#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Pawn Storm, продвинутый исполнитель постоянных угроз (APT), использует различные тактики, методы и процедуры (TTP) для нацеливания на ценных людей и организации посредством фишинговых кампаний по электронной почте. Они скомпрометировали тысячи учетных записей электронной почты, сосредоточив внимание на правительственных ведомствах, оборонной промышленности, энергетике, транспорте и других организациях. Pawn Storm использует для своей деятельности такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS. Они использовали уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows, для удаленных атак и компрометации серверов Microsoft Exchange. Группа сохранила свою агрессивность и использует передовые методы скрытности, чтобы затруднить обнаружение. Однако правозащитники могут использовать предоставленные показатели, чтобы проверить, не стала ли их организация мишенью.
-----

Ключевые факты из текста:.

Pawn Storm - это продвинутый агент постоянной угрозы (APT), нацеленный на ценных людей и организации.

Они используют повторяющиеся тактики, методы и процедуры (TTP) в рамках фишинговых кампаний по электронной почте.

Pawn Storm скомпрометировал тысячи учетных записей электронной почты в правительственных ведомствах, оборонной промышленности, энергетике, транспорте и т.д.

Они используют атаки ретрансляции хэша NTLMv2 и изменяют права доступа к папкам для сохранения.

Атаки с использованием учетных данных методом грубой силы используются для взлома систем и адресов электронной почты.

Pawn Storm использует такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS.

Они используют уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows.

Против европейских правительств была развернута кампания по фишингу учетных данных.

Они используют сокращенные URL-адреса и VPN-сервисы, такие как Mullvad, Whoer и IPVanish, для скрытого фишинга.

Pawn Storm использует похитителя информации в качестве вложения, что затрудняет атрибуцию.

Несмотря на сложность обнаружения, защитники могут использовать предоставленные индикаторы для проверки целенаправленных атак.

#ParsedReport #CompletenessLow
31-01-2024

GhostSec Continues to Extend their Support for Cyber Threat Actors and Hacktivists

https://cyble.com/blog/ghostsec-continues-to-extend-their-support-for-cyber-threat-actors-and-hacktivists

Report completeness: Low

Actors/Campaigns:
Ghostsec (motivation: hacktivism)
Threatsec (motivation: hacktivism)
Opisrael
Stormous
Blackforums
Seigedsec

Industry:
Government

Geo:
Poland, Japan, Nigeria, Africa, Montenegro, Ukraine, Russia, Israel, Vietnam, India, Switzerland, Iranian

ChatGPT TTPs:
do not use without manual check
T1492, T1586

Soft:
Telegram, Instagram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хактивистская группа GhostSec запустила два проекта, "Low-Cost-Database" и "WeFreeInternet", направленные на поддержку активистов и хактивистов. Проекты предполагают продажу наборов данных и предоставление бесплатных VPN-сервисов. Однако у GhostSec есть история утечки конфиденциальных данных, что создает потенциальные риски, такие как кража личных данных. Анонимность группы и поддержка вредоносных действий создают проблемы при отслеживании их действий и оценке связанных с ними рисков. Решение этой проблемы требует сотрудничества между правоохранительными органами и сообществами по кибербезопасности для смягчения киберугроз и выявления причастных к ним лиц.
-----

Недавно хактивистская группа GhostSec представила новый проект под названием "Low-Cost-Database", направленный на сбор средств для поддержки активистов и хактивистов, действующих под вымышленными именами или ищущих убежища за свои действия. Telegram-канал проекта уже насчитывает 2676 подписчиков и предложил 28 наборов данных в обмен на суммы от 40 до 70 долларов США. Влияние этих предложений распространяется на организации, базирующиеся в Индии, Японии, Вьетнаме, Черногории, Польше, России, Южной Африке, Швейцарии и Украине.

Кроме того, GhostSec запустила еще один проект под названием "WeFreeInternet", который предлагает бесплатные услуги VPN иранским активистам с планами расширения на другие страны, где доступ в Интернет ограничен правительствами. Хотя GhostSec утверждает, что их деятельность преследует социальные цели, ранее они неоднократно допускали утечку или предоставляли личную информацию (PII). Эти конфиденциальные данные могут быть использованы активистами или мошенниками для кражи личных данных.

