#ParsedReport #CompletenessLow
05-03-2024
Infostealer disguised as Adobe Reader installation file
https://asec.ahnlab.com/ko/62064
Report completeness: Low
Threats:
Dll_hijacking_technique
Uac_bypass_technique
Trojan/win.agent.c5594460
Infostealer/win.agent.c5594461
Trojan/win.agent.c5594846
Malware/mdp.drop.m254
Geo:
Portuguese
ChatGPT TTPs:
T1566.002, T1204.002, T1547.012, T1055, T1036.005, T1071.001, T1012, T1518.001, T1105
IOCs:
Url: 3
File: 6
Path: 3
Hash: 4
Soft:
Windows Defender, chrome, Google Chrome
Algorithms:
md5
Win API:
CreateProcess
05-03-2024
Infostealer disguised as Adobe Reader installation file
https://asec.ahnlab.com/ko/62064
Report completeness: Low
Threats:
Dll_hijacking_technique
Uac_bypass_technique
Trojan/win.agent.c5594460
Infostealer/win.agent.c5594461
Trojan/win.agent.c5594846
Malware/mdp.drop.m254
Geo:
Portuguese
ChatGPT TTPs:
do not use without manual checkT1566.002, T1204.002, T1547.012, T1055, T1036.005, T1071.001, T1012, T1518.001, T1105
IOCs:
Url: 3
File: 6
Path: 3
Hash: 4
Soft:
Windows Defender, chrome, Google Chrome
Algorithms:
md5
Win API:
CreateProcess
ASEC BLOG
Adobe Reader 설치 파일로 위장한 인포스틸러 - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC) 은 최근 Adobe Reader 설치 파일로 위장한 인포스틸러 악성코드가 유포 중인 것을 확인했다. 해당 파일은 PDF를 통해 유포되고 있으며, 사용자로 하여금 파일을 다운로드하고 실행하도록 유도한다. [그림 1]의 위장 PDF에는 포르투갈어로 문서를 보기 위해서는 Adobe Reader 설치가 필요하며, 클릭하여 다운로드하라고 적혀있다. 사용자가 문서를 열람하기 위해 Adobe…
CTT Report Hub
#ParsedReport #CompletenessLow 05-03-2024 Infostealer disguised as Adobe Reader installation file https://asec.ahnlab.com/ko/62064 Report completeness: Low Threats: Dll_hijacking_technique Uac_bypass_technique Trojan/win.agent.c5594460 Infostealer/win.agent.c5594461…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab (ASEC) обнаружил новую угрозу, связанную с вредоносным ПО Infostealer, замаскированным под программу установки Adobe Reader, распространяемую через поддельные PDF-документы, обманом заставляя пользователей невольно загружать и запускать вредоносное программное обеспечение злоумышленника, которое затем выполняет гнусные действия и передает данные на сервер управления.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно выявил новую угрозу, связанную с вредоносным ПО Infostealer, которое распространяется под видом установочного файла Adobe Reader. Метод распространения заключается в том, чтобы заманить пользователей загрузить и запустить вредоносный файл через PDF-документ. Вводящий в заблуждение PDF-документ предлагает пользователям установить Adobe Reader на португальском языке, заставляя их щелкнуть ссылку для скачивания внутри файла. Эта тактика основана на предположении, что пользователям требуется Adobe Reader для просмотра документа, тем самым обманом заставляя их невольно загружать и запускать вредоносное ПО злоумышленника.
При нажатии на указанную область в PDF-документе пользователи перенаправляются по определенному адресу, по которому загружается вредоносное ПО. Весь процесс, от первоначального взаимодействия с PDF-файлом до установки вредоносного программного обеспечения, схематично изображен на диаграмме, описывающей последовательность событий.
Как только вредоносный файл с именем Reader_Install_Setup.exe запускается, он запускает последовательность действий. Первоначально этот файл генерирует два дополнительных вредоносных файла и переходит к выполнению msdt.exe, который является законным системным файлом Windows, с использованием определенной команды.
В отличие от обычных DLL-файлов, вредоносный BluetoothDiagnosticUtil.dll не имеет функции экспорта и содержит исключительно функцию DllMain. Эта функция DllMain отвечает за выполнение файла require.exe, который был создан первоначальным процессом Reader_Install_Setup.exe.
Кроме того, второй вредоносный файл, chrome.exe, замаскирован под исполняемый файл, связанный с законным браузером Google Chrome, и содержит обманчивый значок файла, чтобы усилить его сходство с настоящим браузерным приложением.
