#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Группа Andariel, представляющая серьезную киберугрозу, нацеленную на местные корейские компании, использует различные продвинутые вредоносные программы, такие как AndarLoader и ModeLoader, для получения удаленного контроля над системами, кражи учетных данных и проведения действий после заражения. Их тактика эволюционировала от поиска информации к финансовой выгоде, и пользователей предупреждают быть осторожными с вложениями электронной почты, загрузками и обновлениями программного обеспечения.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил, что группа Andariel активно нацеливается на местные корейские компании посредством непрерывных атак. В своих недавних выводах ASEC подтвердила установку MeshAgent, инструмента удаленного управления, во время этих атак. MeshAgent используется злоумышленниками для получения удаленного контроля над системами путем использования внутренних решений по управлению активами. У Andariel group есть история злоупотреблений такими решениями для распространения вредоносного ПО для горизонтального перемещения внутри сетей.

Вредоносная программа AndarLoader, представленная в сообщении в блоге ASEC, является ключевым инструментом, используемым группой Andariel. В отличие от своего предшественника Andardoor, AndarLoader загружает исполняемые данные с сервера командования и контроля (C&C) для запуска в памяти. Он обфускируется с помощью KoiVM, что является отходом от предыдущих методов обфускации, но сохраняет строки, аналогичные предыдущим версиям. Использование MeshAgent группой Andariel было замечено впервые, когда инструмент был загружен извне под именем fav.ico.

ModeLoader, еще одно вредоносное ПО, используемое группой Andariel, представляет собой вредоносное ПО на основе JavaScript, выполняемое извне с помощью команды Mshta. Оно взаимодействует со своим сервером C&C для получения команд и отправки результатов. Злоумышленники используют ModeLoader для установки дополнительного вредоносного кода на зараженные системы. В сообщенных атаках группа Andariel использовала различные тактики, включая установку Mimikatz для кражи учетных данных, изменение системных настроек, чтобы включить поиск пароля, и удаление журналов событий безопасности с помощью AndarLoader.

В большинстве случаев в ходе этой кампании атак была выявлена вредоносная программа Keylogger, предоставляющая функции регистрации клавиатуры и буфера обмена. Захваченные данные сохраняются по определенному пути в зараженной системе. Кроме того, группа Andariel продемонстрировала действия после заражения, включающие удаленное управление экраном. Для этой цели они использовали такие инструменты, как MeshAgent и RDP, причем Frpc, возможно, использовался для подключения к зараженным системам в частных сетях через RDP.

Группа Andariel, наряду с другими группами угроз, такими как Kimsuky и Lazarus, представляет значительную киберугрозу для Южной Кореи. Их атаки эволюционировали от поиска информации, связанной с безопасностью, до получения финансовой выгоды. Первоначальные вторжения часто включают в себя скрытый фишинг, атаки на водопои и использование уязвимостей программного обеспечения. Пользователям рекомендуется проявлять осторожность при работе с вложениями электронной почты из неизвестных источников, загружать исполняемые файлы с веб-сайтов и обновлять свое программное обеспечение для предотвращения заражения вредоносными программами.

#ParsedReport #CompletenessHigh
11-03-2024

Evasive Panda leverages Monlam Festival to target Tibetans

https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans

Report completeness: High

Actors/Campaigns:
Daggerfly (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Watering_hole_technique
Nightdoor_backdoor
Mgbot
Aitm_technique
Dll_sideloading_technique
Process_injection_technique

Victims:
Kagyu international monlam trust, Georgia institute of technology, Tibetans, Software development company producing tibetan language translation software, Tibetpost

Industry:
Government, Telco, Education

Geo:
Tibetan, Tibetpost, Japan, India, Malaysia, Australia, Georgia, Philippines, Sydney, Asia, Myanmar, Nigeria, Taiwan, Chinese, Tibetans, Vietnam, Ukraine, China

TTPs:
Tactics: 9
Technics: 41

IOCs:
File: 22
Domain: 3
Url: 12
IP: 3
Hash: 4
Path: 1
Registry: 1

Soft:
macOS, Google Chrome, curl, Windows registry, pidgin, Windows Service, Windows Firewall

