#ParsedReport #CompletenessLow
21-02-2024
Extra credit: VietCredCare information stealer takes aim at Vietnamese businesses
https://www.group-ib.com/blog/vietcredcare-stealer
Report completeness: Low
Threats:
Vietcredcare
Fategrab
Victims:
Leading vietnamese bank, Vietnamese government agencies, Universities, E-commerce platforms, Banks, Major vietnamese enterprises, Personal and business social media accounts
Industry:
Education, Financial, E-commerce, Government
Geo:
Vietnam, Vietnamese
ChatGPT TTPs:
T1566, T1204, T1555, T1112, T1565, T1105, T1071, T1583, T1595, T1027, have more...
IOCs:
File: 3
Url: 2
Path: 2
Hash: 35
Soft:
Telegram, WhatsApp, Chrome, Chromium, Windows Defender, Slack
Algorithms:
sha256, exhibit
Platforms:
x64
21-02-2024
Extra credit: VietCredCare information stealer takes aim at Vietnamese businesses
https://www.group-ib.com/blog/vietcredcare-stealer
Report completeness: Low
Threats:
Vietcredcare
Fategrab
Victims:
Leading vietnamese bank, Vietnamese government agencies, Universities, E-commerce platforms, Banks, Major vietnamese enterprises, Personal and business social media accounts
Industry:
Education, Financial, E-commerce, Government
Geo:
Vietnam, Vietnamese
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1555, T1112, T1565, T1105, T1071, T1583, T1595, T1027, have more...
IOCs:
File: 3
Url: 2
Path: 2
Hash: 35
Soft:
Telegram, WhatsApp, Chrome, Chromium, Windows Defender, Slack
Algorithms:
sha256, exhibit
Platforms:
x64
Group-IB
Extra credit: VietCredCare information stealer takes aim at Vietnamese businesses
Group-IB discovers new information stealer targeting Vietnam with rare functionality to filter out Facebook accounts with advertising credits.
CTT Report Hub
#ParsedReport #CompletenessLow 21-02-2024 Extra credit: VietCredCare information stealer takes aim at Vietnamese businesses https://www.group-ib.com/blog/vietcredcare-stealer Report completeness: Low Threats: Vietcredcare Fategrab Victims: Leading vietnamese…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Ключевые моменты:.
Group-IB обнаружила нового похитителя информации под названием VietCredCare, нацеленного на пользователей во Вьетнаме.
Вредоносная программа была специально нацелена на аккаунты Facebook, управляющие рекламой с положительным балансом мета-рекламы.
VietCredCare стремилась скомпрометировать конфиденциальную информацию, такую как данные банковской карты и учетные данные криптокошелька.
Вредоносная программа распространялась через фишинговые сайты, замаскированные под законные загрузки программного обеспечения.
В первую очередь он был нацелен на пользователей, управляющих профилями известных компаний и организаций в Facebook.
Киберпреступники, стоящие за VietCredCare, предлагали вредоносное ПО в качестве услуги, предоставляя покупателям доступ к уникальным каналам Telegram-ботов для утечки данных.
Вредоносная программа заразила жертв в 44 провинциях Вьетнама, воздействуя на правительственные учреждения, университеты, банки, предприятия и аккаунты в социальных сетях.
VietCredCare обладал расширенными функциональными возможностями для кражи файлов cookie и паролей, обхода двухфакторной аутентификации Facebook и автоматической классификации скомпрометированных аккаунтов с использованием рекламных кредитов.
Анализ Group-IB показал, что лица, говорящие по-вьетнамски, вероятно, ответственны за создание и использование VietCredCare.
Особое внимание уделялось сотрудничеству с правоохранительными органами для борьбы с угрозой, исходящей от таких похитителей информации, как VietCredCare.
-----
Group-IB обнаружила нового похитителя информации под названием VietCredCare, нацеленного на пользователей во Вьетнаме.
VietCredCare может отфильтровывать аккаунты Facebook с положительным балансом по мета-рекламе и фокусируется на компрометации конфиденциальной информации, такой как данные банковской карты и учетные данные крипто кошелька.
Вредоносная программа распространяется через фишинговые сайты, замаскированные под законные загрузки программного обеспечения, которыми делятся в социальных сетях и на платформах обмена сообщениями.
VietCredCare в первую очередь нацелена на пользователей, управляющих профилями известных компаний и организаций в Facebook, для потенциального захвата аккаунтов с целью политических манипуляций или получения финансовой выгоды путем фишинга и продажи учетных данных.
Вредоносная программа поражает жертв в 44 провинциях Вьетнама, с наибольшей концентрацией в Ханое, Хошимине и Дананге, затрагивая правительственные учреждения, университеты, банки и предприятия.
Сложные возможности VietCredCare включают в себя кражу файлов cookie и паролей из браузеров, обход двухфакторной аутентификации Facebook и автоматическую классификацию скомпрометированных учетных записей Facebook.
Вредоносная программа продвигается во вьетнамских кругах киберпреступников, что указывает на то, что лица, говорящие по-вьетнамски, вероятно, ответственны за ее создание и разработку.
Group-IB сотрудничала с правоохранительными органами Вьетнама в борьбе с угрозой, исходящей от VietCredCare, подчеркивая необходимость усиления мер кибербезопасности для снижения рисков.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Ключевые моменты:.
Group-IB обнаружила нового похитителя информации под названием VietCredCare, нацеленного на пользователей во Вьетнаме.
Вредоносная программа была специально нацелена на аккаунты Facebook, управляющие рекламой с положительным балансом мета-рекламы.
VietCredCare стремилась скомпрометировать конфиденциальную информацию, такую как данные банковской карты и учетные данные криптокошелька.
