#ParsedReport #CompletenessMedium
08-03-2024

Voicemail Themed Emails Tycoon Phishing-as-a-Service Platform

https://www.esentire.com/blog/voicemail-themed-emails-tycoon-phishing-as-a-service-platform

Report completeness: Medium

Actors/Campaigns:
Tycoon

Threats:
Antibot
Smuggling_technique

Industry:
Retail

Geo:
Apac, America, Emea

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1020, T1071.001, T1001, T1568.002, T1556.003, T1568.001, T1059, T1193, have more...

IOCs:
Domain: 2
File: 1
Url: 4

Soft:
Telegram

Algorithms:
xor

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена подразделению реагирования на угрозы eSentire (TRU) и их усилиям по повышению устойчивости организации с помощью комплексных служб обнаружения угроз и реагирования на них. Команда TRU сотрудничает с операционными центрами безопасности и группами безопасности клиентов, чтобы обеспечить полную видимость поверхности атаки организации, проводить проверку угроз, упреждающий поиск и оригинальные исследования для защиты от известных и неизвестных угроз. В тексте также обсуждается конкретный инцидент, связанный с фишинговой кампанией, и подчеркивается коммерциализация и изощренность фишинговых операций, подчеркивается необходимость постоянной адаптации мер безопасности для эффективного противодействия развивающимся угрозам.
-----

Подразделение eSentire по реагированию на угрозы (TRU) предлагает комплексные услуги по обнаружению угроз и реагированию на них, сотрудничая с операционными центрами безопасности (SoCs) и группами безопасности клиентов для улучшения управляемых служб обнаружения и реагирования.

TRU фокусируется на обеспечении полной видимости всей поверхности атаки организации с помощью глобальной проверки угроз, упреждающего поиска угроз и оригинального исследования угроз.

Недавний инцидент связан с тем, что eSentire отреагировала на фишинговую кампанию, направленную против пользователей розничного сектора, которые использовали взломанную учетную запись для рассылки фишинговых писем на тему голосовой почты, ведущих на поддельную страницу входа в Microsoft, размещенную на allo.io.

Фишинговый сайт использовал запрос CloudFlare Turnstile prompt, запутанный код и пытался извлечь IP-адреса пользователей и информацию о браузере.

Связь с ailinux.ru выявила подключение к панели управления TycoonGroup, платформе фишинга как услуги, предлагающей различные функции для облегчения атак и уклонения от обнаружения.

Фишинговые кампании часто рассчитываются стратегически для достижения максимального эффекта, используются такие методы, как контрабанда HTML, для внедрения вредоносных полезных данных и требуют многоуровневых стратегий безопасности для эффективной защиты.

Коммерциализация таких платформ, как TycoonGroup, демонстрирует изощренность фишинговых операций и подчеркивает необходимость постоянной адаптации мер безопасности для противодействия развивающимся угрозам.

#ParsedReport #CompletenessLow
08-03-2024

New Malware Campaign Found Exploiting Stored XSS in Popup Builder < 4.2.3

https://blog.sucuri.net/2024/03/new-malware-campaign-found-exploiting-stored-xss-in-popup-builder-4-2-3.html

Report completeness: Low

Threats:
Balada_injector

Victims:
Popup builder wordpress plugin users

ChatGPT TTPs:
do not use without manual check
T1190, T1064, T1070.004, T1102.002, T1550.004, T1485, T1562.001

IOCs:
Domain: 2
Url: 1

Soft:
WordPress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о новой кампании Balada Injector, нацеленной на уязвимость в плагине WordPress Popup Builder, приводящую к многочисленным заражениям веб-сайтов. В тексте подчеркивается важность тщательной очистки, обнаружения скрытых бэкдоров и обновления плагина для предотвращения повторного заражения. Кроме того, в нем упоминается роль аналитика по безопасности Пуджи Шриваставы в борьбе с вредоносными угрозами и предоставлении экспертных знаний в области обнаружения вредоносных программ и устранения их последствий.
-----

В январе была обнаружена новая кампания Balada Injector, использующая уязвимость в плагине WordPress Popup Builder, раскрытую Марком Монпасом в ноябре 2023 года. В последнее время наблюдается рост числа атак, нацеленных на ту же уязвимость, которые заразили более 3300 веб-сайтов по данным PublicWWW и 1170 сайтов, обнаруженных SiteCheck. Злоумышленники используют уязвимость для внедрения вредоносного кода в пользовательский раздел JS или CSS интерфейса администратора WordPress, хранящийся в таблице базы данных wp_postmeta. Два варианта вредоносного кода были идентифицированы как вредоносное ПО?pbuilder_injection.1.x с помощью проверки сайта.

