#ParsedReport #CompletenessLow
09-03-2024

Tracking Adversaries: UAC-0050, Cracking The DaVinci Code. Adversary and Victims

https://blog.bushidotoken.net/2024/03/tracking-adversaries-uac-0050-cracking.html

Report completeness: Low

Actors/Campaigns:
Uac-0050 (motivation: cyber_criminal)
Fancy_bear
Sandworm
Gamaredon
Turla
Duke

Threats:
Hermeticwiper
Remcos_rat
Quasar_rat
Venomrat
Remoteutilities_tool
Lumma_stealer
Hack-for-hire

Victims:
Ukrainian organizations, Government ministries, Local authorities, Ukrainian military, Civilians

Industry:
Military, Government, Media, Telco, Financial

Geo:
Moscow, Russian, Russia, Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1102, T1583, T1584, T1071, T1132, T1204, T1027, T1568, have more...

IOCs:
Path: 1
Email: 1
Domain: 5

Soft:
Instagram, Telegram, Gmail

Crypto:
bitcoin

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что базирующаяся в России группа наемников DaVinci Group проводит вредоносную кибердеятельность, нацеленную на украинские организации, с момента российского вторжения в Украину в 2022 году. Считается, что группировка имеет связи с российскими правоохранительными органами и выступает в качестве посредников первоначального доступа для более серьезных группировок, представляющих угрозу. Они используют различные готовые инструменты для борьбы с преступностью в своих операциях и нацелены на правительственные министерства, местные органы власти, украинских военных и гражданских лиц с помощью вредоносных спам-атак. Группа также предлагает услуги по взлому и слежке на своем веб-сайте, потенциально сотрудничая с российскими спецслужбами в борьбе с Украиной.
-----

В тексте обсуждается базирующаяся в России группа наемников, известная как Группа Давинчи, идентифицированная как UAC-0050 в отчетах CERT-UA. Эта группа занимается вредоносной деятельностью, нацеленной на украинские организации, используя различные тактики, методы и процедуры (TTP) с момента российского вторжения в Украину в 2022 году. Группа DaVinci была связана с российскими правоохранительными органами и, как полагают, выступает в качестве посредников первоначального доступа (IAB) для более серьезных группировок, представляющих угрозу, таких как Sandworm, Fancy Bear и Armageddon Group.

Было установлено, что группа использует в своих вредоносных спам-кампаниях готовые вредоносные программы, такие как Remcos RAT, Quasar RAT, Venom RAT, RemoteUtilities RMM и LummaStealer. Они нацелились на различные организации, включая правительственные министерства, местные органы власти, украинских военных и гражданских лиц с помощью вредоносных спам-атак. Группа DaVinci получила десятки тысяч украинских адресов электронной почты для проведения своих операций.

В ноябре 2023 года группа рассылала электронные письма malspam, выдавая себя за судебные органы и службы безопасности Украины, содержащие вредоносные вложения, такие как Remcos RAT. В январе 2024 года они изменили свою тактику, выдавая себя за другие государственные структуры Украины, распространяя либо ссылки на Bitbucket, либо файлы RAR, содержащие вредоносные инструменты, такие как легитимный инструмент RMM RemoteUtilities. Артефакты, которыми поделилась CERT-UA, помогли идентифицировать инфраструктуру и деятельность группы.

У DaVinci Group также есть веб-сайт, на котором они предлагают различные услуги по взлому и слежке, включая взлом электронной почты и учетных записей в социальных сетях, запуск DoS-атак и доступ к камерам видеонаблюдения. Они используют маркетинговую тактику, такую как наем моделей для продвижения своих услуг. Группа взимает разные цены за различные услуги, такие как взлом служб обмена сообщениями, аккаунтов в социальных сетях и проведение мероприятий по слежке.

На русскоязычном форуме группа предложила услуги, связанные с получением сведений о SMS, сопоставлением вызовов, сбором информации о физических и юридических лицах и поиском в базах данных, таких как Интерпол и Европол. Этим действиям способствует инсайдерский доступ или злоупотребление властью в российских операторах мобильной связи и телекоммуникационных компаниях.

В тексте предполагается, что группа DaVinci может иметь связи с российским правительством и сотрудничать с российскими спецслужбами, нацеливаясь на Украину. Отсутствие у группы оперативной безопасности (OPSEC) и использование их собственного веб-сайта в качестве сервера командования и контроля (C2) вызывают вопросы об их намерениях. Предполагается, что группа DaVinci могла пытаться привлечь к себе внимание, возможно, стремясь получить контракты с российскими APT-группами, такими как Sandworm, Turla или CozyBear, аффилированными с ГРУ, ФСБ и СВР соответственно.

