#ParsedReport #CompletenessMedium
06-02-2024
Python Info-stealer Distributed by Malicious Excel Document
https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document
Report completeness: Medium
Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer
Geo:
Vietnamese
ChatGPT TTPs:
T1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485
IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12
Soft:
Chrome, telegram
Algorithms:
zip, base64
Languages:
powershell, python
06-02-2024
Python Info-stealer Distributed by Malicious Excel Document
https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document
Report completeness: Medium
Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer
Geo:
Vietnamese
ChatGPT TTPs:
do not use without manual checkT1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485
IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12
Soft:
Chrome, telegram
Algorithms:
zip, base64
Languages:
powershell, python
Fortinet Blog
Python Info-stealer Distributed by Malicious Excel Document
FortiGuard Labs has uncovered a malware campaign involving a python info-stealer distributed by Excel document. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessMedium 06-02-2024 Python Info-stealer Distributed by Malicious Excel Document https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document Report completeness: Medium Threats: Abobus_tool Pyobfuscate_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что FortiGuard Labs обнаружила программу-похититель информации в документе Excel, связанном с хакерской группой из Вьетнама. В статье подробно рассказывается об этапах атаки, целевых браузерах и наличии других связанных вредоносных кампаний. Хакеры используют простые загрузчики и эксплуатируют открытые платформы для распространения вредоносного ПО, оставляя "хлебные крошки" для идентификации.
-----
В январе 2024 года FortiGuard Labs обнаружила документ Excel, содержащий программу для кражи информации. Атака была связана с базирующейся во Вьетнаме группой, о которой ранее сообщалось в августе и сентябре 2023 года. В этой статье дается представление о различных этапах атаки и проливается свет на основную кампанию вредоносного ПО.
Начальный этап включает в себя документ Excel со скриптом VBA, который выполняет команду PowerShell для загрузки файла Windows Update.bat из filebin.net. Для облегчения правильного выполнения запутанного script.py загружаются дополнительные модули в виде Document.zip.
В отличие от предыдущей версии этого похитителя информации, о которой сообщалось в августе 2023 года, текущая script.py фокусируется только на сборе файлов cookie и данных для входа в систему из различных браузеров. Он ориентирован на широкий спектр браузеров, включая популярные, такие как Chrome и Edge, а также браузеры, специфичные для местного вьетнамского рынка, такие как Cc Cc browser.
Более того, помимо файлов, используемых в качестве переносчиков инфекции, несколько других файлов имеют общие характеристики с этой кампанией. К ним относятся запутанные пакетные файлы и файлы VBScript, которые выполняют код PowerShell, аналогичный файлам Windows Update.bat и test.vbs. Эти дополнительные загрузчики привели к обнаружению большего количества репозиториев, связанных с хакерской группой. Некоторые из этих репозиториев также содержали вредоносное ПО, используемое в других кампаниях, таких как XWorm, VenomRat, RedLine и другие.
Хотя конкретный файл, упомянутый на рисунке 10, получить не удалось, его название дало ключ к использованию файлов cookie в качестве приманки. Кроме того, был найден другой документ Word, который содержал файлы cookie Facebook и вредоносный макрос в истории чата. Полезной нагрузкой в данном случае был XWorm, и его варианты также были идентифицированы в репозиториях GitHub, упомянутых в разделе "Злоупотребляемые открытые платформы".
Злоумышленники, стоящие за этой кампанией, используют стратегию использования простых загрузчиков и открытых платформ, чтобы избежать обнаружения. Однако эта тактика непреднамеренно дает "хлебные крошки" для идентификации хакерской группы. Информация, извлеченная из файлов, выявила существование других файлов, используемых в связанных кампаниях, а также платформ социальных сетей, используемых для распространения вредоносных программ. Такие платформы не только обеспечивают удобство для пользователей, но и часто используются злоумышленниками.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что FortiGuard Labs обнаружила программу-похититель информации в документе Excel, связанном с хакерской группой из Вьетнама. В статье подробно рассказывается об этапах атаки, целевых браузерах и наличии других связанных вредоносных кампаний. Хакеры используют простые загрузчики и эксплуатируют открытые платформы для распространения вредоносного ПО, оставляя "хлебные крошки" для идентификации.
-----
В январе 2024 года FortiGuard Labs обнаружила документ Excel, содержащий программу для кражи информации. Атака была связана с базирующейся во Вьетнаме группой, о которой ранее сообщалось в августе и сентябре 2023 года. В этой статье дается представление о различных этапах атаки и проливается свет на основную кампанию вредоносного ПО.
Начальный этап включает в себя документ Excel со скриптом VBA, который выполняет команду PowerShell для загрузки файла Windows Update.bat из filebin.net. Для облегчения правильного выполнения запутанного script.py загружаются дополнительные модули в виде Document.zip.
