#ParsedReport #CompletenessLow
20-03-2024

Sign1 Malware: Analysis, Campaign History & Indicators of Compromise

https://blog.sucuri.net/2024/03/sign1-malware-analysis-campaign-history-indicators-of-compromise.html

Report completeness: Low

Threats:
Sign1
Vextrio

ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1566, T1027, T1071, T1600, T1550

IOCs:
Domain: 17
Url: 1
IP: 4

Soft:
WordPress, Unix, Instagram

Algorithms:
xor, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и воздействии внедрения JavaScript под названием Sign1, являющегося частью вредоносной кампании, затрагивающей более 2500 сайтов путем создания динамических URL-адресов для нежелательных перенаправлений и рекламы. Вредоносная программа в первую очередь нацелена на посетителей крупных веб-сайтов, чтобы избежать обнаружения, и перенаправляет их на мошеннические сайты. Sucuri и GoDaddy Infosec обнаружили более 39 000 сайтов, зараженных Sign1, с уникальными параметрами в кодировке base64 для декодирования вредоносных URL-адресов, причем конкретные волны заражений были связаны с доменными именами, созданными в период с июля по сентябрь 2023 года. Бен Мартин, аналитик по безопасности, сыграл важную роль в выявлении и отслеживании этого вредоносного ПО, используя свой опыт в области безопасности веб-сайтов и взаимодействуя с сообществом кибербезопасности.
-----

Клиент сообщил о случайных всплывающих окнах на своем веб-сайте, что привело к обнаружению внедрения JavaScript с именем Sign1. Эта вредоносная кампания затронула более 2500 сайтов за последние два месяца. Вредоносный код создает динамические URL-адреса, которые меняются каждые 10 минут, вызывая нежелательные перенаправления и рекламу для посетителей сайта. Примечательно, что вредоносное ПО нацелено на посетителей, приходящих с крупных веб-сайтов, чтобы избежать обнаружения, и перенаправляет пользователей на мошеннические сайты, такие как VexTrio. Вредоносная программа внедряет скрипты со сторонних доменов, приводя пользователей на вредоносные сайты.

Вредоносная кампания Sign1, обнаруженная Sucuri и GoDaddy Infosec на более чем 39 000 сайтах, использует уникальные параметры в кодировке base64 для извлечения и декодирования сторонних вредоносных URL-адресов. Различные волны заражений Sign1 связаны с конкретными доменными именами, созданными в период с июля по сентябрь 2023 года. Эти инъекции часто скрыты в пользовательских HTML-виджетах WordPress или внедряются с помощью простого пользовательского плагина CSS и JS, что позволяет вредоносному ПО избегать обнаружения в файлах сервера в течение длительного времени. Анализ дат регистрации доменов и скачиваний плагинов указывает на закономерность использования злоумышленниками, причем скачки загрузок тесно связаны с созданием вредоносных доменов.

Бен Мартин, аналитик и исследователь в области безопасности, играет решающую роль в выявлении необнаруженных вредоносных программ, отслеживании тенденций в области безопасности и очистке зараженных веб-сайтов. Его обширный опыт в области безопасности веб-сайтов насчитывает более восьми лет, основное внимание уделяется обнаружению и устранению вредоносных программ. Помимо своих профессиональных обязанностей, Бен увлекается такими видами деятельности, как редактирование аудио, производство музыки, игры и проводит время со своим котом. Он активно взаимодействует с сообществом кибербезопасности на таких платформах, как Twitter.

#ParsedReport #CompletenessMedium
21-03-2024

AcidPour \| New Embedded Wiper Variant of AcidRain Appears in Ukraine

https://www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine

Report completeness: Medium

Actors/Campaigns:
Sandworm (motivation: hacktivism)

Threats:
Acidpour
Acidrain
Vpnfilter
Killdisk
Industoyer2

Victims:
Eutelsat ka-sat modems, Ukrainian telecommunication networks, Enercon wind turbines, Surfbeam2 modems, Triangulum, Misto tv

Industry:
Iot, Media, Military, Government, Energy, Telco, Ics

Geo:
Ukrainian, Ukraine, Russian, Germany

ChatGPT TTPs:
do not use without manual check
T1485, T1486, T1105, T1070.004, T1016, T1047, T1562.001, T1027, T1496, T1489, have more...

