#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ недавней кампании по борьбе с киберугрозами, проведенной группой, известной как Earth Lusca, которая использовала китайско-тайваньские отношения в качестве приманки для социальной инженерии, нацеленной на конкретные организации. Группа активна как минимум с 2020 года и использует эволюционирующую тактику для проведения нескольких кампаний одновременно. В отчете обсуждается конкретная кампания, вероятно, проводившаяся во время национальных выборов в Тайване, где Earth Lusca использовала документ-приманку, в котором обсуждалась геополитика, чтобы заразить цели и использовать политическую ситуацию для злонамеренных действий. В отчете подчеркивается необходимость того, чтобы организации сохраняли бдительность в отношении продвинутых групп постоянных угроз, таких как Earth Lusca, для предотвращения потенциальных рисков национальной безопасности.
-----

Анализ сосредоточен на недавней кампании по борьбе с киберугрозами с участием субъекта угроз, известного как Earth Lusca, который, как было замечено, использовал китайско-тайваньские отношения в качестве приманки для социальной инженерии, нацеленной на конкретные объекты. Группа активна по меньшей мере с 2020 года и, как известно, проводит несколько кампаний одновременно с меняющейся тактикой. Кампания, обсуждаемая в этом отчете, вероятно, была активной в период с декабря 2023 по январь 2024 года, что совпадает с национальными выборами на Тайване. Злоумышленники использовали документ-приманку, в котором обсуждалась геополитика, для заражения целей, стремясь использовать политическую ситуацию для своей вредоносной деятельности.

Каналы связи, используемые Earth Lusca, включая домены Command and Control (C&C), были зарегистрированы анонимно, при этом основным доменом C&C был updateservice.store. Целью злоумышленника был тайваньский аналитический центр, специализирующийся на международных политических и экономических вопросах. Кроме того, утечка на GitHub раскрыла информацию о китайской компании под названием I-Soon, которая описывает себя как оборонную и исследовательскую лабораторию APT, предоставляющую различные решения для обеспечения безопасности. Между Earth Lusca и I-Soon наблюдались совпадения, включая общих жертв, общие вредоносные программы и инструменты, а также географическую близость, что указывает на потенциальную связь между двумя объектами.

Цепочка заражения, инициированная Earth Lusca, включала распространение вредоносного архивного файла под названием "Война Китая в серой зоне против Тайваня.7z", вероятно, через вложения электронной почты или ссылки. Этот архив содержал скрытый JavaScript-код в файлах быстрого доступа Windows (.LNK), который выполнял запутанный сценарий второго этапа для доставки полезной нагрузки Cobalt Strike. Злоумышленники использовали такие тактики, как обфускация и методы "жизни за пределами земли" с использованием LOLBins, чтобы избежать обнаружения и анализа. Последняя полезная нагрузка, Cobalt Strike, была настроена для взаимодействия с определенными серверами C&C для дальнейшей вредоносной деятельности.

В отчете подчеркивается необходимость того, чтобы организации, особенно правительственные структуры, сохраняли бдительность в отношении групп продвинутых постоянных угроз (APT), таких как Earth Lusca, которые занимаются кибершпионажем. Вредоносная деятельность в случае успеха может поставить под угрозу национальную безопасность, экономическую стабильность и международные отношения. Рекомендации для частных лиц и организаций включают соблюдение передовых методов обеспечения безопасности, таких как избегание подозрительных ссылок и постоянное обновление программного обеспечения для снижения рисков, создаваемых сложными субъектами угроз, такими как Earth Lusca.

#ParsedReport #CompletenessMedium
27-02-2024

Ongoing Phishing Campaign Targets Healthcare and Cryptocurrency Users via ScreenConnect

https://cyble.com/blog/ongoing-phishing-campaign-targets-healthcare-and-cryptocurrency-users-via-screenconnect

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Screenconnect_tool
Connectwise_rat
Blackcat

Victims:
Cryptocurrency community, Healthcare organizations, Two separate healthcare organizations