В отличие от предыдущей версии этого похитителя информации, о которой сообщалось в августе 2023 года, текущая script.py фокусируется только на сборе файлов cookie и данных для входа в систему из различных браузеров. Он ориентирован на широкий спектр браузеров, включая популярные, такие как Chrome и Edge, а также браузеры, специфичные для местного вьетнамского рынка, такие как Cc Cc browser.
Более того, помимо файлов, используемых в качестве переносчиков инфекции, несколько других файлов имеют общие характеристики с этой кампанией. К ним относятся запутанные пакетные файлы и файлы VBScript, которые выполняют код PowerShell, аналогичный файлам Windows Update.bat и test.vbs. Эти дополнительные загрузчики привели к обнаружению большего количества репозиториев, связанных с хакерской группой. Некоторые из этих репозиториев также содержали вредоносное ПО, используемое в других кампаниях, таких как XWorm, VenomRat, RedLine и другие.
Хотя конкретный файл, упомянутый на рисунке 10, получить не удалось, его название дало ключ к использованию файлов cookie в качестве приманки. Кроме того, был найден другой документ Word, который содержал файлы cookie Facebook и вредоносный макрос в истории чата. Полезной нагрузкой в данном случае был XWorm, и его варианты также были идентифицированы в репозиториях GitHub, упомянутых в разделе "Злоупотребляемые открытые платформы".
Злоумышленники, стоящие за этой кампанией, используют стратегию использования простых загрузчиков и открытых платформ, чтобы избежать обнаружения. Однако эта тактика непреднамеренно дает "хлебные крошки" для идентификации хакерской группы. Информация, извлеченная из файлов, выявила существование других файлов, используемых в связанных кампаниях, а также платформ социальных сетей, используемых для распространения вредоносных программ. Такие платформы не только обеспечивают удобство для пользователей, но и часто используются злоумышленниками.
#ParsedReport #CompletenessLow
06-02-2024
Dark Web Profile: CyberNiggers
https://socradar.io/dark-web-profile-cyberniggers
Report completeness: Low
Actors/Campaigns:
Cyberniggers (motivation: financially_motivated, hacktivism)
Threats:
Credential_dumping_technique
Industry:
Aerospace, Financial, Energy, Military, Government
Geo:
Serbian, Turkey, Africa, Russia, India, Russian
TTPs:
Tactics: 12
Technics: 12
Soft:
MSSQL
Algorithms:
exhibit
06-02-2024
Dark Web Profile: CyberNiggers
https://socradar.io/dark-web-profile-cyberniggers
Report completeness: Low
Actors/Campaigns:
Cyberniggers (motivation: financially_motivated, hacktivism)
Threats:
Credential_dumping_technique
Industry:
Aerospace, Financial, Energy, Military, Government
Geo:
Serbian, Turkey, Africa, Russia, India, Russian
TTPs:
Tactics: 12
Technics: 12
Soft:
MSSQL
Algorithms:
exhibit
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: CyberNiggers
At the center of this virtual tumult stands a racist threat group that has re-emerged with heightened potency—CyberNiggers...
CTT Report Hub
#ParsedReport #CompletenessLow 06-02-2024 Dark Web Profile: CyberNiggers https://socradar.io/dark-web-profile-cyberniggers Report completeness: Low Actors/Campaigns: Cyberniggers (motivation: financially_motivated, hacktivism) Threats: Credential_dumping_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что расистская группа CyberNiggers, набирают силу и участвуют в кибератаках и потенциальных нарушениях. Группа, возглавляемая известным членом IntelBroker, нацелилась на различные организации и скомпрометировала их, создавая угрозы национальной безопасности и вызывая такие последствия, как репутационный ущерб и юридические последствия. Понимание этих угроз и реагирование на них имеет решающее значение для защиты критически важной инфраструктуры, национальной безопасности и личной неприкосновенности частной жизни.
-----
CyberNiggers, расистская группа угроз, вновь появилась с возросшей активностью на обновленных форумах. Их деятельность, включая кибератаки и потенциальные нарушения, подчеркивает эволюционирующий характер цифровых угроз.
Группа привлекла к себе внимание за продажу доступа к скомпрометированным системам и кражу конфиденциальных данных. IntelBroker, видный участник, играет значительную роль в деятельности киберпреступников. Они нацелены на такие организации, как General Electric, Агентство перспективных исследовательских проектов в области обороны (DARPA), Weee Grocery Service, Colonial Pipeline, Autotrader, Volvo, отели Hilton и AT&T.