#ParsedReport #CompletenessMedium
11-03-2024

Andariel Group (MeshAgent) is attacking by abusing domestic asset management solutions

https://asec.ahnlab.com/ko/62771

Report completeness: Medium

Actors/Campaigns:
Andariel (motivation: financially_motivated)
Kimsuky
Lazarus

Threats:
Meshagent
Andarloader
Andardoor
Koivm
Dotfuscator_tool
Mimikatz_tool
Wevtutil_tool
Frpc_tool
Spear-phishing_technique
Watering_hole_technique
Backdoor/js.modeloader.sc197310
Trojan/win.generic.c5384741
Trojan/win.keylogger.c5542383
Trojan/win32.rl_mimikatz.r366782

Victims:
Domestic companies

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1190, T1547, T1059, T1566, T1071, T1021, T1550, T1112, T1070, T1543, have more...

IOCs:
File: 4
Command: 2
Path: 2
Hash: 4
Domain: 2
IP: 1
Url: 10

Soft:
Innorix Agent

Algorithms:
md5, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Группа Andariel, представляющая серьезную киберугрозу, нацеленную на местные корейские компании, использует различные продвинутые вредоносные программы, такие как AndarLoader и ModeLoader, для получения удаленного контроля над системами, кражи учетных данных и проведения действий после заражения. Их тактика эволюционировала от поиска информации к финансовой выгоде, и пользователей предупреждают быть осторожными с вложениями электронной почты, загрузками и обновлениями программного обеспечения.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил, что группа Andariel активно нацеливается на местные корейские компании посредством непрерывных атак. В своих недавних выводах ASEC подтвердила установку MeshAgent, инструмента удаленного управления, во время этих атак. MeshAgent используется злоумышленниками для получения удаленного контроля над системами путем использования внутренних решений по управлению активами. У Andariel group есть история злоупотреблений такими решениями для распространения вредоносного ПО для горизонтального перемещения внутри сетей.

Вредоносная программа AndarLoader, представленная в сообщении в блоге ASEC, является ключевым инструментом, используемым группой Andariel. В отличие от своего предшественника Andardoor, AndarLoader загружает исполняемые данные с сервера командования и контроля (C&C) для запуска в памяти. Он обфускируется с помощью KoiVM, что является отходом от предыдущих методов обфускации, но сохраняет строки, аналогичные предыдущим версиям. Использование MeshAgent группой Andariel было замечено впервые, когда инструмент был загружен извне под именем fav.ico.

ModeLoader, еще одно вредоносное ПО, используемое группой Andariel, представляет собой вредоносное ПО на основе JavaScript, выполняемое извне с помощью команды Mshta. Оно взаимодействует со своим сервером C&C для получения команд и отправки результатов. Злоумышленники используют ModeLoader для установки дополнительного вредоносного кода на зараженные системы. В сообщенных атаках группа Andariel использовала различные тактики, включая установку Mimikatz для кражи учетных данных, изменение системных настроек, чтобы включить поиск пароля, и удаление журналов событий безопасности с помощью AndarLoader.

В большинстве случаев в ходе этой кампании атак была выявлена вредоносная программа Keylogger, предоставляющая функции регистрации клавиатуры и буфера обмена. Захваченные данные сохраняются по определенному пути в зараженной системе. Кроме того, группа Andariel продемонстрировала действия после заражения, включающие удаленное управление экраном. Для этой цели они использовали такие инструменты, как MeshAgent и RDP, причем Frpc, возможно, использовался для подключения к зараженным системам в частных сетях через RDP.

Группа Andariel, наряду с другими группами угроз, такими как Kimsuky и Lazarus, представляет значительную киберугрозу для Южной Кореи. Их атаки эволюционировали от поиска информации, связанной с безопасностью, до получения финансовой выгоды. Первоначальные вторжения часто включают в себя скрытый фишинг, атаки на водопои и использование уязвимостей программного обеспечения. Пользователям рекомендуется проявлять осторожность при работе с вложениями электронной почты из неизвестных источников, загружать исполняемые файлы с веб-сайтов и обновлять свое программное обеспечение для предотвращения заражения вредоносными программами.