GhostSec, самопровозглашенная группа бдительности, связанная с Anonymous collective, действует с 2015 года. Они набрали обороты в 2015 году, когда заявили, что атаковали сотни веб-сайтов и аккаунтов в социальных сетях, связанных с ИГИЛ, якобы предотвращая потенциальные террористические атаки. Группа использует хэштеги, такие как #GhostSec, #GhostSecurity или #OpISIS для продвижения своей деятельности, и участвовала в таких кампаниях, как #opisis против ИГИЛ, #OpNigeria против нигерийских организаций и #OpIsrael против израильских организаций. GhostSec является частью коллектива под названием The Five Families, наряду с ThreatSec, Stormous, BlackForums и SeigedSec. Группа поддерживает присутствие на различных платформах социальных сетей, включая Telegram, Twitter, Instagram, YouTube, BitChute, Medium и Odysee.

Анонимность, поддерживаемая такими группами, как GhostSec, создает проблемы для профессионалов в выявлении и мониторинге их действий, связанных с угрозами. Эти субъекты угроз могут быстро сменить личность, что затрудняет отслеживание их действий и оценку потенциальных рисков, которые они представляют. Поддержка, оказываемая хорошо финансируемыми группами хактивистов, такими как GhostSec, еще больше усугубляет проблему, поощряя вредоносную деятельность и потенциально помогая спонсируемым государством группам в проведении атак.

Решение проблемы анонимных участников угроз требует совместных международных усилий правоохранительных органов и сообществ по кибербезопасности. Объединяя ресурсы и опыт, эти организации могут работать над снижением рисков, связанных с киберугрозами, и выявлением лиц, стоящих за ними.

#ParsedReport #CompletenessMedium
31-01-2024

Tracking 15 Years of Qakbot Development

https://www.zscaler.com/blogs/security-research/tracking-15-years-qakbot-development

Report completeness: Medium

Threats:
Qakbot
Cobalt_strike
Blackbasta
Conti
Prolock
Egregor
Revil
Megacortex
Api_obfuscation_technique
Junk_code_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1060, T1102, T1203, T1112, T1059, T1189, T1041, T1204, T1496, T1071, have more...

IOCs:
File: 41
IP: 35
Hash: 118

Soft:
VirtualBox, QEMU, windump

Algorithms:
base64, xor, rc4, aes, sha256, sha1, crc-32

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Qakbot - это давний и адаптируемый вредоносный троян, который превратился из банковского трояна в мощный инструмент, используемый для развертывания программ-вымогателей и их перемещения по сети. Несмотря на усилия правоохранительных органов по демонтажу своей инфраструктуры, Qakbot продолжает выпускать новые версии. Он использует передовые методы антианализа, развивает свой сетевой протокол и поддерживает модульную конструкцию для легкого добавления функций. Для борьбы с Qakbot и подобными вредоносными программами необходимы постоянные меры по обнаружению угроз и защите.
-----

Qakbot, также известный как QBot или Pinkslipbot, представляет собой вредоносный троян, который работает уже более 15 лет. Он начинался как банковский троян в 2008 году, но превратился в мощный вредоносный имплантат, используемый для перемещения по сети и внедрения программ-вымогателей. Несмотря на то, что правоохранительные органы демонтировали инфраструктуру Qakbot в августе 2023 года, новая версия была выпущена всего несколько месяцев спустя, в декабре 2023 года.

Исполнитель угроз, стоящий за Qakbot, устойчив и инновационен. За прошедшие годы вредоносная программа претерпела значительные изменения, совершенствуя методы антианализа и обходя продукты безопасности. Qakbot является модульным и может загружать плагины для расширения своей функциональности.

В самых ранних версиях Qakbot, помеченных как версия 1.0.0, использовался дроппер со встроенными компонентами, включая вредоносную библиотеку DLL и инструмент для внедрения библиотеки DLL в запущенные процессы. В нем были такие функции, как сервер SOCKS5, кража паролей, сбор файлов cookie и распространение через SMB. В этих ранних версиях даже была функция создания отчетов о сбоях.

В 2011 году Qakbot представил систему управления версиями, начиная с версии 2.0.0, отметив основные этапы разработки. Основной номер версии Qakbot представляет собой трехзначное шестнадцатеричное значение, самой последней версией является 5.0.0. Цель вредоносного ПО сместилась с банковского мошенничества на использование в качестве посредника первоначального доступа для различных разновидностей программ-вымогателей.

Методы антианализа Qakbot со временем эволюционировали, позволяя запутывать важные строки, обходить антивирусное программное обеспечение и динамически разрешать API во время выполнения. В нем были введены нефункциональные блоки кода и реализованы механизмы обнаружения для идентификации сред анализа и изолированных ящиков вредоносных программ.