Последствия их взломов варьируются от ущерба репутации до юридических последствий и проблем национальной безопасности. Понимание тактики киберпреступников и роли IntelBroker имеет решающее значение для организаций, имеющих дело с этими угрозами. Мотивы группы в первую очередь финансовые, но причастность IntelBroker к громким атакам поднимает вопросы об их возможностях и мотивации.
Взлом General Electric потенциально раскрыл критически важные оборонные проекты и сотрудничество с DARPA, что представляет прямую угрозу национальной безопасности.
Пострадавшие организации могут столкнуться с различными последствиями, включая репутационный ущерб, финансовые потери, судебные иски и штрафные санкции регулирующих органов. Киберпреступники в первую очередь нацелены на США, но также включают другие страны, такие как Великобритания, Южная Африка, Индия и Турция. Россия, похоже, исключена из их целей.
Поскольку ландшафт кибербезопасности требует бдительности, сотрудничества и надежных мер безопасности, понимание таких групп, как киберугрозники, и реагирование на них становится решающим для защиты критически важной инфраструктуры, национальной безопасности и конфиденциальности личности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что расистская группа CyberNiggers, набирают силу и участвуют в кибератаках и потенциальных нарушениях. Группа, возглавляемая известным членом IntelBroker, нацелилась на различные организации и скомпрометировала их, создавая угрозы национальной безопасности и вызывая такие последствия, как репутационный ущерб и юридические последствия. Понимание этих угроз и реагирование на них имеет решающее значение для защиты критически важной инфраструктуры, национальной безопасности и личной неприкосновенности частной жизни.
-----
CyberNiggers, расистская группа угроз, вновь появилась с возросшей активностью на обновленных форумах. Их деятельность, включая кибератаки и потенциальные нарушения, подчеркивает эволюционирующий характер цифровых угроз.
Группа привлекла к себе внимание за продажу доступа к скомпрометированным системам и кражу конфиденциальных данных. IntelBroker, видный участник, играет значительную роль в деятельности киберпреступников. Они нацелены на такие организации, как General Electric, Агентство перспективных исследовательских проектов в области обороны (DARPA), Weee Grocery Service, Colonial Pipeline, Autotrader, Volvo, отели Hilton и AT&T.
Последствия их взломов варьируются от ущерба репутации до юридических последствий и проблем национальной безопасности. Понимание тактики киберпреступников и роли IntelBroker имеет решающее значение для организаций, имеющих дело с этими угрозами. Мотивы группы в первую очередь финансовые, но причастность IntelBroker к громким атакам поднимает вопросы об их возможностях и мотивации.
Взлом General Electric потенциально раскрыл критически важные оборонные проекты и сотрудничество с DARPA, что представляет прямую угрозу национальной безопасности.
Пострадавшие организации могут столкнуться с различными последствиями, включая репутационный ущерб, финансовые потери, судебные иски и штрафные санкции регулирующих органов. Киберпреступники в первую очередь нацелены на США, но также включают другие страны, такие как Великобритания, Южная Африка, Индия и Турция. Россия, похоже, исключена из их целей.
Поскольку ландшафт кибербезопасности требует бдительности, сотрудничества и надежных мер безопасности, понимание таких групп, как киберугрозники, и реагирование на них становится решающим для защиты критически важной инфраструктуры, национальной безопасности и конфиденциальности личности.
#ParsedReport #CompletenessLow
06-02-2024
Revenge RAT malware that operates fileless
https://asec.ahnlab.com/ko/61288
Report completeness: Low
Threats:
Revenge_rat
Trojan/win.generic.c4223332
Trojan/win.generic.c5583117
Dropper/win.generic.c5445718
Dropper/win.generic.r634030
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1564, T1107, T1059.001, T1023, T1553.002, T1550.002, T1105, T1083, T1082, T1113, have more...
IOCs:
File: 10
Domain: 1
Hash: 10
Soft:
Windows Explorer, Windows Defender
Algorithms:
base64, md5, des
Languages:
powershell
06-02-2024
Revenge RAT malware that operates fileless
https://asec.ahnlab.com/ko/61288
Report completeness: Low
Threats:
Revenge_rat
Trojan/win.generic.c4223332
Trojan/win.generic.c5583117
Dropper/win.generic.c5445718
Dropper/win.generic.r634030
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1564, T1107, T1059.001, T1023, T1553.002, T1550.002, T1105, T1083, T1082, T1113, have more...