Если веб-сайт скомпрометирован, необходима тщательная очистка. Хотя удаление вредоносной инъекции из интерфейса Popup Builder является временным решением, вредоносная программа быстро повторно заражает скомпрометированные среды. Чтобы предотвратить повторное заражение, необходимо обнаружить и удалить скрытые бэкдоры, а также исключить любых незнакомых администраторов сайта или вредоносный код. Обновление плагина Popup Builder до последней версии после очистки имеет решающее значение для обеспечения безопасности сайта. Владельцам веб-сайтов настоятельно рекомендуется поддерживать обновления программного обеспечения и исправления безопасности или использовать брандмауэр веб-сайта для виртуального устранения уязвимостей, если немедленные обновления невозможны.

Пуджа Шривастава, аналитик по безопасности, занимается борьбой с новыми и необнаруженными вредоносными угрозами, имея богатый опыт в области исследований вредоносных программ и обеспечения безопасности, охватывающий более 7 лет. Опыт Пуджи заключается в обнаружении вредоносных программ, мониторинге и исправлении ошибок на веб-сайтах. В дополнение к своей роли она проводит тренинги, перекрестное обучение и наставничество для новых аналитиков и занимается повышением квалификации. Вне работы Пуджа любит исследовать новые места и кухни, экспериментировать с приготовлением пищи и играть в шахматы.

От имени нашего бездушного ИИ поздравляем всех девушек этого канала с Международным женским днем!

Отличный канал Кирилла Митрофанова, посвященный TI и инструментам для работы с ним.

https://t.me/qb_channel

#ParsedReport #CompletenessLow
09-03-2024

NetKiller.Condi Botnet Exploits CVE-2024-0778 One Week After Disclosure

https://www.akamai.com/blog/security-research/2024/mar/netkiller-condi-botnet-exploits-camera

Report completeness: Low

Threats:
Mirai
Condi
Netkiller_botnet
Sora_botnet

Geo:
Vietnam

CVEs:
CVE-2013-7471 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- dlink dir-300 firmware (2.14b01)
- dlink dir-600 firmware (<2.17b01)
- dlink dir-645 firmware (<1.04b11)
- dlink dir-845 firmware (<1.02b03)
- dlink dir-865 firmware (1.05b03)
have more...
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- huawei hg532 firmware (-)

CVE-2014-8361 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- dlink dir-905l firmware (le1.02)
- dlink dir-605l firmware (le1.13, le2.04)
- dlink dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- dlink dir-619l firmware (le1.15, le2.03)
have more...
CVE-2024-0778 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- uniview isc 2500-s firmware (le20210930)


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1071, T1566, T1105, T1027, T1046, T1583, T1584, T1059, have more...

IOCs:
File: 5
Domain: 6
IP: 15
Hash: 11

Soft:
Hadoop

Algorithms:
sha256

Languages:
php

Links:
https://github.com/topics/condi-botnet
https://github.com/dezhoutorizhao/cve/blob/main/rce.md

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В прошивке камеры Zhejiang Uniview ISC модели 2500-S была выявлена критическая уязвимость, позволяющая вводить команды операционной системы. Злоумышленники использовали эту уязвимость, используя такие варианты вредоносных программ, как ботнет Mirai и Condi, с инфраструктурой C2, базирующейся во Вьетнаме. Бдительность, активное управление уязвимостями, сотрудничество между исследователями безопасности и тщательное изучение связанной инфраструктуры имеют решающее значение для снижения рисков, связанных с этими эксплойтами, нацеленными на устаревшие системы.
-----

В прошивке камеры Zhejiang Uniview ISC модели 2500-S до версии прошивки 20210930 была выявлена критическая уязвимость, позволяющая вводить команды операционной системы путем манипулирования определенными аргументами запроса. Эта уязвимость, известная как CVE-2024-0778, затрагивает продукты, которые больше не поддерживаются, поскольку они достигли стадии завершения обслуживания. Группа реагирования Akamai Security Intelligence Response Team (SIRT) выявила вариант вредоносного ПО Mirai, использующий эту уязвимость и нацеленный на приманки. Субъект угрозы, стоящий за атаками, также нацеливался на другие URI с различной полезной нагрузкой, что указывает на широкий спектр целевых системных архитектур.

