#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Появление новой вредоносной программы PikaBot, используемой бандами вымогателей в качестве преемника QakBot, представляет значительные угрозы из-за ее модульных возможностей и методов уклонения. Группы вымогателей, такие как Black Basta, включают PikaBot в свои атаки, используя его для различных вредоносных действий. Эффективная профилактика включает в себя внедрение мер безопасности и упреждающий поиск угроз для обнаружения и нейтрализации динамических угроз, таких как PikaBot. Готовность организации к борьбе с возникающими угрозами включает понимание функциональности вредоносных программ, внедрение упреждающих мер безопасности и внедрение методов поиска угроз.
-----

PikaBot - это новая модульная троянская программа, используемая группами вымогателей, в частности бандой Black Basta, в качестве преемника трояна QakBot.

PikaBot позволяет злоумышленникам легко обновлять и настраивать его функциональные возможности, что делает его крайне опасным, позволяя выполнять произвольные команды, загружать дополнительную полезную нагрузку и создавать бэкдоры для дальнейших атак.

Вредоносная программа обходит традиционные средства безопасности, используя такие методы, как косвенные системные вызовы и продвинутые методы обфускации.

PikaBot в основном распространяется с помощью кампаний рассылки спама по электронной почте с вредоносными ссылками, ведущими к zip-файлам, содержащим полезную нагрузку вредоносного ПО, а также с использованием общих ресурсов SMB для доставки.

Банды вымогателей используют PikaBot для различных вредоносных действий, таких как кража учетных данных, боковые перемещения, зашифрованная связь с командными серверами и разведка скомпрометированных систем для оптимизации атак вымогателей.

Предотвращение заражения PikaBot требует внедрения фильтров веб-контента, обучения осведомленности о фишинге, развертывания платформ безопасности, которые могут автоматически обнаруживать угрозы и помещать их в карантин, а также упреждающего поиска угроз.

Реальный пример демонстрирует, как поиск угроз, включая анализ индикаторов компрометации (IOCs) и поведенческих паттернов, успешно обнаружил и нейтрализовал атаку QBot на нефтегазовую компанию.

Организации могут бороться с возникающими угрозами, такими как PikaBot, понимая функциональность вредоносного ПО, методы распространения, внедряя упреждающие меры безопасности и применяя методы поиска угроз.

#ParsedReport #CompletenessHigh
01-03-2024

Rise in Deceptive PDF: The Gateway to Malicious Payloads

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads

Report completeness: High

Threats:
Agent_tesla
Process_injection_technique
Procmon_tool

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 5
Url: 3
Path: 7
Command: 3
IP: 1
Registry: 1
Hash: 5

Soft:
Microsoft Defender, Windows Defender, Windows Firewall, NET framework, Opera, Telegram, Task Scheduler

Algorithms:
exhibit

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем использовании PDF-файлов для распространения сложных вредоносных программ, таких как Agent Tesla, по электронной почте, нацеленных на пользователей с помощью тактики обмана и использующих уязвимости в программном обеспечении PDF, чтобы избежать обнаружения и поставить под угрозу безопасность системы.
-----

Рост распространения известных вредоносных программ через PDF-файлы, отход от традиционных методов.

Вредоносное ПО, скрытое в, казалось бы, безобидных электронных письмах с вложениями в PDF-файлы.

Увеличение распространения вредоносных программ с помощью переносчиков, отличных от PE.

Злоумышленники используют доверие к PDF-файлам для доставки вредоносных программ.

Конкретная атака с использованием PDF-файла с именем Booking.com-1728394029.pdf.

При атаке использовались обманчивые тактики, такие как ложные сообщения о совместимости и запутанные ссылки.

Выполнение JavaScript инициирует компрометацию системы путем отключения функций безопасности.

Вредоносная программа, идентифицированная как Agent Tesla, маскирующаяся под законный файл пакета McAfee.

Использование Telegram-ботов для скрытой утечки данных.