IOCs:
File: 10
Domain: 1
Hash: 10
Soft:
Windows Explorer, Windows Defender
Algorithms:
base64, md5, des
Languages:
powershell
ASEC
Fileless로 동작하는 Revenge RAT 악성코드 - ASEC
Fileless로 동작하는 Revenge RAT 악성코드 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 06-02-2024 Revenge RAT malware that operates fileless https://asec.ahnlab.com/ko/61288 Report completeness: Low Threats: Revenge_rat Trojan/win.generic.c4223332 Trojan/win.generic.c5583117 Dropper/win.generic.c5445718 Dr…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что ASEC обнаружила новое вредоносное ПО под названием Revenge RAT, которое распространяется злоумышленниками. Злоумышленники используют методы обмана, такие как обертывание вредоносного ПО вокруг обычных инструментов и сокрытие его от обнаружения. Они также используют маскировку, методы уклонения и операции без файлов, чтобы обойти антивирусное обнаружение. Вредоносная программа собирает пользовательские данные и передает их на сервер управления. Это открытие подчеркивает необходимость принятия строгих мер кибербезопасности для обнаружения таких угроз и противодействия им.
-----
ASEC обнаружила новую вредоносную программу под названием Revenge RAT.
Злоумышленник маскирует вредоносную программу, оборачивая ее вокруг обычного инструмента.
Во время атаки злоумышленник одновременно запускает обычные инструменты и вредоносные файлы.
Вредоносный файл Setup.exe скрыт из проводника Windows, чтобы сделать его невидимым для пользователя.
Злоумышленник создает блог, содержащий скрытый вредоносный файл для обмена данными между командами и контролем (C2).
Злоумышленник извлекает и декодирует значения из HTML-файла, чтобы получить дополнительный вредоносный код.
Альтернативный адрес C2 подготавливается на случай, если исходный адрес заблокирован.
Вредоносная программа Revenge RAT работает в памяти, собирая и передавая пользовательские данные на C2.
Злоумышленник использует методы уклонения, чтобы обойти антивирусное обнаружение, включая уклонение от CMSTP.
Файлы исключений защитника Windows используются для регистрации вредоносных файлов в процессе атаки.
Было идентифицировано несколько файловых хэшей, связанных с атакой.
Это открытие подчеркивает важность эффективных мер кибербезопасности для обнаружения и смягчения возникающих угроз со стороны вредоносных программ.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что ASEC обнаружила новое вредоносное ПО под названием Revenge RAT, которое распространяется злоумышленниками. Злоумышленники используют методы обмана, такие как обертывание вредоносного ПО вокруг обычных инструментов и сокрытие его от обнаружения. Они также используют маскировку, методы уклонения и операции без файлов, чтобы обойти антивирусное обнаружение. Вредоносная программа собирает пользовательские данные и передает их на сервер управления. Это открытие подчеркивает необходимость принятия строгих мер кибербезопасности для обнаружения таких угроз и противодействия им.
-----
ASEC обнаружила новую вредоносную программу под названием Revenge RAT.
Злоумышленник маскирует вредоносную программу, оборачивая ее вокруг обычного инструмента.
Во время атаки злоумышленник одновременно запускает обычные инструменты и вредоносные файлы.
Вредоносный файл Setup.exe скрыт из проводника Windows, чтобы сделать его невидимым для пользователя.
Злоумышленник создает блог, содержащий скрытый вредоносный файл для обмена данными между командами и контролем (C2).
Злоумышленник извлекает и декодирует значения из HTML-файла, чтобы получить дополнительный вредоносный код.
Альтернативный адрес C2 подготавливается на случай, если исходный адрес заблокирован.
Вредоносная программа Revenge RAT работает в памяти, собирая и передавая пользовательские данные на C2.
Злоумышленник использует методы уклонения, чтобы обойти антивирусное обнаружение, включая уклонение от CMSTP.
Файлы исключений защитника Windows используются для регистрации вредоносных файлов в процессе атаки.
Было идентифицировано несколько файловых хэшей, связанных с атакой.
Это открытие подчеркивает важность эффективных мер кибербезопасности для обнаружения и смягчения возникающих угроз со стороны вредоносных программ.
