#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа исследователей угроз Sysdig обнаружила новый вредоносный инструмент отображения сети под названием SSH-Snake, который представляет собой самомодифицирующегося червя, предназначенного для использования учетных данных SSH в скомпрометированных системах для распространения по сетям. Этот инструмент активно используется субъектами угроз для наступательных операций, обладает повышенной скрытностью и эффективностью при обнаружении закрытых ключей SSH и способен автономно модифицировать себя, чтобы избежать обнаружения. Организациям рекомендуется использовать средства обнаружения угроз во время выполнения для защиты от развивающихся угроз, таких как SSH-Snake.
-----

Новый вредоносный инструмент отображения сети под названием SSH-Snake был обнаружен исследовательской группой Sysdig Threat Research 4 января 2024 года.

SSH-Snake - это самомодифицирующийся червь, который использует учетные данные SSH для распространения по сетям и создания обширной карты сетевых зависимостей для потенциального компрометирования.

Он может автономно модифицировать себя, чтобы уменьшить размер, устранить комментарии и работать без файлов, чтобы избежать обнаружения.

SSH-Snake проводит тщательный поиск закрытых ключей SSH в целевых системах различными методами, включая изучение файлов истории оболочки и источников сетевой информации.

Инструмент является универсальным, настраиваемым и предназначен для репликации и распространения на разных устройствах, не оставляя после себя традиционных следов файлов.

SSH-Snake активно используется участниками угроз в наступательных операциях и был связан с кампанией, использующей уязвимости в Confluence.

Обнаружение активности SSH-Snake может быть выполнено с помощью инструментов обнаружения угроз во время выполнения, таких как Sysdig Secure, или инструментов с открытым исходным кодом, таких как Falco.

Организациям рекомендуется использовать средства обнаружения угроз во время выполнения и настраивать правила обнаружения для защиты от развивающихся угроз, таких как SSH-Snake.

#ParsedReport #CompletenessMedium
21-02-2024

RustDoor and GateDoor: A New Pair of Weapons Disguised as Legitimate Software by Suspected Cybercriminal. Executive Summary

https://medium.com/s2wblog/rustdoor-and-gatedoor-a-new-pair-of-weapons-disguised-as-legitimate-software-by-suspected-34c94e558b40

Report completeness: Medium

Actors/Campaigns:
Shadowsyndicate
Sea_turtle

Threats:
Rustdoor
Gatedoor
Zuru
Cobalt_strike
Icedid
Sliver_c2_tool
Stealc
Truebot
Clop
Blackcat
Nokoyawa
Applescript

Geo:
Russia, Germany, Romania, Singapore, Romanian, Russian, Brazil

TTPs:
Tactics: 5
Technics: 7

IOCs:
IP: 6
Hash: 48
Domain: 8
File: 11
Path: 2
Registry: 1
Command: 1

Soft:
macOS, chatGPT, curl, Django, sysctl

Algorithms:
xor, zip, md5, sha256

Languages:
golang, rust

Platforms:
arm, intel, cross-platform, apple

#ParsedReport #ExtractedSchema

Classified images:
table: 11, schema: 6, windows: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и отслеживании вредоносных программ для macOS под названием RustDoor и GateDoor центром анализа угроз S2W. Эти варианты вредоносных программ распространяются под видом обычных обновлений программ или утилит и взаимодействуют с сервером C&C для выполнения команд, сбора информации, загрузки файлов и выполнения вредоносных действий. Считается, что они разработаны одним и тем же злоумышленником и связаны с партнерской программой-вымогателем ShadowSyndicate. Эволюция RustDoor от вредоносного ПО для Windows на базе Golang до вредоносного ПО для macOS на основе Rust указывает на стратегический сдвиг в нацеливании на устройства Apple. В тексте также подчеркивается растущее использование злоумышленниками технологий искусственного интеллекта и сохраняющийся ландшафт угроз для пользователей macOS.
-----

Центр анализа угроз S2W Talon обнаружил и отслеживал вредоносные программы для macOS под названием RustDoor и GateDoor, распространяемые в виде обновлений программного обеспечения или утилит.

RustDoor использует ключевые слова, связанные с Apple, а GateDoor замаскирован под утилиту WebViewHost, использующую метод перехвата порядка поиска DLL.

