#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается поведение и функциональные возможности программы-вымогателя Evil Ant, подчеркивается использование языка программирования Python, скрытые операции, методы шифрования, особенности взаимодействия с пользователем и процесс дешифрования с использованием жестко закодированного ключа разблокировки.
-----

Недавно K7Labs наткнулась на твит, в котором упоминается программа-вымогатель Evil Ant, член группы программ-вымогателей, использующая Python в качестве языка программирования. Программа-вымогатель работает скрытно, скрывая окно консоли и запускаясь в фоновом режиме с помощью Windows DLL API. Чтобы избежать обнаружения, Evil Ant отключает защитник Windows с помощью команды PowerShell и проверяет наличие контролируемой среды, используя переменную окружения PROCESSOR_IDENTIFIER, прежде чем продолжить. При обнаружении на виртуальной машине программа-вымогатель завершает выполнение.

Evil Ant генерирует уникальный ключ, используя Fernet для шифрования файлов жертвы. Ключ создается и сохраняется в глобальной переменной методом MAGIC(), что облегчает его использование в других функциях. Функция ALL() сканирует и шифрует файлы в указанных каталогах на компьютере жертвы, в том числе в папке Users, извлекая текущее имя пользователя с помощью функции getlogin() из модуля os на Python. Шифрование выполняется с использованием библиотеки Fernet для криптографии.

Кроме того, программа-вымогатель включает в себя функции, направленные на привлечение внимания пользователя и посеяние паники. Он изменяет обои рабочего стола жертвы, отображает обратный отсчет в правом верхнем углу и включает кнопку "как купить биткоин", при нажатии на которую открывается ряд ссылок на Википедию с использованием библиотеки webbrowser на Python. Evil Ant также включает функцию дешифрования, но если процесс дешифрования прерывается из-за выключения системы, он завершается необратимым сбоем.

В случае оплаты жертва получает ключ разблокировки для расшифровки своих файлов. Этот ключ жестко закодирован злоумышленником в образце программы-вымогателя, и введенный пользователем ключ должен совпадать с жестко закодированным ключом для успешной расшифровки.

#ParsedReport #CompletenessLow
20-03-2024

Tax scammer goes after small business owners and self-employed people

https://www.malwarebytes.com/blog/uncategorized/2024/03/tax-scammer-goes-after-small-business-owners-and-self-employed-people

Report completeness: Low

Threats:
Phisher

Victims:
Self-employed individuals, Small business owners

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1566, T1595, T1589, T1606

IOCs:
Email: 1

Soft:
audacity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о недавней налоговой афере, нацеленной на самозанятых и владельцев малого бизнеса, когда мошенники рассылают обманчивые электронные письма с инструкциями получателям быстро подать заявку на получение идентификационного номера работодателя в Налоговой службе США (EIN). В нем предупреждается о рисках кражи личных данных и мошенничества, которые могут возникнуть, если отдельные лица воспользуются этими мошенническими электронными письмами, и подчеркивается важность бдительности, осторожности и упреждающих мер для защиты безопасности персональных данных.
-----

В тексте освещается недавняя афера, связанная с налогообложением, когда мошенники нацелены на самозанятых и владельцев малого бизнеса, отправляя электронные письма с инструкциями получателям быстро подать заявку на получение своего EIN в IRS /Федерального налогового идентификационного номера. EIN, который расшифровывается как идентификационный номер работодателя, используется различными организациями для целей налогообложения. Мошенники, вероятно, получили адреса электронной почты, соответствующие определенному профилю, например, самозанятых жителей США, возможно, через брокеров данных или темную сеть. Мошенничество не требует обширной информации о целях и может привести к краже личных данных и мошенничеству, особенно в сочетании со скомпрометированными номерами социального страхования.