Вредоносная программа распространялась через фишинговые сайты, замаскированные под законные загрузки программного обеспечения.
В первую очередь он был нацелен на пользователей, управляющих профилями известных компаний и организаций в Facebook.
Киберпреступники, стоящие за VietCredCare, предлагали вредоносное ПО в качестве услуги, предоставляя покупателям доступ к уникальным каналам Telegram-ботов для утечки данных.
Вредоносная программа заразила жертв в 44 провинциях Вьетнама, воздействуя на правительственные учреждения, университеты, банки, предприятия и аккаунты в социальных сетях.
VietCredCare обладал расширенными функциональными возможностями для кражи файлов cookie и паролей, обхода двухфакторной аутентификации Facebook и автоматической классификации скомпрометированных аккаунтов с использованием рекламных кредитов.
Анализ Group-IB показал, что лица, говорящие по-вьетнамски, вероятно, ответственны за создание и использование VietCredCare.
Особое внимание уделялось сотрудничеству с правоохранительными органами для борьбы с угрозой, исходящей от таких похитителей информации, как VietCredCare.
-----
Group-IB обнаружила нового похитителя информации под названием VietCredCare, нацеленного на пользователей во Вьетнаме.
VietCredCare может отфильтровывать аккаунты Facebook с положительным балансом по мета-рекламе и фокусируется на компрометации конфиденциальной информации, такой как данные банковской карты и учетные данные крипто кошелька.
Вредоносная программа распространяется через фишинговые сайты, замаскированные под законные загрузки программного обеспечения, которыми делятся в социальных сетях и на платформах обмена сообщениями.
VietCredCare в первую очередь нацелена на пользователей, управляющих профилями известных компаний и организаций в Facebook, для потенциального захвата аккаунтов с целью политических манипуляций или получения финансовой выгоды путем фишинга и продажи учетных данных.
Вредоносная программа поражает жертв в 44 провинциях Вьетнама, с наибольшей концентрацией в Ханое, Хошимине и Дананге, затрагивая правительственные учреждения, университеты, банки и предприятия.
Сложные возможности VietCredCare включают в себя кражу файлов cookie и паролей из браузеров, обход двухфакторной аутентификации Facebook и автоматическую классификацию скомпрометированных учетных записей Facebook.
Вредоносная программа продвигается во вьетнамских кругах киберпреступников, что указывает на то, что лица, говорящие по-вьетнамски, вероятно, ответственны за ее создание и разработку.
Group-IB сотрудничала с правоохранительными органами Вьетнама в борьбе с угрозой, исходящей от VietCredCare, подчеркивая необходимость усиления мер кибербезопасности для снижения рисков.
#ParsedReport #CompletenessLow
21-02-2024
SSH-Snake: New Self-Modifying Worm Threatens Networks
https://sysdig.com/blog/ssh-snake
Report completeness: Low
Actors/Campaigns:
Labrat
Threats:
Ssh-snake_tool
Supply_chain_technique
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1078, T1082, T1021, T1105, T1505, T1552, T1059, T1562, T1083, T1053, have more...
Soft:
rsync, Confluence
Languages:
perl, javascript
Links:
21-02-2024
SSH-Snake: New Self-Modifying Worm Threatens Networks
https://sysdig.com/blog/ssh-snake
Report completeness: Low
Actors/Campaigns:
Labrat
Threats:
Ssh-snake_tool
Supply_chain_technique
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1078, T1082, T1021, T1105, T1505, T1552, T1059, T1562, T1083, T1053, have more...
Soft:
rsync, Confluence
Languages:
perl, javascript
Links:
https://github.com/MegaManSec/SSH-SnakeSysdig
SSH-Snake: New Self-Modifying Worm Threatens Networks
The Sysdig Threat Research Team (TRT) discovered the malicious use of a new network mapping tool called SSH-Snake that was released on 4 January 2024.
CTT Report Hub
#ParsedReport #CompletenessLow 21-02-2024 SSH-Snake: New Self-Modifying Worm Threatens Networks https://sysdig.com/blog/ssh-snake Report completeness: Low Actors/Campaigns: Labrat Threats: Ssh-snake_tool Supply_chain_technique TTPs: Tactics: 1 Technics:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа исследователей угроз Sysdig обнаружила новый вредоносный инструмент отображения сети под названием SSH-Snake, который представляет собой самомодифицирующегося червя, предназначенного для использования учетных данных SSH в скомпрометированных системах для распространения по сетям. Этот инструмент активно используется субъектами угроз для наступательных операций, обладает повышенной скрытностью и эффективностью при обнаружении закрытых ключей SSH и способен автономно модифицировать себя, чтобы избежать обнаружения. Организациям рекомендуется использовать средства обнаружения угроз во время выполнения для защиты от развивающихся угроз, таких как SSH-Snake.
-----
Новый вредоносный инструмент отображения сети под названием SSH-Snake был обнаружен исследовательской группой Sysdig Threat Research 4 января 2024 года.
SSH-Snake - это самомодифицирующийся червь, который использует учетные данные SSH для распространения по сетям и создания обширной карты сетевых зависимостей для потенциального компрометирования.
Он может автономно модифицировать себя, чтобы уменьшить размер, устранить комментарии и работать без файлов, чтобы избежать обнаружения.
SSH-Snake проводит тщательный поиск закрытых ключей SSH в целевых системах различными методами, включая изучение файлов истории оболочки и источников сетевой информации.
Инструмент является универсальным, настраиваемым и предназначен для репликации и распространения на разных устройствах, не оставляя после себя традиционных следов файлов.
