#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что eSentire Threat Response Unit (TRU) - это специализированная исследовательская группа по изучению угроз, нацеленная на повышение устойчивости организации к киберугрозам путем сотрудничества с командами безопасности, использования передовых технологий обнаружения, проведения глобальных проверок угроз и участия в упреждающем поиске угроз для защиты организаций от известных и неизвестных угроз, такие как группа исполнителей угроз Blind Eagle, нацеленная на производственный сектор.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это известная исследовательская группа по изучению угроз, целью которой является повышение устойчивости организации к киберугрозам. Команда TRU, состоящая из квалифицированных охотников за угрозами и исследователей, сотрудничает с круглосуточными центрами обеспечения безопасности (SoCs) и использует облачную платформу eSentire XDR для разработки моделей обнаружения угроз. TRU тесно сотрудничает с командами безопасности клиентов, постоянно совершенствуя управляемую службу обнаружения и реагирования. С помощью глобальной проверки угроз, упреждающего поиска угроз и оригинальных исследований TRU фокусируется на защите организаций как от известных, так и от неизвестных угроз.

В ходе недавней кампании погрузчик Ande был задействован для доставки конечных полезных грузов, таких как Remcos RAT и njRAT. Кампания была связана с группой исполнителей угроз, известной как Blind Eagle, которая использовала шифровальщики, разработанные лицами по имени Roda и Pjoao1578. Следует отметить, что на одном из шифровальщиков Roda размещался сервер, содержащий компоненты injector и дополнительные вредоносные программы, используемые в кампании Blind Eagle. Этот исполнитель угроз был нацелен на испаноязычных пользователей в обрабатывающей промышленности Северной Америки.

Blind Eagle, также известный как APT-C-36, появился в 2018 году в Южной Америке с акцентом на такие страны, как Колумбия. Субъекты угроз обычно инициируют атаки с помощью фишинговых электронных писем. Недавние наблюдения указывают на то, что Blind Eagle нацелен на производственный сектор: пользователи получают вредоносные файлы по фишинговым электронным письмам, содержащим архивы RAR и BZ2 с файлами VBS. Файлы VBS были разработаны для обеспечения сохраняемости путем копирования самих себя в папку автозагрузки с использованием запутанных команд PowerShell и методов кодирования base64.

Загрузчик Ande был отмечен за его роль в удалении полезных нагрузок, таких как njRAT, путем опустошения процесса. Этот загрузчик был связан с шифровальщиками, разработанными Roda и Pjoao1578, известными тем, что делились вредоносными инструментами на хакерских форумах. Примечательно, что Roda's crypter извлекает инжекторы из онлайн-источников и использует шифрование, в то время как Pjoao1578 специализируется на перепрофилировании таких инструментов, как njRAT, и разработке .СЕТЕВЫЕ шифровальщики.

Для борьбы с такими угрозами, как Blind Eagle, TRU от eSentire проводит глобальный поиск угроз, внедряет передовые меры обнаружения, такие как BlueSteel, классификатор PowerShell на базе машинного обучения, и постоянно отслеживает ландшафт угроз на предмет возникающих рисков. Внедряя механизмы обнаружения и сборники результатов расследований, поддерживаемые квалифицированными аналитиками в режиме 24/7, eSentire обеспечивает упреждающее реагирование на попытки вторжения и обеспечивает надежную видимость своих служб MDR.

#ParsedReport #CompletenessMedium
25-02-2024

PIKABOT, I choose you!

https://www.elastic.co/security-labs/pikabot-i-choose-you

Report completeness: Medium

Threats:
Pikabot
Cobalt_strike
Imminentmonitor_rat
Junk_code_technique
Process_injection_technique
Beacon

Geo:
Ukranian, Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 3
IP: 9
Domain: 2
Hash: 2

Soft:
Microsoft Outlook

Algorithms:
sha256, base64, zip, rc4, aes

Functions:
SetContextThread

Win API:
ZwQueryInformationProcess, ZwQuerySystemInformation, GetThreadContext, CheckRemoteDebuggerPresent, RtlDecompressBuffer, decompress, ZwCreateUserProcess, ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwResumeThread, have more...

