#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней кампании кибершпионажа, проведенной российской группой Turla, с акцентом на развертывание и деятельность их имплантата TinyTurla-NG в сети европейских НПО. Кампания включала различные тактики, такие как внедрение бэкдоров, методы уклонения, эксфильтрация данных, боковое перемещение и механизмы сохранения, демонстрируя передовые возможности Turla в проведении сложных шпионских операций. Анализ подчеркивает использование таких инструментов, как Chisel, WinRM и пользовательские маяки для связи, а также сотрудничество между Cisco Talos и CERT.NGO для понимания и противодействия текущим угрозам, создаваемым такими продвинутыми субъектами угроз.
-----

Cisco Talos предоставила обновленную информацию о недавней кампании российской шпионской группы Turla, связанной с внедрением их имплантата TinyTurla-NG (TTNG). Эта кампания была нацелена на европейскую неправительственную организацию (НПО), где Turla заразила несколько систем и установила каналы связи через Chisel для эксфильтрации данных и бокового перемещения внутри сети.

Действия Turla после взлома при этом вторжении выходят за рамки развертывания бэкдора. Перед установкой TinyTurla-NG Turla настраивает антивирусные исключения, чтобы избежать обнаружения. Затем имплантат записывается на диск, а сохранение обеспечивается путем создания вредоносной службы. Первоначально Turla добавляет исключения в антивирусное программное обеспечение для местоположений, в которых размещен имплантат, с последующей настройкой сохранения с помощью пакетных файлов для создания службы в системе для библиотеки TTNG DLL.

Развертывание TinyTurla-NG включает в себя поиск каталогов, копирование файлов в промежуточный каталог и последующую эксфильтрацию на сервер командования и контроля (C2). Кроме того, Turla развертывает пользовательский маяк Chisel из платформы offensive framework, устанавливая обратный прокси-туннель к серверу, контролируемому злоумышленником, для связи. Использование подключений Windows Remote Management (WinRM) предполагает, что для установления удаленных сеансов могли использоваться дополнительные инструменты, такие как цепочки прокси-серверов и evil-winrm.

Анализ трафика Chisel показывает периодическую связь с сервером C2 каждый час, что указывает на продолжающуюся фильтрацию данных. Хотя взломанные системы датируются октябрем 2023 года, развертывание Chisel произошло в декабре 2023 года, а значительная эксфильтрация данных была проведена в январе 2024 года.

Действия Turla следуют цепочке кибератак - от первоначального доступа до эксфильтрации данных, включая методы уклонения, внедрение бэкдоров, боковое перемещение по сети и механизмы сохранения. Использование Chisel для создания зашифрованных каналов связи и перемещения внутри скомпрометированной сети демонстрирует расширенные возможности Turla в проведении шпионских операций.

Таким образом, недавняя кампания Turla с использованием TinyTurla-NG implant демонстрирует их сложную тактику, методы и процедуры компрометации организаций, включая меры защиты от обнаружения, постоянное внедрение имплантатов, эксфильтрацию данных по зашифрованным каналам и боковое перемещение внутри сетей с использованием таких инструментов, как Chisel и WinRM. Скоординированные усилия Cisco Talos и CERT.НПО предоставили ценную информацию о кибероперациях Turla, подчеркнув текущие угрозы, создаваемые изощренными злоумышленниками в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
21-03-2024

Curious Serpens FalseFont Backdoor: Technical Analysis, Detection and Prevention

https://unit42.paloaltonetworks.com/curious-serpens-falsefont-backdoor

Report completeness: Medium

Actors/Campaigns:
Apt33 (motivation: cyber_espionage)

Threats:
Falsefont

Industry:
Energy, Aerospace

Geo:
Iranian, Japanese, Iran

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1105, T1059, T1071, T1027, T1110, T1133, T1547, T1574, T1041, have more...

IOCs:
IP: 1
File: 9
Path: 3
Hash: 2
Domain: 1

Soft:
NET Core, ASP.NET Core SignalR, SignalR, Chrome, ASP.NET

Algorithms:
sha256, aes, base64

Functions:
GetDirectories, GetProcess, GetDir, GetHard, GetScreen

Languages:
powershell

Links:
https://github.com/simpleperson123/ChromeDecryptor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового бэкдора под названием FalseFont, приписываемого связанной с Ираном группе исполнителей угроз Curious Serpens. Бэкдор нацелен на соискателей работы в аэрокосмической и оборонной промышленности, выдавая себя за законное программное обеспечение отдела кадров, чтобы обманом заставить жертв установить его. FalseFont обладает различными возможностями, такими как кража учетных данных, захват экранов и связь со своим сервером управления. В статье подчеркивается важность понимания защитных механизмов и специалистов по безопасности и защиты от таких целенаправленных угроз.
-----