Industry:
Entertainment, Healthcare, Financial

TTPs:
Tactics: 3
Technics: 2

IOCs:
Url: 5
Domain: 8
File: 2
Hash: 3

Crypto:
bitcoin

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается фишинговая кампания, нацеленная на криптовалютное сообщество и организации здравоохранения в Соединенных Штатах, использующая законный инструмент удаленной поддержки ScreenConnect в злонамеренных целях. Злоумышленники используют сложные тактики, такие как захват поддоменов для размещения фишинговых сайтов, подчеркивая важность усиленных мер кибербезопасности и осведомленности в таких критически важных секторах, как здравоохранение. В нем подчеркивается серьезность этих атак, риски, которые они представляют, и необходимость применения надежных методов кибербезопасности для обеспечения безопасности пациентов и целостности организации от развивающихся киберугроз.
-----

Cyble Research and Intelligence Labs (CRIL) выявила фишинговую схему, нацеленную на криптовалютное сообщество и организации здравоохранения в Соединенных Штатах.

Злоумышленники используют ScreenConnect, законный инструмент удаленной поддержки, в злонамеренных целях.

Кампания включает в себя такие тактики, как захват поддоменов для размещения фишинговых сайтов, что позволяет получить несанкционированный доступ к системам жертв.

Количество образцов ScreenConnect, отправленных в VirusTotal, заметно увеличилось, что указывает на злонамеренное использование злоумышленниками (TAS).

Фишинговые сайты имитируют законные криптовалютные платформы и организации здравоохранения, чтобы обманом заставить жертв загружать вредоносные файлы ScreenConnect.

После запуска клиент ScreenConnect, управляемый TA, облегчает дальнейшие вредоносные действия, такие как извлечение данных и развертывание вредоносного ПО.

Подчеркивается настоятельная необходимость усиления мер кибербезопасности в связи с меняющимся ландшафтом угроз и рисками, создаваемыми для таких критически важных секторов, как здравоохранение.

Организациям здравоохранения рекомендуется уделять приоритетное внимание надежным методам обеспечения кибербезопасности для защиты безопасности пациентов, конфиденциальности и целостности организации от развивающихся киберугроз.

#ParsedReport #CompletenessLow
27-02-2024

SVR cyber actors adapt tactics for initial cloud access

https://www.ncsc.gov.uk/news/svr-cyber-actors-adapt-tactics-for-initial-cloud-access

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Password_spray_technique
Mfa_bombing_technique
Supply_chain_technique
Magicweb

Victims:
Governmental, Think tank, Healthcare, Energy, Aviation, Education, Law enforcement, Local and state councils, Government financial departments, Military organisations, have more...

Industry:
Education, Military, Financial, Energy, Aerospace, Healthcare, Telco, Government

Geo:
Canadian, Australian, Russian

TTPs:
Tactics: 4
Technics: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное руководство с изложением тактики, методов и процедур, используемых APT29 (Midnight Blizzard, the Dukes или Cozy Bear), группой кибершпионажа, вероятно, связанной с российской разведывательной службой СВР. В рекомендации освещается историческая ориентация SVR на различные секторы, адаптация к облачным средам, использование TTP, таких как распыление паролей и аутентификация токенами, а также стратегии защиты от их атак на начальном этапе доступа. Рекомендации включают внедрение надежных основ кибербезопасности и использование многофакторной аутентификации для усиления защиты от угроз SVR.
-----

В консультативном заключении обсуждаются недавние тактики, методы и процедуры (TTP), используемые APT29, также известной как Midnight Blizzard, the Dukes или Cozy Bear, которая, по оценкам, является группой кибершпионажа, почти наверняка входящей в состав СВР, российской разведывательной службы. Различные международные партнеры, включая Национальный центр кибербезопасности Великобритании (NCSC), Агентство национальной безопасности США (NSA), CISA, ФБР, Австралийское управление сигналов, Канадский центр кибербезопасности и Новозеландский национальный центр кибербезопасности, согласны с этим утверждением.

СВР исторически нацеливалась на правительственный сектор, аналитические центры, здравоохранение и энергетику для получения разведывательной информации, но расширила сферу своей деятельности, включив авиацию, образование, правоохранительные органы, финансовые ведомства и военные организации. В связи с переходом организаций на облачную инфраструктуру служба СВР адаптировала свою тактику в соответствии с этими изменениями. Аутентификация облачных провайдеров служит важной точкой входа для участников службы СВР, и отказ им в первоначальном доступе может помешать их способности компрометировать цели. В локальных системах большая часть сети подвержена угрозам по сравнению с облачными средами.

