#ParsedReport #CompletenessMedium
27-02-2024

Mysterious Werewolf attacks the military-industrial complex using a new RingSpy backdoor

https://bi.zone/expertise/blog/mysterious-werewolf-atakuet-vpk-s-pomoshchyu-novogo-bekdora-ringspy

Report completeness: Medium

Actors/Campaigns:
Mysterious_werewolf

Threats:
Ringspy
Athena_botnet
Mythic_c2
Spear-phishing_technique

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 9
Path: 2
Hash: 1

Soft:
Telegram, curl, Windows Task Scheduler

Algorithms:
zip

Languages:
powershell, visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Кластер Mysterious Werewolf запустил новую кампанию, нацеленную на предприятия военно-промышленного комплекса, используя фишинговые электронные письма для доставки бэкдора на базе Python под названием RingSpy. Злоумышленники используют уязвимость WinRAR, используют Telegram для общения и добиваются постоянства с помощью различных тактик. Организациям рекомендуется усилить защиту конечных точек и использовать платформы анализа угроз для раннего обнаружения угроз и эффективной киберзащиты от возникающих угроз.
-----

Специалисты из BI.ZONE Threat Intelligence недавно раскрыли новую кампанию Mysterious Werewolf активных, по крайней мере, с 2023 года. Эта группа переключила свое внимание на предприятия военно-промышленного комплекса, используя фишинговые электронные письма в качестве исходного вектора доступа. Фишинговые электронные письма содержат вложение - архив, содержащий PDF-документ вместе с вредоносным CMD-файлом. При открытии архива и взаимодействии с документом запускается CMD-файл для внедрения оригинального бэкдора RingSpy в целевую систему.

В ходе этой кампании злоумышленники используют уязвимость CVE-2023-38831 в WinRAR, чтобы запустить доставку вредоносного кода в систему жертвы. Полезная нагрузка вместо ранее использовавшегося агента Athena из Mythic framework теперь состоит из бэкдора RingSpy, закодированного на Python. Mysterious Werewolf продолжает использовать тактику фишинга и использует преимущества легальных сервисов, таких как бот в мессенджере Telegram, для связи со скомпрометированными системами.

Чтобы более подробно описать цепочку атак, жертву, скорее всего, соблазняют взаимодействовать с вредоносным контентом, получая электронное письмо с архивом, содержащим заманчивое имя файла, такое как O_predostavlenii_kopii_licenzii.pdf.cmd. Когда пользователь открывает вложение, запускаются действия, включая проверку наличия определенных файлов, загрузку отвлекающих документов, получение и запуск интерпретатора Python, настройку скрытых папок, установку дополнительных пакетов с помощью pip, настройку RingSpy для подключения к Telegram-боту и установление постоянства путем копирования файлов в автозагрузку папка.

Бэкдор RingSpy позволяет злоумышленникам удаленно выполнять команды, извлекать результаты команд и извлекать файлы из сетевых местоположений. В этой кампании злоумышленники создают запланированную задачу в планировщике задач Windows для выполнения сценария каждую минуту, отслеживая определенные события. Связь с управляющим сервером происходит через бота в мессенджере Telegram, где выходные данные команд записываются в локальный файл и передаются обратно на сервер управления злоумышленника для дальнейшего анализа.

Эволюция методов, наблюдаемая в ходе этой кампании, показывает адаптивность и живучесть Mysterious Werewolf, особенно при атаках на критически важную инфраструктуру военно-промышленного комплекса. Использование законных сервисов и сложных цепочек атак подчеркивает необходимость надежной защиты конечных точек и непрерывного мониторинга.