Languages:
javascript, powershell

Links:
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_PikaBot.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_suspicious\_memory\_write\_to\_a\_remote\_process.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_process\_creation\_with\_unusual\_mitigation.toml
https://github.com/elastic/labs-releases/tree/main/indicators/pikabot
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_shellcode\_execution\_from\_low\_reputation\_module.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_network\_module\_loaded\_from\_suspicious\_unbacked\_memory.toml
https://github.com/rizonesoft/Notepad3
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_suspicious\_remote\_memory\_allocation.toml

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 15, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Elastic Security Labs наблюдала за новыми кампаниями PIKABOT, в которых используется обновленная версия загрузчика, используемого злоумышленниками для распространения полезной нагрузки. Последняя версия PIKABOT включает в себя новые методы, такие как методы распаковки, сильное запутывание и меры защиты от обнаружения, позволяющие избежать анализа и детектирования. Представлена подробная информация о тактике, используемой PIKABOT, его поведении и усилиях, предпринимаемых исследователями для отслеживания его вредоносных действий. Кроме того, также упоминаются методы обнаружения и смягчения действий PIKABOT с использованием платформы MITRE ATT&CK и правил YARA.
-----

Elastic Security Labs недавно наблюдала за новыми кампаниями PIKABOT, в которых была представлена обновленная версия широко распространенного загрузчика, используемого злоумышленниками для распространения полезных программ, таких как Cobalt Strike или программы-вымогатели. Последняя версия PIKABOT включает в себя новый метод распаковки и сложные методы запутывания, позволяющие избежать обнаружения и анализа. Эта версия включает изменения в основной модуль, такие как реализация нового механизма дешифрования строк, изменение функциональности запутывания и внесение различных других корректировок, указывающих на продолжающуюся работу по разработке.

Кампания 8 февраля включала электронные письма с гиперссылками, ведущими к ZIP-архивам, содержащим вредоносные запутанные скрипты JavaScript. Анализ показал, что для запуска загрузчика PIKABOT использовался поддельный инструмент поиска и замены "grepWinNP3.exe". Используя функции внутренней изолированной среды и стека вызовов, исследователи смогли отследить выполнение вредоносного кода, выделив конкретные методы выделения памяти и выполнения шеллкода, используемые PIKABOT для обхода механизмов безопасности.

Загрузчик PIKABOT использует средства защиты от отладки и специальные API-интерфейсы Windows, чтобы избежать обнаружения, включая обнаружение отладчиком, создание процессов и методы внедрения, разработанные для предотвращения перехватов и отладчиков на стороне пользователя. Вредоносная программа также использует методы сканирования на наличие активных средств отладки или криминалистической экспертизы, что усложняет анализ и препятствует усилиям по обнаружению.

Обновленное ядро PIKABOT работает по тем же схемам выполнения, что и предыдущие версии, собирая исходные машинные данные и предоставляя субъектам угроз контроль над действиями после компрометации, такими как выполнение из командной строки и запуск дополнительных полезных нагрузок. Заметные изменения в последней версии включают уменьшенную запутанность, ограниченные встроенные функции RC4 и особый подход к запутыванию строк с использованием стековых строк и рандомизированных массивов символов.

Конфигурация вредоносного ПО в новой версии сохраняется в виде открытого текста во время выполнения, но со временем стирается из памяти. PIKABOT обменивается данными по протоколу HTTPS через нетрадиционные порты и включает специальные строки пользовательского агента для маскировки своей активности. Основная функциональность бота остается аналогичной предыдущим версиям, при этом сетевые коммуникации шифруются с помощью RC4 и создаются на основе данных конфигурации.

Elastic Security использует платформу MITRE ATT&CK для документирования тактики и методов, используемых продвинутыми постоянными угрозами, такими как PIKABOT. Правила YARA были разработаны Elastic Security, чтобы помочь идентифицировать и обнаруживать действия PIKABOT, позволяя организациям улучшать свои аналитические данные об угрозах и меры безопасности.

#ParsedReport #CompletenessMedium
26-02-2024

APT-C-24 (SideWinder) new threat: Nim-based payload surfaced

https://www.ctfiot.com/163498.html

Report completeness: Medium

Actors/Campaigns:
Sidewinder
Diamondback

Threats:
Spear-phishing_technique

Victims:
Government agencies, Defense units

Industry:
Energy, Military, Government

Geo:
Myanmar, Bhutan, Asia, Pakistan, Nepal, Afghanistan

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1204.002, T1059.003, T1105, T1053.005, T1071.001, T1573.002, T1560.001, T1027.002, have more...

