#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и влиянии фишингового набора Tycoon 2FA, включая его методы, операторов, методы распространения, сходства с другими наборами и текущие усилия Sekoia по мониторингу для борьбы с угрозами в киберпространстве.
-----

Tycoon 2FA, фишинговый набор "Противник посередине" (AiTM), недавно стал одним из самых распространенных фишинговых наборов в мире угроз. Платформа Tycoon 2FA "Фишинг как услуга" (PhaaS) активна по меньшей мере с августа 2023 года, а команда Sekoia по обнаружению и исследованию угроз (TDR) выявила ее связь с несколькими участниками угроз, проводящими широкомасштабные и эффективные атаки. Набор быстро расширялся, и в период с октября 2023 по февраль 2024 года было обнаружено более 1100 доменных имен.

Оператор Tycoon 2FA, известный под такими именами, как Tycoon Group, SaaadFridi и Mr_XaaD, продвигает PhaaS с помощью Telegram с октября 2023 года. Они предлагают различные фишинговые шаблоны и шаблоны вложений по ценам, начинающимся от 120 долларов США в течение 10 дней, с различными уровнями цен в зависимости от домена верхнего уровня. Платформа Tycoon 2FA имеет сходство с другим известным набором для фишинга под названием Dadsec OTT, что предполагает потенциальную взаимосвязь между ними с точки зрения повторного использования кода и функциональности.

Фишинговый набор Tycoon 2FA основан на методах AiTM, перехватывающих вводимые пользователем данные во время процессов аутентификации, чтобы украсть сеансовые файлы cookie и обойти многофакторную аутентификацию (MFA). Операции с набором включают перенаправление пользователей на различные этапы, включая проверку турникета Cloudflare и поддельные страницы аутентификации Microsoft, для сбора конфиденциальной информации. Разработка и обслуживание набора, по-видимому, выполняются отдельным лицом, что приводит к ограниченной сложности и постепенным улучшениям.

Недавние обновления Tycoon 2FA расширили его возможности запутывания и защиты от обнаружения, изменив структуру сетевого трафика и улучшив тактику уклонения, чтобы избежать обнаружения ботов и сред анализа. Фишинговый набор распространяется через вложения электронной почты и перенаправления QR-кодов, в первую очередь ориентируясь на организации по всему миру, ориентируясь на сотрудников финансовых, бухгалтерских и исполнительных отделов, чтобы использовать их привилегии доступа.

Отслеживание и мониторинг инфраструктуры Tycoon 2FA были ключевым направлением деятельности Sekoia, при этом были разработаны передовые эвристические методы для выявления и отслеживания последних версий фишингового набора. Благодаря этим усилиям с августа 2023 года были выявлены тысячи фишинговых страниц, связанных с Tycoon 2FA, что свидетельствует о его широком распространении среди участников угроз. Анализируя биткойн-транзакции, связанные с Saad Tycoon Group, аналитики оценивают значительную финансовую выгоду от операций Tycoon 2FA PhaaS, что подтверждает ее прибыльный характер.

Поскольку Tycoon 2FA продолжает представлять существенную угрозу на рынке фишинга AiTM, Sekoia сохраняет бдительность в мониторинге и отслеживании своей деятельности. Оперативная информация, полученная в результате текущего анализа и расследований, позволит принимать упреждающие меры для снижения рисков, связанных с меняющейся тактикой участников угроз Tycoon 2FA.

#ParsedReport #CompletenessLow
24-03-2024

New method! APT28 organizations latest backdoor has built-in a large number of controlled email addresses (which can be logged in successfully) for data theft

https://xz.aliyun.com/t/14123

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Oceanmap

Geo:
Ukrainian, American

ChatGPT TTPs:
do not use without manual check
T1071, T1566, T1027, T1114, T1095, T1082

IOCs:
Hash: 10
File: 3
IP: 5
Email: 13

Soft:
foxmail

Algorithms:
des, rc4, base64, des-cbc

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ коммуникационной модели бэкдора OCEANMAP на разных этапах, изучение проблем, с которыми приходится сталкиваться при настройке почтового сервера, того, как бэкдор реагирует на различные программные среды, его функциональные возможности, используемые методы шифрования и как он работает для получения и выполнения команд удаленного управления по электронной почте. Кроме того, в тексте рассказывается о происхождении бэкдора OCEANMAP и его связи с организацией APT28.
-----

В тексте описывается анализ модели обратной связи OCEANMAP на разных этапах. На начальном этапе автор использовал программное обеспечение hMailServer под управлением системы Windows для создания почтового сервера, но столкнулся с проблемами доступа к нему через Интернет и сохранения чернового содержимого. На втором этапе автор попытался использовать программное обеспечение с возможностью отправки по почте, доступ к которому можно было получить через Интернет, но не смог эффективно реагировать на команды бэкдора OCEANMAP.

Дальнейшая репликация моделирования показала, что, хотя почтовый сервер мог реагировать на определенные команды, ему не удалось извлечь содержимое почты из черновика. Автор предположил, что для корректного реагирования почтового сервера на поведение бэкдора OCEANMAP может потребоваться среда Linux.