Подчеркивается, что Налоговое управление США не запрашивает личную или финансовую информацию по электронной почте, текстовым сообщениям или в социальных сетях, включая пароли или информацию о доступе. Получателям рекомендуется не вступать в контакт с отправителем, не переходить по ссылкам и не открывать вложения, а также сообщать о фишинговых письмах по адресу phishing@irs.gov без изменения исходного содержимого. Клиенты Malwarebytes Премиум-класса с включенной веб-защитой защищены от этого мошенничества. Кроме того, физические лица могут использовать сканирование цифрового следа, чтобы узнать, какая часть их данных доступна онлайн, указав адрес электронной почты для получения бесплатного отчета.

Таким образом, мошенничество нацелено на частных лиц с помощью вводящих в заблуждение электронных писем, касающихся идентификационных номеров IRS EIN /Federal tax ID, используя их недостаточную осведомленность об официальных протоколах связи IRS. В тексте подчеркивается важность бдительности и осторожности при работе с нежелательными электронными письмами и даются рекомендации по упреждающим мерам, таким как сообщение о подозрительных действиях и использование защитных инструментов, таких как сканирование цифрового следа, для обеспечения безопасности персональных данных.

#cyberthreattech

Стиллеры любят пользоваться TG как c2, либо отстукивать в бота инфу о машине, где они поднялись.
В сканах песочниц эта сетевая коммуникация появляется при анализе ВПО с таким поведением.
Т.к. мы собираем сканы с пачки online-песочниц, то получаем соответствующие вызовы к API Telegram.

Сейчас мы допилили наш механизм проверок URL (да, мы честно переходим по всем вредоносным ссылкам, за что поставщики облачных услуг осыпают нас отбойниками :) ) и теперь он корректно проверят валидность URL вида https://api.telegram.org/bot<id>:<secret>, делая запрос к /getMe. Такой запрос позволяет точно установить жив ли бот и валиден ли секрет. Результат проверки, естественно, влияет на score IoC.

В нашем фиде такие URL можно найти под тегом c2.

#ParsedReport #CompletenessHigh
21-03-2024

Cloud Werewolf attacks civil servants in Russia and Belarus with treatment vouchers and orders from federal services

https://bi.zone/expertise/blog/cloud-werewolf-atakuet-gossluzhashchikh-rossii-i-belarusi-putevkami-na-lechenie-i-prikazami-sluzhb

Report completeness: High

Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)

Threats:
Powershower
Lazagne_tool
Anydesk_tool
Spear-phishing_technique

Industry:
Government

Geo:
Belarusian, Russian, Russia, Belarus

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 15

IOCs:
File: 4
Registry: 3
Path: 1
Url: 1
Hash: 3
Domain: 3

Soft:
Microsoft Office, Component Object Model

Algorithms:
7zip, xor

Languages:
python, visual_basic

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Cloud Werewolf cluster, группа угроз, нацеленная на правительственные организации в России и Беларуси, проводит новую фишинговую кампанию с использованием вредоносных вложений в документы Microsoft Office. Группа использует удаленный сервер для размещения полезной нагрузки в обход мер безопасности и использует уязвимость Microsoft Office для выполнения вредоносных действий. Эта кампания проводится с февраля и нацелена по меньшей мере на пять организаций. Группа, действующая с 2014 года, известна своей шпионской деятельностью и использует различные инструменты и методы для последующей эксплуатации, что затрудняет ее обнаружение.
-----

Cloud Werewolf cluster, группа угроз, известная тем, что нацелена на правительственные организации в России и Беларуси, проводит новую кампанию, включающую фишинговые электронные письма с вредоносными вложениями в документы Microsoft Office. Эта кампания обнаружена BI.ZONE Threat Intelligence specialists, действовала с февраля по март и нацелилась по меньшей мере на пять организаций. Злоумышленники используют соответствующие темы, чтобы увеличить шансы жертв на открытие вредоносных вложений.