IOCs:
Hash: 9
File: 7
Url: 9

Soft:
WeChat

Algorithms:
zip, base64, md5, xor

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
APT-C-24, также известная как Rattlesnake, является организацией APT, действующей в Южной Азии с 2012 года, нацеленной на конфиденциальную информацию из различных секторов в таких странах, как Пакистан, Афганистан, Непал, Бутан и Мьянма. Они используют точечные фишинговые кампании и языки программирования для кражи данных, а недавние случаи атак Sidewinder демонстрируют эволюционировавшую тактику, такую как скомпилированные Nim полезные нагрузки с помощью вредоносных макродокументов. Группа взаимодействует с сервером управления, используя зашифрованные поля, что подчеркивает их настойчивость и интерес к правительственному, оборонному и энергетическому секторам. Их умение использовать уязвимости Office и различные типы файлов подчеркивает необходимость осторожности пользователей в отношении неизвестных файлов.
-----

APT-C-24, также известная как Rattlesnake, является организацией APT, действующей в Южной Азии и действующей с 2012 года. Группа в первую очередь нацелена на такие страны, как Пакистан, Афганистан, Непал, Бутан и Мьянма, для кражи конфиденциальной информации из правительственных, военных, энергетических, горнодобывающих и других секторов. Ключевой тактикой, используемой APT-C-24, является запуск точечных фишинговых кампаний с целью кражи ценных данных. Злоумышленники используют различные языки программирования, такие как C++, C#, Go, Python и VBScript, для разработки полезных нагрузок, а также различные родительские файлы, такие как документы об уязвимостях, файлы макросов и файлы LNK для развертывания этих полезных нагрузок.

Недавно были обнаружены примеры атак Sidewinder, нацеленных на Бутан, Мьянму и Непал. Эти образцы примечательны тем, что они предоставляют полезные данные для атаки, скомпилированные на языке Nim, с помощью макродокументов - метод, который обычно не использовался историческими злоумышленниками Sidewinder. Это подчеркивает эволюционирующую тактику организаций Diamondback, стоящих за этими атаками.

Один конкретный пример атаки, исходящий из региона Бутан, маскируется под безобидный документ под названием "Королевская комиссия по гражданской службе Королевского правительства Бутана". Этот вредоносный документ содержит зашифрованные макросы, которые обманом заставляют жертв активировать их. После активации макросы запускают пакетный процесс, который распаковывает средство удаленного управления под названием svchost.exe, скомпилированное в Nim, в систему жертвы. Примечательно, что полезная нагрузка выполняет свои вредоносные действия только при следующей загрузке жертвы, демонстрируя скрытый подход, позволяющий избежать немедленного обнаружения.

Злоумышленники Sidewinder взаимодействуют со своим сервером управления (C2), шифруя имя хоста и добавляя его к C2 вместе с необходимыми командами. Формат связи включает в себя ключевые поля, такие как id, session, value и return=True, что облегчает выполнение команд и обмен данными с сервером C2. Анализ выборки, нацеленной на Мьянму, выявил сходство методов атаки с предыдущими операциями Sidewinder, подчеркнув настойчивость и последовательность группы APT-C-24.

Организация APT-C-24 Sidewinder проявляет постоянный интерес к правительственным учреждениям, оборонному сектору и энергетической отрасли во многих странах. Недавние результаты указывают на то, что основное внимание уделяется Бутану и Мьянме, где злоумышленники используют сложные методы, такие как использование полезных данных, скомпилированных Nim, с помощью вредоносных макродокументов, демонстрируя свою готовность адаптироваться и совершенствовать свои возможности для атак. Более того, группа умело использует уязвимости Office, используя различные типы файлов, такие как файлы LNK, HTA-скрипты и .Net-трояны, для осуществления своей вредоносной деятельности, подчеркивая важность бдительности пользователей и предостережения от открытия неизвестных файлов.

