#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Группа Kimsuky threat actor, происходящая из Северной Кореи и действующая как минимум с 2012 года, известна тем, что нацелена на южнокорейские правительственные учреждения, частных лиц, участвующих в усилиях по объединению, и мировых экспертов. Их эволюционирующая тактика, такая как использование файлов CHM для выполнения вредоносного кода, демонстрирует продолжающуюся гонку вооружений в области кибершпионажа. Текущий анализ выявил целенаправленные атаки в Южной Корее и с умеренной уверенностью приписал их группе Kimsuky.
-----

Считается, что группа Kimsuky threat actor, также известная как Black Banshee или Thallium, родом из Северной Кореи и действует по меньшей мере с 2012 года. Группа в первую очередь занимается сбором разведывательных данных и нацелена на южнокорейские правительственные структуры, частных лиц, связанных с процессом объединения Корейского полуострова, и мировых экспертов в областях, имеющих отношение к интересам режима. В последние годы деятельность Kimsuky расширилась, охватив такие страны Азиатско-Тихоокеанского региона, как Япония, Вьетнам и Таиланд.

Было замечено, что группа Кимсуки постоянно совершенствует свою тактику, методы и процедуры (TTP) для обхода современных мер безопасности, подчеркивая динамичный характер кибершпионажа и продолжающуюся гонку вооружений между субъектами угроз и защитниками. Методы группы эволюционировали на протяжении многих лет, начиная с использования в качестве оружия офисных документов, ISO-файлов и совсем недавно использования файлов быстрого доступа (LNK-файлов), замаскированных под доброкачественные документы или файлы. Эти ярлыки содержат команды PowerShell или полные двоичные файлы, скрытые от конечного пользователя, с целью обманом заставить пользователей выполнить их.

Недавние результаты показывают, что Kimsuky теперь использует файлы CHM (скомпилированный HTML), которые поставляются как часть файлов ISO, VHD, ZIP или RAR. Файлы CHM, изначально предназначенные для справочной документации, были использованы в вредоносных целях, поскольку при открытии они могут выполнять JavaScript. Эти файлы CHM используются как средство обхода первоначальных средств защиты и выполнения вредоносного кода в системе жертвы.

Имена файлов, связанных с файлами CHM, написаны на корейском языке, что указывает на то, что операционная система Windows, используемая для создания этих файлов, была на корейском языке. Содержимое файлов CHM включает фрагменты кода HTML и ActiveX, которые выполняют произвольные команды на компьютерах с Windows в вредоносных целях. Эти команды запутываются с использованием таких методов, как кодировка Base64, и предназначены для создания постоянства в системе жертвы.

Анализ файлов CHM также выявил уникальные строки в коде stealer и привел к обнаружению большего количества файлов, датируемых как 2023, так и 2024 годами, что указывает на продолжающуюся вредоносную активность. Отслеживание распространенности этих атак продолжается, подтверждены целенаправленные атаки на организации, базирующиеся в Южной Корее. Благодаря выявлению совпадений в коде и тактике, кампания была с умеренной уверенностью отнесена к группе Кимсуки.

#ParsedReport #CompletenessLow
21-03-2024

Rescoms rides waves of AceCryptor spam

https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam

Report completeness: Low

Threats:
Remcos_rat
Acecryptor
Danabot
Redline_stealer
Vidar_stealer
Smokeloader
Typosquatting_technique
Kryptik
Spear-phishing_technique

Industry:
Financial

Geo:
Bulgaria, Ukraine, Spain, Peru, Serbia, Mexico, Egypt, Poland, Slovakia, Polish

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 8

Links:
https://github.com/eset/malware-ioc/tree/master/ace\_cryptor

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что во второй половине 2023 года наблюдалось значительное увеличение числа кибератак с использованием комбинации AceCryptor и Rescoms, особенно в таких европейских странах, как Польша, Словакия, Болгария и Сербия. Это сотрудничество привело к резкому росту вредоносной активности, существенной эскалации распространения вредоносных программ, содержащих AceCryptor, и сосредоточению внимания на целевых спам-кампаниях, направленных на предприятия с целью сбора учетных данных для дальнейших атак. Участие служб спасения стало заметным, число выявленных атак возросло, что указывает на изменение ландшафта киберугроз за этот период.
-----

Значительное увеличение числа атак AceCryptor во второй половине 2023 года, более чем в два раза по сравнению с первым полугодием, обусловлено привлечением служб спасения (Remcos).