Вредоносная программа после успешного выполнения выполняет гнусные действия, включая сбор системной информации и информации, связанной с браузером, из зараженной системы. Впоследствии эти украденные данные передаются на сервер управления (C2), расположенный по адресу hxxps://thinkforce.com.br/. Это подчеркивает важность соблюдения осторожности при обращении с файлами, которые принуждают пользователей к выполнению вредоносного кода, и подчеркивает важность бдительности при запуске файлов, полученных из неофициальных источников.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab (ASEC) обнаружил новую угрозу, связанную с вредоносным ПО Infostealer, замаскированным под программу установки Adobe Reader, распространяемую через поддельные PDF-документы, обманом заставляя пользователей невольно загружать и запускать вредоносное программное обеспечение злоумышленника, которое затем выполняет гнусные действия и передает данные на сервер управления.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно выявил новую угрозу, связанную с вредоносным ПО Infostealer, которое распространяется под видом установочного файла Adobe Reader. Метод распространения заключается в том, чтобы заманить пользователей загрузить и запустить вредоносный файл через PDF-документ. Вводящий в заблуждение PDF-документ предлагает пользователям установить Adobe Reader на португальском языке, заставляя их щелкнуть ссылку для скачивания внутри файла. Эта тактика основана на предположении, что пользователям требуется Adobe Reader для просмотра документа, тем самым обманом заставляя их невольно загружать и запускать вредоносное ПО злоумышленника.
При нажатии на указанную область в PDF-документе пользователи перенаправляются по определенному адресу, по которому загружается вредоносное ПО. Весь процесс, от первоначального взаимодействия с PDF-файлом до установки вредоносного программного обеспечения, схематично изображен на диаграмме, описывающей последовательность событий.
Как только вредоносный файл с именем Reader_Install_Setup.exe запускается, он запускает последовательность действий. Первоначально этот файл генерирует два дополнительных вредоносных файла и переходит к выполнению msdt.exe, который является законным системным файлом Windows, с использованием определенной команды.
В отличие от обычных DLL-файлов, вредоносный BluetoothDiagnosticUtil.dll не имеет функции экспорта и содержит исключительно функцию DllMain. Эта функция DllMain отвечает за выполнение файла require.exe, который был создан первоначальным процессом Reader_Install_Setup.exe.
Кроме того, второй вредоносный файл, chrome.exe, замаскирован под исполняемый файл, связанный с законным браузером Google Chrome, и содержит обманчивый значок файла, чтобы усилить его сходство с настоящим браузерным приложением.
Вредоносная программа после успешного выполнения выполняет гнусные действия, включая сбор системной информации и информации, связанной с браузером, из зараженной системы. Впоследствии эти украденные данные передаются на сервер управления (C2), расположенный по адресу hxxps://thinkforce.com.br/. Это подчеркивает важность соблюдения осторожности при обращении с файлами, которые принуждают пользователей к выполнению вредоносного кода, и подчеркивает важность бдительности при запуске файлов, полученных из неофициальных источников.
#ParsedReport #CompletenessLow
05-03-2024
A Ransomware That Doesn t Extort Money WinDestroyer & Its Origin
https://www.cyfirma.com/outofband/a-ransomware-that-doesnt-extort-money-windestroyer-its-origin
Report completeness: Low
Threats:
Windestroyer
Api_hammering_technique
Process_injection_technique
Geo:
Russia, Russian
ChatGPT TTPs:
T1485, T1070.004, T1055, T1547.001, T1027, T1562.001, T1046, T1567, T1570, T1543.003, have more...
IOCs:
Email: 1
Hash: 1
Soft:
Windows GDI
Algorithms:
md5
Win API:
BitBlt
05-03-2024
A Ransomware That Doesn t Extort Money WinDestroyer & Its Origin
https://www.cyfirma.com/outofband/a-ransomware-that-doesnt-extort-money-windestroyer-its-origin
Report completeness: Low
Threats:
Windestroyer
Api_hammering_technique
Process_injection_technique
Geo:
Russia, Russian
ChatGPT TTPs:
do not use without manual checkT1485, T1070.004, T1055, T1547.001, T1027, T1562.001, T1046, T1567, T1570, T1543.003, have more...
IOCs:
Email: 1
Hash: 1
Soft:
Windows GDI
Algorithms:
md5
Win API:
BitBlt
CYFIRMA
A Ransomware That Doesn't Extort Money WinDestroyer & Its Origin - CYFIRMA
EXECUTIVE SUMMARY The CYFIRMA research team has identified a destructive malware; WinDestroyer. The ransomware lacks ransom demands, pointing to non-financial...
CTT Report Hub
#ParsedReport #CompletenessLow 05-03-2024 A Ransomware That Doesn t Extort Money WinDestroyer & Its Origin https://www.cyfirma.com/outofband/a-ransomware-that-doesnt-extort-money-windestroyer-its-origin Report completeness: Low Threats: Windestroyer A…
#ParsedReport #ExtractedSchema
Classified images:
dump: 1, filemanager: 1, windows: 2, table: 2, schema: 1
Classified images:
dump: 1, filemanager: 1, windows: 2, table: 2, schema: 1
CTT Report Hub
#ParsedReport #CompletenessLow 05-03-2024 A Ransomware That Doesn t Extort Money WinDestroyer & Its Origin https://www.cyfirma.com/outofband/a-ransomware-that-doesnt-extort-money-windestroyer-its-origin Report completeness: Low Threats: Windestroyer A…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении разрушительной вредоносной программы WinDestroyer, которая, по-видимому, была разработана в хактивистских целях с геополитической целью, ориентированной на разрушение, а не на финансовую выгоду. Вредоносное ПО представляет значительный риск для организаций, особенно малого и среднего бизнеса, и организациям рекомендуется внедрить базовые средства обнаружения конечных точек и реагирования, а также уделять приоритетное внимание международному сотрудничеству и обмену информацией для защиты от возникающих киберугроз, таких как WinDestroyer.