В статье обсуждается обнаружение нового бэкдора под названием FalseFont, который, как полагают, используется связанной с Ираном группой исполнителей угроз, известной как Curious Serpens. Эта группа активна по крайней мере с 2013 года и в прошлом нацеливалась на аэрокосмический и энергетический секторы. FalseFont - это новейший инструмент в их арсенале, предназначенный для имитации законного программного обеспечения отдела кадров, чтобы обманом заставить жертв установить бэкдор.

FalseFont - это высоконаправленный бэкдор, ориентированный в первую очередь на соискателей работы в аэрокосмической и оборонной промышленности. Он представляет собой графический пользовательский интерфейс для подачи заявлений о приеме на работу в американскую аэрокосмическую компанию. Вредоносная программа умеет устанавливать постоянство и взаимодействовать со своим сервером управления (C2). Она может выполнять процессы и команды, манипулировать файловой системой, захватывать экраны и красть учетные данные из браузеров и платформ для подачи заявок на работу в аэрокосмической промышленности.

Бэкдор выполняет процессы и команды на зараженных компьютерах с такими возможностями, как кража учетных данных, захват экранов и манипулирование файлами. Он взаимодействует со своим сервером C2 с помощью ASP.NET Core SignalR и может получать команды в режиме реального времени для выполнения различных вредоносных действий. FalseFont использует шифрование для запутывания своих строк и имеет механизмы для скачивания и выгрузки файлов, обновления вредоносного ПО и выполнения команд.

Вредоносная программа использует различные методы для связи с сервером C2, включая периодические запросы и связь в режиме реального времени с использованием SignalR. Она кодирует сообщения с помощью шифрования AES и кодировки Base64. FalseFont может получать команды для кражи учетных данных, захвата экранов и выполнения других вредоносных действий. Он устанавливает постоянство с помощью разделов реестра и нескольких своих копий на зараженных компьютерах, обеспечивая свою непрерывную работу даже после перезагрузки системы.

В статье подчеркивается важность защитных механизмов, таких как брандмауэры следующего поколения и решения для обеспечения безопасности конечных точек, такие как Cortex XDR, для обнаружения и предотвращения таких угроз, как FalseFont. Это также подчеркивает необходимость того, чтобы специалисты по безопасности понимали возможности FalseFont и внедряли соответствующие средства защиты для защиты от целенаправленных атак со стороны субъектов угроз, таких как Curious Serpens.

Подводя итог, можно сказать, что FalseFont - это сложный бэкдор, используемый группой исполнителей угроз с историей атак на критические секторы. Его возможности включают кражу учетных данных, захват экранов и выполнение команд на зараженных компьютерах. Меры безопасности, такие как расширенное предотвращение угроз и решения для обнаружения конечных точек и реагирования на них, необходимы для снижения рисков, связанных с ложным обнаружением и аналогичными угрозами.

#ParsedReport #CompletenessLow
21-03-2024

Cisco Talos Blog. "Pig butchering" is an evolution of a social engineering tactic we ve seen for years

https://blog.talosintelligence.com/threat-source-newsletter-march-21-2024

Report completeness: Low

Actors/Campaigns:
Pig_butchering (motivation: cyber_espionage)
Volt_typhoon
Yorotrooper (motivation: cyber_espionage)
Turla

Threats:
Nevada_ransomware
Supershell
Tinyturla-ng
Scar

Victims:
Public water systems operators, Unitedhealth, Commonwealth of independent countries government agencies

Industry:
Healthcare, Government, Financial, Education

Geo:
France, California, China, Chinese, Iran, American

ChatGPT TTPs:
do not use without manual check
T1566, T1584, T1562, T1547, T1190, T1059

IOCs:
Hash: 10
File: 6

Soft:
Instagram, WhatsApp

Crypto:
ripple

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности понимания и устранения разнообразных и постоянных киберугроз, таких как романтические аферы и продвинутые группы постоянных угроз, путем сотрудничества со специалистами в области безопасности, правоохранительными органами и правительствами стран мира для повышения готовности и принятия ответных мер.
-----

Любовные аферы, также известные как "ловля сомов" или "разделка свиней", имеют долгую историю, но недавно привлекли к себе внимание с появлением термина "разделка свиней". Эти мошеннические действия включают в себя ряд шагов, когда мошенники нацеливаются на отдельных лиц с помощью текстовых сообщений или онлайн-взаимодействий, начиная с безобидных сообщений, прежде чем перейти к построению фальшивых отношений и, в конечном счете, обманом заставить жертв отправить деньги. Масштабы этих мошенничеств значительно возросли, и некоторые мошенники прибегают к такой тактике, как торговля людьми, чтобы расширить свою деятельность. Это создает серьезные проблемы, поскольку решения по кибербезопасности сами по себе не могут решить эту проблему; для эффективной борьбы с этими мошенничествами требуется сочетание обучения пользователей, действий правоохранительных органов и международного сотрудничества.