#ParsedReport #CompletenessMedium
26-02-2024

Unveiling UAC-0184: The Steganography Saga of the IDAT Loader Delivering Remcos RAT to a Ukraine Entity in Finland. Introduction

https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga

Report completeness: Medium

Actors/Campaigns:
Uac0184

Threats:
Idat_loader
Remcos_rat
Steganography_technique
Cloudeye
Babadeda
Stego_loader
Danabot
Systembc
Redline_stealer
Hijackloader
Raccoon_stealer

Victims:
Ukraine entity in finland

Geo:
Finland, Ukraine, Ukrainian, Israel

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1041, T1059, T1564, T1547, T1106

IOCs:
Url: 1
File: 1
IP: 1
Hash: 1

Wallets:
yoroi

Win API:
InitOnceExecuteOnce, VirtualProtect

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней кампании кибератак, в ходе которой загрузчик IDAT использовался для распространения троянца удаленного доступа Remcos (RAT), нацеленного на украинскую организацию в Финляндии. Анализ охватывает технические аспекты атаки, участие субъекта угроз UAC-0184, использование стеганографии для сокрытия вредоносного кода, механизмы проактивной защиты Morphisec и сложные возможности загрузчика IDAT для доставки вредоносного ПО. Ключевые моменты включают важность своевременного обнаружения инцидентов кибербезопасности и реагирования на них, тактику обмана, используемую злоумышленниками, и уникальные TTP, связанные с текущей кампанией.
-----

В блоге рассказывается о недавней кампании кибератак, связанной с использованием загрузчика IDAT и нацеленной на украинскую организацию в Финляндии. Атака была связана с распространением троянца Remcos Remote Access Trojan (RAT), коммерческого инструмента RAT, который позволяет злоумышленникам получать контроль над зараженными компьютерами, красть конфиденциальные данные и отслеживать действия жертв. Morphisec, поставщик решений для кибербезопасности, ранее подробно описывал технические аспекты RAT-атак Remcos и подчеркивал способность их технологии обнаруживать и предотвращать такие угрозы, не полагаясь на традиционное распознавание сигнатур или поведенческих паттернов.

Лаборатории угроз Morphisec обнаружили признаки атак, связанных с субъектом угрозы, идентифицированным как UAC-0184, что проливает свет на роль загрузчика IDAT в доставке Remcos RAT конкретному украинскому предприятию, базирующемуся в Финляндии. Хотя основными целями, по-видимому, были организации, имеющие связи с Украиной, злоумышленники также стремились распространить свою деятельность на другие организации, связанные с Украиной. В атаке использовалась стеганография как метод сокрытия вредоносного кода в файлах изображений, что затрудняло его обнаружение традиционными средствами.

Механизмы проактивной защиты Morphisec успешно предотвратили множество атак, включая значительный инцидент в январе 2024 года, когда их возможности раннего обнаружения сыграли решающую роль в предотвращении реализации вредоносной кампании. Предупреждение о безопасности, выпущенное UA Cert позже, подтвердило наличие угрозы, подчеркнув важность своевременного обнаружения и реагирования на инциденты кибербезопасности. Атака включала в себя тактику обмана, такую как выдача сообщений о вербовке для военных организаций, таких как 3-я отдельная штурмовая бригада и Армия обороны Израиля (ЦАХАЛ), для доставки Remcos RAT по фишинговым электронным письмам.

Загрузчик IDAT выделяется как сложный инструмент, способный загружать различные семейства вредоносных программ, отличающийся модульной архитектурой с уникальными возможностями, такими как внедрение кода и модули выполнения. Выполнение загрузчика включает в себя загрузку нескольких этапов и внедрение шелл-кода в законные процессы для доставки конечной полезной нагрузки, адаптируя свои методы на основе типа файла и флагов конфигурации. Использование загрузчика IDAT для распространения Remcos RAT ранее рассматривалось исследователями угроз, подчеркивающими сложность загрузчика и стратегическую важность в кибероперациях.

Анализ намеренно фокусируется на текущей кампании с использованием загрузчика IDAT, избегая прямых сравнений с прошлыми кампаниями, чтобы подчеркнуть ее специфическую тактику, методы и процедуры (TTP). Примечательно, что загрузчик IDAT использует особый пользовательский агент под названием "racon" и использует стеганографические файлы PNG для скрытия и извлечения полезной нагрузки, используя уникальные методы шифрования для дешифрования во время выполнения. Наблюдения других исследователей безопасности также подтвердили ключевые аспекты функциональности и работы загрузчика IDAT.