Algorithms:
zip, md5

Languages:
php, javascript, rust

Platforms:
arm, x64, x86, intel, apple

Links:
https://github.com/eset/malware-ioc/tree/master/evasive\_panda
https://github.com/CherryPill/system\_info

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 9, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии кампании кибершпионажа, направленной против тибетцев группой Evasive Panda APT, посредством стратегических веб-компрометаций, атак на цепочки поставок и развертывания бэкдоров, таких как вредоносные программы Nightdoor и MgBot. Злоумышленники использовали различные методы, чтобы избежать обнаружения, нацеливались на частных лиц и государственные учреждения в разных регионах и использовали пользовательские вредоносные программы для слежки за жертвами и расширения возможностей. Исследователи ESET с высокой степенью уверенности приписали кампанию Evasive Panda APT group, основываясь на используемом вредоносном ПО и исторических наблюдениях, подчеркнув глубокое понимание концепций кибербезопасности, продемонстрированное злоумышленниками.
-----

Исследователи ESET раскрыли кампанию кибершпионажа, направленную против тибетцев с помощью веб-компрометации и атак на цепочки поставок, по крайней мере, с сентября 2023 года.

Кампания использовала атаку "водопой" и троянские программы установки программного обеспечения на тибетском языке для развертывания вредоносных загрузчиков, нацеленных на Windows и macOS.

Злоумышленники внедрили бэкдор Nightdoor наряду с вредоносным ПО MgBot и скомпрометировали веб-сайты, связанные с фестивалем Монлам и тибетской компанией-разработчиком программного обеспечения.

Участники угроз, идентифицированные как группа Evasive Panda APT, говорят по-китайски и нацелились на частных лиц и государственные учреждения в различных странах.

Группа использует пользовательский фреймворк вредоносного ПО с модульной архитектурой, позволяющий с 2020 года шпионить за жертвами и проводить атаки "противник посередине".

В январе 2024 года злоумышленники скомпрометировали веб-сайты для скрытых атак и нацелились на цепочку поставок тибетского разработчика программного обеспечения, используя поддельные страницы с ошибками для распространения вредоносного ПО.

Злоумышленники избежали обнаружения путем запутывания кода, использования цепочек боковой загрузки для доставки полезной нагрузки и использования MAC- и IP-адресов потенциальных жертв.

Бэкдор Nightdoor, идентифицированный как NetMM, связывался с сервером C&C через UDP или Google Drive API, шифруя токен Google API для доступа.

Исследователи ESET с высокой степенью уверенности приписали кампанию кибершпионажа группе Evasive Panda APT, отметив их глубокое понимание концепций и тактики кибербезопасности.

#technique

AndroidDriveSignity is a Python utility designed to bypass driver signature verification in Android kernel(ARMv8.3), facilitating the loading of custom drivers

https://github.com/gmh5225/AndroidDriveSignity

#technique

YARP as a C2 Redirector

https://rastamouse.me/yarp-as-a-c2-redirector/

Прилетело в фидах. Рашен хакерс детектед.

#ParsedReport #CompletenessLow
11-03-2024

GuLoader Downloaded: A Look at the Latest Iteration

https://cyberint.com/blog/other/guloader-downloaded-a-look-at-the-latest-iteration

Report completeness: Low

Threats:
Cloudeye
Raccoon_stealer
Vidar_stealer
Redline_stealer
Remcos_rat
Supply_chain_technique

Industry:
E-commerce, Financial

TTPs:
Tactics: 8
Technics: 14

Soft:
NSIS installer, Microsoft OneDrive, hatsApp U

Languages:
visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что GuLoader - это сложный и постоянно развивающийся загрузчик, используемый в кибератаках для доставки различных типов вредоносных программ. Он использует передовые методы, позволяющие избежать обнаружения, такие как шифрование своих полезных данных и хранение их в популярных облачных сервисах. GuLoader распространяется через спам-рассылки, использует текущие события, такие как COVID-19, и выдает себя за законных лиц, чтобы обманом заставить жертв загружать зараженные файлы. Его доступность в качестве сервиса с удобными инструкциями привлекла многочисленных клиентов, что способствовало его значительному влиянию на распространение инструментов удаленного администрирования (RATs) и вредоносных программ для кражи данных, представляющих риски как для частных лиц, так и для предприятий.
-----

GuLoader - это хорошо зарекомендовавший себя загрузчик, известный тем, что доставляет различные типы вредоносных программ с использованием шеллкода при кибератаках.