Администрация Байдена выступила с предупреждением относительно потенциальных кибератак на общественные системы водоснабжения со стороны спонсируемых государством субъектов, особенно из Ирана и Китая. Белый дом и Агентство по охране окружающей среды США предупредили всех губернаторов США об угрозах и призвали руководителей систем общественного водоснабжения устранить известные уязвимости, чтобы предотвратить сбои. Упоминался тайфун Вольт, китайская передовая группа постоянных угроз, нацеленная на сети критической инфраструктуры. Несмотря на эти предупреждения, UnitedHealth продолжает восстанавливаться после кибератаки, которая повлияла на важнейшие платежи поставщикам медицинских услуг, в связи с ростом расходов и сообщениями о финансовых сбоях в секторе здравоохранения.

В рамках отдельного события судебная система штата Невада участвует в судебном разбирательстве, которое может повлиять на сквозное шифрование по всей территории США. Генеральный прокурор штата подает в суд на Meta, компанию, стоящую за Facebook, Instagram и WhatsApp, с целью отмены сквозного шифрования для несовершеннолетних в целях борьбы с незаконная деятельность, направленная против детей. Однако защитники конфиденциальности обеспокоены тем, что такие решения против шифрования могут иметь более широкие последствия и ослабить общую защиту конфиденциальности в Интернете.

Фреймворк Supershell C2 был освещен в презентации Четана Рагхупрасада, что указывает на растущее использование участниками угроз для создания ботнетов с имплантатами Supershell. YoroTrooper, исполнитель угроз, ориентированных на шпионаж в Содружестве независимых стран, активно проводит атаки с использованием обычных и специально созданных вредоносных программ. Talos раскрыл тактику группы Turla APT, в частности их инструмент TinyTurla-NG, проливающий свет на их методы кражи ценной информации и уклонения от обнаружения с помощью исключения антивируса и установления стойкости.

Понимание этих текущих угроз, включая продвинутые группы постоянных угроз, такие как Turla, и эволюционирующую тактику в романтических аферах, таких как "разделка свиней", имеет решающее значение для сообщества кибербезопасности для повышения готовности и принятия ответных мер. Сотрудничество между специалистами в области безопасности, правоохранительными органами и правительствами всего мира имеет важное значение для эффективного противодействия этим разнообразным и постоянным киберугрозам.

#AI #Bard

Все, этот Google Bard сломался, несите новый.

Интеграция Bard с GDrive способна анализировать не более 400 документов для выдачи ответа. Этот механизм явно не подходит для анализа наших 4К отчетов в год.
А все так хорошо начиналось...

#ParsedReport #CompletenessLow
22-03-2024

Dark Web Profile: RansomHub

https://socradar.io/dark-web-profile-ransomhub

Report completeness: Low

Actors/Campaigns:
Ransomhub (motivation: financially_motivated)
Ghostsec

Threats:
Lockbit
Blackcat
Ghostlocker

Victims:
Ykp, Healthcare-related institutions

Industry:
Financial, Healthcare

Geo:
Korea, Brazilian, Brazil, Russian, China, Indonesia, Cuba, Vietnam, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1583.002, T1027, T1071.001, T1496, T1489, T1021.001

Soft:
ESXi

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Появление нового участника программ-вымогателей под названием RansomHub примечательно тем, что предлагает утечки данных в поддержку своих требований. Группа, работающая по всему миру с акцентом на финансовую выгоду, использует модель "Программа-вымогатель как услуга" для привлечения филиалов, главным образом из России. Несмотря на то, что они нацелены на жертв из разных стран и отраслей, они избегают конкретных стран и некоммерческих организаций. Подход RansomHub к выплате компенсаций аффилированным лицам и использование программ-вымогателей на базе Golang предполагают стремление конкурировать с известными участниками программ-вымогателей. Эксперты по безопасности советуют организациям уделять приоритетное внимание общим стратегиям защиты от программ-вымогателей, а такие платформы, как SOCRadar, предоставляют проактивный мониторинг угроз и аналитические решения для повышения уровня безопасности.
-----

На рынке киберугроз появился новый исполнитель программ-вымогателей под названием RansomHub.