Одним из примечательных аспектов этой кампании является использование удаленного сервера для размещения вредоносной полезной нагрузки, что позволяет злоумышленникам обходить меры безопасности, применяемые целевыми организациями. Извлекая шаблон документа с удаленного сервера, злоумышленники используют уязвимость CVE-2017-11882, присутствующую в Microsoft Office, для выполнения вредоносных действий.

После успешного использования уязвимости злоумышленники расшифровывают вредоносную полезную нагрузку, содержащуюся в шелл-коде, с помощью операции XOR. Затем они загружают HTA-файл, содержащий скрипт Visual Basic, с удаленного сервера, манипулируют настройками окна и устанавливают связь с сервером управления, создавая и изменяя различные файлы в системе жертвы.

Кластер Cloud Werewolf, также известный как Inception и Cloud Atlas, действует по меньшей мере с 2014 года и фокусируется на шпионской деятельности, нацеленной на правительственные, промышленные и научные организации. Они используют различные инструменты и методы во время последующей эксплуатации, включая PowerShower и VBShower для эксфильтрации, скрипты на Python, LaZagne для сбора учетных данных, расширенный IP-сканер для разведки и AnyDesk в качестве резервного канала доступа. Кластер умеет заметать следы, используя методы закрепления конечных точек, которые сложно обнаружить с помощью традиционных средств защиты.

#ParsedReport #CompletenessMedium
20-03-2024

New Sysrv Botnet Variant Makes Use of Google Subdomain to Spread XMRig Miner

https://www.imperva.com/blog/new-sysrv-botnet-variant-makes-use-of-google-subdomain-to-spread-xmrig-miner

Report completeness: Medium

Threats:
Sysrv_botnet
Xmrig_miner
Upx_tool

Geo:
Malaysian

CVEs:
CVE-2017-9805 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- apache struts (2.3.1.1, 2.5.9, 2.2.3.1, 2.3.28, 2.3.15, 2.5.2, 2.3.14, 2.3.32, 2.2.1, 2.3.16, 2.5.10, 2.3.24.1, 2.5.6, 2.1.8.1, 2.3.3, 2.3.16.3, 2.3.4, 2.1.3, 2.1.2, 2.1.5, 2.3.24.3, 2.3.15.2, 2.3.29, 2.3.14.3, 2.1.8, 2.3.4.1, 2.3.20.1, 2.3.8, 2.3.30, 2.3.7, 2.3.24, 2.5.1, 2.3.28.1, 2.5.4, 2.3.14.2, 2.3.20.3, 2.5.7, 2.5.5, 2.3.15.1, 2.3.1, 2.3.16.2, 2.1.6, 2.5.3, 2.2.3, 2.3.12, 2.1.4, 2.2.1.1, 2.3.1.2, 2.3.31, 2.3.20, 2.3.15.3, 2.5.10.1, 2.3.16.1, 2.5.8, 2.3.14.1, 2.3.33, 2.5.12, 2.5.11)

CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, 8.0.3, 8.3.1, 8.1.4, 8.3.4, 8.4.2, 8.0.2, 8.2.3, 8.5.3, 8.3.3, 8.3.0, 8.5.2, 8.1.3, 8.2.0, 8.4.5, 8.3.2, 8.5.1, 8.0.1, 8.2.1, 8.4.1, 8.0.0, 8.1.0, 8.4.4, 8.4.3, 8.4.0, 8.5.0, 8.2.2, 8.5, <8.7.1, 8.7.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)


ChatGPT TTPs:
do not use without manual check
T1566.001, T1190, T1583.001, T1547.001, T1027, T1041, T1496, T1070.004, T1059.004