#ParsedReport #CompletenessHigh
06-02-2024
Pacific Rim: RedCurl cyber spies target Australia, Singapore and Hong Kong
https://www.facct.ru/blog/redcurl-2024
Report completeness: High
Actors/Campaigns:
Red_wolf (motivation: cyber_espionage, information_theft)
Threats:
Ad_explorer_tool
Spear-phishing_technique
Motw_bypass_technique
Industry:
Government, Logistic, Transport
Geo:
Pacific, Norway, Germany, Australia, Ukraine, Russian, Singapore, Asian, Canada, Russia, Asia, Australian
TTPs:
Tactics: 7
Technics: 13
IOCs:
File: 41
Url: 17
Path: 13
Domain: 13
Hash: 41
Soft:
Windows task scheduler, Active Directory, Telegram, Viber, WhatsApp
Algorithms:
md5, sha256, sha1, base64
Platforms:
x64
06-02-2024
Pacific Rim: RedCurl cyber spies target Australia, Singapore and Hong Kong
https://www.facct.ru/blog/redcurl-2024
Report completeness: High
Actors/Campaigns:
Red_wolf (motivation: cyber_espionage, information_theft)
Threats:
Ad_explorer_tool
Spear-phishing_technique
Motw_bypass_technique
Industry:
Government, Logistic, Transport
Geo:
Pacific, Norway, Germany, Australia, Ukraine, Russian, Singapore, Asian, Canada, Russia, Asia, Australian
TTPs:
Tactics: 7
Technics: 13
IOCs:
File: 41
Url: 17
Path: 13
Domain: 13
Hash: 41
Soft:
Windows task scheduler, Active Directory, Telegram, Viber, WhatsApp
Algorithms:
md5, sha256, sha1, base64
Platforms:
x64
F6
Тихоокеанский рубеж: кибершпионы из RedCurl нацелились на Австралию, Сингапур и Гонконг - F6
Эксперты F6 Threat Intelligence проанализировали новые атаки русскоговорящей хак-группы в Юго-Восточной Азии и Австралии.
CTT Report Hub
#ParsedReport #CompletenessHigh 06-02-2024 Pacific Rim: RedCurl cyber spies target Australia, Singapore and Hong Kong https://www.facct.ru/blog/redcurl-2024 Report completeness: High Actors/Campaigns: Red_wolf (motivation: cyber_espionage, information_theft)…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что русскоязычная хакерская группа под названием RedCurl проводит кибершпионажные атаки с 2018 года, причем их недавние атаки были нацелены на компании в Австралии, Сингапуре и Гонконге. Они используют фишинг электронной почты в качестве точки входа, но внедрили использование SVG-файлов, замаскированных под службу безопасной передачи почты, чтобы обманом заставить пользователей загружать вредоносный контент. Процесс атаки включает в себя несколько этапов, при этом для получения контроля над скомпрометированными системами используются различные вредоносные компоненты. RedCurl также использует моментальный снимок базы данных Active Directory для эксфильтрации данных через облачные диски, контролируемые злоумышленниками.
-----
Русскоязычная хакерская группа RedCurl проводит кибершпионажные атаки с 2018 года. Их недавние атаки в октябре 2023 года были нацелены на компании в Австралии, Сингапуре и Гонконге, в частности, в сфере строительства, логистики, авиаперевозок и горнодобывающей промышленности. Злоумышленники стремятся собрать ценную информацию, такую как деловая переписка, личные файлы и юридические документы, в течение периода от 2 до 6 месяцев.
Точка входа RedCurl остается неизменной, используя фишинг электронной почты для нацеливания на сотрудников атакованной компании. Однако они внедрили обновленный этап в своей цепочке заражения, используя файлы SVG для имитации службы безопасной передачи почты. Эти файлы предназначены для того, чтобы обманом заставить пользователей загружать вредоносный контент.
Процесс атаки включает в себя несколько этапов. Сначала RedCurl отправляет электронное письмо с файлом SVG, замаскированным под службу безопасной передачи. При нажатии на файл выполняются команды, запускающие RedCurl.LNK, DLL-файл, ответственный за загрузку следующего этапа и отображение сайта honeypot. На этом этапе в планировщике задач Windows создается задача для подключения RedCurl.Загрузчик к системе. Загрузчик собирает системную информацию и отправляет ее на сервер управления (C2).
RedCurl.Загрузчик использует два адреса C2 при загрузке данных и получении следующего этапа. Он отправляет собранные данные на каждый адрес C2 с помощью POST-запросов. Однако подробности следующего этапа (RedCurl.Extractor) были недоступны во время расследования.
В прошлых атаках RedCurl.Extractor использовался для извлечения и закрепления следующего этапа (RedCurl.FSABIN) в зараженной системе. RedCurl.FSABIN предоставляет злоумышленникам удаленный контроль над скомпрометированной системой и позволяет выполнять BAT-скрипты (RedCurl.Commands). Этап связывается с сервером C2 для получения ключей дешифрования и зашифрованных BAT-скриптов, которые затем расшифровываются и выполняются в зараженной системе.
В блоге также упоминается дополнительный RedCurl.ISO-файл без компонента SVG. Этот файл имитировал электронное письмо с информацией о резюме в LinkedIn, что указывает на потенциальную атаку, направленную против австралийской компании. RedCurl.SimpleDownloader, связанный с этой атакой, загружается и выполняется с помощью утилиты pcalua.exe.