-----
Исследовательская группа CYFIRMA обнаружила вредоносное ПО под названием WinDestroyer, которое шифрует файлы и делает системы непригодными для использования без требования выкупа, что указывает на нефинансовую мотивацию. Эта сложная угроза использует передовые методы, такие как атаки с перезагрузкой библиотеки DLL, взлом API и возможности бокового перемещения. Разработчик вредоносного ПО, идентифицированный как житель Санкт-Петербурга, Россия, похоже, создал WinDestroyer в хактивистских целях, о чем свидетельствует канал YouTube, восхваляющий российского президента, связанного с вредоносным ПО. Вредоносная программа предназначена для выполнения вызовов API, заражения загрузочной записи тома, внедрения процессов, создания бэкдоров, мониторинга активности пользователей, снятия скриншотов, предотвращения локальной отладки и компрометации исполняемых файлов.
Отсутствие финансовых мотивов у WinDestroyer наводит на мысль о геополитической повестке дня, причем его намерения совпадают с целями хактивистов, сосредоточенными на разрушении, а не на финансовой выгоде. В условиях российско-украинского конфликта вредоносное ПО потенциально может быть использовано в качестве цифрового оружия, создавая значительный риск для организаций, особенно малого и среднего бизнеса, не имеющих надлежащего контроля безопасности. Нарушая работу критически важных систем, отключая каналы связи и компрометируя конфиденциальные данные, WinDestroyer может оказать серьезное воздействие на целевую инфраструктуру.
Чтобы снизить риск, связанный с WinDestroyer и подобными угрозами, организациям рекомендуется внедрить базовые средства обнаружения конечных точек и реагирования. Кроме того, специалистам по анализу киберугроз (CTI) следует уделять приоритетное внимание международному сотрудничеству и обмену информацией для улучшения понимания возникающих киберугроз. Работая сообща и обмениваясь разведданными, сообщество кибербезопасности может лучше подготовиться к таким угрозам, как WinDestroyer, и защититься от них.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении разрушительной вредоносной программы WinDestroyer, которая, по-видимому, была разработана в хактивистских целях с геополитической целью, ориентированной на разрушение, а не на финансовую выгоду. Вредоносное ПО представляет значительный риск для организаций, особенно малого и среднего бизнеса, и организациям рекомендуется внедрить базовые средства обнаружения конечных точек и реагирования, а также уделять приоритетное внимание международному сотрудничеству и обмену информацией для защиты от возникающих киберугроз, таких как WinDestroyer.
-----
Исследовательская группа CYFIRMA обнаружила вредоносное ПО под названием WinDestroyer, которое шифрует файлы и делает системы непригодными для использования без требования выкупа, что указывает на нефинансовую мотивацию. Эта сложная угроза использует передовые методы, такие как атаки с перезагрузкой библиотеки DLL, взлом API и возможности бокового перемещения. Разработчик вредоносного ПО, идентифицированный как житель Санкт-Петербурга, Россия, похоже, создал WinDestroyer в хактивистских целях, о чем свидетельствует канал YouTube, восхваляющий российского президента, связанного с вредоносным ПО. Вредоносная программа предназначена для выполнения вызовов API, заражения загрузочной записи тома, внедрения процессов, создания бэкдоров, мониторинга активности пользователей, снятия скриншотов, предотвращения локальной отладки и компрометации исполняемых файлов.
Отсутствие финансовых мотивов у WinDestroyer наводит на мысль о геополитической повестке дня, причем его намерения совпадают с целями хактивистов, сосредоточенными на разрушении, а не на финансовой выгоде. В условиях российско-украинского конфликта вредоносное ПО потенциально может быть использовано в качестве цифрового оружия, создавая значительный риск для организаций, особенно малого и среднего бизнеса, не имеющих надлежащего контроля безопасности. Нарушая работу критически важных систем, отключая каналы связи и компрометируя конфиденциальные данные, WinDestroyer может оказать серьезное воздействие на целевую инфраструктуру.
Чтобы снизить риск, связанный с WinDestroyer и подобными угрозами, организациям рекомендуется внедрить базовые средства обнаружения конечных точек и реагирования. Кроме того, специалистам по анализу киберугроз (CTI) следует уделять приоритетное внимание международному сотрудничеству и обмену информацией для улучшения понимания возникающих киберугроз. Работая сообща и обмениваясь разведданными, сообщество кибербезопасности может лучше подготовиться к таким угрозам, как WinDestroyer, и защититься от них.