Qakbot использует HTTP для обмена данными по протоколу command-and-control (C2), но обновил свой сетевой протокол, добавив шифрование, проверку подписи RSA и формат сообщений на основе JSON. Алгоритмы шифрования перешли с RC4 на AES. Инфраструктура C2 также эволюционировала, первоначально используя жестко запрограммированные C2s, а позже включив скомпрометированные системы в качестве прокси-серверов.

В последних версиях дизайн Qakbot стал более модульным, что позволяет динамически добавлять новые функции и поведение, не требуя выпуска новой версии. Ресурсы и информация о конфигурации хранились в разделе ресурсов вредоносного ПО, который со временем шифровался с использованием алгоритмов XOR и RC4.

Qakbot остается постоянной и устойчивой угрозой, о чем свидетельствует его способность адаптироваться и выпускать новые версии. Группа по борьбе с угрозами, стоящая за Qakbot, продолжает обновлять свою кодовую базу, добавляя поддержку 64-разрядной Windows, улучшая алгоритмы шифрования и внедряя больше методов запутывания.

Анализ подчеркивает необходимость постоянного обнаружения угроз и принятия мер защиты от Qakbot и аналогичных вредоносных программ.

#ParsedReport #CompletenessMedium
31-01-2024

ESET takes part in global operation to disrupt the Grandoreiro banking trojan

https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-grandoreiro-banking-trojan

Report completeness: Medium

Threats:
Grandoreiro
Mekotio
Vadokrist
Saint_tool

Industry:
Financial

Geo:
Spain, American, Peru, France, Mexico, Argentina, Portugal, Ukraine, Brazil, Greece

TTPs:
Tactics: 10
Technics: 23

IOCs:
Hash: 4
IP: 13

Soft:
Windows registry, Outlook

Algorithms:
zip, base64, xor

Languages:
delphi, python

Links:
https://github.com/CloudDelphi/RTC-Portal-VCL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ESET сотрудничала с Федеральной полицией Бразилии для уничтожения ботнета Grandoreiro, латиноамериканского банковского трояна. ESET предоставила технический анализ, статистическую информацию и известные данные сервера управления, что позволило идентифицировать и арестовать лиц, причастных к операции Grandoreiro. ESET продолжит отслеживать любую дальнейшую деятельность Grandoreiro.
-----

ESET, компания, занимающаяся кибербезопасностью, сотрудничала с Федеральной полицией Бразилии, чтобы разрушить ботнет Grandoreiro. ESET предоставила технический анализ, статистическую информацию и известные доменные имена и IP-адреса серверов командования и контроля (C&C). Из-за конструктивной ошибки в сетевом протоколе Grandoreiro исследователи ESET смогли получить представление о виктимологии.

Автоматизированные системы ESET обработали десятки тысяч образцов Grandoreiro. Вредоносная программа использовала алгоритм генерации доменов (DGA) для отправки отчетов на свои серверы C&C. DGA генерировал один основной домен и несколько отказоустойчивых доменов в день. Также было обнаружено 105 статических конфигураций. Операторы Grandoreiro использовали облачных провайдеров, таких как Azure и AWS, для размещения своей сетевой инфраструктуры, а исследователи ESET предоставили важные данные для идентификации ответственных учетных записей.

Grandoreiro - это латиноамериканский банковский троян, который активен по крайней мере с 2017 года. Первоначально он был нацелен на Бразилию и Мексику, но распространил свое действие на Испанию, Мексику и Аргентину. Троянец отслеживает процессы в веб-браузере и связывается с сервером C&C при обнаружении окна, связанного с банком. Оператору необходимо вручную взаимодействовать со взломанным компьютером, чтобы украсть деньги. Grandoreiro подвергается частой разработке, регулярно выпускаются новые сборки. Он имеет сходство с другими латиноамериканскими банковскими троянами и ранее использовал уникальный механизм бинарного заполнения.

ESET отслеживает Grandoreiro с конца 2017 года, извлекая информацию о версии, серверах C&C, целевых объектах и конфигурациях DGA. Конфигурация DGA жестко запрограммирована в вредоносном ПО, и разные конфигурации предоставляют разные домены. ESET проанализировала 105 различных конфигураций DGA, при этом 79 из них генерировали домены, которые были преобразованы в активные IP-адреса серверов C&C. Большинство этих доменов зарегистрировано через службу динамического DNS No-IP, а IP-адреса предоставляются облачными провайдерами.