SSH-Snake активно используется участниками угроз в наступательных операциях и был связан с кампанией, использующей уязвимости в Confluence.
Обнаружение активности SSH-Snake может быть выполнено с помощью инструментов обнаружения угроз во время выполнения, таких как Sysdig Secure, или инструментов с открытым исходным кодом, таких как Falco.
Организациям рекомендуется использовать средства обнаружения угроз во время выполнения и настраивать правила обнаружения для защиты от развивающихся угроз, таких как SSH-Snake.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа исследователей угроз Sysdig обнаружила новый вредоносный инструмент отображения сети под названием SSH-Snake, который представляет собой самомодифицирующегося червя, предназначенного для использования учетных данных SSH в скомпрометированных системах для распространения по сетям. Этот инструмент активно используется субъектами угроз для наступательных операций, обладает повышенной скрытностью и эффективностью при обнаружении закрытых ключей SSH и способен автономно модифицировать себя, чтобы избежать обнаружения. Организациям рекомендуется использовать средства обнаружения угроз во время выполнения для защиты от развивающихся угроз, таких как SSH-Snake.
-----
Новый вредоносный инструмент отображения сети под названием SSH-Snake был обнаружен исследовательской группой Sysdig Threat Research 4 января 2024 года.
SSH-Snake - это самомодифицирующийся червь, который использует учетные данные SSH для распространения по сетям и создания обширной карты сетевых зависимостей для потенциального компрометирования.
Он может автономно модифицировать себя, чтобы уменьшить размер, устранить комментарии и работать без файлов, чтобы избежать обнаружения.
SSH-Snake проводит тщательный поиск закрытых ключей SSH в целевых системах различными методами, включая изучение файлов истории оболочки и источников сетевой информации.
Инструмент является универсальным, настраиваемым и предназначен для репликации и распространения на разных устройствах, не оставляя после себя традиционных следов файлов.
SSH-Snake активно используется участниками угроз в наступательных операциях и был связан с кампанией, использующей уязвимости в Confluence.
Обнаружение активности SSH-Snake может быть выполнено с помощью инструментов обнаружения угроз во время выполнения, таких как Sysdig Secure, или инструментов с открытым исходным кодом, таких как Falco.
Организациям рекомендуется использовать средства обнаружения угроз во время выполнения и настраивать правила обнаружения для защиты от развивающихся угроз, таких как SSH-Snake.
#ParsedReport #CompletenessMedium
21-02-2024
RustDoor and GateDoor: A New Pair of Weapons Disguised as Legitimate Software by Suspected Cybercriminal. Executive Summary
https://medium.com/s2wblog/rustdoor-and-gatedoor-a-new-pair-of-weapons-disguised-as-legitimate-software-by-suspected-34c94e558b40
Report completeness: Medium
Actors/Campaigns:
Shadowsyndicate
Sea_turtle
Threats:
Rustdoor
Gatedoor
Zuru
Cobalt_strike
Icedid
Sliver_c2_tool
Stealc
Truebot
Clop
Blackcat
Nokoyawa
Applescript
Geo:
Russia, Germany, Romania, Singapore, Romanian, Russian, Brazil
TTPs:
Tactics: 5
Technics: 7
IOCs:
IP: 6
Hash: 48
Domain: 8
File: 11
Path: 2
Registry: 1
Command: 1
Soft:
macOS, chatGPT, curl, Django, sysctl
Algorithms:
xor, zip, md5, sha256
Languages:
golang, rust
Platforms:
arm, intel, cross-platform, apple
21-02-2024
RustDoor and GateDoor: A New Pair of Weapons Disguised as Legitimate Software by Suspected Cybercriminal. Executive Summary
https://medium.com/s2wblog/rustdoor-and-gatedoor-a-new-pair-of-weapons-disguised-as-legitimate-software-by-suspected-34c94e558b40
Report completeness: Medium
Actors/Campaigns:
Shadowsyndicate
Sea_turtle
Threats:
Rustdoor
Gatedoor
Zuru
Cobalt_strike
Icedid
Sliver_c2_tool
Stealc
Truebot
Clop
Blackcat
Nokoyawa
Applescript
Geo:
Russia, Germany, Romania, Singapore, Romanian, Russian, Brazil
TTPs:
Tactics: 5
Technics: 7
IOCs:
IP: 6
Hash: 48
Domain: 8
File: 11
Path: 2
Registry: 1
Command: 1
Soft:
macOS, chatGPT, curl, Django, sysctl
Algorithms:
xor, zip, md5, sha256
Languages:
golang, rust
Platforms:
arm, intel, cross-platform, apple
Medium
RustDoor and GateDoor: A New Pair of Weapons Disguised as Legitimate Software by Suspected Cybercriminal
Author: Minyeop Choi, Sojun Ryu, Sebin Lee, HuiSeong Yang | BLKSMTH
CTT Report Hub
#ParsedReport #CompletenessMedium 21-02-2024 RustDoor and GateDoor: A New Pair of Weapons Disguised as Legitimate Software by Suspected Cybercriminal. Executive Summary https://medium.com/s2wblog/rustdoor-and-gatedoor-a-new-pair-of-weapons-disguised-as-legitimate…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и отслеживании вредоносных программ для macOS под названием RustDoor и GateDoor центром анализа угроз S2W. Эти варианты вредоносных программ распространяются под видом обычных обновлений программ или утилит и взаимодействуют с сервером C&C для выполнения команд, сбора информации, загрузки файлов и выполнения вредоносных действий. Считается, что они разработаны одним и тем же злоумышленником и связаны с партнерской программой-вымогателем ShadowSyndicate. Эволюция RustDoor от вредоносного ПО для Windows на базе Golang до вредоносного ПО для macOS на основе Rust указывает на стратегический сдвиг в нацеливании на устройства Apple. В тексте также подчеркивается растущее использование злоумышленниками технологий искусственного интеллекта и сохраняющийся ландшафт угроз для пользователей macOS.