#ParsedReport #CompletenessMedium
05-03-2024
Cisco Talos Blog. GhostSec s joint ransomware operation and evolution of their arsenal
https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware
Report completeness: Medium
Actors/Campaigns:
Ghostsec (motivation: financially_motivated, hacktivism, cyber_criminal)
Stormous (motivation: financially_motivated)
Stmx_ghostlocker
Stormousx (motivation: financially_motivated)
Siegedsec
Threatsec
Blackforums
Threats:
Ghostlocker
Ghostpresser_tool
Cuba_ransomware
Industry:
Transport, Financial, Energy
Geo:
Lebanon, Israel, Uzbekistan, Egypt, Poland, China, Africa, Russia, Brazil, Vietnam, Indonesia, Canada, Moscow, Qatar, India, Morocco, Argentina, Thailand
ChatGPT TTPs:
T1588.002, T1190, T1485, T1496, T1027, T1071.001, T1566.001, T1583.001, T1119, T1132.001, have more...
IOCs:
IP: 1
Url: 3
File: 3
Soft:
Telegram, WordPress
Algorithms:
aes
Win Services:
bits
Languages:
golang, python
Links:
05-03-2024
Cisco Talos Blog. GhostSec s joint ransomware operation and evolution of their arsenal
https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware
Report completeness: Medium
Actors/Campaigns:
Ghostsec (motivation: financially_motivated, hacktivism, cyber_criminal)
Stormous (motivation: financially_motivated)
Stmx_ghostlocker
Stormousx (motivation: financially_motivated)
Siegedsec
Threatsec
Blackforums
Threats:
Ghostlocker
Ghostpresser_tool
Cuba_ransomware
Industry:
Transport, Financial, Energy
Geo:
Lebanon, Israel, Uzbekistan, Egypt, Poland, China, Africa, Russia, Brazil, Vietnam, Indonesia, Canada, Moscow, Qatar, India, Morocco, Argentina, Thailand
ChatGPT TTPs:
do not use without manual checkT1588.002, T1190, T1485, T1496, T1027, T1071.001, T1566.001, T1583.001, T1119, T1132.001, have more...
IOCs:
IP: 1
Url: 3
File: 3
Soft:
Telegram, WordPress
Algorithms:
aes
Win Services:
bits
Languages:
golang, python
Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/03/Cisco Talos Blog
GhostSec’s joint ransomware operation and evolution of their arsenal
Cisco Talos observed a surge in GhostSec, a hacking group’s malicious activities since this past year. GhostSec has evolved with a new GhostLocker 2.0 ransomware, a Golang variant of the GhostLocker ransomware.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-03-2024 Cisco Talos Blog. GhostSec s joint ransomware operation and evolution of their arsenal https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware Report completeness: Medium Actors/Campaigns: Ghostsec…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея:.
Cisco Talos наблюдала рост вредоносной активности хакерской группы GhostSec и их сотрудничество с Stormous ransomware group, что привело к разработке новых вариантов программ-вымогателей и инструментов для кибератак. Эти группы осуществляли атаки с двойным вымогательством на предприятия во многих странах, уделяя особое внимание программам "программа-вымогатель как услуга" (RaaS) и нацеливаясь на различные отрасли с помощью изощренной киберпреступной деятельности.
-----
GhostSec активизировала вредоносную активность, представив новый вариант программы-вымогателя под названием GhostLocker 2.0, вариант GhostLocker на языке Golang.
GhostSec и Stormous сотрудничали в проведении атак с двойным вымогательством в нескольких странах с использованием таких программ, как GhostLocker и StormousX.
Эти группы используют программу-вымогатель как услугу под названием STMX_GhostLocker.
В GhostSec есть такие инструменты, как GhostSec Deep Scan для сканирования веб-сайтов и GhostPresser для использования уязвимостей сайта WordPress.
Киберпреступная группировка стремится собирать средства с помощью кибердеятельности, участвуя в одиночных и двойных атаках с вымогательством, DoS-атаках и удалении веб-сайтов.
GhostSec нацелена на промышленные системы Израиля, критически важные объекты инфраструктуры и технологические компании и является частью группы, включающей ThreatSec, Stormous, Blackforums и SiegedSec.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея:.
Cisco Talos наблюдала рост вредоносной активности хакерской группы GhostSec и их сотрудничество с Stormous ransomware group, что привело к разработке новых вариантов программ-вымогателей и инструментов для кибератак. Эти группы осуществляли атаки с двойным вымогательством на предприятия во многих странах, уделяя особое внимание программам "программа-вымогатель как услуга" (RaaS) и нацеливаясь на различные отрасли с помощью изощренной киберпреступной деятельности.
-----
GhostSec активизировала вредоносную активность, представив новый вариант программы-вымогателя под названием GhostLocker 2.0, вариант GhostLocker на языке Golang.
GhostSec и Stormous сотрудничали в проведении атак с двойным вымогательством в нескольких странах с использованием таких программ, как GhostLocker и StormousX.