#ParsedReport #CompletenessLow
26-02-2024

[Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis

https://www.ctfiot.com/159715.html

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage, cyber_criminal)
Scarcruft
Lazarus

Threats:
Xenorat

Victims:
South korean military think tanks, Sejong institute, Korean ministry of foreign affairs, Korean institute for defense analysis (kida), Korean ministry of unification, People related to the digital currency/financial field

Industry:
Government, Military, Financial

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1105, T1027, T1082, T1071, T1102, T1059, T1218

IOCs:
Hash: 16
File: 8
IP: 1

Soft:
WeChat

Algorithms:
md5, sha256

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что организация Kimsuky threat, базирующаяся на Корейском полуострове, активно проводит крупномасштабную деятельность по кибершпионажу, нацеленную на южнокорейские военные аналитические центры и правительственные учреждения. Они используют различные вредоносные тактики, включая использование вредоносных файлов, таких как файлы LNK, исполняемые файлы и вредоносные макродокументы. Организация демонстрирует сходство с другими группами угроз, такими как Lazarus и Konni, и исследователи выявили связи с организацией ScarCruft (Group123) в недавних атаках. Было замечено, что Kimsuky меняет тактику, например, использует облачные сервисы для связи и реализует несколько этапов выполнения полезной нагрузки. Поставщикам систем безопасности рекомендуется расширить свои возможности обнаружения этих развивающихся угроз.
-----

Kimsuky, предполагаемая организация, представляющая угрозу, расположенная на Корейском полуострове, активно занимается крупномасштабным кибершпионажем, нацеленным на южнокорейские военные аналитические центры. Иностранные исследователи идентифицировали организацию на основе присутствия слова "Kimsuky" во вредоносном коде, используемом в этих действиях. Организация Kimsuky APT активизировала свои операции против Южной Кореи, нацелившись на правительственные учреждения, такие как Институт Седжон, Министерство иностранных дел Кореи, Корейский институт оборонного анализа (KIDA) и Министерство объединения Кореи. Они также сосредоточены на областях исследований, связанных с Северной Кореей.

Организация использует различные вредоносные тактики, такие как файлы hwp, файлы Lnk, исполняемые файлы и вредоносные макродокументы для запуска атак. Она имеет сходство с организациями Lazarus и Konni, с некоторым инфраструктурным совпадением с организацией ScarCruft (Group123). В ходе недавнего инцидента злоумышленники отправили вредоносный файл LNK, замаскированный под PDF-файл с именем "-100(2)" с переводом "Конспекты лекций по трейдингу Spartacus - 100 долларов (второй выпуск)" потенциальным целям в секторе цифровых валют/финансов.

Вредоносный файл LNK был разработан для загрузки и выполнения последующей полезной нагрузки с помощью команды PowerShell. Он умело маскирует команду, используя несколько пробелов в качестве заголовка, что затрудняет пользователям обнаружение подозрительной активности. Полезная нагрузка включала компонент удаленного управления с открытым исходным кодом "xeno-rat", который фактически не использовался в атаке, но был загружен вместе со скриптом PowerShell с именем "info_ps.bin". Этот скрипт собирал основную информацию о компьютере и сведения о файловом каталоге.

Сравнивая образцы атак и структуры URL-адресов в этом инциденте, исследователи связали активность с предыдущими операциями организации Kimsuky. Организация имеет опыт использования таких инструментов, как компонент удаленного управления Tutclient, для выполнения полезной нагрузки. Однако использование Dropbox API для связи в этом инциденте является отходом от их типичной тактики и более точно соответствует методам, связанным с организацией Group123 (ScarCruft). Имеются признаки дублирования инфраструктуры и сходства характеристик вредоносной полезной нагрузки между организациями Group123 и Kimsuky.

Недавно Kimsuky выбрала файлы LNK в качестве начальных векторов атаки и использует несколько этапов для выполнения полезной нагрузки, полагаясь на присутствующие в системе команды без файлов, такие как VBScript и PowerShell. Организация также начала использовать облачные сервисы для связи, чтобы минимизировать риски обнаружения. Хотя их технические возможности не считаются передовыми с точки зрения создания образцов и обхода антивирусных программ, поставщикам систем безопасности рекомендуется расширить свои возможности обнаружения атак без файлов.