IOCs:
Url: 7
IP: 1
Coin: 1
Hash: 6

Soft:
Apache Struts, Confluence

Algorithms:
md5

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Ботнет Sysrv - это постоянная и развивающаяся угроза, которая действует путем сброса криптоминеров на зараженные хосты, используя уязвимости для распространения по сетям. Недавние выводы Imperva выявили подозрительные действия, нацеленные на веб-сайты по всему миру, использующие скомпрометированный домен малазийского академического учреждения. Анализ образцов вредоносного ПО показывает, что ботнет использует скрипт-дроппер и усовершенствования в последнем варианте, такие как развертывание нескольких файлов ELF для сохранения и подключение к потокам майнинга MoneroOcean. Этот случай подчеркивает адаптивность субъектов киберугроз и необходимость постоянного сбора информации об угрозах и принятия упреждающих мер безопасности для противодействия возникающим угрозам из, казалось бы, законных источников.
-----

Ботнет Sysrv, первоначально идентифицированный в 2020 году, представляет собой хорошо документированную угрозу, которая развивалась на протяжении многих лет. В основном он работает путем сброса криптоминера на зараженные хосты и распространения различными методами, включая использование сетевых уязвимостей. Исследователи из разных организаций тщательно изучили этот ботнет и его деятельность.

Недавно Imperva Threat Research обнаружила подозрительное поведение, связанное с ботнетом, где заблокированные HTTP-запросы предполагали, что трафик ботов нацелен на многочисленные сайты по всему миру. Эти запросы были направлены на использование известных веб-уязвимостей в программном обеспечении, таком как Apache Struts и Atlassian Confluence. Интересным аспектом было использование законного домена, принадлежащего малазийскому академическому учреждению, возможно, скомпрометированного операторами ботнета для размещения вредоносного контента.

В ходе своего расследования Imperva проанализировала образцы вредоносных программ, размещенных на скомпрометированном сайте, и обнаружила скрипт dropper bash с именем "ldr.sh", напоминающий предыдущие версии ботнета Sysrv. Этот скрипт содержит переменные для загрузки двоичного файла второго этапа, а также функции для уничтожения процессов, связанных с программным обеспечением безопасности и предыдущими заражениями вредоносными программами. Последняя версия скрипта включает дополнительные функции для подготовки различных архитектур процессоров к операциям интеллектуального анализа данных.

Значительный прогресс в последней версии Sysrv виден в улучшениях, внесенных в исходный двоичный файл, удаленный на зараженных хостах. Этот статически связанный двоичный файл Golang, упакованный с помощью UPX packer, развертывает несколько файлов ELF в файловой системе для сохранения. Разработчики вредоносного ПО внедрили обфускацию в двоичный файл, чтобы затруднить восстановление файловой структуры, но динамический анализ выявил новое поведение, например, загрузку майнера XMRig с поддомена Google. Этот майнер подключается к потокам майнинга MoneroOcean и ежегодно генерирует значительное количество криптовалюты.

Расследование подчеркивает адаптивность участников угроз, таких как те, кто стоит за Sysrv, которые используют, казалось бы, законные домены для маскировки вредоносных действий. Это подчеркивает важность того, чтобы службы безопасности сохраняли бдительность, поскольку вредоносные файлы могут быть доставлены из надежных источников. Очевидно, что субъекты киберугроз постоянно совершенствуют свою тактику, чтобы избежать обнаружения, подчеркивая решающую роль постоянной разведки угроз и упреждающих мер безопасности в борьбе с такими угрозами.

#ParsedReport #CompletenessLow
20-03-2024

Sign1 Malware: Analysis, Campaign History & Indicators of Compromise

https://blog.sucuri.net/2024/03/sign1-malware-analysis-campaign-history-indicators-of-compromise.html

Report completeness: Low

Threats:
Sign1
Vextrio

ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1566, T1027, T1071, T1600, T1550