Обе вредоносные программы взаимодействуют с сервером C&C для выполнения команд, сбора данных, загрузки файлов и вредоносных действий, причем общие конечные точки связи указывают на одного и того же злоумышленника.

Инфраструктура RustDoor и GateDoor, по-видимому, связана с партнерской программой-вымогателем ShadowSyndicate (RaaS), что предполагает возможное сотрудничество между киберпреступниками.

Злоумышленники все чаще нацеливаются на пользователей macOS, используя такие языки, как Golang и Rust, для кроссплатформенных возможностей и технологии искусственного интеллекта для более эффективной разработки вредоносных программ.

RustDoor и GateDoor могут быть созданы одним и тем же создателем, причем RustDoor функционирует как бэкдор, а GateDoor - как загрузчик.

RustDoor эволюционирует от вредоносной программы для Windows на базе Golang к вредоносной программе для macOS на базе Rust, демонстрируя стратегический сдвиг в сторону таргетинга на устройства Apple.

Методы сохранения включают регистрацию RustDoor в программах запуска macOS и хранение информации о конфигурации в формате JSON.

GateDoor выполняет произвольный код, фокусируется на функциях бэкдора и загрузчика в системах Windows и взаимодействует с сервером C&C для выполнения задач.

Схемы коммуникации, сайты распространения и функции дополнительных вариантов вредоносного ПО, таких как DataCollector, предполагают скоординированные усилия киберпреступных групп, потенциально связанных с филиалами RaaS, такими как ShadowSyndicate.

#ParsedReport #CompletenessMedium
21-02-2024

Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war

https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war

Report completeness: Medium

Actors/Campaigns:
Texonto (motivation: psyop, cyber_criminal, disinformation, cyber_espionage)
Seaborgium (motivation: cyber_espionage)
Sandworm
Gamaredon (motivation: cyber_espionage)

Threats:
Industoyer2
Spear-phishing_technique

Victims:
Ukrainian defense company, Eu agency, Ukrainian government, Energy companies, Individuals in ukraine, People in other european countries, An italian shoe manufacturer

Industry:
Healthcare, Logistic, Military, Foodtech, Energy, Government

Geo:
Belarus, Palestinian, Ukraine, Russian, Belarusian, Rus, Ukrainians, Ukrainian, Canadian, Italian, Usa, Russia

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 18
Email: 13
Url: 1
File: 3
IP: 11

Soft:
Telegram, Microsoft Office 365, Outlook, Office 365

Platforms:
arm

Links:
https://github.com/eset/malware-ioc/tree/master/operation\_texonto

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в усилиях ESET по защите украинской ИТ-инфраструктуры от кибератак, в частности, в выявлении и расследовании кибератак и кампаний дезинформации, проводимых группами, связанными с Россией. В тексте обсуждаются конкретные операции, такие как операция Texonto, кампании подводной охоты, технические совпадения между различными кибероперациями и эволюционирующие стратегии, используемые этими субъектами угроз. Кроме того, в нем освещается взаимосвязь между кибероперациями, кампаниями по дезинформации и коммерческим спамом, что проливает свет на сложную и многогранную природу современных киберугроз в контексте эскалации кибервойн в Украине.
-----

ESET активно защищает украинскую ИТ-инфраструктуру от кибератак с 2022 года, особенно во время эскалации конфликта.

ESET раскрыла масштабную дезинформационную и психологическую операцию "Операция Texonto", которая использовала спам-рассылки для распространения ложной информации, связанной с нехваткой отопления, лекарств и продовольствия в Украине.

Были выявлены кампании шпионского фишинга, нацеленные на украинские оборонные компании и агентства ЕС с целью кражи учетных данных Microsoft Office 365, при этом сходство в сетевой инфраструктуре указывает на сильную корреляцию между этими атаками.

Злоумышленники, стоящие за операцией Texonto, перепрофилировали почтовый сервер для распространения спама в канадских аптеках, что указывает на сочетание кибершпионажа, информационных операций и незаконной предпринимательской деятельности, напоминающей группу кибершпионажа Callisto.

Хотя операции "Тексонто" и "Каллисто" имеют концептуальное сходство, технические совпадения остаются неясными, но операция предварительно связана с объединением, поддерживаемым Россией, на основе тактики и целей.