RansomHub отличается тем, что предоставляет утечки данных в подтверждение своих заявлений.

Впервые они нацелились на бразильскую компанию YKP в феврале 2024 года и заявили о 17 жертвах, перечислив 14 на своем сайте утечки.

RansomHub работает по модели "Программа-вымогатель как услуга", при этом аффилированные лица получают 90% платежей за выкуп.

Группа запрещает нацеливаться на конкретные страны и некоммерческие организации.

Они вербуют партнеров с форума RAMP, в основном россиян, и их штаммы программ-вымогателей представляют собой переписанные версии ESXi на Golang.

RansomHub нацелен на жертв по всему миру, не следуя определенной схеме, включая критически важные секторы, такие как учреждения здравоохранения.

Несмотря на то, что RansomHub является новым, он стремится конкурировать с такими известными игроками, как LockBit и ALPHV, демонстрируя преимущества для аффилированных лиц и фокусируясь на программах-вымогателях на базе Golang.

Эксперты по безопасности рекомендуют организациям общие стратегии защиты от программ-вымогателей, такие как регулярное резервное копирование данных, обучение навыкам безопасности, управление исправлениями и обновлениями.

SOCRadar предлагает проактивные решения для мониторинга угроз и аналитики для повышения уровня безопасности организаций.

#ParsedReport #CompletenessHigh
22-03-2024

APT29 Uses WINELOADER to Target German Political Parties. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Wineloader
Envyscout
Burntbatter
Muskybeat
Beatdrop_loader
Password_spray_technique
Donut
Daveshell
Dll_sideloading_technique
Process_injection_technique

Victims:
German political parties

Industry:
Government

Geo:
Peru, Ukraine, German, Germany, Russia, Czechia, India, Italy, Moscow, Latvia, Russian

TTPs:
Tactics: 2
Technics: 10

IOCs:
Url: 3
File: 16
Hash: 8

Soft:
Jenkins, WordPress, outlook, LibreOffice, Windows Service

Algorithms:
rc4, md5, zip

Languages:
php, javascript

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участники киберугроз из APT29, связанные со Службой внешней разведки России (СВР), запустили фишинговую кампанию, нацеленную на политические партии Германии, с помощью нового варианта бэкдора под названием WINELOADER. Это знаменует собой смещение акцента APT29 с дипломатических миссий на политические организации, что указывает на более широкие стратегические усилия по сбору политической информации и влиянию на геополитическую динамику в Европе и на Западе. В бэкдоре используются передовые методы запутывания и коммуникации, что представляет значительную угрозу кибербезопасности и указывает на изощренность APT29 в проведении кибершпионажных мероприятий.
-----

В конце февраля участники киберугроз из APT29, группы, связанной со Службой внешней разведки России (СВР), запустили фишинговую кампанию, нацеленную на политические партии Германии, используя новый вариант бэкдора, известный как WINELOADER. Это стало первым случаем, когда этот подкластер APT29 был нацелен на политические партии, что является отходом от его обычного фокуса на дипломатических миссиях. Фишинговые электронные письма, маскировавшиеся под приглашения на званый ужин, организованный Христианско-демократическим союзом (ХДС), содержали вредоносные ссылки, ведущие на скомпрометированные веб-сайты, на которых размещалась полезная нагрузка бэкдора.

Вредоносная программа ROOTSAW, традиционно используемая APT29 для первоначального доступа, была использована для распространения бэкдора WINELOADER. WINELOADER, замеченный в предыдущих операциях, нацеленных на дипломатические учреждения в различных странах, демонстрирует сходство с другими семействами вредоносных программ APT29, такими как BURNTBATTER и MUSKYBEAT, что указывает на общего разработчика. Он использует передовые методы запутывания и методы связи для поддержания постоянства и получения команд с удаленного сервера.

Смещение APT29 в сторону нацеливания на политические партии в Германии отражает заинтересованность СВР в сборе политической информации за пределами традиционных дипломатических каналов. Такое расширение сферы деятельности представляет значительную угрозу для европейских и западных политических организаций, указывая на более широкую стратегическую направленность на влияние на геополитическую динамику. Документы-приманки и тактика, использованные в этой кампании, демонстрируют адаптивность и изощренность APT29 в проведении мероприятий по кибершпионажу.