Постоянство устанавливается с помощью запланированных задач и записей реестра.

Сложная цепочка атак - от доставки PDF-файла до эксфильтрации и сохранения данных.

#technique

EC2-Instance-Connect Lateral Movement Tactics in Cloud Exploitation

https://www.uptycs.com/blog/ec2-instance-connect-lateral-movement-strategy-and-tactics-for-data-exfiltration

#technique

ComPromptMized: Unleashing Zero-click Worms that Target GenAI-Powered Applications

https://sites.google.com/view/compromptmized

#technique

SecretPixel is a cutting-edge steganography tool designed to securely conceal sensitive information within images. It stands out in the realm of digital steganography by combining advanced encryption, compression, and a seeded Least Significant Bit (LSB) technique to provide a robust solution for embedding data undetectably.

https://github.com/x011/SecretPixel

#ParsedReport #CompletenessLow
04-03-2024

TA577 s Unusual Attack Chain Leads to NTLM Data Theft

https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

Report completeness: Low

Actors/Campaigns:
Ta577 (motivation: information_theft, cyber_criminal)

Threats:
Passthehash_technique
Impacket_tool
Qakbot
Blackbasta
Pikabot

ChatGPT TTPs:
do not use without manual check
T1071, T1558.002, T1557, T1021.002, T1560, T1059, T1204.002, T1566.002

Soft:
SMB server, Outlook

Algorithms:
zip

Win Services:
NTLMSSP

Links:
https://github.com/fortra/impacket/blob/985690e9d3d1012e18f1727701b44bbe953cb1c9/examples/smbserver.py#L94-L98
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Proofpoint идентифицировал субъекта киберугроз TA577, участвующего в сложной цепочке атак с целью кражи аутентификационной информации NTLM у организаций по всему миру, демонстрируя способность субъекта угроз быстро применять новую тактику и уклоняться от обнаружения. Этот новый метод атаки включал использование настроенных HTML-файлов в zip-вложениях для захвата хэшей NTLM, что могло обеспечить боковое перемещение и атаки с передачей хэша в скомпрометированных средах. В ходе атаки был задействован сервер SMB, контролируемый TA577, что свидетельствует об использовании злоумышленником передовых методов и наборов инструментов с открытым исходным кодом, таких как Impacket. Инцидент подчеркивает необходимость сохранения бдительности организаций и усиления защиты от развивающихся киберугроз.
-----

Proofpoint идентифицировала участника киберугроз TA577, использующего новую цепочку атак для кражи аутентификационной информации NTLM, что является редкой целью в среде киберугроз.

TA577 провел по меньшей мере две кампании 26 и 27 февраля 2024 года, отправив тысячи сообщений по всему миру с помощью перехвата потоков с заархивированными HTML-вложениями.

Злоумышленник стремился перехватить хэши NTLM, запуская системные подключения к внешнему SMB-серверу через настроенные HTML-файлы.

TA577 использовал Impacket toolkit на серверах SMB, отображая сложные методы с помощью настроек NTLM по умолчанию и наблюдений GUID.

Цепочка атак была разработана для сбора пар Вызов/ответ NTLMv2 для взлома паролей или атак "с передачей хэша".

Эволюция тактики TA577 и быстрая адаптация к новым методам предполагают расширенные возможности и ресурсы.

TA577 связан с Qbot affiliate и, как известно, функционирует как брокер начального доступа (IAB), связанный с программами-вымогателями, такими как Black Basta.

Актер недавно предпочел использовать Pikabot в качестве начальной полезной нагрузки, демонстрируя универсальность тактики.

Организациям рекомендуется блокировать исходящий SMB-трафик, чтобы предотвратить использование URI файловой схемы и сохранять бдительность в отношении развивающихся киберугроз.