В Украине развернулись различные кампании по дезинформации, выдающие себя за министерства украинского правительства с целью распространения дезинформации и подрыва доверия среди населения.

Переход от кампаний по дезинформации к призыву получателей принять тревожные резолюции в декабре 2023 года предполагал изменение стратегий в рамках операции.

Переход домена, используемого для рассылки электронных писем PSYOP, для распространения спама в канадских аптеках в январе 2024 года может сигнализировать об изменении мотивов злоумышленников, подчеркивая сложность современных киберугроз.

Связанные с Россией кибергруппировки, такие как Sandworm и Gamaredon, активизировали киберактивность в Украине, и операция Texonto является частью этих враждебных кампаний, направленных на влияние на общественное восприятие во время конфликта.

#ParsedReport #CompletenessLow
22-02-2024

Doppelgnger \| Russia-Aligned Influence Operation Targets Germany

https://www.sentinelone.com/labs/doppelganger-russia-aligned-influence-operation-targets-germany

Report completeness: Low

Actors/Campaigns:
Doppelgnger (motivation: disinformation, propaganda)

Victims:
German audiences, General population

Industry:
Government, Healthcare

Geo:
German, Ukraine, France, Usa, Russian, Russia, Israel, Germany

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1583, T1584, T1027, T1071, T1043, T1090, T1573, T1568, have more...

IOCs:
Domain: 60

Soft:
WordPress, cPanel

Algorithms:
exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что SentinelLabs и ClearSky Cyber Security отслеживали сложную связанную с Россией сеть операций влияния под названием Doppelgnger, нацеленную на немецкую аудиторию с помощью пропаганды и дезинформации, чтобы потенциально повлиять на общественное мнение накануне выборов, критикуя поддержку Украины правящей правительственной коалицией. Doppelgnger использует различные тактики, включая использование большой сети скоординированных аккаунтов на таких платформах, как X, сложные методы распространения контента и создание пользовательских веб-сайтов, имитирующих новостные агентства. Инфраструктура сети сложна и тщательно управляется, чтобы избежать обнаружения, и она намерена продолжать совершенствовать свою тактику на предстоящих выборах в ЕС и США. SentinelLabs по-прежнему бдительно следит за деятельностью Doppelgnger.
-----

Предположительно связанная с Россией сеть по оказанию влияния под названием Doppelgnger нацеливала на немецкую аудиторию пропаганду и дезинформацию, критикуя правящую правительственную коалицию в Германии и ее поддержку Украины.

Doppelgnger начал свою кампанию в конце ноября 2023 года и с тех пор расширил таргетинг на аудиторию в США, Израиле, Франции, уделив особое внимание Германии.

Сеть использует значительную сеть аккаунтов на различных платформах, в частности X (ранее Twitter), для распространения контента и эффективного привлечения аудитории.

Doppelgnger использует сложные тактики, такие как размещение веб-сайтов, которые перенаправляют посетителей на несколько этапов, используя методы запутывания и отслеживания. Они, вероятно, используют систему отслеживания Keitaro для мониторинга эффективности кампании.

Сеть стратегически управляет кластерами аккаунтов на таких платформах, как X, для повышения показателей вовлеченности и координации распространения контента.

Doppelgnger создает веб-сайты, имитирующие сторонние новостные агентства, для распространения целенаправленных антиправительственных материалов, особенно касающихся поддержки Германией Украины.

Инфраструктура Doppelgnger сложна и тщательно управляется, используя различные части для распространения контента, чередуя доменные имена и используя облачную инфраструктуру обратного прокси для скрытия местоположений.

Деятельность сети демонстрирует четкую стратегию использования пропаганды и дезинформации для влияния на общественное мнение, особенно в отношении геополитических и социально-экономических вопросов.

Ожидается, что в связи с предстоящими выборами в ЕС и США Doppelgnger продолжит совершенствовать свою тактику и инфраструктуру для поддержания своего влияния. SentinelLabs и ClearSky Cyber Security активно отслеживают деятельность Doppelgnger, чтобы повысить осведомленность и смягчить ее последствия.

