#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста - анализ атаки программы-вымогателя, закодированной на Python и замаскированной под PDF-файл. Анализ раскрывает исходный код и функциональность программы-вымогателя, включая сбор информации, шифрование файлов с использованием алгоритма Fernet и отображение всплывающих сообщений жертвам. В тексте подчеркивается использование Python в качестве инструмента для написания программ-вымогателей и важность строгих мер кибербезопасности и бдительности пользователей для предотвращения подобных атак.
-----

В этом блоге автор обсуждает конкретную атаку программы-вымогателя, которая привлекла их внимание. Программа-вымогатель закодирована на Python, который является широко используемым языком программирования. Анализ показывает, что программа-вымогатель на самом деле представляет собой исполняемый файл, скомпилированный в Microsoft Visual C++. Исполняемый файл отображается в виде значка PDF, маскирующего его вредоносные намерения.

При дальнейшем исследовании файлы Python извлекаются из исполняемого файла с помощью инструмента под названием pyintextractor. Основной исходный код находится в файле с именем grinchv3.pyc. Все функции в коде Python поддерживаются в рамках одного класса с именем "sweet".

Функция __init__ класса "sweet" отвечает за сбор информации, необходимой для выполнения программы-вымогателя. Это включает в себя выборку текущего пользователя компьютера-жертвы, сканирование разделов диска от A:\ до Z:\ и определение типов файлов для шифрования.

Чтобы обеспечить постоянство, программа-вымогатель самокопирует себя в папку автозагрузки. Как только это будет сделано и проблем с правами доступа не возникнет, функция get_asset просканирует все настроенные диски и добавит текстовый файл с именем UNLOCK MY FILES.txt в каждый отсканированный каталог. Содержимое этого файла информирует жертву о шифровании и о том, как разблокировать их файлы.

Программа-вымогатель использует алгоритм шифрования симметричным ключом Fernet для шифрования данных жертвы. Fernet - это функция, доступная в модуле криптографии Python. После шифрования всех пользовательских данных жертве отображается всплывающее сообщение, уведомляющее их о шифровании файла. Это сообщение отображается десять раз, прежде чем вредоносная программа перейдет в спящий режим.

Программы-вымогатели часто получают доступ к системам через фишинговые электронные письма, вредоносные вложения или скомпрометированные веб-сайты. Пользователи неосознанно загружают и запускают полезную нагрузку программы-вымогателя, позволяя ей проникнуть в их систему.

Этот анализ подчеркивает использование Python в качестве инструмента для написания программ-вымогателей, демонстрируя необходимость принятия строгих мер кибербезопасности и бдительности пользователей для предотвращения подобных атак.

#ParsedReport #CompletenessHigh
30-01-2024

Unmasking a Financial Services Intrusion: REF0657

https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657

Report completeness: High

Actors/Campaigns:
Ref0657

Threats:
Cobalt_strike
Supershell
Dll_sideloading_technique
Beacon
Passthehash_technique
Rakshasa_tool
Upx_tool

Victims:
Financial services organization in south asia

Industry:
Financial

Geo:
Asia, Chinese

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 18
IP: 7
Domain: 1
Registry: 1
Command: 2
Path: 4
Hash: 2

Soft:
Microsoft SQL Server, MSSQL, Windows service, Windows Firewall, NET Framework, Kibana

Algorithms:
sha256, base64, zip, xor

Functions:
DownloadFile

Languages:
golang, powershell

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_suspicious\_powershell\_execution.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_execution\_via\_renamed\_signed\_binary\_proxy.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/lateral\_movement\_potential\_lateral\_movement\_via\_smbexec.toml
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Multi\_Hacktool\_Rakshasa.yar
https://github.com/EddieIvan01/iox
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Hacktool\_Iox.yar
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Multi\_Hacktool\_Nps.yar
https://github.com/ShadowMccc/MemoryEvasion
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Hacktool\_SleepObfLoader.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_rundll32\_with\_unusual\_arguments.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/command\_and\_control\_ingress\_tool\_transfer\_via\_inet\_cache.toml
https://github.com/tdragon6/Supershell/tree/main
https://github.com/elastic/labs-releases/tree/main/indicators/ref0657
https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.md#abusing-ssrf-in-aws-ec2-environment
https://github.com/tutorial0/WebShell/blob/master/Aspx/ASPXspy.aspx
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_CobaltStrike.yar
https://github.com/ehang-io/nps/tree/master
https://github.com/Mob2003/rakshasa
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_windows\_error\_manager.toml
https://github.com/L-codes/Neo-reGeorg/blob/master/templates/tunnel.ashx
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_suspicious\_cmd\_execution\_via\_wmi.toml