AceCryptor в сочетании с Rescoms наблюдался в многочисленных спам-кампаниях, нацеленных на европейские страны, такие как Польша, Словакия, Болгария и Сербия, при этом скомпрометированные учетные записи использовались для сбора учетных данных для дальнейших атак.

Во втором полугодии 2023 года ESET защитила более 42 000 пользователей от вредоносных программ, содержащих AceCryptor, при резком росте числа обнаружений, особенно в европейских странах, пострадавших от кампаний Rescoms.

Снижение количества уникальных образцов вредоносного по объясняется спам-кампаниями Rescoms, в которых повторно используются одни и те же файлы для более широкой базы пользователей, при этом некоторые семейства вредоносных программ снижают свою зависимость от AceCryptor.

AceCryptor продолжал распространять образцы из семейств вредоносных программ, таких как SmokeLoader, STOP ransomware и Vidar stealer.

Географическое влияние вредоносного ПО, содержащего AceCryptor, сместилось, чтобы больше сосредоточиться на европейских странах, таких как Польша, Украина, Испания и Сербия, особенно с полезными программами Rescoms и SmokeLoader.

Распространенность Rescoms значительно возросла во втором полугодии 2023 года, став самым известным семейством вредоносных программ, разработанных AceCryptor: было обнаружено более 32 000 инцидентов, в основном в Польше.

Известные спам-кампании, нацеленные на предприятия в Польше во втором полугодии 2023 года, с использованием сложного содержимого электронной почты и вложений, содержащих исполняемые файлы AceCryptor, запускающие Rescoms, с целью получения учетных данных электронной почты и браузера для дальнейших атак.

Аналогичные кампании, выявленные в Словакии, Болгарии и Сербии, ориентированные на местные компании, предполагают участие одного и того же субъекта угрозы с вариациями языка в зависимости от страны-мишени.

#ParsedReport #CompletenessLow
21-03-2024

New method! The latest backdoor of the APT28 organization has built-in a large number of controlled mailboxes (which can be logged in successfully) for data theft.

https://www.ctfiot.com/168931.html

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Oceanmap

Geo:
Ukrainian, American

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1027, T1114, T1132, T1566

IOCs:
Hash: 10
File: 1
IP: 5
Email: 13

Soft:
foxmail

Algorithms:
base64, rc4, des

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ коммуникационной модели бэкдора OCEANMAP, который состоит из трех этапов с использованием различного программного обеспечения почтового сервера. В нем освещаются проблемы, с которыми сталкиваются на каждом этапе, и определяется бэкдор OCEANMAP как относительно простой бэкдор C#, связанный с APT28. Бэкдор используется для удаленного управления по электронной почте, обрабатывает информацию учетной записи электронной почты, идентификаторы пользователей на основе сведений о хостинге и шифрует содержимое электронной почты с использованием таких алгоритмов, как RC4+Base64 и DES+Base64. В анализе также упоминается извлечение команд удаленного управления из черновых ящиков и приводятся подробные сведения о собранных адресах почтовых серверов и паролях контролируемых учетных записей почтовых ящиков, связанных с бэкдором OCEANMAP.
-----

Анализ сосредоточен на коммуникационной модели бэкдора OCEANMAP, которая разделена на три этапа. На этапе 1 автор первоначально использовал программное обеспечение hMailServer в Windows для создания почтового сервера, но столкнулся с проблемами доступа к нему через Интернет. Фаза 2 включала в себя попытку использования программного обеспечения с возможностью отправки по почте, доступ к которому можно было получить через Интернет, но которое не реагировало на команды бэкдора OCEANMAP. На этапе 3 автор использовал hmailserver+phpstudy+roundcube, который мог реагировать на добавление почты в папку "Входящие", но не на извлечение содержимого почты из черновика.

Необходимы дальнейшие исследования, чтобы понять, почему команда для извлечения содержимого почты из черновика не сработала. Анализ предполагает, что почтовые серверы на базе Linux могли бы более эффективно реагировать на команды бэкдора OCEANMAP. Бэкдор OCEANMAP не особенно сложен, написан на C# и впервые был раскрыт Украинским национальным центром реагирования на компьютерные чрезвычайные ситуации 28 декабря 2023 года. Он связан с организацией APT28 и получает команды удаленного управления по электронной почте.

Бэкдор включает информацию об учетной записи электронной почты, генерирует идентификатор пользователя на основе сведений о хостинге и шифрует содержимое электронной почты с помощью таких алгоритмов, как RC4+Base64 и DES+Base64. Он добавляет электронные письма во входящие, извлекает команды удаленного управления из черновиков и содержит две команды удаленного управления в своих образцах. Анализ также выявил 8 адресов почтовых серверов и 13 паролей контролируемых учетных записей почтовых ящиков из собранных образцов бэкдора OCEANMAP.