#ParsedReport #CompletenessMedium
26-02-2024

Earth Lusca Uses Geopolitical Lure to Target Taiwan Before Elections. Introduction

https://www.trendmicro.com/en_us/research/24/b/earth-lusca-uses-geopolitical-lure-to-target-taiwan.html

Report completeness: Medium

Actors/Campaigns:
Earth_lusca (motivation: cyber_espionage)
Winnti

Threats:
Dll_hijacking_technique
Shadowpad
Spear-phishing_technique
Lolbin_technique
Cobalt_strike
Smuggling_technique

Victims:
Taiwan-based private academic think tank

Industry:
Financial, Government

Geo:
Taiwanese, Chinese, Taiwan, China

TTPs:
Tactics: 6
Technics: 17

IOCs:
Domain: 4
File: 8
Hash: 17

Soft:
macOS, Microsoft Word, Microsoft PowerPoint

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 22, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ недавней кампании по борьбе с киберугрозами, проведенной группой, известной как Earth Lusca, которая использовала китайско-тайваньские отношения в качестве приманки для социальной инженерии, нацеленной на конкретные организации. Группа активна как минимум с 2020 года и использует эволюционирующую тактику для проведения нескольких кампаний одновременно. В отчете обсуждается конкретная кампания, вероятно, проводившаяся во время национальных выборов в Тайване, где Earth Lusca использовала документ-приманку, в котором обсуждалась геополитика, чтобы заразить цели и использовать политическую ситуацию для злонамеренных действий. В отчете подчеркивается необходимость того, чтобы организации сохраняли бдительность в отношении продвинутых групп постоянных угроз, таких как Earth Lusca, для предотвращения потенциальных рисков национальной безопасности.
-----

Анализ сосредоточен на недавней кампании по борьбе с киберугрозами с участием субъекта угроз, известного как Earth Lusca, который, как было замечено, использовал китайско-тайваньские отношения в качестве приманки для социальной инженерии, нацеленной на конкретные объекты. Группа активна по меньшей мере с 2020 года и, как известно, проводит несколько кампаний одновременно с меняющейся тактикой. Кампания, обсуждаемая в этом отчете, вероятно, была активной в период с декабря 2023 по январь 2024 года, что совпадает с национальными выборами на Тайване. Злоумышленники использовали документ-приманку, в котором обсуждалась геополитика, для заражения целей, стремясь использовать политическую ситуацию для своей вредоносной деятельности.

Каналы связи, используемые Earth Lusca, включая домены Command and Control (C&C), были зарегистрированы анонимно, при этом основным доменом C&C был updateservice.store. Целью злоумышленника был тайваньский аналитический центр, специализирующийся на международных политических и экономических вопросах. Кроме того, утечка на GitHub раскрыла информацию о китайской компании под названием I-Soon, которая описывает себя как оборонную и исследовательскую лабораторию APT, предоставляющую различные решения для обеспечения безопасности. Между Earth Lusca и I-Soon наблюдались совпадения, включая общих жертв, общие вредоносные программы и инструменты, а также географическую близость, что указывает на потенциальную связь между двумя объектами.

Цепочка заражения, инициированная Earth Lusca, включала распространение вредоносного архивного файла под названием "Война Китая в серой зоне против Тайваня.7z", вероятно, через вложения электронной почты или ссылки. Этот архив содержал скрытый JavaScript-код в файлах быстрого доступа Windows (.LNK), который выполнял запутанный сценарий второго этапа для доставки полезной нагрузки Cobalt Strike. Злоумышленники использовали такие тактики, как обфускация и методы "жизни за пределами земли" с использованием LOLBins, чтобы избежать обнаружения и анализа. Последняя полезная нагрузка, Cobalt Strike, была настроена для взаимодействия с определенными серверами C&C для дальнейшей вредоносной деятельности.