Кроме того, бэкдор WINELOADER использует методы загрузки на стороне библиотеки DLL и алгоритмы шифрования для выполнения полезной нагрузки и связи со своим сервером управления (C2). Дизайн и функциональные возможности вредоносного ПО соответствуют устоявшейся тактике APT29, подчеркивая постоянный интерес группы к получению конфиденциальной информации от различных целей. Технический анализ, представленный в отчете, освещает тонкости функционирования вредоносного ПО и его потенциальные последствия для специалистов по кибербезопасности.

#ParsedReport #CompletenessLow
22-03-2024

New Go loader pushes Rhadamanthys stealer

https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys

Report completeness: Low

Threats:
Rhadamanthys
Putty_tool
Fakebat

Victims:
Putty users

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1204.002, T1140, T1105, T1020, T1059.003, T1547.001, T1566.001

IOCs:
Domain: 4
File: 2
Hash: 2
IP: 1

Soft:
Telnet client

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в рекламной кампании, использующей новый загрузчик, написанный на языке Go, для развертывания Rhadamanthys stealer в качестве дополнительной полезной нагрузки. Злоумышленник использовал тактику обмана с использованием PuTTY, чтобы обмануть ничего не подозревающих жертв и доставить вредоносную полезную нагрузку по двухэтапной цепочке перенаправления. Меры безопасности от Malwarebytes и ThreatDown выделяются в качестве основных средств защиты от таких угроз.
-----

Загрузчики вредоносных программ, также известные как дропперы или загрузчики-загрузчицы, широко востребованы в криминальном подполье за их способность компрометировать систему и доставлять дополнительную полезную нагрузку. Успех загрузчика зависит от его способности избегать обнаружения и точно нацеливаться на законных жертв, а не на изолированные среды. Эффективность загрузчика имеет решающее значение, поскольку она напрямую влияет на удовлетворенность его "клиентов", а именно других киберпреступников. В сообщении в блоге описана рекламная кампания с использованием нового загрузчика, написанного на языке Go, который использует уникальный метод для развертывания Rhadamanthys stealer в качестве дополнительной полезной нагрузки.

Злоумышленник, стоящий за этой кампанией, использовал PuTTY, популярный клиент SSH и Telnet для Windows, для обмана пользователей. Купив рекламу, которая маскируется под домашнюю страницу PuTTY, и стратегически разместив ее в верхней части результатов поиска Google, злоумышленник стремился обмануть ничего не подозревающих жертв. Само объявление вызвало подозрения из-за включения несвязанного доменного имени "arnaudpairoto . com.". Хотя в этом конкретном объявлении были очевидные "красные флажки", многие вредоносные объявления имитируют законные бренды, чтобы увеличить показатели успеха.

Вредоносная полезная нагрузка в данном случае была доставлена по двухэтапной цепочке перенаправления, тактика, обычно не наблюдаемая. Вредоносное ПО под названием PuTTy.exe функционирует как дроппер, закодированный на языке Go версии 1.21.0, который его создатель потенциально окрестил "Дроппер 1.3". Различные типы загрузчиков были выявлены в ходе кампаний по вредоносной рекламе, в частности, недавно в центре внимания оказался FakeBat. Вероятно, за загрузчиком и инфраструктурой вредоносной рекламы стоит один и тот же субъект угрозы, предлагающий комплексную услугу доставки вредоносных программ другим киберпреступникам. О кампании было сообщено в Google для принятия дальнейших мер.

Пользователи Malwarebytes и ThreatDown защищены от поддельного установщика PuTTY, идентифицированного как троян.Script.GO. Кроме того, пользователи ThreatDown, использующие фильтрацию DNS, имеют возможность активировать блокировку рекламы в своей консоли, чтобы предотвратить атаки, исходящие от вредоносной рекламы. Эти действия служат важной гарантией от угроз, распространяемых с помощью схем недобросовестной рекламы, подчеркивая текущие риски, с которыми сталкивается среда кибербезопасности.

#ParsedReport #CompletenessLow
22-03-2024

Large-Scale StrelaStealer Campaign in Early 2024

https://unit42.paloaltonetworks.com/strelastealer-campaign

Report completeness: Low

Threats:
Strela_stealer
Polyglot
Spear-phishing_technique

Victims:
Over 100 organizations

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1204.002, T1547.001, T1027, T1071, T1552.001

IOCs:
File: 4
Path: 1
Hash: 7
IP: 1

Algorithms:
zip, xor, base64

Languages:
jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4