IP-адреса командования и контроля (C2), связанные с атаками, базируются во Вьетнаме и связаны с доменом C2 net-killer.online, зарегистрированным в январе 2024 года. Самое раннее документально подтвержденное упоминание об этой деятельности датируется 28 июня 2023 года, что свидетельствует о длительном и меняющемся ландшафте угроз. Использование уязвимости в модели камеры Zhejiang Uniview ISC предполагает манипулирование аргументами запроса, такими как natAddress, natPort и natServerPort, в функции setNatConfig в файле /Interface/DevManage/VM.php.

Одна сессия, пытающаяся использовать уязвимость, была замечена Akamai SIRT 24 января 2024 года, после публикации эксплойта на GitHub. Конкретный вариант вредоносного ПО Mirai, упоминаемый как "lzrd", был связан с попытками использования. Этот образец вредоносного ПО связывался с доменом C2 net-killer.online, указывая на известную инфраструктуру C2, использовавшуюся в предыдущих вредоносных действиях.

Наблюдения указывают на связь с ботнетом Condi, ссылаясь на строки, найденные в образцах вредоносного ПО. Исходный код ботнета Condi был публично опубликован на GitHub в период с 17 августа по 12 октября 2023 года. Исполнитель угрозы использовал полезные нагрузки, такие как most-mips, most-arm и most-x86, нацеливаясь на различные URI, включая /ctrlt/DeviceUpgrade_1, /soap.cgi?service=WANIPConn1 и /picsdesc.xml , использующий известные уязвимости, такие как CVE-2017-17215, CVE-2013-7471 и CVE-2014-8361.

Вредоносная деятельность продолжается по меньшей мере с июня 2023 года, при этом субъект угрозы использует IP-адреса C2 во Вьетнаме, такие как 103.195.236.140. Обнаруженные образцы вредоносных программ были связаны с вариантом Mirai SORA (NetKiller.SORA) и вариантом Mirai LZRD (NetKiller.LZRD). Домены C2, используемые субъектом угрозы, включали botnet.vinaddns.com.

В ответ на эти угрозы важно сохранять бдительность и активно устранять уязвимости, особенно в устаревших системах. Сотрудничество между исследователями безопасности и поставщиками жизненно важно для оперативного устранения уязвимостей и защиты пользователей от потенциальных эксплойтов. Тщательное изучение соответствующей инфраструктуры и упреждающее управление уязвимостями имеют решающее значение для снижения рисков и защиты от злоумышленников, нацеленных на уязвимости, подобные CVE-2024-0778, в таких устройствах, как камера Zhejiang Uniview ISC модели 2500-S.

#ParsedReport #CompletenessLow
09-03-2024

Unknown Nim Loader using PSBypassCLM

https://medium.com/walmartglobaltech/unknown-nim-loader-using-psbypassclm-cafdf0e0f5cd

Report completeness: Low

Threats:
Nim_loader

ChatGPT TTPs:
do not use without manual check
T1566.002, T1027, T1055, T1071.001, T1547.001, T1112, T1059.001

IOCs:
File: 3
Coin: 1
Domain: 4
Hash: 2

Algorithms:
sha256, gzip, aes, base64

Win API:
AmsiScanBuffer, EtwEventWrite

Languages:
python, rust, powershell

Links:
https://github.com/icyguider/Nimcrypt2
https://github.com/treeform/puppy
https://github.com/adamsvoboda/nim-loader
https://github.com/padovah4ck/PSByPassCLM

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - углубленный анализ сложной вредоносной кампании, детализирующий обнаружение образцов вредоносного ПО, процессы расшифровки, методы связи с серверами командования и контроля, а также сложную структуру вредоносного ПО, направленную на установление удаленного доступа и контроля над зараженными системами. Расследование подчеркивает продвинутый уровень шифрования, дешифрования и обфускации, используемый вредоносной программой, подчеркивая необходимость передовых методов анализа для понимания ее возможностей и потенциального воздействия.
-----