#ParsedReport #CompletenessHigh
22-02-2024

Scattered Spider laying new eggs

https://blog.sekoia.io/scattered-spider-laying-new-eggs

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Muddled_libra
Vice_society

Threats:
Blackcat
Rhysida
Credential_harvesting_technique
Anydesk_tool
Rattyrat
Truesocks_tool
Megasync_tool
Aitm_technique
Exmatter_tool
Stealbit
Grixba
Lockbit
Trigona
Monti
Linpeas_tool
Stonestop
Poortry
Kdmapper_tool
Mimikatz_tool
Procdump_tool
Dcsync_technique
Lazagne_tool
Advanced-port-scanner_tool
Rustscan_tool
Adrecon
Ad_explorer_tool
Pingcastle_tool
Microburst_tool
Bloodhound_tool
Impacket_tool
Mobaxterm_tool
Putty_tool
Vidar_stealer
Meduza
Raccoon_stealer
Lumma_stealer
Avemaria_rat
Twingate_tool
Connectwise_rat
Rustdesk_tool
Dwservice_tool
Dwagent_tool
Screenconnect_tool
Fleetdeck_tool
Splashtop_tool
Revshell_tool
Rms_tool
Logmein_tool
Teamviewer_tool
Tightvnc_tool
Sorillus_rat
Parsec_tool

Industry:
Retail, Bp_outsourcing, Foodtech, Healthcare, Financial, Entertainment, Telco

Geo:
Thailand, Canada

TTPs:
Tactics: 12
Technics: 0

IOCs:
Domain: 45
File: 3
IP: 27
Url: 63

Soft:
Telegram, ESXi, egram mess, OpenAM applicatio, WinSCP, macOS, Jabber, Roblox, HashiCorp Vault, OpenSSH, have more...

Crypto:
bitcoin, binance

Functions:
GetScreen

Platforms:
apple, cross-platform

Links:
https://github.com/meganz/MEGAsync
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/ScatteredSpider/20240220\_ScatteredSpider\_IOC.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте дается обзор группы киберугроз Scattered Spider, подробно описывающей их деятельность, эволюцию, тактику и связи в сфере киберпреступности. Группа выделяется своими навыками социальной инженерии, атаками с использованием программ-вымогателей, принадлежностью к BlackCat ransomware и акцентом на финансовую выгоду с помощью целевых кампаний. Кроме того, в тексте обсуждается адаптация группой новых инструментов и методов, действия правоохранительных органов, предпринятые против них, и необходимость постоянного мониторинга и стратегий смягчения последствий для противодействия их киберугрозам.
-----

Scattered Spider - это группа кибератак с несколькими псевдонимами, такими как UNC3944, Scatter Swine, Muddled Libra, Octo Tempest, Oktapus и StarFraud, действующая как минимум с мая 2022 года.

Группа занимается социальной инженерией, атаками с использованием программ-вымогателей, кампаниями по вымогательству и другими передовыми методами, ориентируясь на такие компании, как Twilio, Caesars Entertainment и MGM Resorts International.

Они связаны с такими псевдонимами, как 0ktapus, Star Fraud и Octo Tempest, при этом аналитики отмечают, что они являются отдельными участниками, использующими общие наборы инструментов, вероятно, действующими как подгруппы под более широкой эгидой.

Группа в основном состоит из лиц в возрасте от 17 до 22 лет из западных стран, имеющих различный технический опыт, причем некоторые члены специализируются на мошенничестве с использованием электронных средств связи и краже личных данных.

Scattered Spider превратился из брокера доступа в партнера по борьбе с программами-вымогателями, проводя кампании двойного вымогательства совместно с BlackCat ransomware group с середины 2023 года.

Они используют социальную инженерию на базе телефонов, специализированные фишинговые домены, замену SIM-карт и расширенную разведку для проникновения в корпоративные сети, используя такие инструменты, как MEGA, DropBox и Gofile для эксфильтрации данных.

Группа нацелена в первую очередь на организации в Соединенных Штатах в таких отраслях, как телекоммуникации, технологии, криптовалюты и гостиничный бизнес, постоянно совершенствуя свою тактику, чтобы избежать обнаружения.

Аналитики рекомендуют проводить постоянный мониторинг и отслеживание тактик, методов и процедур Scattered Spider (TTP) для смягчения будущих угроз и защиты организаций от кибератак.