#ParsedReport #CompletenessLow
04-03-2024

Shadow Hunting: Analysis of APT37s attack activities against South Korea using North Korean political topics

https://www.ctfiot.com/165522.html

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Daybreak

Threats:
Rokrat
Spear-phishing_technique

Victims:
Institute of national security and unification of south korea, Dankook university, Institute for 21st century strategy, Institute of north korea

Industry:
Healthcare, Aerospace, Chemical

Geo:
Korean, Japan, Koreas, Korea, Vietnam

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1140, T1027, T1566.001, T1047, T1608.002

IOCs:
File: 1
Hash: 2

Soft:
Android, WeChat

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Группа киберугроз APT37, известная под различными псевдонимами, использовала политические темы, связанные с Северной Кореей, для распространения троянца ROKRAT и кражи информации, а недавно их таргетинг расширился за счет внутренних пользователей. Их тактика заключается в использовании напряженных межкорейских отношений и усилении фишинговых атак на Южную Корею с помощью файлов-приманок и корректировки методов загрузки. Для предотвращения компрометации хостинга и заражения вредоносным ПО рекомендуется анализ угроз и меры безопасности, а подробный отчет о действиях APT37 доступен для дальнейшего изучения.
-----

Лаборатория поиска информации Anheng недавно раскрыла деятельность организации APT37, связанную с использованием политических тем, связанных с Северной Кореей, для распространения троянца ROKRAT и кражи информации. Группа APT37, также известная как Group 123, InkySquid, Operation Daybreak, Operation ErebusReaper, Group Red Eyes, ScarCruft и Venus 121, действует по меньшей мере с 2012 года, уделяя особое внимание государственному и частному секторам Южной Кореи. Однако в 2017 году их сфера охвата расширилась и включила такие страны, как Япония, Вьетнам и Ближний Восток, в различных отраслях промышленности, таких как химическая, электронная, обрабатывающая, аэрокосмическая, автомобильная и здравоохранение.

В 2023 году APT37 распространили свои атаки на внутренних пользователей, используя тактику фишинга на платформах Windows и Android. Один из обнаруженных образцов, помеченный как Образец 1, содержит приманку под названием "Органы безопасности не должны быть беспомощны против антинациональных действий forces.zip." Это статья, написанная старшим научным сотрудником, в которой обсуждается возросшая враждебность и шпионская деятельность Северной Кореи, подчеркиваются проблемы безопасности.

Другой образец, образец 2, включает в себя различные приманки, такие как статьи на северокорейские политические темы от Института исследователей Северной Кореи. Считается, что эта приманка предназначена для лиц, занимающихся исследованиями, связанными с политическими вопросами Северной Кореи. Ухудшающиеся отношения между Северной и Южной Кореей на фоне недавних заявлений Северной Кореи относительно отношений между странами усилили напряженность. APT37 использует напряженные межкорейские отношения для усиления своих фишинговых атак на Южную Корею.

Анализ показывает, что, хотя основной атакующий троян организации APT37 оставался относительно стабильным с течением времени, были внесены улучшения, повышающие вероятность успеха атак. Изменив файл-приманку и метод загрузки трояна, группа смогла улучшить свои вредоносные кампании.

Для устранения этих угроз пользователям рекомендуется проводить анализ угроз для подозрительных файлов и получать доступ к аналитическим отчетам с помощью облачных инструментов "песочницы" или открывать неизвестные файлы в безопасной виртуальной среде, чтобы предотвратить компрометацию хостинга и заражение вредоносными программами. Лаборатория теневой охоты Исследовательского института Аньхэн опубликовала эксклюзивный отчет о "Атаках APT37 с использованием северокорейских политических тем для нацеливания на Южную Корею", в котором содержится подробная информация для тех, кто заинтересован в дальнейших исследованиях.