Он активен уже более трех лет и постоянно совершенствуется с помощью новых методов антианализа, позволяющих избежать обнаружения.

Последние образцы GuLoader позволяют избежать обнаружения в VirusTotal и эффективно скрывать вредоносную полезную нагрузку.

GuLoader шифрует свои полезные данные, включая заголовки PE, позволяя злоумышленникам хранить их в популярных общедоступных облачных сервисах в обход антивирусного программного обеспечения.

Первоначально он появился как приложения VB6, но теперь преимущественно использует VBScript и NSIS installer.

GuLoader использует кампании по рассылке спама по электронной почте и поддельные счета-фактуры для распространения, эксплуатируя страхи и используя методы социальной инженерии, чтобы обманом заставить жертв загружать зараженные файлы.

Он доступен как услуга по низкой цене в clearnet, привлекая более 5000 клиентов, и, как ожидается, приобретет дальнейшую популярность благодаря своим передовым мерам защиты от обнаружения и удобному интерфейсу.

GuLoader играет важную роль в распространении инструментов удаленного администрирования (RATs) и вредоносных программ для кражи данных, нацеленных на личную информацию пользователей, которая продается на подпольных рынках данных.

Крупномасштабные кампании вредоносного ПО используют GuLoader для заражения пользовательских систем вредоносными программами, крадущими данные, такими как Raccoon, Vidar и Redline, а также для распространения товарных крыс, таких как Remcos, создавая риски компрометации конфиденциальных данных и нарушений безопасности.

#ParsedReport #CompletenessLow
11-03-2024

Kimsucky 2

https://somedieyoungzz.github.io/posts/kimsucky-2

Report completeness: Low

Threats:
Spear-phishing_technique
Watering_hole_technique

Geo:
Korea, Korean, Japan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1059.001, T1566, T1189, T1027.004

IOCs:
IP: 1
File: 14
Hash: 1

Soft:
Discord

Algorithms:
rc4, md5, sha256, sha1

Functions:
GetHostAddresses, GetStream, GetMacAddress, GetBytes, RemoveHyphen

Win API:
GetTickCount

Languages:
powershell, php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В сообщении в блоге обсуждалась деятельность базирующейся в Северной Корее APT-группы под названием Kimsucky APT, нацеленной на организации в Южной Корее, Японии и Соединенных Штатах с помощью вредоносного скрипта PowerShell для кражи данных и удаленного доступа. Сценарий использует тактику социальной инженерии, такую как точечный фишинг и атаки на водопой, используя технику бэкдора и метод компиляции после доставки. Несмотря на трудности с поиском серверного кода, анализ дает представление о деятельности группы и проблемах с раскрытием дополнительных деталей об их инфраструктуре.
-----

В сообщении в блоге обсуждалась деятельность базирующейся в Северной Корее APT-группы, известной как Kimsucky APT, сосредоточив внимание на вредоносном документе, использующем сценарий PowerShell для вредоносных целей. Группа в первую очередь нацелена на организации в Южной Корее, Японии и Соединенных Штатах, используя такие методы, как вредоносные документы с эксплойтами или ссылки для загрузки вредоносных программ для кражи данных или удаленного доступа. Применяемая тактика включает методы социальной инженерии, такие как точечный фишинг и атаки на водопой, чтобы получить первоначальный доступ. Автор обнаружил образец Kimsucky во время обычного просмотра, подчеркнув его простоту, помогающую понять операции PowerShell. В образце не было подключений или IP-адреса сервера управления (C2) в сценарии. Сценарий PowerShell содержит функцию с именем RemoteFileManager, запускаемую командой Add-Type для динамического определения новых типов в PowerShell, часто используемую для создания .Сетевые классы и перечислимые типы. Скрипт включает в себя элементы, которые формируют код бэкдора, при этом некоторые функции остаются открытыми для интерпретации. Скрипт реализует метод компиляции после доставки, используя csc.exe для компиляции .Net-код, служащий инструментом бэкдора, используемым Kimsucky APT. Автору не удалось найти серверный код или сам сервер, но пользователь Twitter поделился информацией о сервере, призвав всех, у кого есть более подробная информация, связаться с ним.