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 3, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Elastic Security Labs обнаружила целенаправленное вторжение в индустрию финансовых услуг в Южной Азии. Группа угроз, стоящая за вторжением, использовала различные инструменты и методы с открытым исходным кодом, такие как обнаружение/перечисление, методы постэксплуатации и туннелирование. Они получили первоначальный доступ с помощью таких методов, как certutil.exe, bitsadmin.exe и метод PowerShell DownloadFile(), и использовали Cobalt Strike для командования и контроля. Злоумышленник также использовал методы боковой загрузки, включил режим ограниченного администрирования и использовал предупреждения о внедрении шеллкода для атак с передачей хэша. Они использовали прокси-инструменты, такие как Rakshasa и ICMP-туннелирование, а также китайскую платформу C2 под названием Supershell panel. Elastic Security Labs проанализировала тактику и методы, используя платформу MITRE ATT&CK framework.
-----

В декабре 2023 года Elastic Security Labs обнаружила целенаправленное вторжение в сферу финансовых услуг в Южной Азии. Группа угроз, стоящая за этим вторжением, использовала разнообразный набор инструментов с открытым исходным кодом и методов последующей эксплуатации. Они занимались такими действиями, как обнаружение/перечисление, использовали внутреннее корпоративное программное обеспечение против жертвы и использовали туннелеры и методы боковой загрузки для выполнения Cobalt Strike. Злоумышленник также использовал файлообменный сервис Mega для извлечения данных из сети.

Первоначальный доступ был получен различными способами, включая использование метода certutil.exe, bitsadmin.exe и PowerShell DownloadFile(). Затем злоумышленник перешел к использованию Cobalt Strike для командования и контроля (C2) и дальнейшего выполнения. Они загрузили вредоносную библиотеку DLL (msvcp140.dll) в законно подписанную версию Trend Micro Deep Security Monitor (ds_monitor.exe). Это позволило им загрузить Cobalt Strike и установить соединение с сервером C2.

Злоумышленник также включил режим ограниченного администрирования посредством модификации реестра, что позволило ему проводить атаки в стиле передачи хэша против протокола удаленного рабочего стола (RDP). Они генерировали предупреждения о внедрении шеллкода с помощью AppLaunch.exe и сохраняли результаты в файле с именем 1.txt. Введенный шелл-код был идентифицирован как двоичный файл Golang под названием iox, предназначенный для переадресации портов и проксирования с возможностью шифрования трафика.

Злоумышленник использовал различные инструменты прокси и методы туннелирования на протяжении всего вторжения. Они использовали прокси, известный как Rakshasa, загруженный с его официальной страницы на GitHub, для создания туннеля, подключающегося к определенным IP-адресам. Они также использовали туннелирование ICMP для отправки и извлечения данных из сети. Кроме того, команда наблюдала за использованием Supershell panel, китайской платформы C2, работающей по определенному IP-адресу.

Методы, наблюдаемые в рамках этой тактики, включали бэкдор-доступ с использованием Microsoft SQL Server, сброс учетных данных, очистку журнала событий, эксфильтрацию с использованием Mega CMD, а также различные сетевые туннелеры и прокси-инструменты.

#ParsedReport #CompletenessMedium
30-01-2024

CrackedCantil: A Malware Symphony Breakdown

https://any.run/cybersecurity-blog/crackedcantil-breakdown

Report completeness: Medium

Threats:
Crackedcantil
Privateloader
Smokeloader
Lumma_stealer
Redline_stealer
Riseprostealer
Amadey
Stealc
Socks5_systemz
Viper
Havoc
Sock5systemz
Vidar_stealer
Raccoon_stealer

Industry:
Chemical

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 50
Url: 6
Path: 30
IP: 40
Domain: 8
Registry: 1
Hash: 8

Soft:
Google Chrome, Chrome, Windows Defender, Task Scheduler, Windows Task Scheduler, Telegram, Mozilla Firefox, NET Framework, Windows Registry