#ParsedReport #CompletenessMedium
04-03-2024

TA577 phishing campaign uses NTLMv2 handshakes to steal user credentials/hashes.

https://medium.com/@Intel_Ops/ta577-phishing-campaign-uses-ntlmv2-handshakes-to-steal-user-credentials-hashes-6c736ce1c2dc

Report completeness: Medium

Actors/Campaigns:
Ta577

Threats:
Impacket_tool
Cobalt_strike
Qakbot
Icedid
Systembc
Smokeloader
Gozi
Pikabot
Darkgate

Industry:
Telco

Geo:
Deutsche, Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1557, T1110, T1566.002

IOCs:
Hash: 4
IP: 9
Domain: 21
File: 4

Soft:
Ubuntu

Algorithms:
sha256, sha1

Win API:
Netbios

#ParsedReport #ExtractedSchema

Classified images:
table: 3, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней фишинговой кампании, проведенной базирующейся в России группой по борьбе с угрозами TA577. В сообщении в блоге основное внимание уделяется инфраструктуре группы, использованию ими различных вредоносных программ, таким методам, как установление исходящих SMB-подключений для кражи учетных данных, а также идентификации конкретных IP-адресов и ASN, связанных с вредоносными действиями. Анализ также посвящен разнообразному развертыванию инфраструктуры TA577, закономерностям использования их инфраструктуры и методам сегментации, используемым для анализа.
-----

Сообщение в блоге Intel-Ops посвящено анализу инфраструктуры, стоящей за недавней фишинговой кампанией, проведенной TA577, российской группой по борьбе с угрозами. TA577 активен с 2020 года, предоставляя различные полезные вредоносные программы, такие как Qbot, IcedID, SystemBC, SmokeLoader, Ursnif и Cobalt Strike. Недавние сообщения указывают на то, что TA577 перешла к использованию вредоносных программ Pikabot и DarkGate в своих кампаниях.

Deutsche Telekom CERT сообщила, что TA577 использует .HTML-файлы для установления исходящих SMB-подключений к URL-адресам file:// с целью перехвата рукопожатий NTLMv2, распространенного метода, используемого для кражи учетных данных. Кампания предполагает использование Impacket, инструмента, известного тем, что использует 8-символьные строки. Проанализировав SMB target_name для 8 буквенно-цифровых строк и удалив те, в которых указано "рабочая группа", было получено в общей сложности 257 результатов. Примечательно, что более половины результатов были размещены на ASN GLOBALWAYS, а другие ASN, такие как ALEXHOST, STARK-INDUSTRIES, LIMENET и AS-CHOOPA, были связаны со вредоносными действиями участников угроз.

Конкретный IP-адрес, 155.94.208.137, был выделен как имеющий dns.name, связанный с shopsportswearamerica.com, что указывает на потенциальное истинно положительное попадание. Анализ также включал удаление повторяющихся URL-адресов с помощью www. и фильтрацию URL-адресов Amazon ec2 с использованием рецепта CyberChef. Было упомянуто дополнительное правило поиска для TA577, в котором основное внимание уделяется ASN и типам аутентификации для выявления потенциальной вредоносной активности. В правиле выделялись конкретные ASN и типы аутентификации, при этом особое внимание уделялось сопоставлению шаблонов доменов по IP-адресам.

Дальнейшее расследование показало, что не все IP-адреса, связанные с кампанией, имели совпадающие шаблоны доменов, что указывает на использование TA577 различной инфраструктуры. В анализе также учитывались такие факторы, как открытый порт 80 или веб-страницы Apache по умолчанию на идентифицированных IP-адресах. По мере того как в VirusTotal поступало все больше образцов, выяснилось, что некоторые ASN постоянно используются TA577, что указывает на закономерность в использовании их инфраструктуры. Для анализа и понимания набора данных использовались различные методы сегментации, включая хэш баннера SSH, типы аутентификации, панели входа в систему и ASN.

