#ParsedReport #CompletenessLow
09-03-2024

NetKiller.Condi Botnet Exploits CVE-2024-0778 One Week After Disclosure

https://www.akamai.com/blog/security-research/2024/mar/netkiller-condi-botnet-exploits-camera

Report completeness: Low

Threats:
Mirai
Condi
Netkiller_botnet
Sora_botnet

Geo:
Vietnam

CVEs:
CVE-2013-7471 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- dlink dir-300 firmware (2.14b01)
- dlink dir-600 firmware (<2.17b01)
- dlink dir-645 firmware (<1.04b11)
- dlink dir-845 firmware (<1.02b03)
- dlink dir-865 firmware (1.05b03)
have more...
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- huawei hg532 firmware (-)

CVE-2014-8361 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- dlink dir-905l firmware (le1.02)
- dlink dir-605l firmware (le1.13, le2.04)
- dlink dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- dlink dir-619l firmware (le1.15, le2.03)
have more...
CVE-2024-0778 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- uniview isc 2500-s firmware (le20210930)


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1071, T1566, T1105, T1027, T1046, T1583, T1584, T1059, have more...

IOCs:
File: 5
Domain: 6
IP: 15
Hash: 11

Soft:
Hadoop

Algorithms:
sha256

Languages:
php

Links:
https://github.com/topics/condi-botnet
https://github.com/dezhoutorizhao/cve/blob/main/rce.md

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В прошивке камеры Zhejiang Uniview ISC модели 2500-S была выявлена критическая уязвимость, позволяющая вводить команды операционной системы. Злоумышленники использовали эту уязвимость, используя такие варианты вредоносных программ, как ботнет Mirai и Condi, с инфраструктурой C2, базирующейся во Вьетнаме. Бдительность, активное управление уязвимостями, сотрудничество между исследователями безопасности и тщательное изучение связанной инфраструктуры имеют решающее значение для снижения рисков, связанных с этими эксплойтами, нацеленными на устаревшие системы.
-----

В прошивке камеры Zhejiang Uniview ISC модели 2500-S до версии прошивки 20210930 была выявлена критическая уязвимость, позволяющая вводить команды операционной системы путем манипулирования определенными аргументами запроса. Эта уязвимость, известная как CVE-2024-0778, затрагивает продукты, которые больше не поддерживаются, поскольку они достигли стадии завершения обслуживания. Группа реагирования Akamai Security Intelligence Response Team (SIRT) выявила вариант вредоносного ПО Mirai, использующий эту уязвимость и нацеленный на приманки. Субъект угрозы, стоящий за атаками, также нацеливался на другие URI с различной полезной нагрузкой, что указывает на широкий спектр целевых системных архитектур.

IP-адреса командования и контроля (C2), связанные с атаками, базируются во Вьетнаме и связаны с доменом C2 net-killer.online, зарегистрированным в январе 2024 года. Самое раннее документально подтвержденное упоминание об этой деятельности датируется 28 июня 2023 года, что свидетельствует о длительном и меняющемся ландшафте угроз. Использование уязвимости в модели камеры Zhejiang Uniview ISC предполагает манипулирование аргументами запроса, такими как natAddress, natPort и natServerPort, в функции setNatConfig в файле /Interface/DevManage/VM.php.

Одна сессия, пытающаяся использовать уязвимость, была замечена Akamai SIRT 24 января 2024 года, после публикации эксплойта на GitHub. Конкретный вариант вредоносного ПО Mirai, упоминаемый как "lzrd", был связан с попытками использования. Этот образец вредоносного ПО связывался с доменом C2 net-killer.online, указывая на известную инфраструктуру C2, использовавшуюся в предыдущих вредоносных действиях.

Наблюдения указывают на связь с ботнетом Condi, ссылаясь на строки, найденные в образцах вредоносного ПО. Исходный код ботнета Condi был публично опубликован на GitHub в период с 17 августа по 12 октября 2023 года. Исполнитель угрозы использовал полезные нагрузки, такие как most-mips, most-arm и most-x86, нацеливаясь на различные URI, включая /ctrlt/DeviceUpgrade_1, /soap.cgi?service=WANIPConn1 и /picsdesc.xml , использующий известные уязвимости, такие как CVE-2017-17215, CVE-2013-7471 и CVE-2014-8361.

Вредоносная деятельность продолжается по меньшей мере с июня 2023 года, при этом субъект угрозы использует IP-адреса C2 во Вьетнаме, такие как 103.195.236.140. Обнаруженные образцы вредоносных программ были связаны с вариантом Mirai SORA (NetKiller.SORA) и вариантом Mirai LZRD (NetKiller.LZRD). Домены C2, используемые субъектом угрозы, включали botnet.vinaddns.com.