Участники SVR в прошлом году использовали различные TTP, включая грубый взлом и распыление паролей для доступа к учетным записям служб, которые имеют высокие привилегии и обычно используются для управления приложениями и службами. Они нацелились на неактивные учетные записи в организациях-жертвах и, как было замечено, использовали инциденты со сбросом пароля для восстановления доступа. Более того, они использовали токены доступа для аутентификации в учетных записях жертв, не требуя паролей.

Чтобы обойти аутентификацию по паролю, участники SVR использовали такие тактики, как распыление паролей, повторное использование учетных данных и бомбардировка MFA, чтобы обойти многофакторную аутентификацию. Оказавшись в облачной среде, они зарегистрировали свое собственное устройство для получения доступа к сети. Субъекты SVR также использовали локальные прокси-серверы, чтобы вредоносный трафик выглядел так, как будто он исходит из законных локальных источников, что затрудняет его обнаружение и отличие от обычного трафика.

В рекомендации предполагается, что организации могут защититься от TTP SVR, внедрив надежные основы кибербезопасности, уделяя особое внимание смягчению первоначальных факторов доступа. Рекомендации включают использование многофакторной аутентификации, отключение учетных записей, когда это не требуется, реализацию принципа наименьших привилегий для системных учетных записей, мониторинг и оповещение об использовании учетной записи, сокращение времени сеанса, настройку политик регистрации устройств и использование различных источников информации для обнаружения подозрительных действий.

Защита от угроз, исходящих от SVR, на начальном этапе доступа имеет решающее значение, поскольку, как только они закрепятся, они смогут использовать сложные возможности, такие как MagicWeb. Следуя рекомендациям, изложенным в рекомендации, организации могут усилить свою защиту от СВР и снизить риск стать жертвами кибершпионажа.

#cyberthreattech

Сам не ожидал сколько у нас накопилось интеграций и кейсов с загрузкой IoC в разные решения

#technique

Navigating the Cloud: Exploring Lateral Movement Techniques

https://unit42.paloaltonetworks.com/cloud-lateral-movement-techniques/

#ParsedReport #CompletenessHigh
27-02-2024

European diplomats targeted by SPIKEDWINE with WINELOADER

https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader

Report completeness: High

Threats:
Spikedwine_actor
Wineloader
Dll_sideloading_technique
Process_injection_technique
Beacon

Industry:
Government

Geo:
Indian, Latvia, India

TTPs:

IOCs:
File: 19
Hash: 9
Url: 4
Registry: 1
Path: 6

Soft:
LibreOffice, MS SQL

Algorithms:
base64, exhibit, zip, rc4

Win Services:
sqlwriter, writer.exe

Languages:
javascript, php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: ThreatLabZ от Zscaler обнаружил сложную киберугрозу, нацеленную на индийских и европейских дипломатов с помощью вредоносного PDF-файла, замаскированного под письмо-приглашение, что привело к цепочке заражения с использованием модульного бэкдора WINELOADER. Исполнитель угроз, известный как SPIKEDWINE, продемонстрировал продвинутую тактику, методы уклонения и значительный интерес к использованию дипломатических отношений, что побудило Zscaler продолжать расследование и мониторинг для защиты от таких угроз.
-----

ThreatLabZ от Zscaler выявил подозрительный PDF-файл из Латвии на VirusTotal, что привело к обнаружению аналогичного файла с июля 2023 года.

PDF-файл маскировался под письмо-приглашение от посла Индии, что приводило к вредоносному ZIP-архиву через поддельную ссылку на анкету, перенаправляющую пользователей.

В атаке был задействован бэкдор под названием WINELOADER, известный как SPIKEDWINE, с признаками угрозы со стороны национального государства, нацеленной на индийско-европейские дипломатические отношения.

WINELOADER использовал продвинутую тактику уклонения, включая зашифрованные модули, защиту данных в памяти, скомпрометированные веб-сайты для C2 и стороннюю загрузку DLL.

Злоумышленник продемонстрировал заинтересованность в использовании дипломатических отношений, использовал методы шифрования, удаление библиотеки DLL, код рандомизации и модуль сохранения для продолжения работы.

Zscaler продолжает расследования, мониторинг и усилия по защите от этой угрозы, включая выявление связанных индикаторов на нескольких уровнях безопасности.

