#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена деятельности группы вымогателей Rhysida, которая проводила громкие кибератаки, нацеленные на различные организации, такие как Британская библиотека, медицинские учреждения, образовательные учреждения и глобальную религиозную организацию. Группа использует такие тактики, как двойное вымогательство, требуя от жертв выплаты выкупа, чтобы предотвратить раскрытие данных, что приводит к значительным сбоям, финансовым потерям и репутационному ущербу для жертв. Даны рекомендации по снижению риска атак программ-вымогателей, подчеркивающие важность надежных мер безопасности.
-----

Группа вымогателей Rhysida была вовлечена в серию громких кибератак, направленных против таких организаций, как Британская библиотека, медицинские учреждения, образовательные учреждения и даже глобальная религиозная организация. Группа использует такую тактику, как двойное вымогательство, требуя от жертв значительных выкупов, чтобы избежать раскрытия данных. Атаки Rhysida вызвали значительные сбои в работе и кражу данных, что привело к финансовым потерям и репутационному ущербу для жертв.

Атака группы на Британскую библиотеку в октябре 2023 года привела к выходу из строя библиотечных систем и краже значительного объема данных, включая личную информацию сотрудников. Злоумышленники продали украденные данные с аукциона в даркнете. Аналогичным образом, атака на крупнейшую энергетическую компанию Словении, HSE, была нацелена на ИТ-системы и привела к краже данных, причем участники угроз разместили подлинные документы на своем сайте утечки.

Ориентация Rhysida group на престижные медицинские учреждения, такие как больница короля Эдуарда VII в Лондоне и больница Абдали в Иордании, подчеркивает их внимание к конфиденциальным данным, включая истории болезни пациентов и информацию, относящуюся к членам королевской семьи. Злоумышленники угрожали опубликовать украденные данные, если выкуп не будет выплачен, что вызвало значительное беспокойство у пострадавших организаций.

Кроме того, атаки Rhysida распространяются на сектор образования: средние школы, профессионально-технические училища и университеты становятся жертвами утечек данных и требований выкупа. Скомпрометировав такие институты, как Всемирный совет церквей и Всемирная лютеранская федерация, группа продемонстрировала свою способность воздействовать на организации в глобальном масштабе.

В ответ на растущую угрозу, исходящую от группы Rhysida, исследователи кибербезопасности провели параллели между их тактикой, методами и процедурами (TTP) и группой вымогателей Vice Society. Обе группы нацелились на организации в секторах образования и здравоохранения, используя схожие методы для извлечения конфиденциальных данных и вымогательства у жертв финансовой выгоды.

Чтобы снизить риск атак программ-вымогателей, подобных тем, которые проводит Rhysida, предприятиям и государственным организациям рекомендуется принимать надежные меры безопасности. Рекомендации включают в себя создание автономных резервных копий критически важных файлов, применение многофакторной аутентификации, проведение регулярных тренингов по безопасности для сотрудников и обеспечение круглосуточного мониторинга сетевой активности. Кроме того, устранение внутренних уязвимостей, таких как использование известных слабостей, таких как Zerologon, имеет решающее значение для предотвращения несанкционированного доступа и утечки данных.

#ParsedReport #CompletenessMedium
23-02-2024

Nation-State Threat Actors Using Google Drive & XenoRAT

https://www.genians.co.kr/blog/nation-state

Report completeness: Medium

Threats:
Xenorat
Spear-phishing_technique
Exbyte_stealer
Hvnc_tool

Geo:
German, Korea, Usa, Korean, Germany, Gyeonggi-do, Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1059, T1547, T1562, T1105, T1071, T1583, T1082, have more...

IOCs:
File: 21
Coin: 1
Email: 1
IP: 8
Domain: 18
Hash: 11

Soft:
Slack, WordPad

Algorithms:
gzip, base64, zip, md5

Win API:
decompress

Languages:
powershell

Links:
https://github.com/moom825/xeno-rat

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 4, windows: 9, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложной киберугрозы, нацеленной на Корею, включающей точечные фишинговые атаки, вредоносные команды PowerShell и использование настроенной версии инструмента удаленного управления XenoRAT. Злоумышленники использовали методы социальной инженерии, замаскировали вредоносные файлы и установили соединения с сервером управления в Германии. Анализ, проведенный Центром безопасности Genius, выявляет инфраструктуру угроз, прошлые действия, связанные с APT-атаками, и переход к безфайловым операциям с использованием команд PowerShell. Развертывание Genian EDR рекомендуется для раннего обнаружения угроз и реагирования на них с целью снижения потенциальных рисков.
-----