Расследование ряда известных вредоносных IP-адресов, связанных с вредоносным ПО, привело аналитика к обнаружению необычных IP-адресов. Отследив домен с использованием сертификата TLS, аналитик обнаружил в VirusTotal соответствующие образцы вредоносных программ, которые указывали на загрузчик на основе NIM. После распаковки вредоносной программы выяснилось, что основной блок кода включал исправление AmsiScanBuffer, за которым следовал исправление EtwEventWrite. Впоследствии вредоносная программа инициировала связь со своим сервером управления (C2), начав с запроса на регистрацию, ожидая ответа на данные JSON с ключом "id". Сообщение об ошибке вредоносной программы намекало на внутреннюю ссылку в виде "идентификатора узла", представленного значением GUID, которое позже было добавлено к жестко закодированному URI (/update/) в местоположении C2.

Чтобы лучше понять процесс обмена данными C2, аналитик продемонстрировал скрипт на Python для воссоздания процесса дешифрования с использованием хэширования SHA256, шифрования AES и декодирования base64. После расшифровки вредоносная программа base64 декодирует данные, полученные после операции обновления, выявляя слой, обернутый байт-кодом, вокруг библиотеки DLL. Эти декодированные данные затем вводятся загрузчиком в имя процесса explorer.exe для выполнения. Интересно, что этот сегмент вредоносного ПО взаимодействует с тем же C2, что и исходный загрузчик, но использует другой URI. Ожидаемым ответом на это сообщение является большой двоичный объект JSON, содержащий ключи для информации об IP и порте, который впоследствии используется с помощью PsBypassCLM для установки обратной оболочки PowerShell.

Предоставленные данные, по-видимому, представляют собой ASCII-представление ответа о состоянии от сервера C2 вредоносного ПО, включая команды и информацию о состоянии. Сообщение, по-видимому, содержит полезную нагрузку в формате JSON, аналогичную ожидаемой вредоносным ПО, идентифицируемую с помощью определенной строки содержимого в полезной нагрузке. Полезная нагрузка содержит различные инструкции или команды для вредоносного ПО, вероятно, связанные с дальнейшими действиями или операциями, которые должны быть выполнены в зараженной системе.

Таким образом, расследование аналитика выявило сложную вредоносную кампанию, использующую методы шифрования, дешифрования и коммуникации для установления удаленного доступа и контроля над зараженными системами. Структура вредоносного ПО и схемы взаимодействия указывают на высокий уровень сложности и запутывания, требующий передовых методов анализа, чтобы полностью понять его функциональные возможности и потенциальное воздействие.

#ParsedReport #CompletenessMedium
08-03-2024

Magnet Goblin Targets Publicly Facing Servers Using 1-Day Vulnerabilities

https://research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1-day-vulnerabilities

Report completeness: Medium

Actors/Campaigns:
Magnet_goblin (motivation: financially_motivated)

Threats:
Nerbian_rat
Warpwire
Screenconnect_tool
Anydesk_tool
Ligolo
Cactus

CVEs:
CVE-2023-21887 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.9
X-Force: Patch: Official fix
Soft:
- oracle mysql (le8.0.31)

CVE-2023-41265 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-41266 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)

CVE-2023-48365 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.6
X-Force: Patch: Official fix
Soft:
- qlik qlik sense (august_2022, august_2023, february_2022, february_2023, may_2022, may_2023, november_2021, november_2022)

CVE-2022-24086 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- magento (le2.4.2, 2.4.3, 2.3.7, le2.3.6, <2.3.0)
- adobe commerce (2.3.7, 2.4.3, le2.4.2, le2.3.6, <2.3.0)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1588.006, T1190, T1060, T1543.003, T1566.002, T1071.001, T1027, T1105, T1059.007, T1112, have more...

