариев PowerShell перед выполнением окончательной полезной нагрузки. Это демонстрирует их творческий подход и эксперименты в разработке цепочек атак.

#ParsedReport #CompletenessLow
29-01-2024

Shortcut To Malice: URL Files

https://inquest.net/blog/shortcut-to-malice-url-files

Report completeness: Low

Threats:
Netsupportmanager_rat
Darkgate
Phemedrone
Motw_bypass_technique
Quant_loader
Dll_sideloading_technique
Dbatloader
Remcos_rat
Formbook
Fakesg
Romcom_rat
4shared

Industry:
Financial, Education, Healthcare

CVEs:
CVE-2016-3353 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.3
X-Force: Patch: Official fix
Soft:
- microsoft internet explorer (10, 11, 9)

CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft office (2019, 2021)
- microsoft word (2013, 2016)
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1078, T1195, T1068, T1068, T1064, T1574.002, T1023, T1068

IOCs:
Hash: 1
File: 2

Soft:
Windows Shell, internet explorer

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что файлы URL, также известные как файлы быстрого доступа в Интернет, могут использоваться киберпреступниками для создания значительных угроз безопасности. Эти файлы использовались в недавних кампаниях по борьбе с угрозами для распространения вредоносных программ и выполнения вредоносных действий в системах. Организациям рекомендуется принимать такие меры, как мониторинг и блокирование доступа к удаленно размещенным файлам URL-адресов, проверка URL-адресов на наличие аномалий и использование передовых технологий проверки файлов для снижения этих рисков.
-----

Файлы URL-адресов, также известные как файлы быстрого доступа в Интернет, могут представлять угрозу безопасности.

InQuest специализируется на выявлении угроз кибербезопасности и противодействии им, связанных со злоупотреблением сложными типами файлов.

Злоумышленники используют сложную систему обмена файлами для нацеливания на отдельных лиц и организации.

Недавние кампании по борьбе с угрозами включали использование файлов URL-адресов и использовали уязвимость Windows.

Microsoft устранила аналогичную уязвимость в Internet Explorer в 2016 году.

Файлами URL можно злоупотреблять с помощью сторонней загрузки библиотеки DLL и использовать в качестве ярлыков для выполнения вредоносных действий.

Различные кампании по распространению вредоносных программ использовали URL-файлы для распространения.

Чтобы снизить риски, организациям следует отслеживать и блокировать доступ к удаленно размещенным файлам URL-адресов, анализировать URL-адреса на наличие аномалий, проверять исходящие сеансы SMB и WebDAV и блокировать подключения к внешним службам SMB.

FileTAC от InQuest может помочь более эффективно обнаруживать и разоблачать файловые атаки.

Даррен Спруэлл возглавляет отдел разведки угроз в InQuest и имеет опыт работы во многих областях кибербезопасности.

#ParsedReport #CompletenessLow
30-01-2024

Pythons Byte: The Rise of Scripted Ransomware. Python s Byte: The Rise of Scripted Ransomware

https://labs.k7computing.com/index.php/pythons-byte-the-rise-of-scripted-ransomware

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1204, T1140, T1064, T1486, T1036, T1083, T1165, T1078, T1566

IOCs:
File: 2
Path: 2
Hash: 1

Soft:
Microsoft Visual C++

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4