IOCs:
Domain: 4
IP: 1
Hash: 1

Soft:
Telegram, BinDiff

Algorithms:
md5, sha1, sha256

Platforms:
mips, intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: SentinelLabs обнаружила новый штамм вредоносного ПО под названием AcidPour, усовершенствованную версию AcidRain, с возможностью нацеливания на Linux UBI и DM logic, что указывает на потенциальную эскалацию киберугроз, связанных с российской военной разведкой, особенно затрагивающих критическую инфраструктуру Украины.
-----

SentinelLabs недавно обнаружила новый штамм вредоносного ПО под названием AcidPour, эволюцию ранее идентифицированного AcidRain wiper, который ранее выводил из строя модемы Eutelsat KA-SAT в Украине и вызывал сбои по всей Европе во время начала российского вторжения. AcidPour, улучшенная версия AcidRain, теперь включает в себя функциональные возможности, ориентированные на логику Unsorted Block Image (UBI) Linux и Device Mapper (DM), специально предназначенные для RAID-массивов и больших устройств хранения данных. Исследование связывает AcidRain и AcidPour с кластерами угроз, связанными с российской военной разведкой, в частности с подкластерами внутри Sandworm, как признано CERT-UA.

Точные цели AcidPour все еще находятся в стадии расследования, в связи с продолжающимися перебоями в работе интернет-провайдера (ISP) в Украине с 13 марта. Сбои были приписаны хактивисту, управляемому ГРУ, который использовал каналы Telegram, чтобы взять на себя ответственность. Подозрительный двоичный файл Linux с именем AcidPour был обнаружен 16 марта 2024 года, демонстрируя сходство с AcidRain и вызывая опасения по поводу потенциальных киберугроз в регионе. Различие между AcidRain и AcidPour заключается в совместимости архитектуры: AcidRain структурирован для архитектуры MIPS, а AcidPour - для архитектуры x86, что ограничивает прямое сравнение кода из-за этого несоответствия.

AcidRain применила стратегию "грубой силы", без разбора нацеливаясь на устройства путем удаления важных каталогов, демонстрируя отсутствие индивидуального подхода. И наоборот, AcidPour, запрограммированный на C без статически скомпилированных библиотек или импорта, включает функцию самоудаления в начале выполнения, перезаписывая себя на диске в качестве защитного механизма, напоминая поведение известных вредоносных программ, нацеленных на Украину, таких как CaddyWiper и Industroyer 2.

Расширенные возможности AcidPour включают в себя таргетинг на устройства с помощью UBI и DM logic, расширяя охват встраиваемых систем, использующих флэш-память, сетевые устройства, сети хранения данных (SAN) и подключенные к сети хранилища (NAS). Стиль кодирования AcidPour и механизмы очистки совпадают с теми, которые используются в плагине dstr для VPNFilter stage 3, что подразумевает потенциальную непрерывность российских киберопераций против украинских объектов.

Подтверждение CERT-UA присутствия AcidPour и его отнесение к UAC-0165, подгруппе в APT Sandworm, подчеркивает сохраняющуюся угрозу критически важной инфраструктуре Украины со стороны операций, связанных с ГРУ. Постоянное использование этими субъектами угроз поддельных личностей хактивистов для объявления о вторжениях и утечках данных от украинских жертв подчеркивает постоянный характер киберугроз в регионе.

Появление AcidPour означает эскалацию киберподдержки на фоне конфликта в Украине, указывая на переход к более изощренным атакам с более широким воздействием на критически важную инфраструктуру и коммуникации. Переход от AcidRain к AcidPour отражает прогресс в технических возможностях и стратегическом нацеливании субъектов угроз, подчеркивая эволюционирующий характер кибервойны в геополитических конфликтах.

#ParsedReport #CompletenessLow
21-03-2024

Security Brief: TA450 Uses Embedded Links in PDF Attachments in Latest Campaign

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta450-uses-embedded-links-pdf-attachments-latest-campaign

Report completeness: Low

Actors/Campaigns:
Muddywater

Threats:
Atera_tool

Victims:
Israeli employees at large multinational organizations

Geo:
Israeli, Iran

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1193, T1204, T1566.002, T1105, T1071, T1583.001, T1584.002, T1110, have more...