#ParsedReport #CompletenessLow
22-02-2024

Turla Wields: TinyTurla-NG and Espionage Tactics Exposed. Example YARA-like Pattern simplified - targeting WordPress C2 traffic

https://www.secureblink.com/threat-research/turla-wields-tiny-turla-ng-and-espionage-tactics-exposed

Report completeness: Low

Actors/Campaigns:
Turla_wields (motivation: cyber_espionage)
Turla (motivation: cyber_espionage)

Threats:
Tinyturla-ng
Strat_rat
Andromeda
Spear-phishing_technique
Turlapower-ng
Dll_hijacking_technique

Industry:
Military, Government, Ngo

Geo:
Russian, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1547, T1027, T1071, T1573, T1119, T1560, T1059, T1027.002, have more...

IOCs:
Registry: 1

Soft:
WordPress

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается деятельность спонсируемой российским государством APT-группы Turla, известной проведением сложных операций по кибершпионажу с конца 1990-х годов. Turla нацелена на различные организации, связанные с российскими интересами, фокусируясь на долгосрочном сборе разведданных, а не на разрушительных атаках. Группа использует различные тактики и пользовательские инструменты, чтобы избежать обнаружения и эксфильтрации данных, отдавая предпочтение организациям, поддерживающим интересы Украины. Эффективные меры защиты от Turla включают исправление уязвимостей, внедрение платформ EDR, обучение осведомленности о безопасности и усиление защиты сети. Тактика Turla включает в себя пользовательские сетевые протоколы, методы сохранения и инструменты, переходящие к операциям на базе PowerShell. Группа APT нацелена на такие отрасли, как оборона, технологии, правительство, дипломатия и НПО, согласовывая свою деятельность с геополитическими событиями, связанными с Россией.
-----

Turla - спонсируемая российским государством группа APT, занимающаяся кибершпионажем с конца 1990-х годов под различными псевдонимами.

Они нацелены на правительственные учреждения, НПО и организации, поддерживающие интересы России, уделяя особое внимание странам, граничащим с Россией и бывшими советскими государствами.

Недавние кампании были нацелены на НПО, поддерживающие интересы Украины, используя такие тактики, как скрытый фишинг, устаревшие инфекции и развивающиеся наборы инструментов.

Мотивы варьируются от сбора военной разведки до поддержки гибридной войны и дестабилизации оппозиционных партий.

Turla использует пользовательские инструменты, такие как TurlaPower-NG, для настройки менеджеров паролей и баз данных истории браузера для фильтрации данных.

Они все чаще полагаются на PowerShell с использованием методов запутывания, чтобы избежать обнаружения.

Меры защиты включают исправление уязвимостей, платформы EDR, внесение в белый список, обучение по повышению осведомленности о безопасности и системы обнаружения вторжений.

Turla использует HTTP/HTTPS с пользовательскими заголовками и необычными строками пользовательского агента для сетевых протоколов и использует различные методы сохранения.

Чтобы уклониться от анализа, они используют такие тактики, как бессмысленные имена переменных, уход от "песочницы" и очистка временных файлов.

Целевые отрасли включают оборону, технологии, правительство, дипломатию и НПО, уделяя особое внимание техническому персоналу и лицам, принимающим решения.

Целенаправленность усиливается в связи с геополитическими событиями, связанными с Россией, что стратегически соответствует российским интересам.

#ParsedReport #CompletenessLow
21-02-2024

Attackers Quick to Weaponize CVE-2023-22527 for Malware Delivery

https://www.imperva.com/blog/attackers-quick-to-weaponize-cve-2023-22527-for-malware-delivery

Report completeness: Low

Threats:
C3pool
Log4shell_vuln
C3rb3r

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)

CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)


ChatGPT TTPs:
do not use without manual check
T1190, T1211, T1068, T1059.004, T1041, T1496

IOCs:
Url: 8
Hash: 3

Soft:
Confluence, Discord

Crypto:
monero

Algorithms:
sha256

Languages:
java

Links:
https://github.com/Avento/CVE-2023-22527\_Confluence\_RCE
https://github.com/C3Pool/xmrig\_setup

#ParsedReport #GeneratedSchema
Generated with GPT-4