Центр безопасности Genius (GSC) обнаружил новую угрозу 3 января 2024 года, связанную с локализованными точечными фишинговыми атаками, нацеленными на Корею. Атака началась с рассылки электронных писем, содержащих актуальное содержание колонки мнений из различных СМИ в первый день нового года, замаскированных под сжатый ZIP-файл с новогодними поздравлениями. Злоумышленники пытались обмануть получателей, выдавая себя за знакомых и используя методы социальной инженерии для достижения максимальной эффективности. Сжатый файл с 10-значным уникальным паролем был передан по ссылке, чтобы обойти службы безопасности. После распаковки вредоносный файл LNK, замаскированный под документ DOCX, привел к файлу сценария PowerShell с именем "swolf-first.ps1.".

Посредством развертывания запланированной задачи, выдаваемой за обновление браузера MS Edge, злоумышленники запустили скрытые команды PowerShell. Впоследствии злоумышленник под именем учетной записи "fox tian" загрузил на Google Диск файл под названием "calc.txt", содержащий вредоносные инструкции PowerShell. Эти команды, направленные на сохранение файла RTF и распаковку данных в формате Gz, указывают на сложную стратегию атаки. Злоумышленники использовали настроенную версию средства удаленного управления XenoRAT, известную как "Пользовательский XenoRAT", для установления соединений с сервером C2 в Германии. XenoRAT обладает различными функциями удаленного управления, такими как доступ к веб-камере, регистрация ключей и появление BSOD, а также использует функцию скрытых виртуальных сетевых вычислений (HVNC).

Анализ, проведенный GSC, показал, что IP-адрес инфраструктуры угроз (159.100.29.38) базировался в Германии, с подключениями к корейскому электронному хостингу IC hosting и доменам, связанным с корейскими портальными компаниями и биржами виртуальных активов. Поисковая система criminal IP intelligence AI SPERA предоставила дополнительную информацию о прошлой деятельности IP. GSC также идентифицировала IP как адрес сервера C2 в ходе APT-атаки и обнаружила соединения с доменами, похожими на домены северокорейских организаций.

Атаки APT в Корее перешли к безфайловым операциям с использованием команд PowerShell, чтобы избежать обнаружения традиционными продуктами безопасности. Genian EDR, решение для обнаружения аномалий терминала и реагирования на них, позволяет на ранней стадии идентифицировать угрозы с помощью правил XBA, когда вредоносные команды PowerShell взаимодействуют с сетью. Отслеживая такие действия, как нештатные сетевые подключения к Google Диску и создание файлов документов, службы безопасности могут быстро и эффективно обнаруживать потенциальные угрозы и реагировать на них. Возможности Genian EDR расширяются до обнаружения подозрительных сетевых соединений с помощью команд PowerShell и модулей XenoRAT, обеспечивая улучшенную видимость для реагирования на инциденты и расследования угроз.

#ParsedReport #CompletenessMedium
22-02-2024

HijackLoader Expands Techniques to Improve Defense Evasion

https://cs-staging-2-www.crowdstrike.com/blog/hijackloader-expands-techniques

Report completeness: Medium

Actors/Campaigns:
Doppelgnger

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique

TTPs:

IOCs:
Url: 4
Path: 3
File: 4
Hash: 2

Algorithms:
xor

Functions:
Gate, WriteFileW

Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...

Platforms:
x64

Links:
https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61

#ParsedReport #ExtractedSchema

Classified images:
schema: 12, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение сложного варианта вредоносного ПО HijackLoader, известного как IDAT Loader, и его эволюционирующих методов обхода, позволяющих избежать обнаружения решениями безопасности. Исследователи CrowdStrike идентифицировали этот новый вариант, используя расширенные возможности обнаружения и машинное обучение. Вредоносная программа демонстрирует сложное многоступенчатое поведение, используя тактику уклонения, такую как удаление процесса, двойное проникновение и методы обхода перехвата, такие как Heaven's Gate. В тексте также подчеркивается, как вредоносная программа внедряет шелл-код в процессы, такие как cmd.exe, для скрытного выполнения вредоносных действий. CrowdStrike использует многоуровневый подход для обнаружения и предотвращения угроз, таких как HijackLoader, на ранних этапах цепочки атак, сопоставляя свою тактику с платформой MITRE ATT&CK для получения дополнительной информации.
-----

Усложняющийся вариант HijackLoader (IDAT Loader) все чаще используется злоумышленниками для развертывания дополнительных полезных нагрузок и инструментов.