#ParsedReport #CompletenessLow
26-02-2024

WINRAR RCE vulnerability focus: APT29 0day strategy

https://www.ctfiot.com/163089.html

Report completeness: Low

Actors/Campaigns:
Duke (motivation: government_sponsored, cyber_espionage, financially_motivated)
Fancy_bear

Threats:
Rhadamanthys
Procmon_tool

Victims:
Embassies

Industry:
Education, Government

Geo:
Ukrainian, Russian, Russia, Italy, Azerbaijan, Romania, Greece

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1566.001, T1204.002, T1059.001, T1060, T1071.001

IOCs:
File: 3

Soft:
WeChat

Win API:
ShellExecuteExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в серии кибератак, осуществленных APT29, связанной с СВР России, нацеленных на посольства в нескольких странах путем использования уязвимости в WinRAR. Атаки включали фишинговые кампании, тактику социальной инженерии и использование скрипта PowerShell для сбора разведданных, особенно о действиях, связанных с наступлением Азербайджана в Нагорном Карабахе. В тексте также освещается более широкий спектр кибервойн, стратегические последствия использования уязвимостей, таких как CVE-2023-38831, и важность мер кибербезопасности для снижения рисков, связанных с кибершпионажем и целенаправленными атаками.
-----

В начале сентября 2023 года APT29, группа, связанная со Службой внешней разведки России (СВР), осуществила кибератаки на посольства в Азербайджане, Румынии, Италии и Греции. Первоначальный доступ к этим сетям был получен путем использования уязвимости удаленного выполнения кода в WinRAR, известной как CVE-2023-38831. В статье приводится подробный технический анализ этого вектора атаки, а также анализ социально-политического контекста, связанного с инцидентами.

APT29 использовала фишинговые кампании по распространению файлов RAR, замаскированных под внутренние документы о продаже автомобилей BMW, для проникновения в целевые системы. Фишинговые электронные письма были созданы так, чтобы казаться законными, и содержали PDF-файл, предположительно, с подробным описанием технических характеристик автомобилей. Как только был получен доступ к PDF-файлу, сценарий PowerShell был автоматически загружен и выполнен в фоновом режиме с помощью команды "IEX", служащей первым этапом цепочки атак.

Мотивация этих киберопераций, вероятно, была сосредоточена вокруг кибершпионажа, в частности сбора разведданных о стратегической деятельности, связанной с наступлением Азербайджана в Нагорном Карабахе. Страны-мишени, включая Румынию, Грецию и Италию, имеют значительные дипломатические связи с Азербайджаном, что делает их главными целями для сбора конфиденциальной информации.

Хотя RARLabs выпустила обновленную версию WinRAR в августе 2023 года для исправления CVE-2023-38831, есть признаки того, что участники угроз, включая APT29 и APT28, подозреваемые в связях с российским правительством, использовали уязвимость до ее публичного раскрытия. APT28, выдавая себя за украинскую школу подготовки беспилотников, доставил похитителя информации Rhadamanthys, используя ту же уязвимость. Использование уязвимостей нулевого дня представляет высокую стратегическую ценность для продвинутых стойких угроз (APT), поскольку позволяет им проводить необнаруженные кибероперации в целях шпионажа.

В настоящее время в сфере кибербезопасности доминируют субъекты угроз, извлекающие выгоду из глобальных кризисов и вооруженных конфликтов, при этом кибервойна становится все более распространенной. Относительно низкая стоимость и высокая отдача от кибератак делают их привлекательными инструментами для спонсируемых государством субъектов, стремящихся продвигать свои стратегические интересы в киберпространстве. Более того, проблемы атрибуции, распространенные в сфере кибербезопасности, способствуют использованию операций под ложным флагом, усложняя усилия по выявлению истинных виновников киберинцидентов.

CVE-2023-38831 влияет на WinRAR версий ниже 6.23 и позволяет злоумышленнику манипулировать поведением WinRAR для выполнения вредоносных команд при выполнении определенных условий. Используя взаимодействие между тактикой социальной инженерии и техническими уязвимостями, субъекты угроз могут проникать в важные объекты, такие как посольства, университеты и объекты критически важной инфраструктуры. Поэтому комплексные меры кибербезопасности, включая регулярные обновления программного обеспечения, оценку уязвимостей и обучение сотрудников передовым методам обеспечения кибербезопасности, необходимы для снижения рисков, связанных с кибершпионажем и целенаправленными атаками.