#ParsedReport #CompletenessMedium
21-03-2024

Cisco Talos Blog. New details on TinyTurla s post-compromise activity reveal full kill chain

https://blog.talosintelligence.com/tinyturla-full-kill-chain

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Tinyturla
Tinyturla-ng
Chisel_tool
Beacon
Winrm_tool

Victims:
European non-governmental organization

Industry:
Ngo

Geo:
Russian

TTPs:

IOCs:
Registry: 2
File: 1
Hash: 5
Domain: 4
IP: 1

Soft:
Microsoft Defender, Windows Service

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней кампании кибершпионажа, проведенной российской группой Turla, с акцентом на развертывание и деятельность их имплантата TinyTurla-NG в сети европейских НПО. Кампания включала различные тактики, такие как внедрение бэкдоров, методы уклонения, эксфильтрация данных, боковое перемещение и механизмы сохранения, демонстрируя передовые возможности Turla в проведении сложных шпионских операций. Анализ подчеркивает использование таких инструментов, как Chisel, WinRM и пользовательские маяки для связи, а также сотрудничество между Cisco Talos и CERT.NGO для понимания и противодействия текущим угрозам, создаваемым такими продвинутыми субъектами угроз.
-----

Cisco Talos предоставила обновленную информацию о недавней кампании российской шпионской группы Turla, связанной с внедрением их имплантата TinyTurla-NG (TTNG). Эта кампания была нацелена на европейскую неправительственную организацию (НПО), где Turla заразила несколько систем и установила каналы связи через Chisel для эксфильтрации данных и бокового перемещения внутри сети.

Действия Turla после взлома при этом вторжении выходят за рамки развертывания бэкдора. Перед установкой TinyTurla-NG Turla настраивает антивирусные исключения, чтобы избежать обнаружения. Затем имплантат записывается на диск, а сохранение обеспечивается путем создания вредоносной службы. Первоначально Turla добавляет исключения в антивирусное программное обеспечение для местоположений, в которых размещен имплантат, с последующей настройкой сохранения с помощью пакетных файлов для создания службы в системе для библиотеки TTNG DLL.

Развертывание TinyTurla-NG включает в себя поиск каталогов, копирование файлов в промежуточный каталог и последующую эксфильтрацию на сервер командования и контроля (C2). Кроме того, Turla развертывает пользовательский маяк Chisel из платформы offensive framework, устанавливая обратный прокси-туннель к серверу, контролируемому злоумышленником, для связи. Использование подключений Windows Remote Management (WinRM) предполагает, что для установления удаленных сеансов могли использоваться дополнительные инструменты, такие как цепочки прокси-серверов и evil-winrm.

Анализ трафика Chisel показывает периодическую связь с сервером C2 каждый час, что указывает на продолжающуюся фильтрацию данных. Хотя взломанные системы датируются октябрем 2023 года, развертывание Chisel произошло в декабре 2023 года, а значительная эксфильтрация данных была проведена в январе 2024 года.

Действия Turla следуют цепочке кибератак - от первоначального доступа до эксфильтрации данных, включая методы уклонения, внедрение бэкдоров, боковое перемещение по сети и механизмы сохранения. Использование Chisel для создания зашифрованных каналов связи и перемещения внутри скомпрометированной сети демонстрирует расширенные возможности Turla в проведении шпионских операций.

Таким образом, недавняя кампания Turla с использованием TinyTurla-NG implant демонстрирует их сложную тактику, методы и процедуры компрометации организаций, включая меры защиты от обнаружения, постоянное внедрение имплантатов, эксфильтрацию данных по зашифрованным каналам и боковое перемещение внутри сетей с использованием таких инструментов, как Chisel и WinRM. Скоординированные усилия Cisco Talos и CERT.НПО предоставили ценную информацию о кибероперациях Turla, подчеркнув текущие угрозы, создаваемые изощренными злоумышленниками в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
21-03-2024

Curious Serpens FalseFont Backdoor: Technical Analysis, Detection and Prevention

https://unit42.paloaltonetworks.com/curious-serpens-falsefont-backdoor

Report completeness: Medium

Actors/Campaigns:
Apt33 (motivation: cyber_espionage)

Threats:
Falsefont

Industry:
Energy, Aerospace

Geo:
Iranian, Japanese, Iran

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1105, T1059, T1071, T1027, T1110, T1133, T1547, T1574, T1041, have more...