HijackLoader использует передовые методы уклонения, чтобы избежать обнаружения решениями безопасности.

Исследователи CrowdStrike определили новый вариант, используя возможности машинного обучения и обнаружения на основе поведения.

Сложное многоэтапное поведение анализируемого образца HijackLoader, включая деобфускацию, проверку подключения, загрузку двоичного объекта конфигурации второго этапа, расшифровку, загрузку библиотеки DLL Windows и выполнение шеллкода второго этапа.

Методы уклонения, используемые вредоносной программой, такие как выдалбливание процесса, дублирование процесса, отцепление и обход перехвата в пользовательском режиме с использованием Heaven's Gate.

Внедрение последующего шелл-кода в cmd.exe процесс с помощью интерактивных методов опустошения процесса.

Запись окончательной полезной нагрузки в дочерний процесс logagent.exe с помощью шеллкода четвертого этапа с использованием метода обхода перехвата.

Многоуровневый подход CrowdStrike к обнаружению вредоносных программ, таких как HijackLoader, использующий возможности машинного обучения и обнаружения на основе поведения с помощью датчика CrowdStrike Falcon.

Сопоставление тактики, методов и процедур HijackLoader с платформой MITRE ATT&CK для получения информации о моделях поведения и методах, используемых вредоносным ПО.

#ParsedReport #CompletenessLow
23-02-2024

Doppelgnger NG \| Russian Cyberwarfare campaign

https://www.clearskysec.com/dg

Report completeness: Low

Actors/Campaigns:
Doppelgnger (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)

Geo:
Ukraine, France, Russian, Germany, Israel

ChatGPT TTPs:
do not use without manual check
T1566, T1565, T1593, T1583, T1584

IOCs:
Domain: 183

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе российской инициативы по ведению информационной войны под названием Doppelgnger NG, которая предполагает распространение ложной информации через поддельные веб-сайты и платформы социальных сетей в глобальном масштабе. Кампания была связана с российской группой кибершпионажа APT28, что свидетельствует о сотрудничестве между двумя организациями в манипулировании общественным мнением, влиянии на геополитическую динамику и достижении стратегических целей посредством тайных онлайн-операций. Эволюция и расширение Doppelgnger NG подчеркивают постоянную угрозу, исходящую от спонсируемых государством кампаний информационной войны, и проблемы в выявлении такой деятельности и противодействии ей.
-----

ClearSky Cyber Security и SentinelLabs обнаружили российскую операцию по ведению информационной войны "Doppelgänger NG", включающую распространение ложной информации по всему миру через поддельные веб-сайты и платформы социальных сетей.

Операции Doppelgänger NG возобновились в 2024 году с использованием новой инфраструктуры и были связаны с российской группой кибершпионажа APT28, что подразумевает сотрудничество между двумя организациями.

Кампания была нацелена на такие страны, как Соединенные Штаты, Германия, Израиль, Франция и Украина, используя более 150 доменов, на которых размещались сфабрикованные новости, для манипулирования общественным мнением.

Расширяя список своих жертв и используя новую инфраструктуру, Doppelgänger NG стремилась повлиять на ключевые заинтересованные стороны в стратегических странах, исказить реальность и усилить существующую напряженность.

Взаимосвязанный характер доменов и каналов социальных сетей в сети Doppelgänger NG предполагает систематические усилия по манипулированию общественным восприятием и посеянию раздора.

Многоаспектный подход кампании, включающий различные направления распространения ложной информации, создает серьезную проблему для эффективного противодействия онлайн-дезинформации.

Развивающаяся тактика Doppelgänger NG подчеркивает постоянную угрозу спонсируемых государством кампаний информационной войны, подчеркивая важность постоянной бдительности, сотрудничества и технологических достижений для смягчения последствий.