В ответ на эти угрозы важно сохранять бдительность и активно устранять уязвимости, особенно в устаревших системах. Сотрудничество между исследователями безопасности и поставщиками жизненно важно для оперативного устранения уязвимостей и защиты пользователей от потенциальных эксплойтов. Тщательное изучение соответствующей инфраструктуры и упреждающее управление уязвимостями имеют решающее значение для снижения рисков и защиты от злоумышленников, нацеленных на уязвимости, подобные CVE-2024-0778, в таких устройствах, как камера Zhejiang Uniview ISC модели 2500-S.

#ParsedReport #CompletenessLow
09-03-2024

Unknown Nim Loader using PSBypassCLM

https://medium.com/walmartglobaltech/unknown-nim-loader-using-psbypassclm-cafdf0e0f5cd

Report completeness: Low

Threats:
Nim_loader

ChatGPT TTPs:
do not use without manual check
T1566.002, T1027, T1055, T1071.001, T1547.001, T1112, T1059.001

IOCs:
File: 3
Coin: 1
Domain: 4
Hash: 2

Algorithms:
sha256, gzip, aes, base64

Win API:
AmsiScanBuffer, EtwEventWrite

Languages:
python, rust, powershell

Links:
https://github.com/icyguider/Nimcrypt2
https://github.com/treeform/puppy
https://github.com/adamsvoboda/nim-loader
https://github.com/padovah4ck/PSByPassCLM

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - углубленный анализ сложной вредоносной кампании, детализирующий обнаружение образцов вредоносного ПО, процессы расшифровки, методы связи с серверами командования и контроля, а также сложную структуру вредоносного ПО, направленную на установление удаленного доступа и контроля над зараженными системами. Расследование подчеркивает продвинутый уровень шифрования, дешифрования и обфускации, используемый вредоносной программой, подчеркивая необходимость передовых методов анализа для понимания ее возможностей и потенциального воздействия.
-----

Расследование ряда известных вредоносных IP-адресов, связанных с вредоносным ПО, привело аналитика к обнаружению необычных IP-адресов. Отследив домен с использованием сертификата TLS, аналитик обнаружил в VirusTotal соответствующие образцы вредоносных программ, которые указывали на загрузчик на основе NIM. После распаковки вредоносной программы выяснилось, что основной блок кода включал исправление AmsiScanBuffer, за которым следовал исправление EtwEventWrite. Впоследствии вредоносная программа инициировала связь со своим сервером управления (C2), начав с запроса на регистрацию, ожидая ответа на данные JSON с ключом "id". Сообщение об ошибке вредоносной программы намекало на внутреннюю ссылку в виде "идентификатора узла", представленного значением GUID, которое позже было добавлено к жестко закодированному URI (/update/) в местоположении C2.

Чтобы лучше понять процесс обмена данными C2, аналитик продемонстрировал скрипт на Python для воссоздания процесса дешифрования с использованием хэширования SHA256, шифрования AES и декодирования base64. После расшифровки вредоносная программа base64 декодирует данные, полученные после операции обновления, выявляя слой, обернутый байт-кодом, вокруг библиотеки DLL. Эти декодированные данные затем вводятся загрузчиком в имя процесса explorer.exe для выполнения. Интересно, что этот сегмент вредоносного ПО взаимодействует с тем же C2, что и исходный загрузчик, но использует другой URI. Ожидаемым ответом на это сообщение является большой двоичный объект JSON, содержащий ключи для информации об IP и порте, который впоследствии используется с помощью PsBypassCLM для установки обратной оболочки PowerShell.

Предоставленные данные, по-видимому, представляют собой ASCII-представление ответа о состоянии от сервера C2 вредоносного ПО, включая команды и информацию о состоянии. Сообщение, по-видимому, содержит полезную нагрузку в формате JSON, аналогичную ожидаемой вредоносным ПО, идентифицируемую с помощью определенной строки содержимого в полезной нагрузке. Полезная нагрузка содержит различные инструкции или команды для вредоносного ПО, вероятно, связанные с дальнейшими действиями или операциями, которые должны быть выполнены в зараженной системе.

Таким образом, расследование аналитика выявило сложную вредоносную кампанию, использующую методы шифрования, дешифрования и коммуникации для установления удаленного доступа и контроля над зараженными системами. Структура вредоносного ПО и схемы взаимодействия указывают на высокий уровень сложности и запутывания, требующий передовых методов анализа, чтобы полностью понять его функциональные возможности и потенциальное воздействие.