В ходе расследования также был обнаружен снимок базы данных Active Directory, принадлежащей австралийской логистической компании. Это указывает на то, что RedCurl использует AD Explorer для создания снимков базы данных и их эксфильтрации через облачные диски, контролируемые злоумышленниками.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что русскоязычная хакерская группа под названием RedCurl проводит кибершпионажные атаки с 2018 года, причем их недавние атаки были нацелены на компании в Австралии, Сингапуре и Гонконге. Они используют фишинг электронной почты в качестве точки входа, но внедрили использование SVG-файлов, замаскированных под службу безопасной передачи почты, чтобы обманом заставить пользователей загружать вредоносный контент. Процесс атаки включает в себя несколько этапов, при этом для получения контроля над скомпрометированными системами используются различные вредоносные компоненты. RedCurl также использует моментальный снимок базы данных Active Directory для эксфильтрации данных через облачные диски, контролируемые злоумышленниками.
-----
Русскоязычная хакерская группа RedCurl проводит кибершпионажные атаки с 2018 года. Их недавние атаки в октябре 2023 года были нацелены на компании в Австралии, Сингапуре и Гонконге, в частности, в сфере строительства, логистики, авиаперевозок и горнодобывающей промышленности. Злоумышленники стремятся собрать ценную информацию, такую как деловая переписка, личные файлы и юридические документы, в течение периода от 2 до 6 месяцев.
Точка входа RedCurl остается неизменной, используя фишинг электронной почты для нацеливания на сотрудников атакованной компании. Однако они внедрили обновленный этап в своей цепочке заражения, используя файлы SVG для имитации службы безопасной передачи почты. Эти файлы предназначены для того, чтобы обманом заставить пользователей загружать вредоносный контент.
Процесс атаки включает в себя несколько этапов. Сначала RedCurl отправляет электронное письмо с файлом SVG, замаскированным под службу безопасной передачи. При нажатии на файл выполняются команды, запускающие RedCurl.LNK, DLL-файл, ответственный за загрузку следующего этапа и отображение сайта honeypot. На этом этапе в планировщике задач Windows создается задача для подключения RedCurl.Загрузчик к системе. Загрузчик собирает системную информацию и отправляет ее на сервер управления (C2).
RedCurl.Загрузчик использует два адреса C2 при загрузке данных и получении следующего этапа. Он отправляет собранные данные на каждый адрес C2 с помощью POST-запросов. Однако подробности следующего этапа (RedCurl.Extractor) были недоступны во время расследования.
В прошлых атаках RedCurl.Extractor использовался для извлечения и закрепления следующего этапа (RedCurl.FSABIN) в зараженной системе. RedCurl.FSABIN предоставляет злоумышленникам удаленный контроль над скомпрометированной системой и позволяет выполнять BAT-скрипты (RedCurl.Commands). Этап связывается с сервером C2 для получения ключей дешифрования и зашифрованных BAT-скриптов, которые затем расшифровываются и выполняются в зараженной системе.
В блоге также упоминается дополнительный RedCurl.ISO-файл без компонента SVG. Этот файл имитировал электронное письмо с информацией о резюме в LinkedIn, что указывает на потенциальную атаку, направленную против австралийской компании. RedCurl.SimpleDownloader, связанный с этой атакой, загружается и выполняется с помощью утилиты pcalua.exe.
В ходе расследования также был обнаружен снимок базы данных Active Directory, принадлежащей австралийской логистической компании. Это указывает на то, что RedCurl использует AD Explorer для создания снимков базы данных и их эксфильтрации через облачные диски, контролируемые злоумышленниками.