Анализ бэкдора OCEANMAP показал, что он не слишком сложен и написан на языке C#. Впервые он был обнаружен Украинским национальным центром реагирования на компьютерные чрезвычайные ситуации и связан с организацией APT28. Бэкдор функционирует, получая команды удаленного управления по электронной почте и выполняя их, возвращая результаты по электронной почте. Информация учетной записи электронной почты встроена в бэкдор, создавая уникальный идентификатор пользователя на основе информации о хосте для инструкций по удаленному управлению.

Различные версии бэкдора OCEANMAP используют алгоритмы шифрования, включая RC4+Base64, DES+Base64 или без шифрования содержимого электронной почты. Бэкдор содержит команды удаленного управления и способен добавлять электронные письма в почтовые ящики "Входящие" и извлекать команды удаленного управления из черновых ящиков.

В ходе анализа также были извлечены адреса почтовых серверов и пароли контролируемых учетных записей почтовых ящиков из собранных образцов бэкдоров OCEANMAP.

#ParsedReport #CompletenessLow
25-03-2024

No, it wasnt here? Spreading malware by abusing Google's advertising tracking function

https://asec.ahnlab.com/ko/62864

Report completeness: Low

Threats:
Rhadamanthys
Trojan/win.agent.c5595056
Trojan/win.agent.c5592526
Trojan/win.agent.c5594794

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1102, T1027, T1059, T1553, T1583

IOCs:
File: 8
Url: 13
Hash: 10

Soft:
Slack

Algorithms:
md5

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют тактику обмана, такую как манипулирование функцией отслеживания рекламы Google, для распространения вредоносного ПО среди ничего не подозревающих пользователей. В нем освещается конкретный случай, когда вредоносное ПО было замаскировано под популярные программы, что привело к установке вредоносных файлов в системах пользователей. В тексте подчеркивается важность бдительности пользователей при взаимодействии с онлайн-рекламой, чтобы снизить риск стать жертвой таких вредоносных схем.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно использовал функцию отслеживания рекламы Google, чтобы выявить тактику, используемую киберпреступниками для распространения вредоносных программ. Они обнаружили случай, когда вредоносное ПО было замаскировано под популярные программы для установки группового ПО, такие как Notion и Slack. После загрузки вредоносное программное обеспечение извлекло дополнительные вредоносные файлы и полезную нагрузку с сервера злоумышленника. Злоумышленники манипулировали функцией отслеживания рекламы Google, обычно используемой для статистики доступа пользователей, заменив сайт распространения вредоносного ПО сайтом внешней статистики. С тех пор реклама злоумышленника была удалена, но во время распространения нажатие на нее приводило пользователей на определенный адрес, где они неосознанно загружали вредоносный файл.

Цепочка распространения включает в себя серию перенаправлений, ведущих пользователей на страницу, имитирующую внешний вид законного инструмента совместной работы, побуждающего их загружать и запускать вредоносный код. Этот код при выполнении запрашивает веб-сайт хранилища текста, такой как textbin или tinyurl, для получения адреса вредоносной полезной нагрузки. Злоумышленник обращается к этому URL-адресу, чтобы получить адрес полезной нагрузки, который затем отправляется обратно в качестве ответа при обращении к исходному адресу. Следовательно, вредоносная программа Rhadamanthys, классифицируемая как infostealer, загружается из определенного места. Когда эта вредоносная программа запускается, она внедряется и запускается в стандартном файле Windows, расположенном по пути %system32%. Поскольку вредоносная программа работает в обычном системном файле, пользователи могут оставаться в неведении о ее вредоносных действиях, подвергая свою конфиденциальную информацию риску кражи.

Соответствие рекламы Google тактике распространения вредоносных программ, вводящих в заблуждение, подчеркивает коварство киберпреступников. Помимо Google, другие поисковые системы, предлагающие функции отслеживания в статистических целях, также могут быть использованы злоумышленниками для распространения вредоносного кода. Ключевой вывод для пользователей - быть бдительными при взаимодействии с онлайн-рекламой и всегда проверять фактический URL, на который они перенаправлены, вместо того, чтобы полагаться исключительно на отображаемую рекламу. Проявляя осторожность и тщательно изучая URL-адреса, пользователи могут снизить риск стать жертвами таких вредоносных схем.

#ParsedReport #CompletenessMedium
25-03-2024

Over 170K Users Affected by Attack Using Fake Python Infrastructure

https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Top.gg github organization, Several individual developers, Top.gg contributor, Python developers

Geo:
Japanese, Chinese

ChatGPT TTPs:
do not use without manual check
T1199, T1550, T1195, T1587, T1595, T1204, T1566, T1547, T1027, T1059, have more...