IOCs:
Url: 18
IP: 6
Domain: 9
File: 1
Hash: 21

Soft:
Ivanti, ActiveMQ, curl

Wallets:
harmony_wallet

Algorithms:
sha256, aes

Languages:
javascript, php

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание действий и тактики финансово мотивированного исполнителя угроз, известного как Magnet Goblin, который использует однодневные уязвимости в общедоступных сервисах для первоначального заражения. Актер известен быстрым внедрением уязвимостей, внедрением пользовательских бэкдоров и инструментов для получения финансовой выгоды, а недавняя кампания была сосредоточена на Ivanti Connect Secure VPN и использовании пользовательских вредоносных программ, таких как NerbianRAT. В тексте также подчеркивается необходимость своевременного реагирования и усилий по смягчению последствий в отношении таких субъектов угроз в сфере кибербезопасности.
-----

В тексте описываются действия и тактика субъекта угроз, известного как Magnet Goblin, финансово мотивированной группы, которая быстро использует однодневные уязвимости в общедоступных сервисах в качестве средства первоначального заражения. Было замечено, что злоумышленник нацеливался на Ivanti Connect Secure VPN, Magento, Qlink Sense и, возможно, Apache ActiveMQ в своих кампаниях.

Один примечательный инцидент был связан с использованием двух уязвимостей в Ivanti Connect Secure VPN (CVE-2023-46805 и CVE-2023-21887), что привело к широкому спектру вредоносных действий со стороны различных участников угроз. Magnet Goblin, в частности, известен своим быстрым внедрением таких уязвимостей, развертыванием пользовательских бэкдоров Linux, таких как NerbianRAT, MiniNerbian, и инструментов для Windows, таких как ScreenConnect и AnyDesk, для получения финансовой выгоды.

Недавняя кампания актера с использованием Ivanti Connect Secure VPN включала в себя новый Linux-вариант NerbianRAT, наряду с использованием WARPWIRE, средства для кражи учетных данных JavaScript. Эти действия были частью более широкой тенденции, когда Magnet Goblin использует различные однодневные эксплойты для своих вредоносных операций с акцентом на периферийные устройства и использование пользовательских семейств вредоносных программ, таких как Nerbian.

Кроме того, анализ показал, что Magnet Goblin не только нацелился на Ivanti, но и исторически был сосредоточен на эксплуатации серверов Magento и использовании их в качестве серверов командования и контроля (C2) для других кампаний. Группа развернула MiniNerbian как уменьшенную версию NerbianRAT на скомпрометированных серверах Magento, что было связано с финансовыми мотивами, основанными на атаках в 2022 году.

В тексте подробно обсуждались функциональные возможности NerbianRAT и MiniNerbian, описывались их методы связи, методы шифрования и конфигурации. Примечательно, что бэкдоры обеспечивают гибкие операции участников угроз, включая такие функции, как действия, основанные на времени, передача данных на серверы C2 и выполнение команд на основе ответов сервера. MiniNerbian, хотя и имеет сходство с кодом NerbianRAT, использует HTTP-связь для передачи данных и включает в себя специфические функциональные возможности, такие как выполнение системных команд и обновления конфигурации.

На фоне проблем, связанных с отслеживанием и приписыванием действий конкретных субъектов угроз в сфере кибербезопасности, в описании подчеркивается необходимость своевременного реагирования и усилий по смягчению последствий, особенно перед лицом широко распространенных атак с использованием. Magnet Goblin выделяется своим методичным подходом к быстрому использованию уязвимостей, специально нацеленным на периферийные устройства с пользовательским вредоносным ПО, чтобы избежать обнаружения в шумной среде кибербезопасности.

В конечном счете, в тексте подчеркивается важность сохранения бдительности в отношении субъектов угроз, таких как Magnet Goblin, которые постоянно адаптируют и используют уязвимости для достижения своих вредоносных целей, подчеркивая критическую роль аналитиков threat intelligence в мониторинге и защите от таких киберугроз.

#ParsedReport #CompletenessLow
09-03-2024

Kimsucky Apt Analysis (Kimsuky)

https://somedieyoungzz.github.io/posts/kimsucky-apt-analysis

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Empire_loader

Victims:
South korean think tanks, Academia/research, Government entities, Private companies

Industry:
Government

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1119, T1105, T1027, T1037

IOCs:
File: 12
Path: 3
Registry: 2
IP: 1
Hash: 1

Soft:
Discord

Algorithms:
md5, sha256

Functions:
AutoOpen, delimage, interface, executeps

Languages:
php, powershell

Platforms:
x86

Links:
https://github.com/decalage2/oletools