#ParsedReport #CompletenessLow
22-02-2024

Cisco Talos Blog. TikTok s latest actions to combat misinformation shows it s not just a U.S. problem

https://blog.talosintelligence.com/threat-source-newsletter-feb-22-2024

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: information_theft, cyber_espionage)

Threats:
Chrysaor
Astaroth
Mekotio
Ousaban

Victims:
U.s. political system, Political opponents in poland, Blackberry, iphone, android device users, Indonesian iphone users, Communications, manufacturing, utility, it, education sectors, u.s. emergency services, Latin american and european targets

Industry:
Financial, Ics, Military, Government, Education, Energy

Geo:
Russian, China, Ghana, Indonesia, Greek, Africa, Ukraine, California, Greece, America, Emirates, Chinese, American, Poland, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1588.002, T1027, T1562.001, T1608.002, T1499

IOCs:
Hash: 10
File: 6

Soft:
TikTok, Android

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - глобальная проблема дезинформации, продолжающееся злоупотребление правительствами шпионскими программами, киберугрозы, исходящие от продвинутых групп постоянных угроз, таких как Volt Typhoon, использование украинскими военными тактики радиоэлектронной борьбы и злоупотребление Google Cloud Run в кампаниях распространения вредоносных программ, нацеленных на жертв в Латинской Америке и Европа.
-----

Проблема дезинформации не ограничивается американской культурой, поскольку это глобальная проблема, затрагивающая все страны на различных платформах. Платформы социальных сетей, такие как TikTok, позволяют отдельным лицам непреднамеренно распространять фейковые новости без злого умысла. Эта проблема еще более усугубляется в США из-за их выдающегося политического ландшафта, который привлекает внимание мировой общественности. Распространение дезинформации во время выборов в одной стране может иметь последствия для выборов в других странах, подчеркивая взаимосвязанный характер дезинформации. Эта проблема является постоянной, и ее сложно устранить, как только она укоренится на платформе.

В качестве отдельного события Польша инициировала официальное расследование возможного неправомерного использования шпионского ПО Pegasus бывшими правительственными чиновниками. Целью расследования является определение того, использовало ли правительство "Закона и справедливости" (PiS) спорное шпионское ПО для слежки за политическими оппонентами и нацеливания на них. Сообщается, что группа NSO, создатели Pegasus, представила новый эксплойт под названием MMS Fingerprint, который позволяет пользователям собирать информацию с различных типов устройств без взаимодействия с пользователем. Кроме того, другому стартапу по разработке шпионского ПО под названием Variston грозит закрытие после того, как утечка эксплойтов нулевого дня в Google раскрыла его деятельность. Variston нацелился на устройства Apple, включая кампанию в Индонезии, и, как сообщается, часть его шпионского ПО была отправлена в Объединенные Арабские Эмираты.

Что касается кибербезопасности, базирующаяся в Китае группа advanced persistent threat (APT) под названием Volt Typhoon продолжает фильтровать конфиденциальную информацию из сетей операционных технологий (OT) по всему миру. Группа нацелилась на организации в различных секторах, включая связь, производство, коммунальные услуги, информационные технологии и образование, с недавним акцентом на критически важные сети в США. В частности, тайфун Volt проник в сеть экстренных служб города США и сети критически важной инфраструктуры в Африке, создавая риски нарушения производственных процессов или содействия будущим наступательным операциям против сетей ICS.

В ответ на российскую агрессию украинские военные используют тактику радиоэлектронной борьбы для противодействия боеприпасам с радарным и GPS-наведением, непреднамеренно вызывая сбои в измерениях GPS и перебои в обслуживании электросети. Совместные усилия инженеров и специалистов по безопасности из различных организаций сыграли важную роль в решении проблемы GPS для радиоэлектронной борьбы, способствуя стабилизации некоторых участков сети передачи данных Украины.

Более того, Google Cloud Run используется не по назначению в масштабных кампаниях по распространению вредоносных программ, нацеленных в первую очередь на жертв в Латинской Америке и Европе. Банковские трояны, такие как Astaroth, Mekotio и Ousaban, распространяются с помощью кампаний рассылки по электронной почте, причем с сентября 2023 года наблюдается увеличение их объема. Talos выпустила новые подписи ClamAV и правила Snort для борьбы с этими банковскими троянами и предупредила Google о необходимости устранения этой активности внутри облачного сервиса.

#ParsedReport #CompletenessLow
23-02-2024

Shadow Ops Exposed: Inside the Leak of China s i-Soon Cyber Espionage Empire

https://socradar.io/shadow-ops-exposed-inside-the-leak-of-chinas-i-soon-cyber-espionage-empire

Report completeness: Low

Actors/Campaigns:
Winnti (motivation: cyber_espionage)
Axiom
Earth_empusa (motivation: cyber_espionage)
Red_delta (motivation: cyber_espionage)
Ta428 (motivation: cyber_espionage)