#ParsedReport #CompletenessMedium
25-02-2024

Data From Chinese Security Services Company i-Soon Linked to Previous Chinese APT Campaigns

https://unit42.paloaltonetworks.com/i-soon-data-leaks

Report completeness: Medium

Actors/Campaigns:
Winnti
Earth_empusa

Threats:
Supply_chain_technique
Shadowpad

Victims:
Comm100, Tibetan groups, Governments of india, Thailand, Vietnam, South korea, Nato

Industry:
Government

Geo:
Thailand, America, Chinese, Japan, Emea, Korea, Canadian, Vietnam, Apac, China, Tibetan, India

ChatGPT TTPs:
do not use without manual check
T1190, T1583, T1584, T1105, T1071, T1573, T1095

IOCs:
IP: 5
Hash: 1
Url: 3
Domain: 4

Soft:
unix, Android, gmail

Algorithms:
sha256

Win API:
decompress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Утечка данных из китайской компании i-Soon, предоставляющей услуги ИТ-безопасности, загруженная на GitHub, раскрывает их причастность к разработке инструментов кибершпионажа для связанных с Китаем исполнителей угроз. Расследование Unit 42 связывает утечку данных с предыдущими китайскими кампаниями APT, подтверждая подлинность утечки. Просочившиеся документы свидетельствуют о маркетинге i-Soon программного обеспечения Treadstone malware controller и их целенаправленных кибератаках на различные правительства и организации. Утечка также указывает на причастность i-Soon к атаке на канадскую компанию по разработке программного обеспечения и к атаке на тибетские группы, что проливает свет на действия китайских исполнителей угроз. Утечка данных подчеркивает тенденцию китайских исполнителей угроз делиться или перепродавать аналогичные наборы инструментов, что затрудняет установление авторства. Клиентам даются рекомендации по повышению уровня безопасности с помощью продуктов Palo Alto Networks, и в настоящее время предпринимаются совместные усилия по укреплению защиты от развивающихся киберугроз, исходящих от изощренных злоумышленников.
-----

Утечка данных на GitHub в 2024 году раскрыла внутренние коммуникации, материалы по продажам и руководства по продуктам i-Soon, китайской компании, предоставляющей услуги ИТ-безопасности, связанной с инструментами кибершпионажа для связанных с Китаем участников угроз.

Расследование подразделения 42 связало утечку данных с китайскими кампаниями APT, подтвердив подлинность утечки.

i-Soon продавала программное обеспечение для управления вредоносными программами Treadstone, ранее связанное с APT41 group.

согласно просочившимся документам, i-Soon нацелился на правительства и организации в Индии, Таиланде, Вьетнаме, Южной Корее и НАТО.

i-Soon был вовлечен в атаку по цепочке поставок на канадскую софтверную компанию Comm100, как указано в просочившихся данных.

В утечке упоминалась атака на тибетские группы с помощью эксплойтов iOS и Android, о которой Citizen Lab сообщила в 2019 году.

Утечка позволила получить представление об операциях китайских исполнителей угроз, включая потенциальную причастность к разработке известных наборов инструментов Winnti.

Утечка высветила совместное использование или перепродажу наборов инструментов среди китайских групп, занимающихся распространением угроз, что усложнило атрибуцию для правозащитников и аналитиков.

Были даны рекомендации по повышению уровня безопасности с использованием продуктов Palo Alto Networks для защиты от инструментов и методов китайских злоумышленников.

Palo Alto Networks делилась разведданными с членами Альянса по борьбе с киберугрозами, чтобы улучшить защиту и систематически пресекать действия злоумышленников в киберпространстве.

#ParsedReport #CompletenessHigh
26-02-2024

Kimsuky (APT-Q-2) secret theft operation disguised as software installation package

https://www.ctfiot.com/159603.html

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool
Trustpki
Trollagent

Industry:
Education, Government, Energy, Healthcare

Geo:
Asia, Asian, Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1189, T1204, T1574, T1027, T1055, T1071, T1105, T1573, have more...