Серверы C&C Grandoreiro предоставляют информацию о подключенных жертвах. Каждая жертва идентифицируется по строке входа при подключении, содержащей информацию о стране, кодовом названии банка и версии. ESET обнаружила, что большинство жертв приходится на Бразилию (41%), за ней следуют Мексика (30%) и Испания (28%). Также было несколько жертв, помеченных как другие страны, что может быть опечаткой или иметь другое значение.

В среднем каждый день к серверам Grandoreiro C&C подключалось 563 жертвы, но это число содержало дубликаты. С учетом новых уникальных жертв среднее значение было рассчитано как 114 в день. ESET также подробно описывает DGA и сетевой протокол, используемые Grandoreiro, включая алгоритм и методы шифрования.

Это сотрудничество между ESET и Федеральной полицией Бразилии привело к выявлению и аресту лиц, причастных к операции Grandoreiro. ESET продолжит отслеживать любую дальнейшую деятельность Grandoreiro после этой операции по сбою.

#ParsedReport #CompletenessLow
31-01-2024

ColdRiver: Russia-Backed APT Tactics with Spica Malware

https://www.secureblink.com/cyber-security-news/cold-river-russia-backed-apt-tactics-with-spica-malware

Report completeness: Low

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage, government_sponsored)

Threats:
Spica

Victims:
High-profile individuals in ngos, Former intelligence and military officials, Nato governments

Industry:
Government, Military, Ngo

Geo:
Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1189, T1553, T1553.002, T1027, T1053, T1041, T1005, T1213, T1083, have more...

IOCs:
File: 1

Soft:
Gmail, Chrome

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что поддерживаемая Россией APT-группа под названием ColdRiver изменила свою тактику, внедрив пользовательскую вредоносную программу под названием "Spica", отказавшись от своего прежнего фокуса на фишинге учетных данных. Группа анализа угроз Google (TAG) отслеживает деятельность ColdRiver и предоставляет информацию об их развивающихся методах. ColdRiver нацелен на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительств стран НАТО. Теперь они распространяют вредоносное ПО с помощью поддельных PDF-документов и тактики олицетворения. Вредоносная программа Spica, написанная на Rust, позволяет выполнять различные вредоносные действия, такие как выполнение команд оболочки, кража файлов cookie браузера и эксфильтрация документов. TAG рекомендует активные меры безопасности против ColdRiver и предоставляет инструменты обнаружения, включая правила YARA.
-----

ColdRiver, поддерживаемая Россией группа advanced persistent threat (APT), недавно изменила свою тактику, представив пользовательскую вредоносную программу под названием "Spica". Это знаменует собой значительный отход от их традиционных методов фишинга учетных данных. Группа анализа угроз Google (TAG) активно отслеживает действия ColdRiver и предоставляет информацию об их развивающихся методах.

ColdRiver в первую очередь нацелен на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительства стран НАТО. В прошлом они фокусировались на фишинге учетных данных, но теперь они расширили свои возможности по распространению вредоносного ПО, в частности, используя PDF-файлы в качестве документов-приманки.

Чтобы установить доверие, ColdRiver выдает себя за экспертов или частных лиц, связанных с целью. Недавно они применили сложную тактику, при которой целевым пользователям доставляются доброкачественные PDF-файлы, представленные в виде обзоров или статей. Если целевой объект не может расшифровать содержимое, ему отправляется ссылка на утилиту "дешифрования", которая фактически вводит бэкдор Spica.

Spica написана на Rust и использует JSON через websockets для управления. После выполнения она декодирует встроенный PDF-файл, настраивает сохранение и подключается к серверу управления. Вредоносная программа также использует запутанную команду PowerShell для сохранения.

Вредоносная программа Spica универсальна, позволяя злоумышленникам выполнять произвольные команды оболочки, красть файлы cookie из различных браузеров, загружать файлы, просматривать файловую систему и перечислять документы для эксфильтрации. Существует множество вариантов Spica, что указывает на непрерывную эволюцию ColdRiver.

Хотя Spica впервые была замечена TAG в сентябре 2023 года, ее использование, вероятно, датируется ноябрем 2022 года. Вредоносная программа, идентифицированная как "Proton-decrypter.exe", была активна примерно в августе и сентябре 2023 года. TAG подозревает существование нескольких версий Spica, каждая из которых содержит различные встроенные документы-приманки.