#ParsedReport #CompletenessHigh
06-02-2024
Dead-end job
https://www.group-ib.com/blog/resumelooters
Report completeness: High
Actors/Campaigns:
Resumelooters (motivation: cyber_criminal)
Gambleforce
Lazarus
Dream_job
Threats:
Beef_framework_tool
Sqlmap_tool
Acunetix_tool
X-ray_tool
Metasploit_tool
Lighthouse
Dirsearch_tool
Powerplant
Cerberus
Opendir
Industry:
Financial, Entertainment, Logistic, Retail
Geo:
India, Russia, Turkey, Asia-pacific, Taiwan, Mexico, Brazil, Italy, Spanish, Apac, Thailand, Usa, Chinese, Vietnam
TTPs:
Tactics: 2
Technics: 7
IOCs:
IP: 4
File: 33
Domain: 15
Url: 17
Soft:
Telegram, Microsoft Office, Photoshop, Chrome, Opera
Algorithms:
base64
Functions:
login, loadcanvas, createXmlHttp, XMLHttpRequest, vg_time
Languages:
php, powershell, javascript, java, python
Links:
06-02-2024
Dead-end job
https://www.group-ib.com/blog/resumelooters
Report completeness: High
Actors/Campaigns:
Resumelooters (motivation: cyber_criminal)
Gambleforce
Lazarus
Dream_job
Threats:
Beef_framework_tool
Sqlmap_tool
Acunetix_tool
X-ray_tool
Metasploit_tool
Lighthouse
Dirsearch_tool
Powerplant
Cerberus
Opendir
Industry:
Financial, Entertainment, Logistic, Retail
Geo:
India, Russia, Turkey, Asia-pacific, Taiwan, Mexico, Brazil, Italy, Spanish, Apac, Thailand, Usa, Chinese, Vietnam
TTPs:
Tactics: 2
Technics: 7
IOCs:
IP: 4
File: 33
Domain: 15
Url: 17
Soft:
Telegram, Microsoft Office, Photoshop, Chrome, Opera
Algorithms:
base64
Functions:
login, loadcanvas, createXmlHttp, XMLHttpRequest, vg_time
Languages:
php, powershell, javascript, java, python
Links:
https://github.com/chaitin/xray
CTT Report Hub
#ParsedReport #CompletenessHigh 06-02-2024 Dead-end job https://www.group-ib.com/blog/resumelooters Report completeness: High Actors/Campaigns: Resumelooters (motivation: cyber_criminal) Gambleforce Lazarus Dream_job Threats: Beef_framework_tool Sqlmap_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что существует банда киберпреступников под названием ResumeLooters, которая нацелена на агентства по трудоустройству и розничные компании в Азиатско-Тихоокеанском регионе. Они используют SQL-инъекции для кражи пользовательских баз данных, содержащих персональные данные, которые они продают в Telegram-каналах. Группа также заражает веб-сайты по поиску работы скриптами XSS и фишинговыми формами. Group-IB, компания по кибербезопасности, отслеживает атаки и отправляет уведомления компаниям-мишеням. ResumeLooters использует различные инструменты тестирования на проникновение и вредоносные методы для проведения своих атак. Существует риск того, что украденные данные могут быть использованы другими группами угроз, и организациям рекомендуется внедрять такие меры безопасности, как параметризованные инструкции, проверка ввода и брандмауэры веб-приложений. Решение Group-IB для защиты от мошенничества предлагает профилирование поведения пользователей на основе искусственного интеллекта для обнаружения и блокирования мошеннических действий.
-----
ResumeLooters - это киберпреступная банда, нацеленная на агентства по трудоустройству и розничные компании в регионе Азиатско-Тихоокеанского региона.
Они скомпрометировали 65 веб-сайтов в период с ноября по декабрь определенного года.
Атаки с использованием SQL-инъекций являются их основным методом кражи пользовательских баз данных, содержащих конфиденциальные персональные данные.
Они продают украденные данные по Telegram-каналам.
Они заражают законные веб-сайты по поиску работы скриптами XSS для отображения фишинговых форм.
Group-IB, компания по кибербезопасности, сообщила об аналогичных атаках со стороны другой группы под названием GambleForce в регионе APAC.
ResumeLooters в первую очередь ориентирован на страны Азиатско-Тихоокеанского региона, но также скомпрометировал компании за пределами APAC.
Они используют различные инструменты тестирования на проникновение, такие как sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL и Dirsearch.
Группа внедряет XSS-скрипты в веб-формы и вставляет вредоносные скрипты на законные веб-сайты.
На их вредоносном сервере размещены инструменты с открытым исходным кодом и самописные скрипты для подключения к целевым веб-сайтам и анализа данных.
Были идентифицированы по меньшей мере два аккаунта Telegram, связанных с злоумышленниками.
В результате атак раскрываются личные данные соискателей работы, которые могут быть использованы продвинутыми группами постоянных угроз.
Параметризованные инструкции, проверка входных данных и реализация WAF рекомендуются для защиты от SQL-инъекций и XSS-атак.
Решение Group-IB для защиты от мошенничества использует искусственный интеллект для выявления и блокирования вредоносной активности ботов.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что существует банда киберпреступников под названием ResumeLooters, которая нацелена на агентства по трудоустройству и розничные компании в Азиатско-Тихоокеанском регионе. Они используют SQL-инъекции для кражи пользовательских баз данных, содержащих персональные данные, которые они продают в Telegram-каналах. Группа также заражает веб-сайты по поиску работы скриптами XSS и фишинговыми формами. Group-IB, компания по кибербезопасности, отслеживает атаки и отправляет уведомления компаниям-мишеням. ResumeLooters использует различные инструменты тестирования на проникновение и вредоносные методы для проведения своих атак. Существует риск того, что украденные данные могут быть использованы другими группами угроз, и организациям рекомендуется внедрять такие меры безопасности, как параметризованные инструкции, проверка ввода и брандмауэры веб-приложений. Решение Group-IB для защиты от мошенничества предлагает профилирование поведения пользователей на основе искусственного интеллекта для обнаружения и блокирования мошеннических действий.