-----
Центр анализа угроз S2W Talon обнаружил и отслеживал вредоносные программы для macOS под названием RustDoor и GateDoor, распространяемые в виде обновлений программного обеспечения или утилит.
RustDoor использует ключевые слова, связанные с Apple, а GateDoor замаскирован под утилиту WebViewHost, использующую метод перехвата порядка поиска DLL.
Обе вредоносные программы взаимодействуют с сервером C&C для выполнения команд, сбора данных, загрузки файлов и вредоносных действий, причем общие конечные точки связи указывают на одного и того же злоумышленника.
Инфраструктура RustDoor и GateDoor, по-видимому, связана с партнерской программой-вымогателем ShadowSyndicate (RaaS), что предполагает возможное сотрудничество между киберпреступниками.
Злоумышленники все чаще нацеливаются на пользователей macOS, используя такие языки, как Golang и Rust, для кроссплатформенных возможностей и технологии искусственного интеллекта для более эффективной разработки вредоносных программ.
RustDoor и GateDoor могут быть созданы одним и тем же создателем, причем RustDoor функционирует как бэкдор, а GateDoor - как загрузчик.
RustDoor эволюционирует от вредоносной программы для Windows на базе Golang к вредоносной программе для macOS на базе Rust, демонстрируя стратегический сдвиг в сторону таргетинга на устройства Apple.
Методы сохранения включают регистрацию RustDoor в программах запуска macOS и хранение информации о конфигурации в формате JSON.
GateDoor выполняет произвольный код, фокусируется на функциях бэкдора и загрузчика в системах Windows и взаимодействует с сервером C&C для выполнения задач.
Схемы коммуникации, сайты распространения и функции дополнительных вариантов вредоносного ПО, таких как DataCollector, предполагают скоординированные усилия киберпреступных групп, потенциально связанных с филиалами RaaS, такими как ShadowSyndicate.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и отслеживании вредоносных программ для macOS под названием RustDoor и GateDoor центром анализа угроз S2W. Эти варианты вредоносных программ распространяются под видом обычных обновлений программ или утилит и взаимодействуют с сервером C&C для выполнения команд, сбора информации, загрузки файлов и выполнения вредоносных действий. Считается, что они разработаны одним и тем же злоумышленником и связаны с партнерской программой-вымогателем ShadowSyndicate. Эволюция RustDoor от вредоносного ПО для Windows на базе Golang до вредоносного ПО для macOS на основе Rust указывает на стратегический сдвиг в нацеливании на устройства Apple. В тексте также подчеркивается растущее использование злоумышленниками технологий искусственного интеллекта и сохраняющийся ландшафт угроз для пользователей macOS.
-----
Центр анализа угроз S2W Talon обнаружил и отслеживал вредоносные программы для macOS под названием RustDoor и GateDoor, распространяемые в виде обновлений программного обеспечения или утилит.
RustDoor использует ключевые слова, связанные с Apple, а GateDoor замаскирован под утилиту WebViewHost, использующую метод перехвата порядка поиска DLL.
Обе вредоносные программы взаимодействуют с сервером C&C для выполнения команд, сбора данных, загрузки файлов и вредоносных действий, причем общие конечные точки связи указывают на одного и того же злоумышленника.
Инфраструктура RustDoor и GateDoor, по-видимому, связана с партнерской программой-вымогателем ShadowSyndicate (RaaS), что предполагает возможное сотрудничество между киберпреступниками.
Злоумышленники все чаще нацеливаются на пользователей macOS, используя такие языки, как Golang и Rust, для кроссплатформенных возможностей и технологии искусственного интеллекта для более эффективной разработки вредоносных программ.
RustDoor и GateDoor могут быть созданы одним и тем же создателем, причем RustDoor функционирует как бэкдор, а GateDoor - как загрузчик.
RustDoor эволюционирует от вредоносной программы для Windows на базе Golang к вредоносной программе для macOS на базе Rust, демонстрируя стратегический сдвиг в сторону таргетинга на устройства Apple.
Методы сохранения включают регистрацию RustDoor в программах запуска macOS и хранение информации о конфигурации в формате JSON.
GateDoor выполняет произвольный код, фокусируется на функциях бэкдора и загрузчика в системах Windows и взаимодействует с сервером C&C для выполнения задач.
Схемы коммуникации, сайты распространения и функции дополнительных вариантов вредоносного ПО, таких как DataCollector, предполагают скоординированные усилия киберпреступных групп, потенциально связанных с филиалами RaaS, такими как ShadowSyndicate.