Изменение тактики ColdRiver указывает на их стремление к более широким возможностям, выходящим за рамки фишинга. Их целями являются Украина, страны НАТО, академические учреждения и НПО. TAG подчеркивает ограниченное и целенаправленное использование Spica, что согласуется с устоявшейся тактикой ColdRiver.

Для противодействия угрозе ColdRiver TAG предлагает упреждающие меры безопасности. Домены, веб-сайты и файлы, связанные с угрозой, добавляются в списки блокировки безопасного просмотра. Пользователи Gmail и Workspace, на которых нацелены поддерживаемые правительством злоумышленники, получают оповещения, позволяющие включить расширенный безопасный просмотр в Chrome и обеспечить обновление устройств.

TAG предоставляет правило YARA для обнаружения бэкдора Spica, которое помогает специалистам по кибербезопасности выявлять и смягчать потенциальные угрозы.

#ParsedReport #CompletenessMedium
31-01-2024

ApateWeb: An Evasive Large-Scale Scareware and PUP Delivery Campaign

https://unit42.paloaltonetworks.com/apateweb-scareware-pup-delivery-campaign

Report completeness: Medium

Actors/Campaigns:
Apateweb (motivation: cyber_criminal)

Threats:
Cloaking_technique

Industry:
Telco, Financial

Geo:
Apac, Asia, Emea, America, Japanese, Greek, Japan

ChatGPT TTPs:
do not use without manual check
T1140, T1204, T1059.007, T1568.002, T1189, T1574.008, T1566.001, T1553.005, T1090.004

IOCs:
Domain: 12
IP: 10
Hash: 1

Languages:
perl, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи обнаружили крупномасштабную кампанию под названием ApateWeb, которая распространяет вредоносное ПО, потенциально нежелательные программы (PUPs) и другие мошеннические страницы. Кампания использует вводящие в заблуждение электронные письма и JavaScript, встроенные в страницы веб-сайтов, для перенаправления трафика на их вредоносный контент. ApateWeb использует различные тактики обхода, чтобы избежать обнаружения, и оказала значительное влияние на интернет-пользователей. Кампания работает на трех уровнях перенаправления, причем последний уровень доставляет вредоносную полезную нагрузку. ApateWeb использует такие меры предосторожности, как перенаправление на поисковые системы, отображение страниц с ошибками и злоупотребление DNS с подстановочными знаками. Большинство доменов, связанных с кампанией, контролируются одним субъектом угрозы. Palo Alto Networks поделилась этой информацией с Альянсом по борьбе с киберугрозами, чтобы принять меры против ApateWeb.
-----

ApateWeb - это крупномасштабная кампания, использующая более 130 000 доменов для распространения вредоносных программ, PUPs и мошеннических страниц.

Выявленные уязвимости включают рекламные программы и вредоносные расширения для браузера.

ApateWeb использует вводящие в заблуждение электронные письма и JavaScript, встроенные в веб-сайты, для перенаправления трафика на вредоносный контент.

Кампания использует тактику уклонения, такую как маскировка и злоупотребление подстановочными знаками DNS, чтобы избежать обнаружения.

ApateWeb активен с 2022 года, а с августа 2022 года наблюдается рост активности.

В кампании используются три уровня перенаправления: уровень 1, уровень 2 и уровень 3.

Уровень 1 служит точкой входа, уровень 2 генерирует промежуточные перенаправления, а уровень 3 доставляет вредоносную полезную нагрузку.

Кампания защищает себя, перенаправляя на поисковые системы, отображая страницы с ошибками и используя DNS с подстановочными знаками.

Каждое посещение веб-сайта ApateWeb отслеживается с помощью уникального идентификатора, присвоенного централизованным сервером.

Большинство доменов ApateWeb контролируются одним субъектом угрозы.

Уровень 3 ведет к странице, на которой размещаются различные вредоносные программы, включая PUPs, scareware и мошеннические уведомления.

ApateWeb генерирует трафик с помощью встроенных скриптов на веб-сайтах и вводящих в заблуждение электронных писем.

Palo Alto Networks поделилась информацией с Альянсом по борьбе с киберугрозами, чтобы нарушить работу ApateWeb.