В отчете подчеркивается необходимость того, чтобы организации, особенно правительственные структуры, сохраняли бдительность в отношении групп продвинутых постоянных угроз (APT), таких как Earth Lusca, которые занимаются кибершпионажем. Вредоносная деятельность в случае успеха может поставить под угрозу национальную безопасность, экономическую стабильность и международные отношения. Рекомендации для частных лиц и организаций включают соблюдение передовых методов обеспечения безопасности, таких как избегание подозрительных ссылок и постоянное обновление программного обеспечения для снижения рисков, создаваемых сложными субъектами угроз, такими как Earth Lusca.

#ParsedReport #CompletenessMedium
27-02-2024

Ongoing Phishing Campaign Targets Healthcare and Cryptocurrency Users via ScreenConnect

https://cyble.com/blog/ongoing-phishing-campaign-targets-healthcare-and-cryptocurrency-users-via-screenconnect

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Screenconnect_tool
Connectwise_rat
Blackcat

Victims:
Cryptocurrency community, Healthcare organizations, Two separate healthcare organizations

Industry:
Entertainment, Healthcare, Financial

TTPs:
Tactics: 3
Technics: 2

IOCs:
Url: 5
Domain: 8
File: 2
Hash: 3

Crypto:
bitcoin

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается фишинговая кампания, нацеленная на криптовалютное сообщество и организации здравоохранения в Соединенных Штатах, использующая законный инструмент удаленной поддержки ScreenConnect в злонамеренных целях. Злоумышленники используют сложные тактики, такие как захват поддоменов для размещения фишинговых сайтов, подчеркивая важность усиленных мер кибербезопасности и осведомленности в таких критически важных секторах, как здравоохранение. В нем подчеркивается серьезность этих атак, риски, которые они представляют, и необходимость применения надежных методов кибербезопасности для обеспечения безопасности пациентов и целостности организации от развивающихся киберугроз.
-----

Cyble Research and Intelligence Labs (CRIL) выявила фишинговую схему, нацеленную на криптовалютное сообщество и организации здравоохранения в Соединенных Штатах.

Злоумышленники используют ScreenConnect, законный инструмент удаленной поддержки, в злонамеренных целях.

Кампания включает в себя такие тактики, как захват поддоменов для размещения фишинговых сайтов, что позволяет получить несанкционированный доступ к системам жертв.

Количество образцов ScreenConnect, отправленных в VirusTotal, заметно увеличилось, что указывает на злонамеренное использование злоумышленниками (TAS).

Фишинговые сайты имитируют законные криптовалютные платформы и организации здравоохранения, чтобы обманом заставить жертв загружать вредоносные файлы ScreenConnect.

После запуска клиент ScreenConnect, управляемый TA, облегчает дальнейшие вредоносные действия, такие как извлечение данных и развертывание вредоносного ПО.

Подчеркивается настоятельная необходимость усиления мер кибербезопасности в связи с меняющимся ландшафтом угроз и рисками, создаваемыми для таких критически важных секторов, как здравоохранение.

Организациям здравоохранения рекомендуется уделять приоритетное внимание надежным методам обеспечения кибербезопасности для защиты безопасности пациентов, конфиденциальности и целостности организации от развивающихся киберугроз.

#ParsedReport #CompletenessLow
27-02-2024

SVR cyber actors adapt tactics for initial cloud access

https://www.ncsc.gov.uk/news/svr-cyber-actors-adapt-tactics-for-initial-cloud-access

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Password_spray_technique
Mfa_bombing_technique
Supply_chain_technique
Magicweb

Victims:
Governmental, Think tank, Healthcare, Energy, Aviation, Education, Law enforcement, Local and state councils, Government financial departments, Military organisations, have more...