#ParsedReport #CompletenessMedium
21-02-2024
Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war
https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war
Report completeness: Medium
Actors/Campaigns:
Texonto (motivation: psyop, cyber_criminal, disinformation, cyber_espionage)
Seaborgium (motivation: cyber_espionage)
Sandworm
Gamaredon (motivation: cyber_espionage)
Threats:
Industoyer2
Spear-phishing_technique
Victims:
Ukrainian defense company, Eu agency, Ukrainian government, Energy companies, Individuals in ukraine, People in other european countries, An italian shoe manufacturer
Industry:
Healthcare, Logistic, Military, Foodtech, Energy, Government
Geo:
Belarus, Palestinian, Ukraine, Russian, Belarusian, Rus, Ukrainians, Ukrainian, Canadian, Italian, Usa, Russia
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 18
Email: 13
Url: 1
File: 3
IP: 11
Soft:
Telegram, Microsoft Office 365, Outlook, Office 365
Platforms:
arm
Links:
21-02-2024
Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war
https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war
Report completeness: Medium
Actors/Campaigns:
Texonto (motivation: psyop, cyber_criminal, disinformation, cyber_espionage)
Seaborgium (motivation: cyber_espionage)
Sandworm
Gamaredon (motivation: cyber_espionage)
Threats:
Industoyer2
Spear-phishing_technique
Victims:
Ukrainian defense company, Eu agency, Ukrainian government, Energy companies, Individuals in ukraine, People in other european countries, An italian shoe manufacturer
Industry:
Healthcare, Logistic, Military, Foodtech, Energy, Government
Geo:
Belarus, Palestinian, Ukraine, Russian, Belarusian, Rus, Ukrainians, Ukrainian, Canadian, Italian, Usa, Russia
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 18
Email: 13
Url: 1
File: 3
IP: 11
Soft:
Telegram, Microsoft Office 365, Outlook, Office 365
Platforms:
arm
Links:
https://github.com/eset/malware-ioc/tree/master/operation\_texontoWelivesecurity
Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war
ESET Research discovers Operation Texonto, a disinformation/psychological operations (PSYOPs) campaign that uses spam emails to demoralize Ukrainian citizens with disinformation messages about war-related topics.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-02-2024 Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в усилиях ESET по защите украинской ИТ-инфраструктуры от кибератак, в частности, в выявлении и расследовании кибератак и кампаний дезинформации, проводимых группами, связанными с Россией. В тексте обсуждаются конкретные операции, такие как операция Texonto, кампании подводной охоты, технические совпадения между различными кибероперациями и эволюционирующие стратегии, используемые этими субъектами угроз. Кроме того, в нем освещается взаимосвязь между кибероперациями, кампаниями по дезинформации и коммерческим спамом, что проливает свет на сложную и многогранную природу современных киберугроз в контексте эскалации кибервойн в Украине.
-----
ESET активно защищает украинскую ИТ-инфраструктуру от кибератак с 2022 года, особенно во время эскалации конфликта.
ESET раскрыла масштабную дезинформационную и психологическую операцию "Операция Texonto", которая использовала спам-рассылки для распространения ложной информации, связанной с нехваткой отопления, лекарств и продовольствия в Украине.
Были выявлены кампании шпионского фишинга, нацеленные на украинские оборонные компании и агентства ЕС с целью кражи учетных данных Microsoft Office 365, при этом сходство в сетевой инфраструктуре указывает на сильную корреляцию между этими атаками.
Злоумышленники, стоящие за операцией Texonto, перепрофилировали почтовый сервер для распространения спама в канадских аптеках, что указывает на сочетание кибершпионажа, информационных операций и незаконной предпринимательской деятельности, напоминающей группу кибершпионажа Callisto.
Хотя операции "Тексонто" и "Каллисто" имеют концептуальное сходство, технические совпадения остаются неясными, но операция предварительно связана с объединением, поддерживаемым Россией, на основе тактики и целей.
В Украине развернулись различные кампании по дезинформации, выдающие себя за министерства украинского правительства с целью распространения дезинформации и подрыва доверия среди населения.
Переход от кампаний по дезинформации к призыву получателей принять тревожные резолюции в декабре 2023 года предполагал изменение стратегий в рамках операции.
Переход домена, используемого для рассылки электронных писем PSYOP, для распространения спама в канадских аптеках в январе 2024 года может сигнализировать об изменении мотивов злоумышленников, подчеркивая сложность современных киберугроз.
Связанные с Россией кибергруппировки, такие как Sandworm и Gamaredon, активизировали киберактивность в Украине, и операция Texonto является частью этих враждебных кампаний, направленных на влияние на общественное восприятие во время конфликта.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в усилиях ESET по защите украинской ИТ-инфраструктуры от кибератак, в частности, в выявлении и расследовании кибератак и кампаний дезинформации, проводимых группами, связанными с Россией. В тексте обсуждаются конкретные операции, такие как операция Texonto, кампании подводной охоты, технические совпадения между различными кибероперациями и эволюционирующие стратегии, используемые этими субъектами угроз. Кроме того, в нем освещается взаимосвязь между кибероперациями, кампаниями по дезинформации и коммерческим спамом, что проливает свет на сложную и многогранную природу современных киберугроз в контексте эскалации кибервойн в Украине.
-----
ESET активно защищает украинскую ИТ-инфраструктуру от кибератак с 2022 года, особенно во время эскалации конфликта.
ESET раскрыла масштабную дезинформационную и психологическую операцию "Операция Texonto", которая использовала спам-рассылки для распространения ложной информации, связанной с нехваткой отопления, лекарств и продовольствия в Украине.
Были выявлены кампании шпионского фишинга, нацеленные на украинские оборонные компании и агентства ЕС с целью кражи учетных данных Microsoft Office 365, при этом сходство в сетевой инфраструктуре указывает на сильную корреляцию между этими атаками.
Злоумышленники, стоящие за операцией Texonto, перепрофилировали почтовый сервер для распространения спама в канадских аптеках, что указывает на сочетание кибершпионажа, информационных операций и незаконной предпринимательской деятельности, напоминающей группу кибершпионажа Callisto.
Хотя операции "Тексонто" и "Каллисто" имеют концептуальное сходство, технические совпадения остаются неясными, но операция предварительно связана с объединением, поддерживаемым Россией, на основе тактики и целей.
В Украине развернулись различные кампании по дезинформации, выдающие себя за министерства украинского правительства с целью распространения дезинформации и подрыва доверия среди населения.