#ParsedReport #CompletenessHigh
31-01-2024

Evolution of UNC4990: Uncovering USB Malware's Hidden Depths. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware

Report completeness: High

Actors/Campaigns:
Unc4990 (motivation: financially_motivated)

Threats:
Yash_rat
Ars_loader
Vetta_loader
Quietboard
Beacon
Screen_shotting_technique

Victims:
Users based in italy, Organizations located in italy, europe, and the u.s

Industry:
Transport, Financial, Logistic, Education, Healthcare

Geo:
Korean, Italy, Italian

TTPs:

IOCs:
Command: 3
Path: 4
Hash: 13
File: 15
Url: 27
Registry: 1
Coin: 1
Domain: 2

Soft:
Node.js, Unix

Wallets:
yoroi

Crypto:
monero, ethereum, dogecoin, bitcoin

Algorithms:
aes, zip, aes-256-cbc, sha256, base64, cbc

Languages:
powershell, php, javascript, python

Platforms:
x86

Links:
https://github.com/nexe/nexe

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что субъект угроз по имени UNC4990 нацелен на пользователей в Италии с целью получения финансовой выгоды. Они действуют с 2020 года и со временем развили свои инструменты и тактику. UNC4990 использует USB-устройства и вредоносные файлы ярлыков LNK для первоначального заражения. Они используют загрузчик под названием EMPTYSPACE, который взаимодействует с командно-контрольным сервером и загружает полезные исполняемые файлы. Кроме того, они используют бэкдор на базе Python под названием QUIETBOARD для различных вредоносных действий. UNC4990 работает в основном в Италии и нацелен на организации в Европе и США. Анализ подчеркивает их модульный подход к разработке инструментов и их готовность экспериментировать и адаптироваться, чтобы избежать обнаружения.
-----

UNC4990 - это изощренный исполнитель угроз, который в первую очередь нацелен на пользователей в Италии с целью получения финансовой выгоды. Они действуют как минимум с 2020 года и со временем развили свои инструменты и тактику. UNC4990 использует USB-устройства для первоначального заражения, при этом жертвы дважды щелкают вредоносные файлы ярлыков LNK на этих устройствах. Файлы обычно называются в честь производителя USB-устройства или метки диска. При выполнении запускается сценарий PowerShell с именем explorer.ps1.

Скрипт explorer.ps1 загружает и декодирует загрузчик под названием EMPTYSPACE, также известный как VETTA Loader и BrokerLoader. Этот загрузчик взаимодействует со своим сервером управления по протоколу HTTP и загружает и выполняет исполняемую полезную нагрузку. UNC4990 использовал популярные веб-сайты, такие как Ars Technica, GitHub, GitLab и Vimeo, для размещения полезной нагрузки, но эти сервисы не используются и не скомпрометированы.

Загрузчик EMPTYSPACE имеет несколько вариантов, написанных на Node.js, .NET, Python и даже Go. Один вариант скомпилирован с использованием nexe и включает в себя Node.js runtime версию 12.9.1. Загрузчик выполняет поиск съемных USB-накопителей с определенным символом каталога в Юникоде и, если найден, продолжает использовать его функциональность. Он может устанавливать значения реестра и запускаться как процесс с повышенными правами для связи с сервером управления. Загрузчик также может удалять пакетные файлы и выполнять их как процесс с повышенными правами.

Другой вариант EMPTYSPACE - это запутанный загрузчик на базе .NET с возможностью перезапуска с повышенными привилегиями и удаления загруженных полезных файлов. Он передает системную информацию серверу управления и ожидает аргументы командной строки для определенных действий.

UNC4990 также использует бэкдор на базе Python под названием QUIETBOARD, который обладает различными возможностями, включая выполнение произвольных команд, кражу криптовалюты, заражение USB, создание скриншотов, сбор системной информации и связь с сервером управления. QUIETBOARD является модульной и может запускать независимый код / модули на основе Python.

Mandiant Managed Defense выявила множество случаев атаки UNC4990 на организации в Италии, но базирующиеся в Европе и США, в различных отраслях промышленности. Субъект угрозы, по-видимому, действует за пределами Италии, основываясь на широком использовании итальянской инфраструктуры. Операции UNC4990 связаны с широко распространенным заражением USB, за которым следует развертывание загрузчика EMPTYSPACE. В некоторых случаях Mandiant наблюдал за развертыванием coinminer после периода бездействия, что указывает на гибкие цели UNC4990.

Анализ также показывает, как UNC4990 использовали модульный подход при разработке своих инструментов: QUIETBOARD и различные версии загрузчика EMPTYSPACE демонстрируют расширенную функциональность и управление версиями. Исполнитель угроз демонстрирует готовность экспериментировать и адаптироваться, используя несколько языков программирования и изменяя URL-адреса в зависимости от инцидентов с удалением.