IOCs:
Hash: 11
File: 7
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 8

Soft:
Android, WeChat

Algorithms:
md5, xor-cbc, zip, sha512, base64

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании участника киберугроз Kimsuky, включая его тактику, целевые сектора, недавние методы атак и связи с известными вредоносными действиями. В тексте также освещаются недавние выводы Центра разведки угроз Qi An Xin относительно образцов атак с целью кражи секретов, связанных с Kimsuky, демонстрирующие изощренность и настойчивость группы в проведении операций кибершпионажа, в первую очередь против Южной Кореи.
-----

Кимсуки, также известный под различными псевдонимами, такими как Mystery Baby, Baby Coin, Smoke Screen и Black Banshe, работает под внутренним номером отслеживания APT-Q-2 в Центре анализа угроз Qi An Xin. Эта группа продвинутых постоянных угроз (APT) была впервые публично раскрыта в 2013 году, а история ее атак восходит к 2012 году. Происходящий из стран Северо-Восточной Азии, Kimsuky в первую очередь нацелен на Южную Корею в таких секторах, как национальная оборона, образование, энергетика, правительство, здравоохранение и аналитические центры, чтобы украсть конфиденциальную информацию. Для осуществления своих операций группа использует такие тактики, как социальная инженерия, фишинговые электронные письма, атаки на водопои и рассылка вредоносных программ.

Недавние выводы Центра анализа угроз Qi An Xin раскрывают серию образцов атак с целью кражи секретов, маскирующихся под установочные программы корейской компании-разработчика программного обеспечения SGA. После выполнения эти образцы развертывают обычные установочные пакеты, чтобы обмануть жертв, тайно запуская вредоносные библиотеки DLL, зашифрованные с помощью VMProtect. Эти библиотеки DLL, разработанные на языке программирования Go, собирают информацию об устройстве, передают ее злоумышленникам, а затем стирают все следы атаки. Образцы также ссылаются на вредоносную программу-бэкдор, также написанную на Go и защищенную с помощью VMProtect, имеющую значительное сходство с историческими моделями атак Kimsuky, что подразумевает связь с организацией.

Образцы атак можно разделить на три группы: исходный образец в формате EXE, действующий как дроппер, программное обеспечение для кражи секретов в формате DLL и две соответствующие законные программы установки. Вредоносная библиотека DLL развертывается в каталоге "%AppData%Media" под разными именами файлов, в то время как файл флага "C:programdatahai.a" выполняется для запуска вредоносной библиотеки DLL через rundll32.exe. Программное обеспечение для кражи секретов, кодируемое в Go как TrollAgent, собирает информацию о зараженных устройствах, генерирует уникальный идентификатор на основе MAC-адреса устройства, устанавливает связь с сервером командования и контроля (C&C), шифрует данные для передачи и очищает локальные следы после передачи.

Программа бэкдора, получившая название "mirror" в коде Go, проверяет среду выполнения, обеспечивает единственную работу и взаимодействует с сервером C&C, используя параметры "UpdateAll" и "UpdateNormal". Он создает запланированную задачу с именем "WindowsUpdate", копирует себя в "svchost.exe" и облегчает взаимодействие с сервером C&C. Примечательные сходства между программным обеспечением для кражи секретов и бэкдором включают методы генерации идентификатора жертвы, возможности самоудаления и выравнивание кода, что позволяет предположить единый способ работы во всей недавней деятельности Кимсуки.

#ParsedReport #CompletenessMedium
26-02-2024

To Russia With Love: Assessing a KONNI-Backdoored Suspected Russian Consular Software Installer. The Backdoored Installer

https://medium.com/@DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3?source=rss-7c32125308fc------2

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: politically_motivated, cyber_espionage)
Kimsuky
Andariel

Threats:
Nokki
Credential_harvesting_technique

Victims:
Russian ministry of foreign affairs, Russian aerospace research institute, Russian university, Npo mashinostroyeniya

Industry:
Government, Education, Aerospace

Geo:
Korean, Dprk, Ukraine, Asia, Russia, Korea, Russian

ChatGPT TTPs:
do not use without manual check
T1195, T1059, T1566, T1105, T1027, T1071, T1082, T1056

IOCs:
Hash: 3
File: 3
Domain: 22

Soft:
Windows service, Windows image Acquisition Service

Algorithms:
aes-ctr

Languages:
php, ruby

Links:
https://github.com/DCSO/Blog\_CyTec/blob/main/2024\_02\_\_gosniias\_konni/konni\_decrypt.py