IOCs:
Domain: 17
Url: 1
IP: 4

Soft:
WordPress, Unix, Instagram

Algorithms:
xor, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и воздействии внедрения JavaScript под названием Sign1, являющегося частью вредоносной кампании, затрагивающей более 2500 сайтов путем создания динамических URL-адресов для нежелательных перенаправлений и рекламы. Вредоносная программа в первую очередь нацелена на посетителей крупных веб-сайтов, чтобы избежать обнаружения, и перенаправляет их на мошеннические сайты. Sucuri и GoDaddy Infosec обнаружили более 39 000 сайтов, зараженных Sign1, с уникальными параметрами в кодировке base64 для декодирования вредоносных URL-адресов, причем конкретные волны заражений были связаны с доменными именами, созданными в период с июля по сентябрь 2023 года. Бен Мартин, аналитик по безопасности, сыграл важную роль в выявлении и отслеживании этого вредоносного ПО, используя свой опыт в области безопасности веб-сайтов и взаимодействуя с сообществом кибербезопасности.
-----

Клиент сообщил о случайных всплывающих окнах на своем веб-сайте, что привело к обнаружению внедрения JavaScript с именем Sign1. Эта вредоносная кампания затронула более 2500 сайтов за последние два месяца. Вредоносный код создает динамические URL-адреса, которые меняются каждые 10 минут, вызывая нежелательные перенаправления и рекламу для посетителей сайта. Примечательно, что вредоносное ПО нацелено на посетителей, приходящих с крупных веб-сайтов, чтобы избежать обнаружения, и перенаправляет пользователей на мошеннические сайты, такие как VexTrio. Вредоносная программа внедряет скрипты со сторонних доменов, приводя пользователей на вредоносные сайты.

Вредоносная кампания Sign1, обнаруженная Sucuri и GoDaddy Infosec на более чем 39 000 сайтах, использует уникальные параметры в кодировке base64 для извлечения и декодирования сторонних вредоносных URL-адресов. Различные волны заражений Sign1 связаны с конкретными доменными именами, созданными в период с июля по сентябрь 2023 года. Эти инъекции часто скрыты в пользовательских HTML-виджетах WordPress или внедряются с помощью простого пользовательского плагина CSS и JS, что позволяет вредоносному ПО избегать обнаружения в файлах сервера в течение длительного времени. Анализ дат регистрации доменов и скачиваний плагинов указывает на закономерность использования злоумышленниками, причем скачки загрузок тесно связаны с созданием вредоносных доменов.

Бен Мартин, аналитик и исследователь в области безопасности, играет решающую роль в выявлении необнаруженных вредоносных программ, отслеживании тенденций в области безопасности и очистке зараженных веб-сайтов. Его обширный опыт в области безопасности веб-сайтов насчитывает более восьми лет, основное внимание уделяется обнаружению и устранению вредоносных программ. Помимо своих профессиональных обязанностей, Бен увлекается такими видами деятельности, как редактирование аудио, производство музыки, игры и проводит время со своим котом. Он активно взаимодействует с сообществом кибербезопасности на таких платформах, как Twitter.

#ParsedReport #CompletenessMedium
21-03-2024

AcidPour \| New Embedded Wiper Variant of AcidRain Appears in Ukraine

https://www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine

Report completeness: Medium

Actors/Campaigns:
Sandworm (motivation: hacktivism)

Threats:
Acidpour
Acidrain
Vpnfilter
Killdisk
Industoyer2

Victims:
Eutelsat ka-sat modems, Ukrainian telecommunication networks, Enercon wind turbines, Surfbeam2 modems, Triangulum, Misto tv

Industry:
Iot, Media, Military, Government, Energy, Telco, Ics

Geo:
Ukrainian, Ukraine, Russian, Germany

ChatGPT TTPs:
do not use without manual check
T1485, T1486, T1105, T1070.004, T1016, T1047, T1562.001, T1027, T1496, T1489, have more...