Это краткое изложение содержит обзор записи в блоге, в которой подробно описывается деятельность группы Kimsucky APT, их тактика, методы и цели, а также информация о скрипте PowerShell, используемом группой в злонамеренных целях. Анализ освещает функции и структуру скрипта, проливает свет на деятельность группы и проблемы, с которыми приходится сталкиваться при раскрытии дополнительных сведений об инфраструктуре APT group.

#ParsedReport #CompletenessMedium
11-03-2024

Ongoing ITG05 operations leverage evolving malware arsenal in global campaigns

https://securityintelligence.com/x-force/itg05-leverages-malware-arsenal

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Forest_blizzard

Threats:
Masepie_tool
Oceanmap
Steelhook
Headlace
Beacon
Poshc2_tool
Ironjaw

Victims:
Government organizations, Non-governmental organizations (ngos), Power construction corporation of china (powerchina), Municipality of saladas, Ministry of economy of argentina, Georgian center for security and development, Us navy, Ministry of defense of the republic of kazakhstan

Industry:
Ngo, Government, Military, Healthcare, Transport, Maritime, Financial

Geo:
Azerbaijan, Kazakhstan, Georgia, Poland, French, Indian, Russian, China, Armenia, America, Pacific, Ukraine, Belarussian, Russia, Argentina, Ukrainian, Belarus, Georgian, Moscow, Asia

CVEs:
CVE-2024-21410 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2019)

CVE-2024-21413 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)

CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1071, T1059, T1547, T1105, T1056, T1021, T1047, have more...

IOCs:
Domain: 30
File: 3
Hash: 5
IP: 4

Soft:
mockbin, Windows File Explorer, Windows Explorer, Microsoft Office, Outlook, Microsoft Exchange, Google Chrome, Microsoft Edge, Microsoft Exchange server

Algorithms:
aes-128-cbc, base64, sha256

Functions:
create

Languages:
javascript, powershell, python

Links:
https://github.com/projectdiscovery/interactsh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа киберугроз ITG05, идентифицированная как спонсируемая российским государством группа, активно проводит сложные фишинговые кампании с февраля 2024 года. Эти кампании предполагают использование поддельных документов, выдающих себя за различные организации в разных регионах, с акцентом на эволюционирующие методы и возможности вредоносного ПО. Операции ITG05 направлены на поддержку государственных целей в глобальном масштабе и предполагают использование бэкдоров, таких как MASEPIE и OCEANMAP, а также передовых тактик, таких как злоупотребление протоколом search-ms и серверами WebDAV.
-----

Группа по борьбе с киберугрозами ITG05 с февраля 2024 года проводит многочисленные постоянные фишинговые кампании, нацеленные на организации в разных регионах, включая Европу, Южный Кавказ, Центральную Азию, Северную и Южную Америку.

ITG05 использует документы-приманки, имитирующие подлинные документы правительственных и неправительственных организаций по таким темам, как финансы, критически важная инфраструктура, кибербезопасность и оборона.

ITG05 внедрила новые методы, такие как использование обработчика URI search-ms, чтобы заставить жертв загружать вредоносное ПО с серверов WebDAV, контролируемых actor.

ITG05 разработала новые бэкдоры, включая MASEPIE и OCEANMAP, и заменила предыдущие инструменты, такие как CREDOMAP и Headlace, новыми версиями, такими как STEELHOOK.

ITG05 идентифицируется как спонсируемая российским государством группа, имеющая связи с другими известными участниками угроз, такими как APT28, Fancy Bear и Forest Blizzard.

Группа использует сочетание внутренних и общедоступных документов, чтобы заманить жертв к загрузке вредоносного ПО, используя такие сервисы, как firstcloudit.com для размещения полезной нагрузки.

ITG05 активно занимается извлечением хэшей NTLMv2 и использованием уязвимостей для поддержки своих атак, демонстрируя высокий уровень сложности и адаптивности.