Wallets:
harmony_wallet

Algorithms:
aes-256, md5, base64, salsa20

Languages:
php, powershell

Platforms:
amd64, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основной идеей этого текста является анализ вредоносной программы под названием CrackedCantil, которая состоит из различных компонентов, работающих вместе для выполнения различных вредоносных действий. Вредоносное ПО включает в себя загрузчики, такие как PrivateLoader и Smoke, инфостилеры, такие как Lumma, RedLine, RisePro, Amadey и Stealc, вредоносное ПО для прокси-ботов под названием Socks5Systemz и программу-вымогатель STOP. Автор подчеркивает опасность взломанного программного обеспечения как распространенного средства заражения этой вредоносной программой, выделяя характеристики и поведение каждого компонента, участвующего в этой организованной вредоносной кампании.
-----

В этом сообщении в блоге автор обсуждает недавний случай вредоносного ПО под названием CrackedCantil. Они объясняют, что различные семейства вредоносных программ могут работать вместе скоординированным образом, подобно инструментам в оркестре. Вредоносная программа CrackedCantil включает в себя различные компоненты, такие как загрузчики, инфокрады, криптоминеры, вредоносные программы для прокси-ботов и программы-вымогатели.

Загрузчиками, задействованными в вредоносном ПО CrackedCantil, являются PrivateLoader и Smoke. PrivateLoader известен распространением различных типов вредоносных программ и обычно распространяется через взломанное программное обеспечение. Smoke, с другой стороны, представляет собой модульную вредоносную программу, которая загружает другие вредоносные программы и крадет информацию. Он может имитировать законные процессы и внедрять вредоносный код в системные процессы.

Среди взломщиков вредоносной программы CrackedCantil - Lumma, RedLine, RisePro, Amadey и Stealc. Lumma - это программа для кражи информации, которая нацелена на широкий спектр систем и крадет конфиденциальную информацию, такую как криптовалютные кошельки и учетные данные. RedLine также выступает в роли infostealer и собирает пароли, данные кредитных карт, файлы cookie и многое другое. RisePro - еще одна вредоносная программа для кражи информации, которая крадет информацию о кредитной карте, пароле и крипто-кошельке. Amadey - универсальная вредоносная программа, которая может выступать в качестве загрузчика или инфокрада, выполняя вредоносные действия, такие как разведка и эксфильтрация данных. Stealc, написанный на C, крадет конфиденциальную информацию из браузеров и отправляет ее на сервер управления с помощью HTTP POST-запросов.

Вредоносная программа CrackedCantil также включает в себя вредоносный прокси-бот под названием Socks5Systemz. Эта вредоносная программа заражает устройства через PrivateLoader и Amadey и превращает их в прокси-серверы для перенаправления трафика для вредоносных действий. Он подключается к своему серверу управления с помощью алгоритма генерации домена (DGA).

Наконец, вредоносная программа CrackedCantil использует программу-вымогатель STOP, которая шифрует пользовательские данные и требует выкуп за восстановление. STOP/DJVU, вариант программы-вымогателя STOP, использует AES-256 и Salsa20 для шифрования. Он сотрудничает с вредоносной программой infostealer для кражи конфиденциальной информации перед шифрованием файлов.

Автор подчеркивает опасность взломанного программного обеспечения как распространенного источника заражения для вредоносного ПО CrackedCantil. Они предоставляют подробную информацию о характеристиках и поведении каждого компонента вредоносного ПО, участвующего в этой симфонии вредоносных программ.

#ParsedReport #CompletenessMedium
30-01-2024

Scaly Wolf uses White Snake stealer against Russian industry

https://bi.zone/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti

Report completeness: Medium

Actors/Campaigns:
Scaly_wolf (motivation: cyber_criminal)

Threats:
White_snake
Snake_keylogger
Gozi
Spear-phishing_technique

Victims:
Russian organizations

Industry:
Logistic, Military, Financial, Government

Geo:
Russian, Russia

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 16
IP: 4
Hash: 10
Path: 1
Command: 1

Soft:
Telegram, Chromium

Algorithms:
base64, zip

Functions:
ReadOnly

Languages:
python

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа киберугроз под названием Scaly Wolf проводит фишинговые кампании в России с 2023 года, нацеливаясь на организации в различных отраслях. Они маскируют свои фишинговые электронные письма под запросы российских государственных служб и используют вредоносное ПО под названием White Snake stealer в качестве основной полезной нагрузки. Несмотря на запрет на распространение вредоносного ПО в России и СНГ, Scaly Wolf продолжает модифицировать и использовать его. Их кампании были успешными, подчеркивая необходимость защиты организаций от фишинговых писем.
-----