IOCs:
IP: 1
File: 9
Path: 3
Hash: 2
Domain: 1

Soft:
NET Core, ASP.NET Core SignalR, SignalR, Chrome, ASP.NET

Algorithms:
sha256, aes, base64

Functions:
GetDirectories, GetProcess, GetDir, GetHard, GetScreen

Languages:
powershell

Links:
https://github.com/simpleperson123/ChromeDecryptor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового бэкдора под названием FalseFont, приписываемого связанной с Ираном группе исполнителей угроз Curious Serpens. Бэкдор нацелен на соискателей работы в аэрокосмической и оборонной промышленности, выдавая себя за законное программное обеспечение отдела кадров, чтобы обманом заставить жертв установить его. FalseFont обладает различными возможностями, такими как кража учетных данных, захват экранов и связь со своим сервером управления. В статье подчеркивается важность понимания защитных механизмов и специалистов по безопасности и защиты от таких целенаправленных угроз.
-----

В статье обсуждается обнаружение нового бэкдора под названием FalseFont, который, как полагают, используется связанной с Ираном группой исполнителей угроз, известной как Curious Serpens. Эта группа активна по крайней мере с 2013 года и в прошлом нацеливалась на аэрокосмический и энергетический секторы. FalseFont - это новейший инструмент в их арсенале, предназначенный для имитации законного программного обеспечения отдела кадров, чтобы обманом заставить жертв установить бэкдор.

FalseFont - это высоконаправленный бэкдор, ориентированный в первую очередь на соискателей работы в аэрокосмической и оборонной промышленности. Он представляет собой графический пользовательский интерфейс для подачи заявлений о приеме на работу в американскую аэрокосмическую компанию. Вредоносная программа умеет устанавливать постоянство и взаимодействовать со своим сервером управления (C2). Она может выполнять процессы и команды, манипулировать файловой системой, захватывать экраны и красть учетные данные из браузеров и платформ для подачи заявок на работу в аэрокосмической промышленности.

Бэкдор выполняет процессы и команды на зараженных компьютерах с такими возможностями, как кража учетных данных, захват экранов и манипулирование файлами. Он взаимодействует со своим сервером C2 с помощью ASP.NET Core SignalR и может получать команды в режиме реального времени для выполнения различных вредоносных действий. FalseFont использует шифрование для запутывания своих строк и имеет механизмы для скачивания и выгрузки файлов, обновления вредоносного ПО и выполнения команд.

Вредоносная программа использует различные методы для связи с сервером C2, включая периодические запросы и связь в режиме реального времени с использованием SignalR. Она кодирует сообщения с помощью шифрования AES и кодировки Base64. FalseFont может получать команды для кражи учетных данных, захвата экранов и выполнения других вредоносных действий. Он устанавливает постоянство с помощью разделов реестра и нескольких своих копий на зараженных компьютерах, обеспечивая свою непрерывную работу даже после перезагрузки системы.

В статье подчеркивается важность защитных механизмов, таких как брандмауэры следующего поколения и решения для обеспечения безопасности конечных точек, такие как Cortex XDR, для обнаружения и предотвращения таких угроз, как FalseFont. Это также подчеркивает необходимость того, чтобы специалисты по безопасности понимали возможности FalseFont и внедряли соответствующие средства защиты для защиты от целенаправленных атак со стороны субъектов угроз, таких как Curious Serpens.

Подводя итог, можно сказать, что FalseFont - это сложный бэкдор, используемый группой исполнителей угроз с историей атак на критические секторы. Его возможности включают кражу учетных данных, захват экранов и выполнение команд на зараженных компьютерах. Меры безопасности, такие как расширенное предотвращение угроз и решения для обнаружения конечных точек и реагирования на них, необходимы для снижения рисков, связанных с ложным обнаружением и аналогичными угрозами.

#ParsedReport #CompletenessLow
21-03-2024

Cisco Talos Blog. "Pig butchering" is an evolution of a social engineering tactic we ve seen for years

https://blog.talosintelligence.com/threat-source-newsletter-march-21-2024

Report completeness: Low

Actors/Campaigns:
Pig_butchering (motivation: cyber_espionage)
Volt_typhoon
Yorotrooper (motivation: cyber_espionage)
Turla

Threats:
Nevada_ransomware
Supershell
Tinyturla-ng
Scar

Victims:
Public water systems operators, Unitedhealth, Commonwealth of independent countries government agencies

Industry:
Healthcare, Government, Financial, Education

Geo:
France, California, China, Chinese, Iran, American

ChatGPT TTPs:
do not use without manual check
T1566, T1584, T1562, T1547, T1190, T1059