Переход от кампаний по дезинформации к призыву получателей принять тревожные резолюции в декабре 2023 года предполагал изменение стратегий в рамках операции.
Переход домена, используемого для рассылки электронных писем PSYOP, для распространения спама в канадских аптеках в январе 2024 года может сигнализировать об изменении мотивов злоумышленников, подчеркивая сложность современных киберугроз.
Связанные с Россией кибергруппировки, такие как Sandworm и Gamaredon, активизировали киберактивность в Украине, и операция Texonto является частью этих враждебных кампаний, направленных на влияние на общественное восприятие во время конфликта.
#ParsedReport #CompletenessLow
22-02-2024
Doppelgnger \| Russia-Aligned Influence Operation Targets Germany
https://www.sentinelone.com/labs/doppelganger-russia-aligned-influence-operation-targets-germany
Report completeness: Low
Actors/Campaigns:
Doppelgnger (motivation: disinformation, propaganda)
Victims:
German audiences, General population
Industry:
Government, Healthcare
Geo:
German, Ukraine, France, Usa, Russian, Russia, Israel, Germany
ChatGPT TTPs:
T1566, T1566.002, T1583, T1584, T1027, T1071, T1043, T1090, T1573, T1568, have more...
IOCs:
Domain: 60
Soft:
WordPress, cPanel
Algorithms:
exhibit
Languages:
javascript
22-02-2024
Doppelgnger \| Russia-Aligned Influence Operation Targets Germany
https://www.sentinelone.com/labs/doppelganger-russia-aligned-influence-operation-targets-germany
Report completeness: Low
Actors/Campaigns:
Doppelgnger (motivation: disinformation, propaganda)
Victims:
German audiences, General population
Industry:
Government, Healthcare
Geo:
German, Ukraine, France, Usa, Russian, Russia, Israel, Germany
ChatGPT TTPs:
do not use without manual checkT1566, T1566.002, T1583, T1584, T1027, T1071, T1043, T1090, T1573, T1568, have more...
IOCs:
Domain: 60
Soft:
WordPress, cPanel
Algorithms:
exhibit
Languages:
javascript
SentinelOne
Doppelgänger | Russia-Aligned Influence Operation Targets Germany
Doppelgänger, a sophisticated Russia-aligned operation, targets German public opinion with disinformation ahead of elections.
CTT Report Hub
#ParsedReport #CompletenessLow 22-02-2024 Doppelgnger \| Russia-Aligned Influence Operation Targets Germany https://www.sentinelone.com/labs/doppelganger-russia-aligned-influence-operation-targets-germany Report completeness: Low Actors/Campaigns: Doppelgnger…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что SentinelLabs и ClearSky Cyber Security отслеживали сложную связанную с Россией сеть операций влияния под названием Doppelgnger, нацеленную на немецкую аудиторию с помощью пропаганды и дезинформации, чтобы потенциально повлиять на общественное мнение накануне выборов, критикуя поддержку Украины правящей правительственной коалицией. Doppelgnger использует различные тактики, включая использование большой сети скоординированных аккаунтов на таких платформах, как X, сложные методы распространения контента и создание пользовательских веб-сайтов, имитирующих новостные агентства. Инфраструктура сети сложна и тщательно управляется, чтобы избежать обнаружения, и она намерена продолжать совершенствовать свою тактику на предстоящих выборах в ЕС и США. SentinelLabs по-прежнему бдительно следит за деятельностью Doppelgnger.
-----
Предположительно связанная с Россией сеть по оказанию влияния под названием Doppelgnger нацеливала на немецкую аудиторию пропаганду и дезинформацию, критикуя правящую правительственную коалицию в Германии и ее поддержку Украины.
Doppelgnger начал свою кампанию в конце ноября 2023 года и с тех пор расширил таргетинг на аудиторию в США, Израиле, Франции, уделив особое внимание Германии.
Сеть использует значительную сеть аккаунтов на различных платформах, в частности X (ранее Twitter), для распространения контента и эффективного привлечения аудитории.
Doppelgnger использует сложные тактики, такие как размещение веб-сайтов, которые перенаправляют посетителей на несколько этапов, используя методы запутывания и отслеживания. Они, вероятно, используют систему отслеживания Keitaro для мониторинга эффективности кампании.
Сеть стратегически управляет кластерами аккаунтов на таких платформах, как X, для повышения показателей вовлеченности и координации распространения контента.
Doppelgnger создает веб-сайты, имитирующие сторонние новостные агентства, для распространения целенаправленных антиправительственных материалов, особенно касающихся поддержки Германией Украины.
Инфраструктура Doppelgnger сложна и тщательно управляется, используя различные части для распространения контента, чередуя доменные имена и используя облачную инфраструктуру обратного прокси для скрытия местоположений.
Деятельность сети демонстрирует четкую стратегию использования пропаганды и дезинформации для влияния на общественное мнение, особенно в отношении геополитических и социально-экономических вопросов.
Ожидается, что в связи с предстоящими выборами в ЕС и США Doppelgnger продолжит совершенствовать свою тактику и инфраструктуру для поддержания своего влияния. SentinelLabs и ClearSky Cyber Security активно отслеживают деятельность Doppelgnger, чтобы повысить осведомленность и смягчить ее последствия.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что SentinelLabs и ClearSky Cyber Security отслеживали сложную связанную с Россией сеть операций влияния под названием Doppelgnger, нацеленную на немецкую аудиторию с помощью пропаганды и дезинформации, чтобы потенциально повлиять на общественное мнение накануне выборов, критикуя поддержку Украины правящей правительственной коалицией. Doppelgnger использует различные тактики, включая использование большой сети скоординированных аккаунтов на таких платформах, как X, сложные методы распространения контента и создание пользовательских веб-сайтов, имитирующих новостные агентства. Инфраструктура сети сложна и тщательно управляется, чтобы избежать обнаружения, и она намерена продолжать совершенствовать свою тактику на предстоящих выборах в ЕС и США. SentinelLabs по-прежнему бдительно следит за деятельностью Doppelgnger.