#ParsedReport #CompletenessLow
11-03-2024

Breaking down Atomic MacOS Stealer (AMOS). Background

https://medium.com/@dineshdevadoss04/breaking-down-atomic-macos-stealer-amos-8cd5eea56024

Report completeness: Low

Threats:
Amos_stealer
Applescript

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1547, T1140, T1027, T1555, T1539, T1558, T1119, T1564, T1071, have more...

IOCs:
File: 11
Url: 1
Hash: 11
IP: 1

Soft:
MacOS, Slack, Telegram, GateKeeper, VirtualBox, Chrome, Vivaldi, Opera, OperaGX Brave-Browser, TradingView, have more...

Wallets:
coinbase, electrum, coinomi, wassabi

Algorithms:
xor, zip, base64

Platforms:
apple, intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте подробно описывается обнаружение и анализ Atomic macOS Stealer (AMOS), сложной вредоносной программы, нацеленной на пользователей macOS с помощью вредоносного файла Slack.dmg. Программа stealer, доступная для покупки на подпольных форумах, извлекает конфиденциальные данные и использует методы обхода подписей XProtect, демонстрируя необходимость постоянной бдительности и упреждающих мер безопасности со стороны пользователей и организаций для защиты от развивающихся киберугроз.
-----

В тексте описывается инцидент, когда аналитик по анализу киберугроз столкнулся с вредоносным программным обеспечением macOS stealer, известным как Atomic macOS Stealer (AMOS), через образец файла Slack.dmg. Первоначально предполагалось, что это полезная нагрузка red teaming, дальнейший анализ выявил сложную природу похитителя и его методы обхода существующих сигнатур XProtect. AMOS - это вредоносное ПО, предназначенное для пользователей macOS и доступное для продажи на подпольных форумах и каналах Telegram.

Slack.Файл DMG является распространенным способом распространения приложений для Mac, и при проверке было обнаружено, что он содержит двоичный файл Mach-O, подписанный adhoc, что означает отсутствие криптографической защиты. Двоичный файл является универсальным, содержит архитектуры как для x86_64, так и для arm64, что указывает на его совместимость как с чипами Intel, так и с Apple. Функциональность вредоносного ПО включает в себя извлечение конфиденциальных данных, таких как пароли для входа пользователей, автозаполнения, пароли, файлы cookie и кошельки из различных браузеров, таких как Chrome, Brave, Edge, и приложений для крипто-кошельков, таких как Coinbase, Exodus и Coinomi.

Одной из уникальных особенностей Atomic Stealer является его способность маскироваться под помощника по привилегиям, используя Apple Script, чтобы обманом заставить жертв предоставить свои пароли для входа. Он создает поддельное диалоговое окно, напоминающее системные настройки, чтобы обмануть пользователей. Затем украденные данные отправляются на сервер управления (C2) в формате, закодированном в base64. Адрес C2 зашифрован XOR, что обеспечивает скрытую связь между вредоносной программой и сервером.

Кроме того, вредоносная программа включает в себя новую функциональность, известную как File Grabber, которая представляет собой AppleScript, предназначенный для сбора определенных файлов из системы жертвы. Это включает файлы cookie Safari, Cookies.binarycookies, базу данных macOS Notes и файлы с определенными расширениями, такими как txt, docx или файлы, связанные с кошельком. Atomic Stealer постоянно отслеживает строки, связанные с программным обеспечением для виртуализации, таким как VirtualBox, Parallels и виртуальная машина Apple, и при обнаружении завершает работу самостоятельно.

Поскольку угрозы, нацеленные на пользователей macOS, продолжают развиваться, в тексте подчеркивается, что пользователям и организациям необходимо сохранять бдительность и принимать упреждающие меры безопасности для защиты от потенциальных нарушений. Текущие исследования и анализ имеют решающее значение для того, чтобы опережать киберпреступников и защищать конфиденциальную информацию от компрометации. Аналитик также отмечает, что мониторинг выполнения AppleScript может оказаться полезным для действий по обнаружению и охоте, предполагая проактивный подход к обнаружению угроз и реагированию на них.