#ParsedReport #CompletenessMedium
08-03-2024

Magnet Goblin Targets Publicly Facing Servers Using 1-Day Vulnerabilities

https://research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1-day-vulnerabilities

Report completeness: Medium

Actors/Campaigns:
Magnet_goblin (motivation: financially_motivated)

Threats:
Nerbian_rat
Warpwire
Screenconnect_tool
Anydesk_tool
Ligolo
Cactus

CVEs:
CVE-2023-21887 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.9
X-Force: Patch: Official fix
Soft:
- oracle mysql (le8.0.31)

CVE-2023-41265 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-41266 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)

CVE-2023-48365 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.6
X-Force: Patch: Official fix
Soft:
- qlik qlik sense (august_2022, august_2023, february_2022, february_2023, may_2022, may_2023, november_2021, november_2022)

CVE-2022-24086 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- magento (le2.4.2, 2.4.3, 2.3.7, le2.3.6, <2.3.0)
- adobe commerce (2.3.7, 2.4.3, le2.4.2, le2.3.6, <2.3.0)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1588.006, T1190, T1060, T1543.003, T1566.002, T1071.001, T1027, T1105, T1059.007, T1112, have more...

IOCs:
Url: 18
IP: 6
Domain: 9
File: 1
Hash: 21

Soft:
Ivanti, ActiveMQ, curl

Wallets:
harmony_wallet

Algorithms:
sha256, aes

Languages:
javascript, php

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание действий и тактики финансово мотивированного исполнителя угроз, известного как Magnet Goblin, который использует однодневные уязвимости в общедоступных сервисах для первоначального заражения. Актер известен быстрым внедрением уязвимостей, внедрением пользовательских бэкдоров и инструментов для получения финансовой выгоды, а недавняя кампания была сосредоточена на Ivanti Connect Secure VPN и использовании пользовательских вредоносных программ, таких как NerbianRAT. В тексте также подчеркивается необходимость своевременного реагирования и усилий по смягчению последствий в отношении таких субъектов угроз в сфере кибербезопасности.
-----

В тексте описываются действия и тактика субъекта угроз, известного как Magnet Goblin, финансово мотивированной группы, которая быстро использует однодневные уязвимости в общедоступных сервисах в качестве средства первоначального заражения. Было замечено, что злоумышленник нацеливался на Ivanti Connect Secure VPN, Magento, Qlink Sense и, возможно, Apache ActiveMQ в своих кампаниях.

Один примечательный инцидент был связан с использованием двух уязвимостей в Ivanti Connect Secure VPN (CVE-2023-46805 и CVE-2023-21887), что привело к широкому спектру вредоносных действий со стороны различных участников угроз. Magnet Goblin, в частности, известен своим быстрым внедрением таких уязвимостей, развертыванием пользовательских бэкдоров Linux, таких как NerbianRAT, MiniNerbian, и инструментов для Windows, таких как ScreenConnect и AnyDesk, для получения финансовой выгоды.

Недавняя кампания актера с использованием Ivanti Connect Secure VPN включала в себя новый Linux-вариант NerbianRAT, наряду с использованием WARPWIRE, средства для кражи учетных данных JavaScript. Эти действия были частью более широкой тенденции, когда Magnet Goblin использует различные однодневные эксплойты для своих вредоносных операций с акцентом на периферийные устройства и использование пользовательских семейств вредоносных программ, таких как Nerbian.

Кроме того, анализ показал, что Magnet Goblin не только нацелился на Ivanti, но и исторически был сосредоточен на эксплуатации серверов Magento и использовании их в качестве серверов командования и контроля (C2) для других кампаний. Группа развернула MiniNerbian как уменьшенную версию NerbianRAT на скомпрометированных серверах Magento, что было связано с финансовыми мотивами, основанными на атаках в 2022 году.

В тексте подробно обсуждались функциональные возможности NerbianRAT и MiniNerbian, описывались их методы связи, методы шифрования и конфигурации. Примечательно, что бэкдоры обеспечивают гибкие операции участников угроз, включая такие функции, как действия, основанные на времени, передача данных на серверы C2 и выполнение команд на основе ответов сервера. MiniNerbian, хотя и имеет сходство с кодом NerbianRAT, использует HTTP-связь для передачи данных и включает в себя специфические функциональные возможности, такие как выполнение системных команд и обновления конфигурации.