#ParsedReport #CompletenessMedium
04-03-2024

RE:archive \| APT37's ROKRAT HWP Object Linking and Embedding

https://www.0x0v1.com/rearchive-rokrat-hwp

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)

Threats:
Rokrat
Spear-phishing_technique
Dll_injection_technique

Victims:
Human rights ngo

Industry:
Military, Ngo, Government, Financial

Geo:
Korean, Japan, Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1204, T1059, T1055, T1027, T1064, T1566, T1105

IOCs:
IP: 1
File: 5
Hash: 1
Path: 1

Soft:
Android

Algorithms:
sha256

Functions:
20_____

Win API:
GlobalAlloc, VirtualProtect, WaitForSingleObject

Languages:
powershell

Links:
https://github.com/0x0v1/MalwareRETools/blob/main/APT37/ROKRAT/ROKRATPSDecoder.py?ref=0x0v1.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе конкретной вредоносной кампании, проводимой APT37, продвинутой группой постоянных угроз, связанной с правительством Северной Кореи. Кампания предполагает использование OLE-документов HWP для доставки вредоносной полезной нагрузки с помощью тактики социальной инженерии, демонстрирующей сложную тактику группы и постоянную потребность в анализе и понимании угроз.
-----

Проект сосредоточен на реверс-инжиниринге вредоносных программ и эксплойтов, используемых группами advanced persistent threat (APT), в частности APT37, группой, приписываемой правительству Северной Кореи. Аналитик упоминает проблемы с получением текущих образцов вредоносных программ из-за секретности, ограниченного доступа к сети или непубликации. Они подчеркивают ценность пересмотра старых образцов для понимания тактики, методов и процедур (TTP), используемых субъектами угроз.

APT37, действующая как минимум с 2012 года, в первую очередь нацелена на Южную Корею, Японию и соседние страны. Группа использует различные методы, такие как скрытый фишинг, внедрение вредоносных программ и эксплойты нулевого дня. Они известны тем, что используют троянские программы удаленного доступа (RATs), такие как ROKRAT. Цели APT37 включают сбор разведывательных данных, кражу интеллектуальной собственности и подрывные кибероперации во многих секторах.

В отчете рассматривается конкретная вредоносная кампания 2022 года, связанная с APT37, с акцентом на связывание объектов HWP и встраивание документов (OLE) - метод, при котором злоумышленники встраивают вредоносный контент в файлы HWP с использованием технологии OLE. HWP - популярное в Южной Корее программное обеспечение для обработки текстов, а OLE позволяет связывать объекты между приложениями. Злоумышленники используют уязвимости программного обеспечения HWP или используют социальную инженерию для распространения вредоносного ПО через вредоносные документы, потенциально компрометируя системы и сети.

В электронном письме, подробно описанном в отчете, обсуждается публичный набор наблюдателей за подсчетом голосов на 20-е президентские выборы, содержащем документ HWP со встроенным OLE-объектом в виде скрипта BAT. Щелчок по OLE-объекту запускает атаку с использованием отражающей библиотеки DLL на основе PowerShell на компьютере жертвы, загружая полезную нагрузку непосредственно в память, чтобы избежать обнаружения на диске и сохранить скрытность.

Атака включает в себя выполнение скрипта BAT, который создает внедрение отражающей библиотеки DLL на основе PowerShell, при этом вызывается CSC.exe (Компилятор командной строки Visual C#) для компиляции определений классов в сборку, используемую сценарием PowerShell. В %appdata%\local\temp создается временный файл, и выделяется память для шелл-кода, который в конечном итоге выполняет вредоносный код в памяти. Анализ указывает на использование в атаке TTP PowerShell, таких как CSC.exe invocation.

Аналитик отмечает недоступность этапа обработки шелл-кода на момент написания статьи, что затрудняет дальнейший анализ загруженного шелл-кода. Основываясь на предыдущих наблюдениях, они предполагают вероятность того, что шелл-код приведет к развертыванию ROKRAT, учитывая историю использования подобных методов субъектом угрозы.

Инфраструктура, связанная с атакой, включая сервер C2 и выделение памяти для шеллкода, соответствует шаблонам, ранее наблюдавшимся при развертывании ROKRAT. Несмотря на ограниченный доступ к шелл-коду, в отчете подчеркивается сложный характер тактики APT37 и постоянная потребность в анализе и понимании таких угроз.