#ParsedReport #CompletenessHigh
11-03-2024

Evasive Panda leverages Monlam Festival to target Tibetans

https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans

Report completeness: High

Actors/Campaigns:
Daggerfly (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Watering_hole_technique
Nightdoor_backdoor
Mgbot
Aitm_technique
Dll_sideloading_technique
Process_injection_technique

Victims:
Kagyu international monlam trust, Georgia institute of technology, Tibetans, Software development company producing tibetan language translation software, Tibetpost

Industry:
Government, Telco, Education

Geo:
Tibetan, Tibetpost, Japan, India, Malaysia, Australia, Georgia, Philippines, Sydney, Asia, Myanmar, Nigeria, Taiwan, Chinese, Tibetans, Vietnam, Ukraine, China

TTPs:
Tactics: 9
Technics: 41

IOCs:
File: 22
Domain: 3
Url: 12
IP: 3
Hash: 4
Path: 1
Registry: 1

Soft:
macOS, Google Chrome, curl, Windows registry, pidgin, Windows Service, Windows Firewall

Algorithms:
zip, md5

Languages:
php, javascript, rust

Platforms:
arm, x64, x86, intel, apple

Links:
https://github.com/eset/malware-ioc/tree/master/evasive\_panda
https://github.com/CherryPill/system\_info

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 9, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии кампании кибершпионажа, направленной против тибетцев группой Evasive Panda APT, посредством стратегических веб-компрометаций, атак на цепочки поставок и развертывания бэкдоров, таких как вредоносные программы Nightdoor и MgBot. Злоумышленники использовали различные методы, чтобы избежать обнаружения, нацеливались на частных лиц и государственные учреждения в разных регионах и использовали пользовательские вредоносные программы для слежки за жертвами и расширения возможностей. Исследователи ESET с высокой степенью уверенности приписали кампанию Evasive Panda APT group, основываясь на используемом вредоносном ПО и исторических наблюдениях, подчеркнув глубокое понимание концепций кибербезопасности, продемонстрированное злоумышленниками.
-----

Исследователи ESET раскрыли кампанию кибершпионажа, направленную против тибетцев с помощью веб-компрометации и атак на цепочки поставок, по крайней мере, с сентября 2023 года.

Кампания использовала атаку "водопой" и троянские программы установки программного обеспечения на тибетском языке для развертывания вредоносных загрузчиков, нацеленных на Windows и macOS.

Злоумышленники внедрили бэкдор Nightdoor наряду с вредоносным ПО MgBot и скомпрометировали веб-сайты, связанные с фестивалем Монлам и тибетской компанией-разработчиком программного обеспечения.

Участники угроз, идентифицированные как группа Evasive Panda APT, говорят по-китайски и нацелились на частных лиц и государственные учреждения в различных странах.

Группа использует пользовательский фреймворк вредоносного ПО с модульной архитектурой, позволяющий с 2020 года шпионить за жертвами и проводить атаки "противник посередине".

В январе 2024 года злоумышленники скомпрометировали веб-сайты для скрытых атак и нацелились на цепочку поставок тибетского разработчика программного обеспечения, используя поддельные страницы с ошибками для распространения вредоносного ПО.

Злоумышленники избежали обнаружения путем запутывания кода, использования цепочек боковой загрузки для доставки полезной нагрузки и использования MAC- и IP-адресов потенциальных жертв.

Бэкдор Nightdoor, идентифицированный как NetMM, связывался с сервером C&C через UDP или Google Drive API, шифруя токен Google API для доступа.

Исследователи ESET с высокой степенью уверенности приписали кампанию кибершпионажа группе Evasive Panda APT, отметив их глубокое понимание концепций и тактики кибербезопасности.

#technique

AndroidDriveSignity is a Python utility designed to bypass driver signature verification in Android kernel(ARMv8.3), facilitating the loading of custom drivers

https://github.com/gmh5225/AndroidDriveSignity

#technique

YARP as a C2 Redirector

https://rastamouse.me/yarp-as-a-c2-redirector/

Прилетело в фидах. Рашен хакерс детектед.

#ParsedReport #CompletenessLow
11-03-2024

GuLoader Downloaded: A Look at the Latest Iteration

https://cyberint.com/blog/other/guloader-downloaded-a-look-at-the-latest-iteration

Report completeness: Low

Threats:
Cloudeye
Raccoon_stealer
Vidar_stealer
Redline_stealer
Remcos_rat
Supply_chain_technique

Industry:
E-commerce, Financial

TTPs:
Tactics: 8
Technics: 14

Soft:
NSIS installer, Microsoft OneDrive, hatsApp U

Languages:
visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что GuLoader - это сложный и постоянно развивающийся загрузчик, используемый в кибератаках для доставки различных типов вредоносных программ. Он использует передовые методы, позволяющие избежать обнаружения, такие как шифрование своих полезных данных и хранение их в популярных облачных сервисах. GuLoader распространяется через спам-рассылки, использует текущие события, такие как COVID-19, и выдает себя за законных лиц, чтобы обманом заставить жертв загружать зараженные файлы. Его доступность в качестве сервиса с удобными инструкциями привлекла многочисленных клиентов, что способствовало его значительному влиянию на распространение инструментов удаленного администрирования (RATs) и вредоносных программ для кражи данных, представляющих риски как для частных лиц, так и для предприятий.
-----

GuLoader - это хорошо зарекомендовавший себя загрузчик, известный тем, что доставляет различные типы вредоносных программ с использованием шеллкода при кибератаках.