На фоне проблем, связанных с отслеживанием и приписыванием действий конкретных субъектов угроз в сфере кибербезопасности, в описании подчеркивается необходимость своевременного реагирования и усилий по смягчению последствий, особенно перед лицом широко распространенных атак с использованием. Magnet Goblin выделяется своим методичным подходом к быстрому использованию уязвимостей, специально нацеленным на периферийные устройства с пользовательским вредоносным ПО, чтобы избежать обнаружения в шумной среде кибербезопасности.

В конечном счете, в тексте подчеркивается важность сохранения бдительности в отношении субъектов угроз, таких как Magnet Goblin, которые постоянно адаптируют и используют уязвимости для достижения своих вредоносных целей, подчеркивая критическую роль аналитиков threat intelligence в мониторинге и защите от таких киберугроз.

#ParsedReport #CompletenessLow
09-03-2024

Kimsucky Apt Analysis (Kimsuky)

https://somedieyoungzz.github.io/posts/kimsucky-apt-analysis

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Empire_loader

Victims:
South korean think tanks, Academia/research, Government entities, Private companies

Industry:
Government

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1119, T1105, T1027, T1037

IOCs:
File: 12
Path: 3
Registry: 2
IP: 1
Hash: 1

Soft:
Discord

Algorithms:
md5, sha256

Functions:
AutoOpen, delimage, interface, executeps

Languages:
php, powershell

Platforms:
x86

Links:
https://github.com/decalage2/oletools

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена деятельности и тактике северокорейской группы кибершпионажа Kimsuky APT, также известной как Thallium, Baby Coin или Smoke Screen, которая действует с 2012 года. Группа нацелена на южнокорейские аналитические центры, академические круги, исследовательские институты, государственные структуры и частные компании посредством операций кибершпионажа, используя такие методы, как вредоносные документы Word со встроенными макросами и скрипты PowerShell для первоначального заражения и выполнения вредоносного кода. Анализ посвящен конкретным методам, используемым Kimsuky, включая изучение потоков макросов с использованием таких инструментов, как oledump и olevba, выявление ключевых функций в коде вредоносных макросов, изучение сценариев PowerShell, используемых для загрузки и выполнения дополнительных полезных нагрузок, и понимание механизмов сохранения, используемых группой для поддержания доступа и контроля над скомпрометированными системами.
-----

Kimsuky APT, также известная как Thallium, Baby Coin или Smoke Screen, является северокорейской кибершпионажной группой, действующей с 2012 года.

Они нацелены на южнокорейские аналитические центры, академические круги, исследовательские институты, государственные структуры и частные компании для проведения операций кибершпионажа.

Kimsuky использует различные методы первоначального заражения, включая использование PowerShell в недавнем сценарии атаки.

Для заражения используется вредоносный документ Word с макросом, который обманом заставляет жертв включать контент, выполняющий вредоносный код.

Инструмент Oledump от Oletools используется для анализа потоков макросов в документе, выявляя атрибуты макросов и потенциальные ссылки для дальнейшего анализа.

Макрос содержит функцию с именем "executeps", которая считывает и выполняет содержимое из файла с именем `bobo.txt" с помощью PowerShell.

Дальнейшее исследование с использованием инструмента olevba выявляет сценарий PowerShell, хранящийся в потоке макросов, с командами для загрузки и выполнения дополнительных сценариев, таких как `flower01.ps1`.

Сценарий PowerShell включает глобальные переменные для сохранения, целевые URL-адреса, пути к файлам и запуск полезных нагрузок, настройки механизмов сбора системной информации, связи C2, загрузки данных и возможности удаленного управления.

#ParsedReport #CompletenessLow
09-03-2024

Tracking Adversaries: UAC-0050, Cracking The DaVinci Code. Adversary and Victims

https://blog.bushidotoken.net/2024/03/tracking-adversaries-uac-0050-cracking.html

Report completeness: Low

Actors/Campaigns:
Uac-0050 (motivation: cyber_criminal)
Fancy_bear
Sandworm
Gamaredon
Turla
Duke

Threats:
Hermeticwiper
Remcos_rat
Quasar_rat
Venomrat
Remoteutilities_tool
Lumma_stealer
Hack-for-hire

Victims:
Ukrainian organizations, Government ministries, Local authorities, Ukrainian military, Civilians

Industry:
Military, Government, Media, Telco, Financial

Geo:
Moscow, Russian, Russia, Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1102, T1583, T1584, T1071, T1132, T1204, T1027, T1568, have more...