-----
Предположительно связанная с Россией сеть по оказанию влияния под названием Doppelgnger нацеливала на немецкую аудиторию пропаганду и дезинформацию, критикуя правящую правительственную коалицию в Германии и ее поддержку Украины.
Doppelgnger начал свою кампанию в конце ноября 2023 года и с тех пор расширил таргетинг на аудиторию в США, Израиле, Франции, уделив особое внимание Германии.
Сеть использует значительную сеть аккаунтов на различных платформах, в частности X (ранее Twitter), для распространения контента и эффективного привлечения аудитории.
Doppelgnger использует сложные тактики, такие как размещение веб-сайтов, которые перенаправляют посетителей на несколько этапов, используя методы запутывания и отслеживания. Они, вероятно, используют систему отслеживания Keitaro для мониторинга эффективности кампании.
Сеть стратегически управляет кластерами аккаунтов на таких платформах, как X, для повышения показателей вовлеченности и координации распространения контента.
Doppelgnger создает веб-сайты, имитирующие сторонние новостные агентства, для распространения целенаправленных антиправительственных материалов, особенно касающихся поддержки Германией Украины.
Инфраструктура Doppelgnger сложна и тщательно управляется, используя различные части для распространения контента, чередуя доменные имена и используя облачную инфраструктуру обратного прокси для скрытия местоположений.
Деятельность сети демонстрирует четкую стратегию использования пропаганды и дезинформации для влияния на общественное мнение, особенно в отношении геополитических и социально-экономических вопросов.
Ожидается, что в связи с предстоящими выборами в ЕС и США Doppelgnger продолжит совершенствовать свою тактику и инфраструктуру для поддержания своего влияния. SentinelLabs и ClearSky Cyber Security активно отслеживают деятельность Doppelgnger, чтобы повысить осведомленность и смягчить ее последствия.
#ParsedReport #CompletenessHigh
22-02-2024
Scattered Spider laying new eggs
https://blog.sekoia.io/scattered-spider-laying-new-eggs
Report completeness: High
Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Muddled_libra
Vice_society
Threats:
Blackcat
Rhysida
Credential_harvesting_technique
Anydesk_tool
Rattyrat
Truesocks_tool
Megasync_tool
Aitm_technique
Exmatter_tool
Stealbit
Grixba
Lockbit
Trigona
Monti
Linpeas_tool
Stonestop
Poortry
Kdmapper_tool
Mimikatz_tool
Procdump_tool
Dcsync_technique
Lazagne_tool
Advanced-port-scanner_tool
Rustscan_tool
Adrecon
Ad_explorer_tool
Pingcastle_tool
Microburst_tool
Bloodhound_tool
Impacket_tool
Mobaxterm_tool
Putty_tool
Vidar_stealer
Meduza
Raccoon_stealer
Lumma_stealer
Avemaria_rat
Twingate_tool
Connectwise_rat
Rustdesk_tool
Dwservice_tool
Dwagent_tool
Screenconnect_tool
Fleetdeck_tool
Splashtop_tool
Revshell_tool
Rms_tool
Logmein_tool
Teamviewer_tool
Tightvnc_tool
Sorillus_rat
Parsec_tool
Industry:
Retail, Bp_outsourcing, Foodtech, Healthcare, Financial, Entertainment, Telco
Geo:
Thailand, Canada
TTPs:
Tactics: 12
Technics: 0
IOCs:
Domain: 45
File: 3
IP: 27
Url: 63
Soft:
Telegram, ESXi, egram mess, OpenAM applicatio, WinSCP, macOS, Jabber, Roblox, HashiCorp Vault, OpenSSH, have more...
Crypto:
bitcoin, binance
Functions:
GetScreen
Platforms:
apple, cross-platform
Links:
22-02-2024
Scattered Spider laying new eggs
https://blog.sekoia.io/scattered-spider-laying-new-eggs
Report completeness: High
Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Muddled_libra
Vice_society
Threats:
Blackcat
Rhysida
Credential_harvesting_technique
Anydesk_tool
Rattyrat
Truesocks_tool
Megasync_tool
Aitm_technique
Exmatter_tool
Stealbit
Grixba
Lockbit
Trigona
Monti
Linpeas_tool
Stonestop
Poortry
Kdmapper_tool
Mimikatz_tool
Procdump_tool
Dcsync_technique
Lazagne_tool
Advanced-port-scanner_tool
Rustscan_tool
Adrecon
Ad_explorer_tool
Pingcastle_tool
Microburst_tool
Bloodhound_tool
Impacket_tool
Mobaxterm_tool
Putty_tool
Vidar_stealer
Meduza
Raccoon_stealer
Lumma_stealer
Avemaria_rat
Twingate_tool
Connectwise_rat
Rustdesk_tool
Dwservice_tool
Dwagent_tool
Screenconnect_tool
Fleetdeck_tool
Splashtop_tool
Revshell_tool
Rms_tool
Logmein_tool
Teamviewer_tool
Tightvnc_tool
Sorillus_rat
Parsec_tool
Industry:
Retail, Bp_outsourcing, Foodtech, Healthcare, Financial, Entertainment, Telco
Geo:
Thailand, Canada
TTPs:
Tactics: 12
Technics: 0
IOCs:
Domain: 45
File: 3
IP: 27
Url: 63
Soft:
Telegram, ESXi, egram mess, OpenAM applicatio, WinSCP, macOS, Jabber, Roblox, HashiCorp Vault, OpenSSH, have more...