Группа киберугроз, известная как Scaly Wolf, с лета 2023 года проводит фишинговые кампании, нацеленные на организации в различных отраслях промышленности России, включая производство и логистику. Группа маскировала свои фишинговые электронные письма под запросы российских государственных служб, таких как Роскомнадзор, Следственный комитет Российской Федерации и Военная прокуратура Российской Федерации. В некоторых случаях они также выдаются за коммерческое предложение. Электронные письма написаны правильно и выглядят убедительно, что приводит пользователей к запуску вредоносного файла.

Основной полезной нагрузкой, используемой Scaly Wolf, является вредоносное ПО под названием White Snake stealer, которое впервые было замечено в теневом сегменте Интернета в феврале 2023 года. Stealer распространяется через канал в мессенджере Telegram и может быть арендован за 140 долларов в месяц. Он предназначен для проведения целенаправленных атак и обладает кроссплатформенными возможностями. В Windows он действует как троян удаленного доступа, настраиваемый на основе конфигурации XML и включающий кейлоггер для кражи информации. Успешные атаки с помощью stealer могут предоставлять доступ к корпоративным ресурсам, собирать аутентификационные данные, копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированным устройствам.

Несмотря на запрет на распространение вредоносного ПО в России и СНГ, злоумышленники, подобные Scaly Wolf, находят способы модифицировать и использовать его в этих регионах. Группа известна своим постоянным использованием White Snake stealer и своей тактикой рассылки фишинговых писем, замаскированных под государственные службы. Электронные письма часто содержат защищенный паролем ZIP-архив с паролем, указанным в имени файла архива. Scaly Wolf нацелился на организации под прикрытием Роскомнадзора, Следственного комитета Российской Федерации и Главной военной прокуратуры Российской Федерации.

Кампании группы продолжались и в 2024 году, при этом тематика их фишинговых писем со временем менялась. Они совершали атаки под предлогом судебных постановлений, уголовных расследований и нормативных документов. Постоянный успех этих кампаний указывает на работающую схему и подчеркивает необходимость защиты организаций от фишинговых писем.

#cyberthreattech

Скрестил Google Bard и ChatGPT для автоматической генерации описания группировок по Diamond-модели, на основе корпуса всех собранных отчетов.
Пока пилотирую внутри и собираю инфру вокруг движочка.

Для генерации описания профилей под малварь надо будет немного допилить prompt-ы.

#ParsedReport #CompletenessLow
31-01-2024

When RAR Roared!

https://labs.k7computing.com/index.php/when-rar-roared

Report completeness: Low

Victims:
Users of winrar

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1203, T1486

IOCs:
File: 2
Hash: 1

Algorithms:
zip, base64

Win API:
ShellExecuteExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что уязвимость WinRAR сроком действия 0 дней, известная как CVE-2023-38831, была обнаружена и активно эксплуатировалась участниками угроз. Эта уязвимость позволяет выполнять удаленный код. В открытом доступе было опубликовано доказательство концепции уязвимости, показывающее, что когда пользователь открывает самораспаковывающийся архивный файл в WinRAR, выполняется вредоносный код. Образец, связанный с этой уязвимостью, был загружен на VirusTotal, который запускает программу-вымогатель при открытии в WinRAR. Есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, либо тестовым запуском, проведенным исследователем безопасности для понимания уязвимости.
-----

В августе 2023 года в WinRAR была обнаружена уязвимость сроком действия 0 дней, которая, как было установлено, активно эксплуатировалась несколькими участниками угроз. Эта уязвимость, известная как CVE-2023-38831, допускает удаленное выполнение кода (RCE). Исследователи проследили первоначальное использование этой уязвимости вплоть до апреля 2023 года, и на момент написания этой статьи она все еще эксплуатировалась в дикой природе.

Недавно в открытом доступе появилось доказательство концепции (PoC) для этой уязвимости. При тестировании PoC было замечено, что когда пользователь открывает самораспаковывающийся архивный файл (SFX) с помощью WinRAR и пытается получить доступ к включенному файлу, дважды щелкнув по нему, выполняется вредоносный код. Интересно, что там присутствовал другой каталог с таким же именем, но попытка выполнить то же действие с помощью различных других утилит не привела к таким же результатам. Кроме того, если доступ к файлу осуществляется через кнопку меню просмотра в WinRAR, использование не происходит.