Он активен уже более трех лет и постоянно совершенствуется с помощью новых методов антианализа, позволяющих избежать обнаружения.

Последние образцы GuLoader позволяют избежать обнаружения в VirusTotal и эффективно скрывать вредоносную полезную нагрузку.

GuLoader шифрует свои полезные данные, включая заголовки PE, позволяя злоумышленникам хранить их в популярных общедоступных облачных сервисах в обход антивирусного программного обеспечения.

Первоначально он появился как приложения VB6, но теперь преимущественно использует VBScript и NSIS installer.

GuLoader использует кампании по рассылке спама по электронной почте и поддельные счета-фактуры для распространения, эксплуатируя страхи и используя методы социальной инженерии, чтобы обманом заставить жертв загружать зараженные файлы.

Он доступен как услуга по низкой цене в clearnet, привлекая более 5000 клиентов, и, как ожидается, приобретет дальнейшую популярность благодаря своим передовым мерам защиты от обнаружения и удобному интерфейсу.

GuLoader играет важную роль в распространении инструментов удаленного администрирования (RATs) и вредоносных программ для кражи данных, нацеленных на личную информацию пользователей, которая продается на подпольных рынках данных.

Крупномасштабные кампании вредоносного ПО используют GuLoader для заражения пользовательских систем вредоносными программами, крадущими данные, такими как Raccoon, Vidar и Redline, а также для распространения товарных крыс, таких как Remcos, создавая риски компрометации конфиденциальных данных и нарушений безопасности.

#ParsedReport #CompletenessLow
11-03-2024

Kimsucky 2

https://somedieyoungzz.github.io/posts/kimsucky-2

Report completeness: Low

Threats:
Spear-phishing_technique
Watering_hole_technique

Geo:
Korea, Korean, Japan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1059.001, T1566, T1189, T1027.004

IOCs:
IP: 1
File: 14
Hash: 1

Soft:
Discord

Algorithms:
rc4, md5, sha256, sha1

Functions:
GetHostAddresses, GetStream, GetMacAddress, GetBytes, RemoveHyphen

Win API:
GetTickCount

Languages:
powershell, php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В сообщении в блоге обсуждалась деятельность базирующейся в Северной Корее APT-группы под названием Kimsucky APT, нацеленной на организации в Южной Корее, Японии и Соединенных Штатах с помощью вредоносного скрипта PowerShell для кражи данных и удаленного доступа. Сценарий использует тактику социальной инженерии, такую как точечный фишинг и атаки на водопой, используя технику бэкдора и метод компиляции после доставки. Несмотря на трудности с поиском серверного кода, анализ дает представление о деятельности группы и проблемах с раскрытием дополнительных деталей об их инфраструктуре.
-----

В сообщении в блоге обсуждалась деятельность базирующейся в Северной Корее APT-группы, известной как Kimsucky APT, сосредоточив внимание на вредоносном документе, использующем сценарий PowerShell для вредоносных целей. Группа в первую очередь нацелена на организации в Южной Корее, Японии и Соединенных Штатах, используя такие методы, как вредоносные документы с эксплойтами или ссылки для загрузки вредоносных программ для кражи данных или удаленного доступа. Применяемая тактика включает методы социальной инженерии, такие как точечный фишинг и атаки на водопой, чтобы получить первоначальный доступ. Автор обнаружил образец Kimsucky во время обычного просмотра, подчеркнув его простоту, помогающую понять операции PowerShell. В образце не было подключений или IP-адреса сервера управления (C2) в сценарии. Сценарий PowerShell содержит функцию с именем RemoteFileManager, запускаемую командой Add-Type для динамического определения новых типов в PowerShell, часто используемую для создания .Сетевые классы и перечислимые типы. Скрипт включает в себя элементы, которые формируют код бэкдора, при этом некоторые функции остаются открытыми для интерпретации. Скрипт реализует метод компиляции после доставки, используя csc.exe для компиляции .Net-код, служащий инструментом бэкдора, используемым Kimsucky APT. Автору не удалось найти серверный код или сам сервер, но пользователь Twitter поделился информацией о сервере, призвав всех, у кого есть более подробная информация, связаться с ним.

Это краткое изложение содержит обзор записи в блоге, в которой подробно описывается деятельность группы Kimsucky APT, их тактика, методы и цели, а также информация о скрипте PowerShell, используемом группой в злонамеренных целях. Анализ освещает функции и структуру скрипта, проливает свет на деятельность группы и проблемы, с которыми приходится сталкиваться при раскрытии дополнительных сведений об инфраструктуре APT group.