IOCs:
Domain: 4
IP: 1
Hash: 1

Soft:
Telegram, BinDiff

Algorithms:
md5, sha1, sha256

Platforms:
mips, intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: SentinelLabs обнаружила новый штамм вредоносного ПО под названием AcidPour, усовершенствованную версию AcidRain, с возможностью нацеливания на Linux UBI и DM logic, что указывает на потенциальную эскалацию киберугроз, связанных с российской военной разведкой, особенно затрагивающих критическую инфраструктуру Украины.
-----

SentinelLabs недавно обнаружила новый штамм вредоносного ПО под названием AcidPour, эволюцию ранее идентифицированного AcidRain wiper, который ранее выводил из строя модемы Eutelsat KA-SAT в Украине и вызывал сбои по всей Европе во время начала российского вторжения. AcidPour, улучшенная версия AcidRain, теперь включает в себя функциональные возможности, ориентированные на логику Unsorted Block Image (UBI) Linux и Device Mapper (DM), специально предназначенные для RAID-массивов и больших устройств хранения данных. Исследование связывает AcidRain и AcidPour с кластерами угроз, связанными с российской военной разведкой, в частности с подкластерами внутри Sandworm, как признано CERT-UA.

Точные цели AcidPour все еще находятся в стадии расследования, в связи с продолжающимися перебоями в работе интернет-провайдера (ISP) в Украине с 13 марта. Сбои были приписаны хактивисту, управляемому ГРУ, который использовал каналы Telegram, чтобы взять на себя ответственность. Подозрительный двоичный файл Linux с именем AcidPour был обнаружен 16 марта 2024 года, демонстрируя сходство с AcidRain и вызывая опасения по поводу потенциальных киберугроз в регионе. Различие между AcidRain и AcidPour заключается в совместимости архитектуры: AcidRain структурирован для архитектуры MIPS, а AcidPour - для архитектуры x86, что ограничивает прямое сравнение кода из-за этого несоответствия.

AcidRain применила стратегию "грубой силы", без разбора нацеливаясь на устройства путем удаления важных каталогов, демонстрируя отсутствие индивидуального подхода. И наоборот, AcidPour, запрограммированный на C без статически скомпилированных библиотек или импорта, включает функцию самоудаления в начале выполнения, перезаписывая себя на диске в качестве защитного механизма, напоминая поведение известных вредоносных программ, нацеленных на Украину, таких как CaddyWiper и Industroyer 2.

Расширенные возможности AcidPour включают в себя таргетинг на устройства с помощью UBI и DM logic, расширяя охват встраиваемых систем, использующих флэш-память, сетевые устройства, сети хранения данных (SAN) и подключенные к сети хранилища (NAS). Стиль кодирования AcidPour и механизмы очистки совпадают с теми, которые используются в плагине dstr для VPNFilter stage 3, что подразумевает потенциальную непрерывность российских киберопераций против украинских объектов.

Подтверждение CERT-UA присутствия AcidPour и его отнесение к UAC-0165, подгруппе в APT Sandworm, подчеркивает сохраняющуюся угрозу критически важной инфраструктуре Украины со стороны операций, связанных с ГРУ. Постоянное использование этими субъектами угроз поддельных личностей хактивистов для объявления о вторжениях и утечках данных от украинских жертв подчеркивает постоянный характер киберугроз в регионе.

Появление AcidPour означает эскалацию киберподдержки на фоне конфликта в Украине, указывая на переход к более изощренным атакам с более широким воздействием на критически важную инфраструктуру и коммуникации. Переход от AcidRain к AcidPour отражает прогресс в технических возможностях и стратегическом нацеливании субъектов угроз, подчеркивая эволюционирующий характер кибервойны в геополитических конфликтах.

#ParsedReport #CompletenessLow
21-03-2024

Security Brief: TA450 Uses Embedded Links in PDF Attachments in Latest Campaign

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta450-uses-embedded-links-pdf-attachments-latest-campaign

Report completeness: Low

Actors/Campaigns:
Muddywater

Threats:
Atera_tool

Victims:
Israeli employees at large multinational organizations

Geo:
Israeli, Iran

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1193, T1204, T1566.002, T1105, T1071, T1583.001, T1584.002, T1110, have more...