Эти группы используют программу-вымогатель как услугу под названием STMX_GhostLocker.
В GhostSec есть такие инструменты, как GhostSec Deep Scan для сканирования веб-сайтов и GhostPresser для использования уязвимостей сайта WordPress.
Киберпреступная группировка стремится собирать средства с помощью кибердеятельности, участвуя в одиночных и двойных атаках с вымогательством, DoS-атаках и удалении веб-сайтов.
GhostSec нацелена на промышленные системы Израиля, критически важные объекты инфраструктуры и технологические компании и является частью группы, включающей ThreatSec, Stormous, Blackforums и SiegedSec.
#cyberthreattech
Интеграция Noise Control c OpenCTI уже в процессе :)
Noise Control - это такой прикольный сервис, который может проверить IP, Domain, URL по нашим базам и сказать насколько вероятен false-positive, если он выстрелит.
Его можно использовать для очистки фидов от любых поставщиков :)
Интеграция Noise Control c OpenCTI уже в процессе :)
Noise Control - это такой прикольный сервис, который может проверить IP, Domain, URL по нашим базам и сказать насколько вероятен false-positive, если он выстрелит.
Его можно использовать для очистки фидов от любых поставщиков :)
#ParsedReport #CompletenessHigh
06-03-2024
The NGC2180 group spies on high-ranking targets using the DFKRAT implant
https://rt-solar.ru/solar-4rays/blog/4124
Report completeness: High
Actors/Campaigns:
Ngc2180 (motivation: cyber_espionage)
Threats:
Dfkrat
Dll_sideloading_technique
Timestomp_technique
Winrm_tool
Victims:
Executive authorities, National center for scientific research, Ottodigital group
Geo:
Greece, Indonesian, Russian
ChatGPT TTPs:
T1566, T1566.001, T1547.009, T1055, T1574, T1027, T1071, T1560, T1112, T1036, have more...
IOCs:
Path: 5
File: 12
Hash: 14
Url: 4
Registry: 1
Domain: 3
IP: 2
Soft:
Microsoft Word
Algorithms:
rc4, sha1, sha256, rsa-4096, sha384, md5
Functions:
WriteHost, WriteSDat
Win API:
ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwQueueApcThread, ZwResumeThread, D3D10CreateDevice1, CreateProcessW, NtAllocateVirtualMemory, NtWriteVirtualMemory, GetThreadContext, SetThreadContext, have more...
Platforms:
apple, x86, x64, intel
06-03-2024
The NGC2180 group spies on high-ranking targets using the DFKRAT implant
https://rt-solar.ru/solar-4rays/blog/4124
Report completeness: High
Actors/Campaigns:
Ngc2180 (motivation: cyber_espionage)
Threats:
Dfkrat
Dll_sideloading_technique
Timestomp_technique
Winrm_tool
Victims:
Executive authorities, National center for scientific research, Ottodigital group
Geo:
Greece, Indonesian, Russian
ChatGPT TTPs:
do not use without manual checkT1566, T1566.001, T1547.009, T1055, T1574, T1027, T1071, T1560, T1112, T1036, have more...
IOCs:
Path: 5
File: 12
Hash: 14
Url: 4
Registry: 1
Domain: 3
IP: 2
Soft:
Microsoft Word
Algorithms:
rc4, sha1, sha256, rsa-4096, sha384, md5
Functions:
WriteHost, WriteSDat
Win API:
ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwQueueApcThread, ZwResumeThread, D3D10CreateDevice1, CreateProcessW, NtAllocateVirtualMemory, NtWriteVirtualMemory, GetThreadContext, SetThreadContext, have more...
Platforms:
apple, x86, x64, intel
rt-solar.ru
Группировка NGC2180: Раскрытие атаки с использованием импланта DFKRAT
Solar 4RAYS обнаружила многоступенчатую атаку с использованием импланта DFKRAT, применяемого группировкой NGC2180. Узнайте о методах атаки, распознайте индикаторы компрометации и защитите свою инфраструктуру
CTT Report Hub
#ParsedReport #CompletenessHigh 06-03-2024 The NGC2180 group spies on high-ranking targets using the DFKRAT implant https://rt-solar.ru/solar-4rays/blog/4124 Report completeness: High Actors/Campaigns: Ngc2180 (motivation: cyber_espionage) Threats: Dfkrat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО DFKRAT, его функциональных возможностей, механизмов доставки и деятельности группы исполнителей киберугроз, идентифицированной как NGC2180. В тексте подчеркивается изощренность и тактика, применяемые злоумышленниками, эволюция вредоносного ПО, тактика, используемая для избежания обнаружения, а также важность бдительности и обмена разведданными в сообществе кибербезопасности для смягчения угроз, исходящих от этой группы.