22 ноября 2023 года образец, связанный с этой уязвимостью, был загружен в VirusTotal (VT). Образец, по-видимому, предназначался для энтузиастов безопасности и содержал PDF-файл с именем "Hack_Wifi_with_Kali_Linux.pdf_". Открытие этого файла в WinRAR вызвало запуск программы-вымогателя. Программа-вымогатель зашифровала файлы в каталоге Documents. Образец также включал сценарий PowerShell, содержащий команды для декодирования содержимого другого сценария в кодировке base64 в исполняемый файл с именем "updater.exe". Затем этот файл был запущен для шифрования каталога документов. Основываясь на анализе, есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, проходящей тестирование, либо тестовым запуском, проведенным исследователем безопасности с целью понимания поведения уязвимости.

#ParsedReport #CompletenessMedium
31-01-2024

Pawn Storm Uses Brute Force and Stealth Against High-Value Targets

https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, financially_motivated)
Forest_blizzard

Threats:
Spear-phishing_technique
Cactus

Victims:
High-value individuals, Government departments, Defense industry, Energy industry, Transportation organizations

Industry:
Energy, Military, Financial, Logistic, Transport, Aerospace, Government, Foodtech, Healthcare

Geo:
Asia, America, French, Africa

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1110, T1193, T1190, T1606

IOCs:
IP: 1
Domain: 2
Hash: 2
Path: 1
File: 1

Soft:
EdgeOS, Microsoft Outlook, CactusVPN, PrivateVPN, WorldVPN, VPNSecure, Outlook, SMB server, Microsoft Exchange, mockbin, have more...

Algorithms:
sha256, des

Languages:
php, powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Pawn Storm, продвинутый исполнитель постоянных угроз (APT), использует различные тактики, методы и процедуры (TTP) для нацеливания на ценных людей и организации посредством фишинговых кампаний по электронной почте. Они скомпрометировали тысячи учетных записей электронной почты, сосредоточив внимание на правительственных ведомствах, оборонной промышленности, энергетике, транспорте и других организациях. Pawn Storm использует для своей деятельности такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS. Они использовали уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows, для удаленных атак и компрометации серверов Microsoft Exchange. Группа сохранила свою агрессивность и использует передовые методы скрытности, чтобы затруднить обнаружение. Однако правозащитники могут использовать предоставленные показатели, чтобы проверить, не стала ли их организация мишенью.
-----

Ключевые факты из текста:.

Pawn Storm - это продвинутый агент постоянной угрозы (APT), нацеленный на ценных людей и организации.

Они используют повторяющиеся тактики, методы и процедуры (TTP) в рамках фишинговых кампаний по электронной почте.

Pawn Storm скомпрометировал тысячи учетных записей электронной почты в правительственных ведомствах, оборонной промышленности, энергетике, транспорте и т.д.

Они используют атаки ретрансляции хэша NTLMv2 и изменяют права доступа к папкам для сохранения.

Атаки с использованием учетных данных методом грубой силы используются для взлома систем и адресов электронной почты.

Pawn Storm использует такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS.

Они используют уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows.

Против европейских правительств была развернута кампания по фишингу учетных данных.

Они используют сокращенные URL-адреса и VPN-сервисы, такие как Mullvad, Whoer и IPVanish, для скрытого фишинга.

Pawn Storm использует похитителя информации в качестве вложения, что затрудняет атрибуцию.

Несмотря на сложность обнаружения, защитники могут использовать предоставленные индикаторы для проверки целенаправленных атак.

#ParsedReport #CompletenessLow
31-01-2024

GhostSec Continues to Extend their Support for Cyber Threat Actors and Hacktivists

https://cyble.com/blog/ghostsec-continues-to-extend-their-support-for-cyber-threat-actors-and-hacktivists

Report completeness: Low

Actors/Campaigns:
Ghostsec (motivation: hacktivism)
Threatsec (motivation: hacktivism)
Opisrael
Stormous
Blackforums
Seigedsec

Industry:
Government

Geo:
Poland, Japan, Nigeria, Africa, Montenegro, Ukraine, Russia, Israel, Vietnam, India, Switzerland, Iranian

ChatGPT TTPs:
do not use without manual check
T1492, T1586

Soft:
Telegram, Instagram