-----
ResumeLooters - это киберпреступная банда, нацеленная на агентства по трудоустройству и розничные компании в регионе Азиатско-Тихоокеанского региона.
Они скомпрометировали 65 веб-сайтов в период с ноября по декабрь определенного года.
Атаки с использованием SQL-инъекций являются их основным методом кражи пользовательских баз данных, содержащих конфиденциальные персональные данные.
Они продают украденные данные по Telegram-каналам.
Они заражают законные веб-сайты по поиску работы скриптами XSS для отображения фишинговых форм.
Group-IB, компания по кибербезопасности, сообщила об аналогичных атаках со стороны другой группы под названием GambleForce в регионе APAC.
ResumeLooters в первую очередь ориентирован на страны Азиатско-Тихоокеанского региона, но также скомпрометировал компании за пределами APAC.
Они используют различные инструменты тестирования на проникновение, такие как sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL и Dirsearch.
Группа внедряет XSS-скрипты в веб-формы и вставляет вредоносные скрипты на законные веб-сайты.
На их вредоносном сервере размещены инструменты с открытым исходным кодом и самописные скрипты для подключения к целевым веб-сайтам и анализа данных.
Были идентифицированы по меньшей мере два аккаунта Telegram, связанных с злоумышленниками.
В результате атак раскрываются личные данные соискателей работы, которые могут быть использованы продвинутыми группами постоянных угроз.
Параметризованные инструкции, проверка входных данных и реализация WAF рекомендуются для защиты от SQL-инъекций и XSS-атак.
Решение Group-IB для защиты от мошенничества использует искусственный интеллект для выявления и блокирования вредоносной активности ботов.
#INSECA #education
Коллеги из INSECA выпустили первый русскоязычный курс по работе с платформой OpenCTI.
На курсе дают пошаговую инструкцию, доступ к виртуальной машине платформы ОpenCTI и практические задания с обратной связью от эксперта. Также вы сможете самостоятельно подключить индикаторы (IOC) и TI-отчеты и использовать в работе продукты компании Технологии киберугроз (бренд RST Cloud Russia).
После освоения курса вы научитесь:
— свободно ориентироваться в интерфейсе и функционале платформы ОpenCTI;
— разворачивать платформу ОpenCTI для личного пользования и подключать коннекторы;
— настраивать платформу под рабочие задачи;
— обслуживать платформу, выявлять и решать неполадки.
Набор открыт, начать можно уже сейчас.
Коллеги из INSECA выпустили первый русскоязычный курс по работе с платформой OpenCTI.
На курсе дают пошаговую инструкцию, доступ к виртуальной машине платформы ОpenCTI и практические задания с обратной связью от эксперта. Также вы сможете самостоятельно подключить индикаторы (IOC) и TI-отчеты и использовать в работе продукты компании Технологии киберугроз (бренд RST Cloud Russia).
После освоения курса вы научитесь:
— свободно ориентироваться в интерфейсе и функционале платформы ОpenCTI;
— разворачивать платформу ОpenCTI для личного пользования и подключать коннекторы;
— настраивать платформу под рабочие задачи;
— обслуживать платформу, выявлять и решать неполадки.
Набор открыт, начать можно уже сейчас.
inseca.tech
Работа с OpenCTI — курс по платформе анализа киберугроз с практикой | INSECA
Научись пользоваться платформой OpenCTI. Программа на 70% из практических заданий. Бесплатный демодоступ курса. Государственная лицензия. Резидент "Сколково".
👍2🔥1💩1
CTT Report Hub pinned «#INSECA #education Коллеги из INSECA выпустили первый русскоязычный курс по работе с платформой OpenCTI. На курсе дают пошаговую инструкцию, доступ к виртуальной машине платформы ОpenCTI и практические задания с обратной связью от эксперта. Также вы сможете…»
#cyberthreattech
Ну и напомню, что у нас есть офф. коннекторы к OpenCTI в их репе.
Мы вливаем в OpenCTI IOC-и с контекстом.
Также мы разбираем TI-отчеты на запчасти и вытаскиваем связи между этими объектами, генерим саммари на русском и вливаем в OpenCTI в STIX-формате.
Ну и напомню, что у нас есть офф. коннекторы к OpenCTI в их репе.
Мы вливаем в OpenCTI IOC-и с контекстом.
Также мы разбираем TI-отчеты на запчасти и вытаскиваем связи между этими объектами, генерим саммари на русском и вливаем в OpenCTI в STIX-формате.