IOCs:
Hash: 3
Url: 4

Algorithms:
zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в последнее время наблюдается рост киберактивности связанного с Ираном злоумышленника TA450, нацеленного на израильских сотрудников крупных многонациональных организаций посредством фишинговой кампании с использованием PDF-вложений с вредоносными ссылками. Эта кампания знаменует собой изменение тактики TA450 и представляет повышенный риск для организаций, в которых работают израильские сотрудники.
-----

Исследователи Proofpoint заметили недавний всплеск киберактивности со стороны связанного с Ираном исполнителя угроз TA450, также известного как MuddyWater, Mango Sandstorm и Static Kitten. Эта группа нацелилась на израильских сотрудников в крупных многонациональных организациях, используя приманку социальной инженерии, связанную с оплатой труда. Атаки TA450 на израильские организации продолжаются по меньшей мере с октября 2023 года, что совпадает с войной Израиля и ХАМАСА. Недавняя фишинговая кампания началась 7 марта 2024 года и продолжалась в течение недели с 11 марта 2024 года.

В этой кампании TA450 использовала вложения в формате PDF в электронных письмах, содержащих вредоносные ссылки для целевых пользователей. Хотя этот метод не является новым для TA450, ранее группа перешла к прямому включению вредоносных ссылок в текст сообщения электронной почты без промежуточного этапа вложений. Интересно, что исследователи Proofpoint отметили, что одни и те же цели получили несколько фишинговых электронных писем с вложениями в формате PDF, каждое из которых содержало слегка отличающиеся встроенные ссылки, перенаправляющие на различные сайты обмена файлами, такие как Egnyte, Onehub, Sync и TeraBox. Электронные письма были получены от, вероятно, скомпрометированного.Учетная запись отправителя IL, соответствующая предыдущим действиям TA450.

Открыв вложение и перейдя по включенной ссылке, получатели загружали ZIP-архив, содержащий сжатый установщик MSI, который развертывал AteraAgent, инструмент удаленного администрирования, которым часто злоупотреблял TA450. Исследователи приписали эту кампанию TA450, основываясь на их устоявшейся тактике, методах, процедурах, выборе целей и анализе вредоносных программ. Киберкомандование Соединенных Штатов ранее связало TA450 с Министерством разведки и безопасности Ирана в январе 2022 года.

Эта кампания от TA450 выделяется по нескольким причинам. Во-первых, она представляет собой изменение тактики, поскольку, хотя использование вложений с вредоносными ссылками не является чем-то новым для субъекта угрозы, предоставление вредоносного URL-адреса во вложении PDF знаменует собой новый подход для TA450. Более того, это первый случай, когда TA450 был замечен с использованием учетной записи электронной почты отправителя, которая соответствует контенту приманки, например, использование учетной записи электронной почты, такой как зарплата @ compromisedorg co. il, в соответствии со строками темы, посвященными оплате. Кроме того, использование иврита заманивает и компрометирует.Использование учетных записей IL, предназначенных для израильских физических лиц в транснациональных компаниях, продолжает устоявшуюся схему TA450, создавая повышенный риск для организаций с таким профилем.

#ParsedReport #CompletenessMedium
21-03-2024

The Updated APT Playbook: Tales from the Kimsuky threat actor group

https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Lolbin_technique

Victims:
South korean government entities, Individuals associated with the korean peninsula's unification process, Global experts

Industry:
Government

Geo:
Thailand, Vietnam, Korea, Korean, Apac, Japan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1595, T1204, T1059, T1140, T1027, T1071, T1560, T1105

IOCs:
File: 14
Registry: 1
Url: 2
Hash: 3

Soft:
Windows Registry

Algorithms:
md5, base64, sha256, sha1, zip

Functions:
SyInf

Languages:
powershell, javascript

Links:
https://github.com/rapid7/Rapid7-Labs/tree/main/IOCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Группа Kimsuky threat actor, происходящая из Северной Кореи и действующая как минимум с 2012 года, известна тем, что нацелена на южнокорейские правительственные учреждения, частных лиц, участвующих в усилиях по объединению, и мировых экспертов. Их эволюционирующая тактика, такая как использование файлов CHM для выполнения вредоносного кода, демонстрирует продолжающуюся гонку вооружений в области кибершпионажа. Текущий анализ выявил целенаправленные атаки в Южной Корее и с умеренной уверенностью приписал их группе Kimsuky.
-----

Считается, что группа Kimsuky threat actor, также известная как Black Banshee или Thallium, родом из Северной Кореи и действует по меньшей мере с 2012 года. Группа в первую очередь занимается сбором разведывательных данных и нацелена на южнокорейские правительственные структуры, частных лиц, связанных с процессом объединения Корейского полуострова, и мировых экспертов в областях, имеющих отношение к интересам режима. В последние годы деятельность Kimsuky расширилась, охватив такие страны Азиатско-Тихоокеанского региона, как Япония, Вьетнам и Таиланд.