#ParsedReport #CompletenessMedium
28-02-2024

Lazarus and the FudModule Rootkit: Beyond BYOVD with an Admin-to-Kernel Zero-Day

https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day

Report completeness: Medium

Actors/Campaigns:
Lazarus
Kimsuky

Threats:
Fudmodule_rootkit
Byovd_technique
Carbon
Candiru
Windbg_tool

Geo:
Japanese, Korean, Korea

CVEs:
CVE-2024-21338 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1547.014, T1055, T1070.004, T1550.002, T1564.001, T1036.005, T1562.001, T1056.003

IOCs:
File: 70
Command: 1
Coin: 1

Soft:
Event Tracing for Windows, Microsoft Defender, Windows security, Windows Defender

Algorithms:
xor

Functions:
CreateFile, FudModule

Win API:
ZwDeviceIoControlFile, ZwQueryInformationFile, ZwReadFile, ExGetPreviousMode, NtQuerySystemInformation, NtSetInformationThread, NtDeviceIoControlFile, NtWriteVirtualMemory, NtReadVirtualMemory, CmRegisterCallbackEx, have more...

Win Services:
bits, MsMpEng

Links:
https://github.com/reactos/reactos/blob/e0c17c3f462e3b62bf0c4ca2479c1e5c6b8ff496/sdk/include/ndk/extypes.h#L535
https://github.com/wavestone-cdt/EDRSandblast
https://github.com/avast/ioc/tree/master/FudModule#targeted-etw-provider-guids
https://github.com/avast/ioc/tree/master/FudModule#yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и использовании группой Lazarus критического эксплойта для доступа администратора к ядру, который был активирован с помощью уязвимости нулевого дня в драйвере appid.sys AppLocker. Этот эксплойт позволил установить примитив чтения/записи ядра, расширяющий вредоносные возможности группы. Последующий анализ варианта руткита FudModule выявил значительные улучшения в скрытых функциях и функциональности, выявив текущие угрозы модели безопасности Microsoft. В тексте подчеркивается важность своевременного внесения исправлений для срыва наступательных операций таких участников угроз, как Lazarus, и необходимость постоянного мониторинга для отслеживания их реакции и адаптации.
-----

Avast обнаружила критический эксплойт для доступа администратора к ядру, связанный с уязвимостью нулевого дня (CVE-2024-21338) в драйвере appid.sys AppLocker, используемом группой Lazarus для примитивного чтения/записи ядра.

Корпорация Майкрософт оперативно устранила уязвимость в своем февральском обновлении Patch Tuesday.

Вариант руткита FudModule обладает расширенной функциональностью и скрытыми функциями, включая манипулирование записями таблицы дескрипторов для приостановки процессов, защищенных PPL, что приводит к увеличению возможностей скрытности.

Avast выявила нового троянца удаленного доступа (RAT), связанного с группой Lazarus.

Модель безопасности Microsoft сталкивается с проблемами, связанными с предотвращением доступа злоумышленников на уровне администратора к ядру, при этом используются уязвимости в сторонних драйверах.

Уязвимость нулевого дня, используемая Lazarus, затрагивает Windows версий с 10 по 11, требуя предоставления доступа на запись учетной записи локальной службы.

Руткит FudModule использует множество методов для подрыва механизмов безопасности и нарушения работы программного обеспечения безопасности, а строки отладки указывают на возможное корейское происхождение.

Руткит нацелен на различные функциональные возможности ядра, такие как обратные вызовы реестра, объектные обратные вызовы и минифильтры файловой системы, чтобы избежать обнаружения и эффективно нарушить работу системы безопасности.

Руткит использует тактику отключения определенного программного обеспечения безопасности, манипулируя записями в таблице дескрипторов и нарушая их работу, что значительно повышает скрытность его атаки.

Несмотря на свою техническую изощренность, группа Lazarus должна адаптироваться к разоблачению своего эксплойта нулевого дня, что потенциально требует от них обнаружения новых эксплойтов или возврата к предыдущим методам.