IOCs:
Path: 1
Email: 1
Domain: 5

Soft:
Instagram, Telegram, Gmail

Crypto:
bitcoin

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что базирующаяся в России группа наемников DaVinci Group проводит вредоносную кибердеятельность, нацеленную на украинские организации, с момента российского вторжения в Украину в 2022 году. Считается, что группировка имеет связи с российскими правоохранительными органами и выступает в качестве посредников первоначального доступа для более серьезных группировок, представляющих угрозу. Они используют различные готовые инструменты для борьбы с преступностью в своих операциях и нацелены на правительственные министерства, местные органы власти, украинских военных и гражданских лиц с помощью вредоносных спам-атак. Группа также предлагает услуги по взлому и слежке на своем веб-сайте, потенциально сотрудничая с российскими спецслужбами в борьбе с Украиной.
-----

В тексте обсуждается базирующаяся в России группа наемников, известная как Группа Давинчи, идентифицированная как UAC-0050 в отчетах CERT-UA. Эта группа занимается вредоносной деятельностью, нацеленной на украинские организации, используя различные тактики, методы и процедуры (TTP) с момента российского вторжения в Украину в 2022 году. Группа DaVinci была связана с российскими правоохранительными органами и, как полагают, выступает в качестве посредников первоначального доступа (IAB) для более серьезных группировок, представляющих угрозу, таких как Sandworm, Fancy Bear и Armageddon Group.

Было установлено, что группа использует в своих вредоносных спам-кампаниях готовые вредоносные программы, такие как Remcos RAT, Quasar RAT, Venom RAT, RemoteUtilities RMM и LummaStealer. Они нацелились на различные организации, включая правительственные министерства, местные органы власти, украинских военных и гражданских лиц с помощью вредоносных спам-атак. Группа DaVinci получила десятки тысяч украинских адресов электронной почты для проведения своих операций.

В ноябре 2023 года группа рассылала электронные письма malspam, выдавая себя за судебные органы и службы безопасности Украины, содержащие вредоносные вложения, такие как Remcos RAT. В январе 2024 года они изменили свою тактику, выдавая себя за другие государственные структуры Украины, распространяя либо ссылки на Bitbucket, либо файлы RAR, содержащие вредоносные инструменты, такие как легитимный инструмент RMM RemoteUtilities. Артефакты, которыми поделилась CERT-UA, помогли идентифицировать инфраструктуру и деятельность группы.

У DaVinci Group также есть веб-сайт, на котором они предлагают различные услуги по взлому и слежке, включая взлом электронной почты и учетных записей в социальных сетях, запуск DoS-атак и доступ к камерам видеонаблюдения. Они используют маркетинговую тактику, такую как наем моделей для продвижения своих услуг. Группа взимает разные цены за различные услуги, такие как взлом служб обмена сообщениями, аккаунтов в социальных сетях и проведение мероприятий по слежке.

На русскоязычном форуме группа предложила услуги, связанные с получением сведений о SMS, сопоставлением вызовов, сбором информации о физических и юридических лицах и поиском в базах данных, таких как Интерпол и Европол. Этим действиям способствует инсайдерский доступ или злоупотребление властью в российских операторах мобильной связи и телекоммуникационных компаниях.

В тексте предполагается, что группа DaVinci может иметь связи с российским правительством и сотрудничать с российскими спецслужбами, нацеливаясь на Украину. Отсутствие у группы оперативной безопасности (OPSEC) и использование их собственного веб-сайта в качестве сервера командования и контроля (C2) вызывают вопросы об их намерениях. Предполагается, что группа DaVinci могла пытаться привлечь к себе внимание, возможно, стремясь получить контракты с российскими APT-группами, такими как Sandworm, Turla или CozyBear, аффилированными с ГРУ, ФСБ и СВР соответственно.

#ParsedReport #CompletenessMedium
11-03-2024

Andariel Group (MeshAgent) is attacking by abusing domestic asset management solutions

https://asec.ahnlab.com/ko/62771

Report completeness: Medium

Actors/Campaigns:
Andariel (motivation: financially_motivated)
Kimsuky
Lazarus

Threats:
Meshagent
Andarloader
Andardoor
Koivm
Dotfuscator_tool
Mimikatz_tool
Wevtutil_tool
Frpc_tool
Spear-phishing_technique
Watering_hole_technique
Backdoor/js.modeloader.sc197310
Trojan/win.generic.c5384741
Trojan/win.keylogger.c5542383
Trojan/win32.rl_mimikatz.r366782

Victims:
Domestic companies

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1190, T1547, T1059, T1566, T1071, T1021, T1550, T1112, T1070, T1543, have more...

IOCs:
File: 4
Command: 2
Path: 2
Hash: 4
Domain: 2
IP: 1
Url: 10

Soft:
Innorix Agent

Algorithms:
md5, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4