Было замечено, что группа Кимсуки постоянно совершенствует свою тактику, методы и процедуры (TTP) для обхода современных мер безопасности, подчеркивая динамичный характер кибершпионажа и продолжающуюся гонку вооружений между субъектами угроз и защитниками. Методы группы эволюционировали на протяжении многих лет, начиная с использования в качестве оружия офисных документов, ISO-файлов и совсем недавно использования файлов быстрого доступа (LNK-файлов), замаскированных под доброкачественные документы или файлы. Эти ярлыки содержат команды PowerShell или полные двоичные файлы, скрытые от конечного пользователя, с целью обманом заставить пользователей выполнить их.

Недавние результаты показывают, что Kimsuky теперь использует файлы CHM (скомпилированный HTML), которые поставляются как часть файлов ISO, VHD, ZIP или RAR. Файлы CHM, изначально предназначенные для справочной документации, были использованы в вредоносных целях, поскольку при открытии они могут выполнять JavaScript. Эти файлы CHM используются как средство обхода первоначальных средств защиты и выполнения вредоносного кода в системе жертвы.

Имена файлов, связанных с файлами CHM, написаны на корейском языке, что указывает на то, что операционная система Windows, используемая для создания этих файлов, была на корейском языке. Содержимое файлов CHM включает фрагменты кода HTML и ActiveX, которые выполняют произвольные команды на компьютерах с Windows в вредоносных целях. Эти команды запутываются с использованием таких методов, как кодировка Base64, и предназначены для создания постоянства в системе жертвы.

Анализ файлов CHM также выявил уникальные строки в коде stealer и привел к обнаружению большего количества файлов, датируемых как 2023, так и 2024 годами, что указывает на продолжающуюся вредоносную активность. Отслеживание распространенности этих атак продолжается, подтверждены целенаправленные атаки на организации, базирующиеся в Южной Корее. Благодаря выявлению совпадений в коде и тактике, кампания была с умеренной уверенностью отнесена к группе Кимсуки.

#ParsedReport #CompletenessLow
21-03-2024

Rescoms rides waves of AceCryptor spam

https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam

Report completeness: Low

Threats:
Remcos_rat
Acecryptor
Danabot
Redline_stealer
Vidar_stealer
Smokeloader
Typosquatting_technique
Kryptik
Spear-phishing_technique

Industry:
Financial

Geo:
Bulgaria, Ukraine, Spain, Peru, Serbia, Mexico, Egypt, Poland, Slovakia, Polish

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 8

Links:
https://github.com/eset/malware-ioc/tree/master/ace\_cryptor

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что во второй половине 2023 года наблюдалось значительное увеличение числа кибератак с использованием комбинации AceCryptor и Rescoms, особенно в таких европейских странах, как Польша, Словакия, Болгария и Сербия. Это сотрудничество привело к резкому росту вредоносной активности, существенной эскалации распространения вредоносных программ, содержащих AceCryptor, и сосредоточению внимания на целевых спам-кампаниях, направленных на предприятия с целью сбора учетных данных для дальнейших атак. Участие служб спасения стало заметным, число выявленных атак возросло, что указывает на изменение ландшафта киберугроз за этот период.
-----

Значительное увеличение числа атак AceCryptor во второй половине 2023 года, более чем в два раза по сравнению с первым полугодием, обусловлено привлечением служб спасения (Remcos).

AceCryptor в сочетании с Rescoms наблюдался в многочисленных спам-кампаниях, нацеленных на европейские страны, такие как Польша, Словакия, Болгария и Сербия, при этом скомпрометированные учетные записи использовались для сбора учетных данных для дальнейших атак.

Во втором полугодии 2023 года ESET защитила более 42 000 пользователей от вредоносных программ, содержащих AceCryptor, при резком росте числа обнаружений, особенно в европейских странах, пострадавших от кампаний Rescoms.

Снижение количества уникальных образцов вредоносного по объясняется спам-кампаниями Rescoms, в которых повторно используются одни и те же файлы для более широкой базы пользователей, при этом некоторые семейства вредоносных программ снижают свою зависимость от AceCryptor.

AceCryptor продолжал распространять образцы из семейств вредоносных программ, таких как SmokeLoader, STOP ransomware и Vidar stealer.