IOCs:
Hash: 10
File: 6

Soft:
Instagram, WhatsApp

Crypto:
ripple

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности понимания и устранения разнообразных и постоянных киберугроз, таких как романтические аферы и продвинутые группы постоянных угроз, путем сотрудничества со специалистами в области безопасности, правоохранительными органами и правительствами стран мира для повышения готовности и принятия ответных мер.
-----

Любовные аферы, также известные как "ловля сомов" или "разделка свиней", имеют долгую историю, но недавно привлекли к себе внимание с появлением термина "разделка свиней". Эти мошеннические действия включают в себя ряд шагов, когда мошенники нацеливаются на отдельных лиц с помощью текстовых сообщений или онлайн-взаимодействий, начиная с безобидных сообщений, прежде чем перейти к построению фальшивых отношений и, в конечном счете, обманом заставить жертв отправить деньги. Масштабы этих мошенничеств значительно возросли, и некоторые мошенники прибегают к такой тактике, как торговля людьми, чтобы расширить свою деятельность. Это создает серьезные проблемы, поскольку решения по кибербезопасности сами по себе не могут решить эту проблему; для эффективной борьбы с этими мошенничествами требуется сочетание обучения пользователей, действий правоохранительных органов и международного сотрудничества.

Администрация Байдена выступила с предупреждением относительно потенциальных кибератак на общественные системы водоснабжения со стороны спонсируемых государством субъектов, особенно из Ирана и Китая. Белый дом и Агентство по охране окружающей среды США предупредили всех губернаторов США об угрозах и призвали руководителей систем общественного водоснабжения устранить известные уязвимости, чтобы предотвратить сбои. Упоминался тайфун Вольт, китайская передовая группа постоянных угроз, нацеленная на сети критической инфраструктуры. Несмотря на эти предупреждения, UnitedHealth продолжает восстанавливаться после кибератаки, которая повлияла на важнейшие платежи поставщикам медицинских услуг, в связи с ростом расходов и сообщениями о финансовых сбоях в секторе здравоохранения.

В рамках отдельного события судебная система штата Невада участвует в судебном разбирательстве, которое может повлиять на сквозное шифрование по всей территории США. Генеральный прокурор штата подает в суд на Meta, компанию, стоящую за Facebook, Instagram и WhatsApp, с целью отмены сквозного шифрования для несовершеннолетних в целях борьбы с незаконная деятельность, направленная против детей. Однако защитники конфиденциальности обеспокоены тем, что такие решения против шифрования могут иметь более широкие последствия и ослабить общую защиту конфиденциальности в Интернете.

Фреймворк Supershell C2 был освещен в презентации Четана Рагхупрасада, что указывает на растущее использование участниками угроз для создания ботнетов с имплантатами Supershell. YoroTrooper, исполнитель угроз, ориентированных на шпионаж в Содружестве независимых стран, активно проводит атаки с использованием обычных и специально созданных вредоносных программ. Talos раскрыл тактику группы Turla APT, в частности их инструмент TinyTurla-NG, проливающий свет на их методы кражи ценной информации и уклонения от обнаружения с помощью исключения антивируса и установления стойкости.

Понимание этих текущих угроз, включая продвинутые группы постоянных угроз, такие как Turla, и эволюционирующую тактику в романтических аферах, таких как "разделка свиней", имеет решающее значение для сообщества кибербезопасности для повышения готовности и принятия ответных мер. Сотрудничество между специалистами в области безопасности, правоохранительными органами и правительствами всего мира имеет важное значение для эффективного противодействия этим разнообразным и постоянным киберугрозам.

#AI #Bard

Все, этот Google Bard сломался, несите новый.

Интеграция Bard с GDrive способна анализировать не более 400 документов для выдачи ответа. Этот механизм явно не подходит для анализа наших 4К отчетов в год.
А все так хорошо начиналось...

#ParsedReport #CompletenessLow
22-03-2024

Dark Web Profile: RansomHub

https://socradar.io/dark-web-profile-ransomhub

Report completeness: Low

Actors/Campaigns:
Ransomhub (motivation: financially_motivated)
Ghostsec

Threats:
Lockbit
Blackcat
Ghostlocker

Victims:
Ykp, Healthcare-related institutions

Industry:
Financial, Healthcare

Geo:
Korea, Brazilian, Brazil, Russian, China, Indonesia, Cuba, Vietnam, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1583.002, T1027, T1071.001, T1496, T1489, T1021.001

Soft:
ESXi

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4