-----
В конце 2023 года команда Solar 4RAYS, проводившая оценку компрометации, обнаружила атаку на исполнительный орган с использованием многоступенчатого вредоносного ПО, приведшую к внедрению имплантата, известного как DFKRAT. Это вредоносное ПО, ориентированное на шпионаж, позволяет злоумышленникам извлекать данные из файловых систем жертв. Обширное исследование выявило другие образцы, использовавшиеся той же группой злоумышленников с маркировкой NGC2180 с 2021 по 2023 год против русскоязычных целей. Вредоносная программа DFKRAT облегчает эксфильтрацию файлов, поддержку интерактивной оболочки и потенциальную загрузку дополнительных вредоносных программ с сервера управления C2. Скомпрометированные серверы в Греции и Индонезии использовались в качестве C2 для внедрения. Основная функциональность вредоносного ПО включает в себя использование сторонней загрузки DLL для доставки полезной нагрузки и поддержания постоянства на хосте жертвы.
В развертывании вредоносного ПО использовались законные исполняемые файлы, вредоносные библиотеки, внедряющие шелл-код, и двоичные файлы, содержащие полезную нагрузку. Вредоносное ПО использовало различные методы, такие как сторонняя загрузка библиотеки DLL, использование уникальных законных процессов для сокрытия вредоносных действий и расшифровка шелл-кода с использованием пользовательских алгоритмов и ключей.
Имплантат DFKRAT, идентифицированный в нескольких вариантах в разных образцах, взаимодействует с сервером C2 посредством зашифрованных POST-запросов, использует определенное значение User-Agent и использует оболочку функции ожидания для маскировки сетевых действий. Последняя версия DFKRAT использует стороннюю загрузку DLL с улучшениями, позволяющими избежать обнаружения решениями безопасности.
Исторические примеры 2021-2022 годов, связанные с кластером NGC2180, выявили различные версии имплантата DFKRAT и механизмов доставки. Злоумышленники использовали OLE-объекты, встроенные в документы, для активации исполняемых файлов, доставляя полезную нагрузку с удаленных серверов. Злоумышленники продемонстрировали операционную изощренность, используя скомпрометированную инфраструктуру для C2, обеспечивая ограниченную видимость и затрудняя отслеживание их действий.
Анализ изменений инфраструктуры группы NGC2180 показал изменения в серверах C2 и тактике с течением времени. Злоумышленники скомпрометировали законные хосты для размещения своей инфраструктуры C2, что позволило обойти решения по обеспечению безопасности. Системный подход злоумышленников и нацеливание на высокопоставленные организации предполагают потенциальные политические мотивы. Постоянный и эволюционирующий характер группы NGC2180 подчеркивает важность постоянной бдительности и обмена разведданными в сообществе кибербезопасности.
Показатели компрометации (IOCs), представленные в исследовании, включая хэши вредоносных программ и сведения о сервере C2, могут помочь идентифицировать и смягчить угрозы, связанные с кластером NGC2180. Сообществу рекомендуется использовать эти IOC для расширения возможностей обнаружения угроз и реагирования на них в отношении этой группы участников угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО DFKRAT, его функциональных возможностей, механизмов доставки и деятельности группы исполнителей киберугроз, идентифицированной как NGC2180. В тексте подчеркивается изощренность и тактика, применяемые злоумышленниками, эволюция вредоносного ПО, тактика, используемая для избежания обнаружения, а также важность бдительности и обмена разведданными в сообществе кибербезопасности для смягчения угроз, исходящих от этой группы.
-----
В конце 2023 года команда Solar 4RAYS, проводившая оценку компрометации, обнаружила атаку на исполнительный орган с использованием многоступенчатого вредоносного ПО, приведшую к внедрению имплантата, известного как DFKRAT. Это вредоносное ПО, ориентированное на шпионаж, позволяет злоумышленникам извлекать данные из файловых систем жертв. Обширное исследование выявило другие образцы, использовавшиеся той же группой злоумышленников с маркировкой NGC2180 с 2021 по 2023 год против русскоязычных целей. Вредоносная программа DFKRAT облегчает эксфильтрацию файлов, поддержку интерактивной оболочки и потенциальную загрузку дополнительных вредоносных программ с сервера управления C2. Скомпрометированные серверы в Греции и Индонезии использовались в качестве C2 для внедрения. Основная функциональность вредоносного ПО включает в себя использование сторонней загрузки DLL для доставки полезной нагрузки и поддержания постоянства на хосте жертвы.
В развертывании вредоносного ПО использовались законные исполняемые файлы, вредоносные библиотеки, внедряющие шелл-код, и двоичные файлы, содержащие полезную нагрузку. Вредоносное ПО использовало различные методы, такие как сторонняя загрузка библиотеки DLL, использование уникальных законных процессов для сокрытия вредоносных действий и расшифровка шелл-кода с использованием пользовательских алгоритмов и ключей.
Имплантат DFKRAT, идентифицированный в нескольких вариантах в разных образцах, взаимодействует с сервером C2 посредством зашифрованных POST-запросов, использует определенное значение User-Agent и использует оболочку функции ожидания для маскировки сетевых действий. Последняя версия DFKRAT использует стороннюю загрузку DLL с улучшениями, позволяющими избежать обнаружения решениями безопасности.