Crypto:
bitcoin, binance
Functions:
GetScreen
Platforms:
apple, cross-platform
Links:
https://github.com/meganz/MEGAsynchttps://github.com/SEKOIA-IO/Community/blob/main/IOCs/ScatteredSpider/20240220\_ScatteredSpider\_IOC.csvSekoia.io Blog
Scattered Spider laying new eggs
Discover the techniques, tactics (TTPs) used by Scattered Spider intrusion set, including social engineering and targeted phishing campaigns.
CTT Report Hub
#ParsedReport #CompletenessHigh 22-02-2024 Scattered Spider laying new eggs https://blog.sekoia.io/scattered-spider-laying-new-eggs Report completeness: High Actors/Campaigns: 0ktapus (motivation: financially_motivated, cyber_criminal) Muddled_libra Vice_society…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте дается обзор группы киберугроз Scattered Spider, подробно описывающей их деятельность, эволюцию, тактику и связи в сфере киберпреступности. Группа выделяется своими навыками социальной инженерии, атаками с использованием программ-вымогателей, принадлежностью к BlackCat ransomware и акцентом на финансовую выгоду с помощью целевых кампаний. Кроме того, в тексте обсуждается адаптация группой новых инструментов и методов, действия правоохранительных органов, предпринятые против них, и необходимость постоянного мониторинга и стратегий смягчения последствий для противодействия их киберугрозам.
-----
Scattered Spider - это группа кибератак с несколькими псевдонимами, такими как UNC3944, Scatter Swine, Muddled Libra, Octo Tempest, Oktapus и StarFraud, действующая как минимум с мая 2022 года.
Группа занимается социальной инженерией, атаками с использованием программ-вымогателей, кампаниями по вымогательству и другими передовыми методами, ориентируясь на такие компании, как Twilio, Caesars Entertainment и MGM Resorts International.
Они связаны с такими псевдонимами, как 0ktapus, Star Fraud и Octo Tempest, при этом аналитики отмечают, что они являются отдельными участниками, использующими общие наборы инструментов, вероятно, действующими как подгруппы под более широкой эгидой.
Группа в основном состоит из лиц в возрасте от 17 до 22 лет из западных стран, имеющих различный технический опыт, причем некоторые члены специализируются на мошенничестве с использованием электронных средств связи и краже личных данных.
Scattered Spider превратился из брокера доступа в партнера по борьбе с программами-вымогателями, проводя кампании двойного вымогательства совместно с BlackCat ransomware group с середины 2023 года.
Они используют социальную инженерию на базе телефонов, специализированные фишинговые домены, замену SIM-карт и расширенную разведку для проникновения в корпоративные сети, используя такие инструменты, как MEGA, DropBox и Gofile для эксфильтрации данных.
Группа нацелена в первую очередь на организации в Соединенных Штатах в таких отраслях, как телекоммуникации, технологии, криптовалюты и гостиничный бизнес, постоянно совершенствуя свою тактику, чтобы избежать обнаружения.
Аналитики рекомендуют проводить постоянный мониторинг и отслеживание тактик, методов и процедур Scattered Spider (TTP) для смягчения будущих угроз и защиты организаций от кибератак.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте дается обзор группы киберугроз Scattered Spider, подробно описывающей их деятельность, эволюцию, тактику и связи в сфере киберпреступности. Группа выделяется своими навыками социальной инженерии, атаками с использованием программ-вымогателей, принадлежностью к BlackCat ransomware и акцентом на финансовую выгоду с помощью целевых кампаний. Кроме того, в тексте обсуждается адаптация группой новых инструментов и методов, действия правоохранительных органов, предпринятые против них, и необходимость постоянного мониторинга и стратегий смягчения последствий для противодействия их киберугрозам.
-----
Scattered Spider - это группа кибератак с несколькими псевдонимами, такими как UNC3944, Scatter Swine, Muddled Libra, Octo Tempest, Oktapus и StarFraud, действующая как минимум с мая 2022 года.
Группа занимается социальной инженерией, атаками с использованием программ-вымогателей, кампаниями по вымогательству и другими передовыми методами, ориентируясь на такие компании, как Twilio, Caesars Entertainment и MGM Resorts International.
Они связаны с такими псевдонимами, как 0ktapus, Star Fraud и Octo Tempest, при этом аналитики отмечают, что они являются отдельными участниками, использующими общие наборы инструментов, вероятно, действующими как подгруппы под более широкой эгидой.
Группа в основном состоит из лиц в возрасте от 17 до 22 лет из западных стран, имеющих различный технический опыт, причем некоторые члены специализируются на мошенничестве с использованием электронных средств связи и краже личных данных.
Scattered Spider превратился из брокера доступа в партнера по борьбе с программами-вымогателями, проводя кампании двойного вымогательства совместно с BlackCat ransomware group с середины 2023 года.
Они используют социальную инженерию на базе телефонов, специализированные фишинговые домены, замену SIM-карт и расширенную разведку для проникновения в корпоративные сети, используя такие инструменты, как MEGA, DropBox и Gofile для эксфильтрации данных.
Группа нацелена в первую очередь на организации в Соединенных Штатах в таких отраслях, как телекоммуникации, технологии, криптовалюты и гостиничный бизнес, постоянно совершенствуя свою тактику, чтобы избежать обнаружения.
Аналитики рекомендуют проводить постоянный мониторинг и отслеживание тактик, методов и процедур Scattered Spider (TTP) для смягчения будущих угроз и защиты организаций от кибератак.