Threats:
Empire_loader
Beacon

Victims:
Chinese citizens, Foreigners, Ethnic groups, Dissidents

Industry:
Financial, Government, Telco

Geo:
Philippines, Vietnam, India, Chinese, Egypt, Nepal, Mongolia, Kazakhstan, Korea, Taiwanese, Myanmar, Pakistan, Thailand, Kyrgyzstan, Rwanda, Indonesia, China, Afghanistan, Nigeria, Malaysia, Cambodia, Taiwan

ChatGPT TTPs:
do not use without manual check
T1001, T1566, T1583, T1595, T1590, T1204, T1543, T1589

IOCs:
Email: 1

Soft:
Android, Telegram, WeChat

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что массовая утечка данных из китайской охранной фирмы i-Soon выявила обширную шпионскую деятельность, инструменты взлома и поддерживаемые государством кибероперации, проливающие свет на сложную сеть ИТ-компаний, участвующих в кибервойне в Китае.
-----

Беспрецедентная онлайн-утечка документов из частной китайской охранной фирмы i-Soon (Anxun на мандаринском) вызвала обеспокоенность у китайских властей, правоохранительных органов, исследователей кибербезопасности и других заинтересованных сторон. Утечка на GitHub выявила огромное количество данных, включая хакерские инструменты и сервисы, используемые фирмой, которая, как известно, действует как группа передовых постоянных угроз (APT) от имени Министерства общественной безопасности Китая. Считается, что эта преднамеренная утечка была организована недовольным сотрудником компании.

Просочившиеся документы проливают свет на причастность и-Суна к шпионской деятельности, направленной против различных групп, включая этнические меньшинства и диссидентов в Китае, особенно в таких регионах, как Гонконг и Синьцзян. Тактика, раскрытая в утечке, демонстрирует, как китайские чиновники следили за диссидентами за рубежом, проникали в зарубежные компьютерные сети и распространяли пропекинские сообщения на платформах социальных сетей. Сообщается, что нарушение включало кражу терабайт данных из нескольких стран, что указывает на широкий размах шпионской деятельности Китая.

Инцидент стал известен, когда 15 января человек создал адрес электронной почты I-SOON@proton.me, который позже был использован для загрузки значительной коллекции документов, связанных с i-Soon, на GitHub. Эти документы, обнаруженные и распространенные тайваньским аналитиком, продемонстрировали агрессивные маркетинговые стратегии компании, особенно подчеркивая ее антитеррористические инициативы по обеспечению контрактов, особенно в Синьцзяне. Утечки также позволили получить представление об инструментах проникновения в сеть i-Soon, таких как уникальные устройства наблюдения, замаскированные под блоки питания для извлечения данных.

Утечка данных намекала на потенциальные связи между i-Soon и известными группами APT, предполагая наличие более крупной сети поддерживаемых государством киберопераций. Прошлые расследования шпионской деятельности Китая выявили связи между i-Soon и другими организациями, участвующими в спонсируемых государством хакерских кампаниях, что указывает на сложную сеть IT-компаний в Китае, вовлеченных в кибервойну. Утечки также подчеркнули стратегическое значение Чэнду, где базируется i-Soon, как центра киберопераций и намекнули на его участие в международных усилиях по кибершпионажу.

Утечка документов выявила оперативную тактику, сходную с тактикой других групп APT, таких как Jackpot Panda, Poison Carp, TA428 и Mustang Panda, расширяющую сферу киберактивности Министерства общественной безопасности Китая. Примеры данных, обнаруженных в результате утечки, включали скомпрометированные телекоммуникационные записи и базы данных служб, основанных на местоположении, что подчеркивало масштабы усилий Китая по сбору разведывательной информации. Подробные сведения о пользовательских троянах удаленного доступа (RATs), разработанных для различных операционных систем, включая iOS и Android, продемонстрировали сложные возможности, используемые злоумышленниками для получения конфиденциальной информации.

Утечка данных i-Soon служит наглядным напоминанием о меняющемся ландшафте киберугроз, с которыми сталкиваются организации по всему миру. Такие инструменты, как SOCRadar, рекомендуются организациям, стремящимся усилить свою защиту от таких сложных угроз. Используя передовые аналитические алгоритмы и экспертов-аналитиков, SOCRadar обеспечивает проактивный мониторинг веб-страниц на предмет потенциальных утечек данных и раскрытия интеллектуальной собственности, защищая организации от кражи личных данных и других киберрисков.

#technique

Amaterasu, a kernel-level tool for killing anti-virus processes

https://mp-weixin-qq-com.translate.goog/s/i-kGysEehnP3UJz1lQTrLw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp