#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - деятельность и эволюция пророссийской хактивистской группы NoName057(16) и их проекта DDoSia, включая их сосредоточенность на проведении крупномасштабных DDoS-атак против организаций, поддерживающих Украину, текущие изменения в их программном обеспечении и инфраструктуре, сотрудничество с другими хактивистскими группами и их влияние на целевые страны и секторы.
-----

Появление националистических хактивистских групп, особенно на российской стороне, стало заметным с начала войны в Украине. Среди них пророссийская группа NoName057(16) привлекла внимание благодаря инициированию проекта DDoSia. Эти коллективные усилия направлены на проведение крупномасштабных распределенных атак типа "отказ в обслуживании" (DDoS) против организаций, включая частные корпорации, министерства и государственные учреждения стран, поддерживающих Украину, особенно государств-членов НАТО. По состоянию на 2024 год, проект DDoSia и группа, стоящая за ним, являются хорошо известными именами, с Sekoia.io активным мониторингом их инфраструктуры командования и контроля (C2). Отслеживались действия и изменения группы, включая обновления их программного обеспечения для генерации DDoS-атак и эволюцию их серверов C2 для целевых стран и секторов к 2024 году.

Администраторы Telegram-канала Project DDoSia 11 ноября 2023 года поделились новой версией, расширяющей совместимость с различными процессорными архитектурами и операционными системами. Обновленная версия включает поддержку 32-разрядных процессоров и операционной системы FreeBSD, в дополнение к предыдущей поддержке AMD64, ARM и ARM6465. Общий ZIP-архив содержит специальные папки, адаптированные для пользователей в зависимости от их географического местоположения, с предупреждениями, побуждающими пользователей в России переключиться на зарубежную VPN. Совместное использование подробных инструкций и раздела часто задаваемых вопросов на странице telegra.ph указывает на продолжающуюся эволюцию и распространение программного обеспечения DDoSia.

Анализ деятельности группы выявил изменения в механизмах шифрования передачи данных и частые смены серверов C2. Эволюция серверов C2 с 2023 по февраль 2024 года показала многочисленные изменения, подчеркивающие проблемы, с которыми сталкивается NoName057(16) в поддержании стабильности сервера и вовлеченности пользователей. В 2024 году геолокация хостинговых серверов по всему миру диверсифицировалась, при этом частые изменения IPv4-адресов указывают на активные контрмеры организаций по борьбе с угрозой, исходящей от группы.

Несмотря на нестабильность работы серверов, проект DDoSia продолжал свою деятельность и продолжал брать на себя ответственность за атаки через свои Telegram-каналы. Основное внимание по-прежнему уделялось европейским целям, особенно странам, участвующим в поддержке Украины, при этом Украина была основной целью, а значительные атаки наблюдались в Финляндии и Италии. Анализ затронутых URL-адресов и доменов выявил концентрацию на организациях, связанных с правительством, транспортном секторе и банковской вертикали, что отражает цели и стратегии группы.

Рост числа пользователей проекта DDoSia и подписчиков каналов NoName057(16) продемонстрировал расширение сообщества, вовлеченного по политическим или экономическим мотивам. Соглашения о сотрудничестве с другими коллективами хактивистов также указывают на желание усилить влияние и совместно достигать поставленных целей. Несмотря на изменения инфраструктуры и регулярные обновления программного обеспечения, способность группы ежедневно противостоять атакам очевидна, и ожидается продолжение изменений программного обеспечения и серверов в краткосрочной перспективе, а также адаптивные разработки механизмов шифрования к 2024 году.

#ParsedReport #CompletenessLow
01-03-2024

PikaBot malware on the rise: What organizations need to know

https://www.malwarebytes.com/blog/business/2024/03/pikabot-malware-on-the-rise-what-organizations-need-to-know

Report completeness: Low

Threats:
Pikabot
Qakbot
Blackbasta
Darkgate

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1193, T1063, T1027, T1105, T1071, T1082, T1566, T1573, T1059, T1046, have more...

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Появление новой вредоносной программы PikaBot, используемой бандами вымогателей в качестве преемника QakBot, представляет значительные угрозы из-за ее модульных возможностей и методов уклонения. Группы вымогателей, такие как Black Basta, включают PikaBot в свои атаки, используя его для различных вредоносных действий. Эффективная профилактика включает в себя внедрение мер безопасности и упреждающий поиск угроз для обнаружения и нейтрализации динамических угроз, таких как PikaBot. Готовность организации к борьбе с возникающими угрозами включает понимание функциональности вредоносных программ, внедрение упреждающих мер безопасности и внедрение методов поиска угроз.
-----

PikaBot - это новая модульная троянская программа, используемая группами вымогателей, в частности бандой Black Basta, в качестве преемника трояна QakBot.

PikaBot позволяет злоумышленникам легко обновлять и настраивать его функциональные возможности, что делает его крайне опасным, позволяя выполнять произвольные команды, загружать дополнительную полезную нагрузку и создавать бэкдоры для дальнейших атак.

Вредоносная программа обходит традиционные средства безопасности, используя такие методы, как косвенные системные вызовы и продвинутые методы обфускации.

PikaBot в основном распространяется с помощью кампаний рассылки спама по электронной почте с вредоносными ссылками, ведущими к zip-файлам, содержащим полезную нагрузку вредоносного ПО, а также с использованием общих ресурсов SMB для доставки.

Банды вымогателей используют PikaBot для различных вредоносных действий, таких как кража учетных данных, боковые перемещения, зашифрованная связь с командными серверами и разведка скомпрометированных систем для оптимизации атак вымогателей.

Предотвращение заражения PikaBot требует внедрения фильтров веб-контента, обучения осведомленности о фишинге, развертывания платформ безопасности, которые могут автоматически обнаруживать угрозы и помещать их в карантин, а также упреждающего поиска угроз.

Реальный пример демонстрирует, как поиск угроз, включая анализ индикаторов компрометации (IOCs) и поведенческих паттернов, успешно обнаружил и нейтрализовал атаку QBot на нефтегазовую компанию.

Организации могут бороться с возникающими угрозами, такими как PikaBot, понимая функциональность вредоносного ПО, методы распространения, внедряя упреждающие меры безопасности и применяя методы поиска угроз.

#ParsedReport #CompletenessHigh
01-03-2024

Rise in Deceptive PDF: The Gateway to Malicious Payloads

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads

Report completeness: High

Threats:
Agent_tesla
Process_injection_technique
Procmon_tool

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 5
Url: 3
Path: 7
Command: 3
IP: 1
Registry: 1
Hash: 5

Soft:
Microsoft Defender, Windows Defender, Windows Firewall, NET framework, Opera, Telegram, Task Scheduler

Algorithms:
exhibit

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем использовании PDF-файлов для распространения сложных вредоносных программ, таких как Agent Tesla, по электронной почте, нацеленных на пользователей с помощью тактики обмана и использующих уязвимости в программном обеспечении PDF, чтобы избежать обнаружения и поставить под угрозу безопасность системы.
-----

Рост распространения известных вредоносных программ через PDF-файлы, отход от традиционных методов.

Вредоносное ПО, скрытое в, казалось бы, безобидных электронных письмах с вложениями в PDF-файлы.

Увеличение распространения вредоносных программ с помощью переносчиков, отличных от PE.

Злоумышленники используют доверие к PDF-файлам для доставки вредоносных программ.

Конкретная атака с использованием PDF-файла с именем Booking.com-1728394029.pdf.

При атаке использовались обманчивые тактики, такие как ложные сообщения о совместимости и запутанные ссылки.

Выполнение JavaScript инициирует компрометацию системы путем отключения функций безопасности.

Вредоносная программа, идентифицированная как Agent Tesla, маскирующаяся под законный файл пакета McAfee.

Использование Telegram-ботов для скрытой утечки данных.

Постоянство устанавливается с помощью запланированных задач и записей реестра.

Сложная цепочка атак - от доставки PDF-файла до эксфильтрации и сохранения данных.

#technique

EC2-Instance-Connect Lateral Movement Tactics in Cloud Exploitation

https://www.uptycs.com/blog/ec2-instance-connect-lateral-movement-strategy-and-tactics-for-data-exfiltration

#technique

ComPromptMized: Unleashing Zero-click Worms that Target GenAI-Powered Applications

https://sites.google.com/view/compromptmized

#technique

SecretPixel is a cutting-edge steganography tool designed to securely conceal sensitive information within images. It stands out in the realm of digital steganography by combining advanced encryption, compression, and a seeded Least Significant Bit (LSB) technique to provide a robust solution for embedding data undetectably.

https://github.com/x011/SecretPixel

#ParsedReport #CompletenessLow
04-03-2024

TA577 s Unusual Attack Chain Leads to NTLM Data Theft

https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

Report completeness: Low

Actors/Campaigns:
Ta577 (motivation: information_theft, cyber_criminal)

Threats:
Passthehash_technique
Impacket_tool
Qakbot
Blackbasta
Pikabot

ChatGPT TTPs:
do not use without manual check
T1071, T1558.002, T1557, T1021.002, T1560, T1059, T1204.002, T1566.002

Soft:
SMB server, Outlook

Algorithms:
zip

Win Services:
NTLMSSP

Links:
https://github.com/fortra/impacket/blob/985690e9d3d1012e18f1727701b44bbe953cb1c9/examples/smbserver.py#L94-L98
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Proofpoint идентифицировал субъекта киберугроз TA577, участвующего в сложной цепочке атак с целью кражи аутентификационной информации NTLM у организаций по всему миру, демонстрируя способность субъекта угроз быстро применять новую тактику и уклоняться от обнаружения. Этот новый метод атаки включал использование настроенных HTML-файлов в zip-вложениях для захвата хэшей NTLM, что могло обеспечить боковое перемещение и атаки с передачей хэша в скомпрометированных средах. В ходе атаки был задействован сервер SMB, контролируемый TA577, что свидетельствует об использовании злоумышленником передовых методов и наборов инструментов с открытым исходным кодом, таких как Impacket. Инцидент подчеркивает необходимость сохранения бдительности организаций и усиления защиты от развивающихся киберугроз.
-----

Proofpoint идентифицировала участника киберугроз TA577, использующего новую цепочку атак для кражи аутентификационной информации NTLM, что является редкой целью в среде киберугроз.

TA577 провел по меньшей мере две кампании 26 и 27 февраля 2024 года, отправив тысячи сообщений по всему миру с помощью перехвата потоков с заархивированными HTML-вложениями.

Злоумышленник стремился перехватить хэши NTLM, запуская системные подключения к внешнему SMB-серверу через настроенные HTML-файлы.

TA577 использовал Impacket toolkit на серверах SMB, отображая сложные методы с помощью настроек NTLM по умолчанию и наблюдений GUID.

Цепочка атак была разработана для сбора пар Вызов/ответ NTLMv2 для взлома паролей или атак "с передачей хэша".

Эволюция тактики TA577 и быстрая адаптация к новым методам предполагают расширенные возможности и ресурсы.

TA577 связан с Qbot affiliate и, как известно, функционирует как брокер начального доступа (IAB), связанный с программами-вымогателями, такими как Black Basta.

Актер недавно предпочел использовать Pikabot в качестве начальной полезной нагрузки, демонстрируя универсальность тактики.

Организациям рекомендуется блокировать исходящий SMB-трафик, чтобы предотвратить использование URI файловой схемы и сохранять бдительность в отношении развивающихся киберугроз.

#ParsedReport #CompletenessLow
04-03-2024

Shadow Hunting: Analysis of APT37s attack activities against South Korea using North Korean political topics

https://www.ctfiot.com/165522.html

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Daybreak

Threats:
Rokrat
Spear-phishing_technique

Victims:
Institute of national security and unification of south korea, Dankook university, Institute for 21st century strategy, Institute of north korea

Industry:
Healthcare, Aerospace, Chemical

Geo:
Korean, Japan, Koreas, Korea, Vietnam

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1140, T1027, T1566.001, T1047, T1608.002

IOCs:
File: 1
Hash: 2

Soft:
Android, WeChat

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Группа киберугроз APT37, известная под различными псевдонимами, использовала политические темы, связанные с Северной Кореей, для распространения троянца ROKRAT и кражи информации, а недавно их таргетинг расширился за счет внутренних пользователей. Их тактика заключается в использовании напряженных межкорейских отношений и усилении фишинговых атак на Южную Корею с помощью файлов-приманок и корректировки методов загрузки. Для предотвращения компрометации хостинга и заражения вредоносным ПО рекомендуется анализ угроз и меры безопасности, а подробный отчет о действиях APT37 доступен для дальнейшего изучения.
-----

Лаборатория поиска информации Anheng недавно раскрыла деятельность организации APT37, связанную с использованием политических тем, связанных с Северной Кореей, для распространения троянца ROKRAT и кражи информации. Группа APT37, также известная как Group 123, InkySquid, Operation Daybreak, Operation ErebusReaper, Group Red Eyes, ScarCruft и Venus 121, действует по меньшей мере с 2012 года, уделяя особое внимание государственному и частному секторам Южной Кореи. Однако в 2017 году их сфера охвата расширилась и включила такие страны, как Япония, Вьетнам и Ближний Восток, в различных отраслях промышленности, таких как химическая, электронная, обрабатывающая, аэрокосмическая, автомобильная и здравоохранение.

В 2023 году APT37 распространили свои атаки на внутренних пользователей, используя тактику фишинга на платформах Windows и Android. Один из обнаруженных образцов, помеченный как Образец 1, содержит приманку под названием "Органы безопасности не должны быть беспомощны против антинациональных действий forces.zip." Это статья, написанная старшим научным сотрудником, в которой обсуждается возросшая враждебность и шпионская деятельность Северной Кореи, подчеркиваются проблемы безопасности.

Другой образец, образец 2, включает в себя различные приманки, такие как статьи на северокорейские политические темы от Института исследователей Северной Кореи. Считается, что эта приманка предназначена для лиц, занимающихся исследованиями, связанными с политическими вопросами Северной Кореи. Ухудшающиеся отношения между Северной и Южной Кореей на фоне недавних заявлений Северной Кореи относительно отношений между странами усилили напряженность. APT37 использует напряженные межкорейские отношения для усиления своих фишинговых атак на Южную Корею.

Анализ показывает, что, хотя основной атакующий троян организации APT37 оставался относительно стабильным с течением времени, были внесены улучшения, повышающие вероятность успеха атак. Изменив файл-приманку и метод загрузки трояна, группа смогла улучшить свои вредоносные кампании.

Для устранения этих угроз пользователям рекомендуется проводить анализ угроз для подозрительных файлов и получать доступ к аналитическим отчетам с помощью облачных инструментов "песочницы" или открывать неизвестные файлы в безопасной виртуальной среде, чтобы предотвратить компрометацию хостинга и заражение вредоносными программами. Лаборатория теневой охоты Исследовательского института Аньхэн опубликовала эксклюзивный отчет о "Атаках APT37 с использованием северокорейских политических тем для нацеливания на Южную Корею", в котором содержится подробная информация для тех, кто заинтересован в дальнейших исследованиях.

#ParsedReport #CompletenessMedium
04-03-2024

TA577 phishing campaign uses NTLMv2 handshakes to steal user credentials/hashes.

https://medium.com/@Intel_Ops/ta577-phishing-campaign-uses-ntlmv2-handshakes-to-steal-user-credentials-hashes-6c736ce1c2dc

Report completeness: Medium

Actors/Campaigns:
Ta577

Threats:
Impacket_tool
Cobalt_strike
Qakbot
Icedid
Systembc
Smokeloader
Gozi
Pikabot
Darkgate

Industry:
Telco

Geo:
Deutsche, Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1557, T1110, T1566.002

IOCs:
Hash: 4
IP: 9
Domain: 21
File: 4

Soft:
Ubuntu

Algorithms:
sha256, sha1

Win API:
Netbios

#ParsedReport #ExtractedSchema

Classified images:
table: 3, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней фишинговой кампании, проведенной базирующейся в России группой по борьбе с угрозами TA577. В сообщении в блоге основное внимание уделяется инфраструктуре группы, использованию ими различных вредоносных программ, таким методам, как установление исходящих SMB-подключений для кражи учетных данных, а также идентификации конкретных IP-адресов и ASN, связанных с вредоносными действиями. Анализ также посвящен разнообразному развертыванию инфраструктуры TA577, закономерностям использования их инфраструктуры и методам сегментации, используемым для анализа.
-----

Сообщение в блоге Intel-Ops посвящено анализу инфраструктуры, стоящей за недавней фишинговой кампанией, проведенной TA577, российской группой по борьбе с угрозами. TA577 активен с 2020 года, предоставляя различные полезные вредоносные программы, такие как Qbot, IcedID, SystemBC, SmokeLoader, Ursnif и Cobalt Strike. Недавние сообщения указывают на то, что TA577 перешла к использованию вредоносных программ Pikabot и DarkGate в своих кампаниях.

Deutsche Telekom CERT сообщила, что TA577 использует .HTML-файлы для установления исходящих SMB-подключений к URL-адресам file:// с целью перехвата рукопожатий NTLMv2, распространенного метода, используемого для кражи учетных данных. Кампания предполагает использование Impacket, инструмента, известного тем, что использует 8-символьные строки. Проанализировав SMB target_name для 8 буквенно-цифровых строк и удалив те, в которых указано "рабочая группа", было получено в общей сложности 257 результатов. Примечательно, что более половины результатов были размещены на ASN GLOBALWAYS, а другие ASN, такие как ALEXHOST, STARK-INDUSTRIES, LIMENET и AS-CHOOPA, были связаны со вредоносными действиями участников угроз.

Конкретный IP-адрес, 155.94.208.137, был выделен как имеющий dns.name, связанный с shopsportswearamerica.com, что указывает на потенциальное истинно положительное попадание. Анализ также включал удаление повторяющихся URL-адресов с помощью www. и фильтрацию URL-адресов Amazon ec2 с использованием рецепта CyberChef. Было упомянуто дополнительное правило поиска для TA577, в котором основное внимание уделяется ASN и типам аутентификации для выявления потенциальной вредоносной активности. В правиле выделялись конкретные ASN и типы аутентификации, при этом особое внимание уделялось сопоставлению шаблонов доменов по IP-адресам.

Дальнейшее расследование показало, что не все IP-адреса, связанные с кампанией, имели совпадающие шаблоны доменов, что указывает на использование TA577 различной инфраструктуры. В анализе также учитывались такие факторы, как открытый порт 80 или веб-страницы Apache по умолчанию на идентифицированных IP-адресах. По мере того как в VirusTotal поступало все больше образцов, выяснилось, что некоторые ASN постоянно используются TA577, что указывает на закономерность в использовании их инфраструктуры. Для анализа и понимания набора данных использовались различные методы сегментации, включая хэш баннера SSH, типы аутентификации, панели входа в систему и ASN.