Исторические примеры 2021-2022 годов, связанные с кластером NGC2180, выявили различные версии имплантата DFKRAT и механизмов доставки. Злоумышленники использовали OLE-объекты, встроенные в документы, для активации исполняемых файлов, доставляя полезную нагрузку с удаленных серверов. Злоумышленники продемонстрировали операционную изощренность, используя скомпрометированную инфраструктуру для C2, обеспечивая ограниченную видимость и затрудняя отслеживание их действий.
Анализ изменений инфраструктуры группы NGC2180 показал изменения в серверах C2 и тактике с течением времени. Злоумышленники скомпрометировали законные хосты для размещения своей инфраструктуры C2, что позволило обойти решения по обеспечению безопасности. Системный подход злоумышленников и нацеливание на высокопоставленные организации предполагают потенциальные политические мотивы. Постоянный и эволюционирующий характер группы NGC2180 подчеркивает важность постоянной бдительности и обмена разведданными в сообществе кибербезопасности.
Показатели компрометации (IOCs), представленные в исследовании, включая хэши вредоносных программ и сведения о сервере C2, могут помочь идентифицировать и смягчить угрозы, связанные с кластером NGC2180. Сообществу рекомендуется использовать эти IOC для расширения возможностей обнаружения угроз и реагирования на них в отношении этой группы участников угроз.
#ParsedReport #CompletenessLow
06-03-2024
New APT Group 'Lotus Bane' Behind Recent Attacks on Vietnam's Financial Entities
https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html
Report completeness: Low
Actors/Campaigns:
Lotus_bane (motivation: financially_motivated, cyber_criminal)
Oceanlotus
Blindeagle
Lazarus
Lightbasin (motivation: financially_motivated)
Unc2891
Threats:
Dll_sideloading_technique
Pipedance
Caketap
Victims:
Financial organizations in apac, europe, latam, north america
Industry:
Financial
Geo:
America, Asia-pacific, Latam, Apac, Vietnam, Vietnamese
ChatGPT TTPs:
T1574.002, T1095, T1053.005, T1105, T1555.003, T1053
Soft:
Kitty
06-03-2024
New APT Group 'Lotus Bane' Behind Recent Attacks on Vietnam's Financial Entities
https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html
Report completeness: Low
Actors/Campaigns:
Lotus_bane (motivation: financially_motivated, cyber_criminal)
Oceanlotus
Blindeagle
Lazarus
Lightbasin (motivation: financially_motivated)
Unc2891
Threats:
Dll_sideloading_technique
Pipedance
Caketap
Victims:
Financial organizations in apac, europe, latam, north america
Industry:
Financial
Geo:
America, Asia-pacific, Latam, Apac, Vietnam, Vietnamese
ChatGPT TTPs:
do not use without manual checkT1574.002, T1095, T1053.005, T1105, T1555.003, T1053
Soft:
Kitty
CTT Report Hub
#ParsedReport #CompletenessLow 06-03-2024 New APT Group 'Lotus Bane' Behind Recent Attacks on Vietnam's Financial Entities https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html Report completeness: Low Actors/Campaigns: Lotus_bane…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении и деятельности субъекта угроз Lotus Bane, их нацеливании на финансовый сектор Вьетнама и Азиатско-Тихоокеанского региона, их сходстве с OceanLotus (APT32) и более широком спектре продвинутых групп постоянных угроз, создающих киберугрозы финансовым организациям по всему миру, подчеркивая важность необходимость в усиленных мерах кибербезопасности.
-----
Lotus Bane, ранее недокументированный исполнитель угроз, атаковал финансовую организацию во Вьетнаме в марте 2023 года. Конкретные детали цепочки заражения неизвестны, но она предполагает использование вредоносных артефактов для перемещения в сторону. Методы, используемые Lotus Bane, такие как боковая загрузка DLL и именованные каналы для обмена данными, пересекаются с методами OceanLotus, также известными как APT32. Использование Lotus Bane вредоносного ПО, такого как PIPEDANCE, для связи по именованным каналам было впервые задокументировано в связи с кибератакой на вьетнамскую организацию в конце декабря 2022 года.
Сходство между Lotus Bane и OceanLotus наводит на мысль о возможных связях или вдохновении, хотя их разные целевые отрасли указывают на то, что они могут быть отдельными организациями. Lotus Bane в первую очередь нацелена на банковский сектор в Азиатско-Тихоокеанском регионе (APAC), демонстрируя сложные методы, которые намекают на более широкие географические операции внутри APAC. Продолжительность деятельности Lotus Bane до обнаружения остается неясной, и ожидается, что продолжающиеся расследования позволят лучше понять их историю.