Географическое влияние вредоносного ПО, содержащего AceCryptor, сместилось, чтобы больше сосредоточиться на европейских странах, таких как Польша, Украина, Испания и Сербия, особенно с полезными программами Rescoms и SmokeLoader.

Распространенность Rescoms значительно возросла во втором полугодии 2023 года, став самым известным семейством вредоносных программ, разработанных AceCryptor: было обнаружено более 32 000 инцидентов, в основном в Польше.

Известные спам-кампании, нацеленные на предприятия в Польше во втором полугодии 2023 года, с использованием сложного содержимого электронной почты и вложений, содержащих исполняемые файлы AceCryptor, запускающие Rescoms, с целью получения учетных данных электронной почты и браузера для дальнейших атак.

Аналогичные кампании, выявленные в Словакии, Болгарии и Сербии, ориентированные на местные компании, предполагают участие одного и того же субъекта угрозы с вариациями языка в зависимости от страны-мишени.

#ParsedReport #CompletenessLow
21-03-2024

New method! The latest backdoor of the APT28 organization has built-in a large number of controlled mailboxes (which can be logged in successfully) for data theft.

https://www.ctfiot.com/168931.html

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Oceanmap

Geo:
Ukrainian, American

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1027, T1114, T1132, T1566

IOCs:
Hash: 10
File: 1
IP: 5
Email: 13

Soft:
foxmail

Algorithms:
base64, rc4, des

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ коммуникационной модели бэкдора OCEANMAP, который состоит из трех этапов с использованием различного программного обеспечения почтового сервера. В нем освещаются проблемы, с которыми сталкиваются на каждом этапе, и определяется бэкдор OCEANMAP как относительно простой бэкдор C#, связанный с APT28. Бэкдор используется для удаленного управления по электронной почте, обрабатывает информацию учетной записи электронной почты, идентификаторы пользователей на основе сведений о хостинге и шифрует содержимое электронной почты с использованием таких алгоритмов, как RC4+Base64 и DES+Base64. В анализе также упоминается извлечение команд удаленного управления из черновых ящиков и приводятся подробные сведения о собранных адресах почтовых серверов и паролях контролируемых учетных записей почтовых ящиков, связанных с бэкдором OCEANMAP.
-----

Анализ сосредоточен на коммуникационной модели бэкдора OCEANMAP, которая разделена на три этапа. На этапе 1 автор первоначально использовал программное обеспечение hMailServer в Windows для создания почтового сервера, но столкнулся с проблемами доступа к нему через Интернет. Фаза 2 включала в себя попытку использования программного обеспечения с возможностью отправки по почте, доступ к которому можно было получить через Интернет, но которое не реагировало на команды бэкдора OCEANMAP. На этапе 3 автор использовал hmailserver+phpstudy+roundcube, который мог реагировать на добавление почты в папку "Входящие", но не на извлечение содержимого почты из черновика.

Необходимы дальнейшие исследования, чтобы понять, почему команда для извлечения содержимого почты из черновика не сработала. Анализ предполагает, что почтовые серверы на базе Linux могли бы более эффективно реагировать на команды бэкдора OCEANMAP. Бэкдор OCEANMAP не особенно сложен, написан на C# и впервые был раскрыт Украинским национальным центром реагирования на компьютерные чрезвычайные ситуации 28 декабря 2023 года. Он связан с организацией APT28 и получает команды удаленного управления по электронной почте.

Бэкдор включает информацию об учетной записи электронной почты, генерирует идентификатор пользователя на основе сведений о хостинге и шифрует содержимое электронной почты с помощью таких алгоритмов, как RC4+Base64 и DES+Base64. Он добавляет электронные письма во входящие, извлекает команды удаленного управления из черновиков и содержит две команды удаленного управления в своих образцах. Анализ также выявил 8 адресов почтовых серверов и 13 паролей контролируемых учетных записей почтовых ящиков из собранных образцов бэкдора OCEANMAP.

#ParsedReport #CompletenessMedium
21-03-2024

Cisco Talos Blog. New details on TinyTurla s post-compromise activity reveal full kill chain

https://blog.talosintelligence.com/tinyturla-full-kill-chain

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Tinyturla
Tinyturla-ng
Chisel_tool
Beacon
Winrm_tool

Victims:
European non-governmental organization

Industry:
Ngo

Geo:
Russian

TTPs:

IOCs:
Registry: 2
File: 1
Hash: 5
Domain: 4
IP: 1

Soft:
Microsoft Defender, Windows Service

#ParsedReport #GeneratedSchema
Generated with GPT-4