#ParsedReport #CompletenessLow
28-02-2024

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2024/02/lazarus_pypi.html

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Comebacker
Blindingcan

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1195, T1059.006, T1027, T1204.002, T1547.012, T1055, T1105, T1573.002

IOCs:
File: 3
Path: 5
Hash: 16

Algorithms:
md5, xor, base64

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 3, schema: 1, dump: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитик cyber threat intelligence выявил новые вредоносные пакеты Python в репозитории PyPI, созданном группой Lazarus threat actor group. Пакеты, pycryptoenv и pycryptoconf, содержат определенный тип вредоносного ПО под названием Comebacker, которое взаимодействует с серверами управления для получения и запуска исполняемых файлов Windows. Аналитик предупреждает пользователей о необходимости соблюдать осторожность при установке пакета и предоставляет информацию о поведении и характеристиках вредоносного ПО.
-----

Аналитик по анализу киберугроз из JPCERT/CC подтвердил, что Lazarus, печально известная группа исполнителей угроз, выпустила новые вредоносные пакеты Python в репозитории PyPI. Два идентифицированных пакета называются pycryptoenv и pycryptoconf, что напоминает законный пакет pycrypto, используемый для алгоритмов шифрования в Python. Злоумышленник, вероятно, создал эти пакеты, чтобы использовать опечатки пользователей во время установки. Статья посвящена подробностям этих вредоносных пакетов, в качестве примера приводится pycryptoenv, поскольку его файловая структура схожа с другими подтвержденными пакетами.

Основным вредоносным компонентом в вредоносных пакетах Python является файл с именем test.py, который является не скриптом Python, а закодированными двоичными данными в виде DLL-файла. Этот специфический тип вредоносного ПО, известный как Comebacker, соответствует вредоносному ПО, использованному Lazarus в предыдущей атаке на исследователей безопасности, о чем сообщила Google в январе 2021 года. Несмотря на отсутствие кода в pycryptoenv для непосредственного запуска вредоносного ПО, злоумышленник, вероятно, использует скрипт на Python для запуска функции crypt, ответственной за выполнение test.py в целевой системе.

Анализ углубляется в поведение, запускаемое при инициировании процесса декодирования и выполнения для test.py. Путь выполнения от pycryptoenv к основной части вредоносного ПО включает создание и выполнение DLL-файлов, таких как IconCache.db и NTUSER.DAT, что приводит к активации Comebacker. Примечательно, что идентифицируемые шаблоны кода NOP в образце вредоносного ПО совпадают с характеристиками, обнаруженными в других вариантах вредоносного ПО, связанных с Lazarus, таких как BLINDINGCAN.

Comebacker устанавливает связь со своими серверами Command and Control (C2), отправляя HTTP POST-запросы, получая взамен исполняемые файлы Windows, которые затем выполняет в памяти. Этот механизм связи подразумевает командно-управляемый подход, при котором вредоносная программа управляется злоумышленниками удаленно. Аналогичный вектор атаки с использованием пакета npm для распространения Comebacker наблюдался в прошлом, что еще больше вовлекает Lazarus в проведение этих многоплановых кампаний по распространению вредоносного ПО в различных репозиториях пакетов.

Вредоносные пакеты Python были загружены от 300 до 1200 раз, что свидетельствует об активной ориентации пользователей, которые могут не заметить незначительные опечатки во время установки пакета. Пользователям рекомендуется проявлять осторожность при установке модулей и программного обеспечения, чтобы предотвратить непреднамеренную загрузку вредоносных пакетов. Приложение, вероятно, содержит дополнительную информацию об инфраструктуре C2 и другие соответствующие детали, относящиеся к проанализированным образцам вредоносных программ.

Аналитик, участвовавший в этом исследовании, обладает значительным опытом в анализе вредоносных программ и криминалистических расследованиях, уделяя особое внимание инцидентам с целенаправленными атаками. Имея опыт мониторинга и анализа безопасности в ИТ-компании, аналитик выступал с докладами на различных престижных конференциях по безопасности, демонстрируя глубокое понимание развивающихся киберугроз и стратегий защиты.

#ParsedReport #CompletenessMedium
28-02-2024

One year later, Rhadamanthys is still dropped via malvertising

https://www.malwarebytes.com/blog/threat-intelligence/2024/02/one-year-later-rhadamanthys-is-still-dropped-via-malvertising

Report completeness: Medium

Threats:
Rhadamanthys
Parsec_tool
Fakebat
Nitrogen
Hijackloader
Netsupportmanager_rat
Cloaking_technique
Putty_tool

Geo:
Poland

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1027, T1071, T1553.002, T1046, T1588.002

IOCs:
Domain: 4
Hash: 3
IP: 2
Email: 2

Soft:
WinSCP, Slack

Languages:
javascript