IOCs:
Hash: 3
Url: 4

Algorithms:
zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в последнее время наблюдается рост киберактивности связанного с Ираном злоумышленника TA450, нацеленного на израильских сотрудников крупных многонациональных организаций посредством фишинговой кампании с использованием PDF-вложений с вредоносными ссылками. Эта кампания знаменует собой изменение тактики TA450 и представляет повышенный риск для организаций, в которых работают израильские сотрудники.
-----

Исследователи Proofpoint заметили недавний всплеск киберактивности со стороны связанного с Ираном исполнителя угроз TA450, также известного как MuddyWater, Mango Sandstorm и Static Kitten. Эта группа нацелилась на израильских сотрудников в крупных многонациональных организациях, используя приманку социальной инженерии, связанную с оплатой труда. Атаки TA450 на израильские организации продолжаются по меньшей мере с октября 2023 года, что совпадает с войной Израиля и ХАМАСА. Недавняя фишинговая кампания началась 7 марта 2024 года и продолжалась в течение недели с 11 марта 2024 года.

В этой кампании TA450 использовала вложения в формате PDF в электронных письмах, содержащих вредоносные ссылки для целевых пользователей. Хотя этот метод не является новым для TA450, ранее группа перешла к прямому включению вредоносных ссылок в текст сообщения электронной почты без промежуточного этапа вложений. Интересно, что исследователи Proofpoint отметили, что одни и те же цели получили несколько фишинговых электронных писем с вложениями в формате PDF, каждое из которых содержало слегка отличающиеся встроенные ссылки, перенаправляющие на различные сайты обмена файлами, такие как Egnyte, Onehub, Sync и TeraBox. Электронные письма были получены от, вероятно, скомпрометированного.Учетная запись отправителя IL, соответствующая предыдущим действиям TA450.

Открыв вложение и перейдя по включенной ссылке, получатели загружали ZIP-архив, содержащий сжатый установщик MSI, который развертывал AteraAgent, инструмент удаленного администрирования, которым часто злоупотреблял TA450. Исследователи приписали эту кампанию TA450, основываясь на их устоявшейся тактике, методах, процедурах, выборе целей и анализе вредоносных программ. Киберкомандование Соединенных Штатов ранее связало TA450 с Министерством разведки и безопасности Ирана в январе 2022 года.

Эта кампания от TA450 выделяется по нескольким причинам. Во-первых, она представляет собой изменение тактики, поскольку, хотя использование вложений с вредоносными ссылками не является чем-то новым для субъекта угрозы, предоставление вредоносного URL-адреса во вложении PDF знаменует собой новый подход для TA450. Более того, это первый случай, когда TA450 был замечен с использованием учетной записи электронной почты отправителя, которая соответствует контенту приманки, например, использование учетной записи электронной почты, такой как зарплата @ compromisedorg co. il, в соответствии со строками темы, посвященными оплате. Кроме того, использование иврита заманивает и компрометирует.Использование учетных записей IL, предназначенных для израильских физических лиц в транснациональных компаниях, продолжает устоявшуюся схему TA450, создавая повышенный риск для организаций с таким профилем.

#ParsedReport #CompletenessMedium
21-03-2024

The Updated APT Playbook: Tales from the Kimsuky threat actor group

https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Lolbin_technique

Victims:
South korean government entities, Individuals associated with the korean peninsula's unification process, Global experts

Industry:
Government

Geo:
Thailand, Vietnam, Korea, Korean, Apac, Japan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1595, T1204, T1059, T1140, T1027, T1071, T1560, T1105

IOCs:
File: 14
Registry: 1
Url: 2
Hash: 3

Soft:
Windows Registry

Algorithms:
md5, base64, sha256, sha1, zip

Functions:
SyInf

Languages:
powershell, javascript

Links:
https://github.com/rapid7/Rapid7-Labs/tree/main/IOCs