Финансовые организации в Азиатско-Тихоокеанском регионе, Европе, Латинской Америке (LATAM) и Северной Америке сталкивались с угрозами со стороны продвинутых групп постоянных угроз, таких как Blind Eagle, the Lazarus Group и UNC1945. UNC1945, известный тем, что нацеливает на серверы коммутаторов ATM пользовательское вредоносное ПО под названием CAKETAP, перехватывает и изменяет данные, передаваемые между серверами ATM и серверами аппаратных модулей безопасности, в вредоносных целях. Присутствие Lotus Bane и UNC1945 в регионе Азиатско-Тихоокеанского региона подчеркивает важность поддержания бдительности и принятия надежных мер кибербезопасности для защиты от различных финансовых киберугроз в современном цифровом мире.
Сложность защиты от финансовых киберугроз подчеркивается особой тактикой и целями таких групп, как Lotus Bane и UNC1945. Постоянные усилия по пониманию и устранению этих угроз имеют решающее значение для защиты финансовых систем и сетей перед лицом развивающихся киберугроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении и деятельности субъекта угроз Lotus Bane, их нацеливании на финансовый сектор Вьетнама и Азиатско-Тихоокеанского региона, их сходстве с OceanLotus (APT32) и более широком спектре продвинутых групп постоянных угроз, создающих киберугрозы финансовым организациям по всему миру, подчеркивая важность необходимость в усиленных мерах кибербезопасности.
-----
Lotus Bane, ранее недокументированный исполнитель угроз, атаковал финансовую организацию во Вьетнаме в марте 2023 года. Конкретные детали цепочки заражения неизвестны, но она предполагает использование вредоносных артефактов для перемещения в сторону. Методы, используемые Lotus Bane, такие как боковая загрузка DLL и именованные каналы для обмена данными, пересекаются с методами OceanLotus, также известными как APT32. Использование Lotus Bane вредоносного ПО, такого как PIPEDANCE, для связи по именованным каналам было впервые задокументировано в связи с кибератакой на вьетнамскую организацию в конце декабря 2022 года.
Сходство между Lotus Bane и OceanLotus наводит на мысль о возможных связях или вдохновении, хотя их разные целевые отрасли указывают на то, что они могут быть отдельными организациями. Lotus Bane в первую очередь нацелена на банковский сектор в Азиатско-Тихоокеанском регионе (APAC), демонстрируя сложные методы, которые намекают на более широкие географические операции внутри APAC. Продолжительность деятельности Lotus Bane до обнаружения остается неясной, и ожидается, что продолжающиеся расследования позволят лучше понять их историю.
Финансовые организации в Азиатско-Тихоокеанском регионе, Европе, Латинской Америке (LATAM) и Северной Америке сталкивались с угрозами со стороны продвинутых групп постоянных угроз, таких как Blind Eagle, the Lazarus Group и UNC1945. UNC1945, известный тем, что нацеливает на серверы коммутаторов ATM пользовательское вредоносное ПО под названием CAKETAP, перехватывает и изменяет данные, передаваемые между серверами ATM и серверами аппаратных модулей безопасности, в вредоносных целях. Присутствие Lotus Bane и UNC1945 в регионе Азиатско-Тихоокеанского региона подчеркивает важность поддержания бдительности и принятия надежных мер кибербезопасности для защиты от различных финансовых киберугроз в современном цифровом мире.
Сложность защиты от финансовых киберугроз подчеркивается особой тактикой и целями таких групп, как Lotus Bane и UNC1945. Постоянные усилия по пониманию и устранению этих угроз имеют решающее значение для защиты финансовых систем и сетей перед лицом развивающихся киберугроз.
#ParsedReport #CompletenessHigh
06-03-2024
SapphireStealer Sneaks In: Deceptive Legal Documents Prey on Russians
https://cyble.com/blog/sapphirestealer-sneaks-in-deceptive-legal-documents-prey-on-russians
Report completeness: High
Threats:
Sapphirestealer
Sapphire
Credential_dumping_technique
Victims:
Russians
Industry:
Government
Geo:
Russian, Russia
TTPs:
Tactics: 6
Technics: 10
IOCs:
Domain: 1
Url: 1
File: 9
IP: 1
Hash: 2
Soft:
Telegram
Algorithms:
base64, sha256, sha1, md5, aes, zip
Functions:
Main, Decryptasdfasdfasdfs, Log2, InstanseOfClass
Links:
06-03-2024
SapphireStealer Sneaks In: Deceptive Legal Documents Prey on Russians
https://cyble.com/blog/sapphirestealer-sneaks-in-deceptive-legal-documents-prey-on-russians
Report completeness: High
Threats:
Sapphirestealer
Sapphire
Credential_dumping_technique
Victims:
Russians
Industry:
Government
Geo:
Russian, Russia
TTPs:
Tactics: 6
Technics: 10
IOCs:
Domain: 1
Url: 1
File: 9
IP: 1
Hash: 2
Soft:
Telegram
Algorithms:
base64, sha256, sha1, md5, aes, zip
Functions:
Main, Decryptasdfasdfasdfs, Log2, InstanseOfClass
Links:
https://github.com/0day2/SapphireStealer/Cyble
SapphireStealer Targets Russians With Fake Legal Docs
CRIL analyzes a malware campaign targeting Russians, utilizing a fake Russian government website to distribute SapphireStealer.