Industry:
Education, Military, Financial, Energy, Aerospace, Healthcare, Telco, Government

Geo:
Canadian, Australian, Russian

TTPs:
Tactics: 4
Technics: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное руководство с изложением тактики, методов и процедур, используемых APT29 (Midnight Blizzard, the Dukes или Cozy Bear), группой кибершпионажа, вероятно, связанной с российской разведывательной службой СВР. В рекомендации освещается историческая ориентация SVR на различные секторы, адаптация к облачным средам, использование TTP, таких как распыление паролей и аутентификация токенами, а также стратегии защиты от их атак на начальном этапе доступа. Рекомендации включают внедрение надежных основ кибербезопасности и использование многофакторной аутентификации для усиления защиты от угроз SVR.
-----

В консультативном заключении обсуждаются недавние тактики, методы и процедуры (TTP), используемые APT29, также известной как Midnight Blizzard, the Dukes или Cozy Bear, которая, по оценкам, является группой кибершпионажа, почти наверняка входящей в состав СВР, российской разведывательной службы. Различные международные партнеры, включая Национальный центр кибербезопасности Великобритании (NCSC), Агентство национальной безопасности США (NSA), CISA, ФБР, Австралийское управление сигналов, Канадский центр кибербезопасности и Новозеландский национальный центр кибербезопасности, согласны с этим утверждением.

СВР исторически нацеливалась на правительственный сектор, аналитические центры, здравоохранение и энергетику для получения разведывательной информации, но расширила сферу своей деятельности, включив авиацию, образование, правоохранительные органы, финансовые ведомства и военные организации. В связи с переходом организаций на облачную инфраструктуру служба СВР адаптировала свою тактику в соответствии с этими изменениями. Аутентификация облачных провайдеров служит важной точкой входа для участников службы СВР, и отказ им в первоначальном доступе может помешать их способности компрометировать цели. В локальных системах большая часть сети подвержена угрозам по сравнению с облачными средами.

Участники SVR в прошлом году использовали различные TTP, включая грубый взлом и распыление паролей для доступа к учетным записям служб, которые имеют высокие привилегии и обычно используются для управления приложениями и службами. Они нацелились на неактивные учетные записи в организациях-жертвах и, как было замечено, использовали инциденты со сбросом пароля для восстановления доступа. Более того, они использовали токены доступа для аутентификации в учетных записях жертв, не требуя паролей.

Чтобы обойти аутентификацию по паролю, участники SVR использовали такие тактики, как распыление паролей, повторное использование учетных данных и бомбардировка MFA, чтобы обойти многофакторную аутентификацию. Оказавшись в облачной среде, они зарегистрировали свое собственное устройство для получения доступа к сети. Субъекты SVR также использовали локальные прокси-серверы, чтобы вредоносный трафик выглядел так, как будто он исходит из законных локальных источников, что затрудняет его обнаружение и отличие от обычного трафика.

В рекомендации предполагается, что организации могут защититься от TTP SVR, внедрив надежные основы кибербезопасности, уделяя особое внимание смягчению первоначальных факторов доступа. Рекомендации включают использование многофакторной аутентификации, отключение учетных записей, когда это не требуется, реализацию принципа наименьших привилегий для системных учетных записей, мониторинг и оповещение об использовании учетной записи, сокращение времени сеанса, настройку политик регистрации устройств и использование различных источников информации для обнаружения подозрительных действий.

Защита от угроз, исходящих от SVR, на начальном этапе доступа имеет решающее значение, поскольку, как только они закрепятся, они смогут использовать сложные возможности, такие как MagicWeb. Следуя рекомендациям, изложенным в рекомендации, организации могут усилить свою защиту от СВР и снизить риск стать жертвами кибершпионажа.

#cyberthreattech

Сам не ожидал сколько у нас накопилось интеграций и кейсов с загрузкой IoC в разные решения

#technique

Navigating the Cloud: Exploring Lateral Movement Techniques

https://unit42.paloaltonetworks.com/cloud-lateral-movement-techniques/

#ParsedReport #CompletenessHigh
27-02-2024

European diplomats targeted by SPIKEDWINE with WINELOADER

https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader

Report completeness: High

Threats:
Spikedwine_actor
Wineloader
Dll_sideloading_technique
Process_injection_technique
Beacon

Industry:
Government

Geo:
Indian, Latvia, India

TTPs:

IOCs:
File: 19
Hash: 9
Url: 4
Registry: 1
Path: 6

Soft:
LibreOffice, MS SQL

Algorithms:
base64, exhibit, zip, rc4

Win Services:
sqlwriter, writer.exe

Languages:
javascript, php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4