IOCs:
Domain: 3
File: 2
Url: 6
IP: 3
Hash: 3

Soft:
Discord, Windows registry, Opera, Chrome, Vivaldi, Telegram, Instagram

Algorithms:
zip

Languages:
python

Links:
https://github.com/top-gg/python-sdk
https://github.com/editor-syntax
https://github.com/top-gg
https://github.com/top-gg/python-sdk/commit/ecb87731286d72c8b8172db9671f74bd42c6c534

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная мысль текста заключается в том, что опасная команда аналитик кибер-разведки в Checkmarx исследования обнаружили изощренную кампанию нападения цепочке поставок программного обеспечения, используя различные тактики, методов и процедур (ТПД) для использования нескольких пострадавших, в том числе верхней.организация на GitHub GG и индивидуальные застройщики. Злоумышленники использовали захват учетной записи, внедрение вредоносного кода, поддельные настройки зеркал Python и публикацию вредоносных пакетов в реестре PyPI. Злоумышленники использовали соблазнительные описания инструментов с открытым исходным кодом, чтобы заманить жертв, распространяли вредоносные зависимости, захватывали учетные записи GitHub, использовали тактику социальной инженерии и использовали методы опечатывания. Вредоносные действия включали в себя эксфильтрацию данных, сокрытие и выполнение вредоносного кода с использованием различных методов, а также возможности кражи данных, такие как кейлоггинг, для получения конфиденциальной информации от жертв. Кампания подчеркивает важность постоянного мониторинга, сотрудничества и обмена информацией в сообществе кибербезопасности для борьбы с подобными угрозами в цепочке поставок программного обеспечения.
-----

Исследовательская группа Checkmarx раскрыла сложную кампанию атак, нацеленную на цепочку поставок программного обеспечения, в результате чего было успешно использовано множество жертв, включая Top.gg Организацию GitHub и отдельных разработчиков.

Злоумышленники использовали различные тактики, методы и процедуры (TTP), такие как захват учетной записи с помощью украденных файлов cookie браузера, внесение вредоносного кода с проверенными коммитами, настройка поддельного зеркала Python и публикация вредоносных пакетов в реестре PyPI.

Для заманивания жертв использовались вредоносные инструменты с открытым исходным кодом и заманчивыми описаниями, распространявшиеся в виде вредоносных зависимостей, связанных с популярными проектами GitHub и законными пакетами Python.

Атака включала методы опечатывания, перехваченные учетные записи GitHub и многоступенчатую полезную нагрузку для эксфильтрации данных в инфраструктуру злоумышленника.

Вредоносная программа обладала широкими возможностями для кражи данных, нацеливаясь на веб-браузеры, данные Discord, криптовалютные кошельки, сеансы Telegram, компьютерные файлы и данные Instagram с помощью компонента кейлоггинга, фиксирующего нажатия клавиш.

Кампания продемонстрировала передовые методы распространения вредоносного ПО через надежные платформы, такие как PyPI и GitHub.

Ключевые даты на временной шкале атаки включают регистрацию доменов, добавление вредоносных пакетов в PyPI пользователем "felpes", компрометацию учетной записи GitHub и регистрацию доменов с опечатками для расширения инфраструктуры распространения вредоносного ПО.

Постоянный мониторинг, сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для борьбы с такими угрозами.

#ParsedReport #CompletenessHigh
22-03-2024

Bringing Access Back Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect. Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect

https://www.mandiant.com/resources/blog/initial-access-brokers-exploit-f5-screenconnect

Report completeness: High

Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)

Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goreverse
Netcat_tool
Fscan_tool
Goheavy_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Metasploit_tool
Credential_dumping_technique

Victims:
U.s. defense contractor, Uk government entities, Institutions in asia, Southeast asian and u.s. research and education institutions, Hong kong businesses, Charities, Non-governmental organizations (ngos), U.s. and uk government organizations, Prominent universities in the u.s., Oceania, have more...

Industry:
Education, Government, Military, Ngo

Geo:
Taiwan, Asia, Chinese, Asian, Oceania, China, Canada

CVEs:
CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.3.3, 8.0.3, 8.1.0, 8.2.0, have more...)
- atlassian confluence server (<8.3.3, 8.2.3, 8.0.3, 8.0.1, 8.0.0, have more...)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<7.19.16, 5.7.6, 6.12.1, have more...)

CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2022-3052 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.52)
- google linux and chrome os (-)
- fedoraproject fedora (37)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.1.5, 13.1.1, 13.1.3, 13.1.5, have more...)


TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 1
IP: 5
Url: 4
Hash: 7

Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, MacOS, Unix

Algorithms:
xor, md5, sha256, base64

Languages:
visual_basic, golang

Links:
https://github.com/Chocapikk/CVE-2023-22515

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание исполнителя киберугроз UNC5174, действующего из Китая и использующего личность "Утеус", который перешел из хактивистских коллективов в качестве подрядчика Министерства государственной безопасности Китая (MSS). UNC5174 участвует в использовании различных уязвимостей, проведении агрессивных атак и вторжений, а также продаже доступа организациям, особенно в академическом, неправительственном и правительственном секторах. Действия злоумышленника демонстрируют систематическое сосредоточение внимания на стратегических целях, представляющих интерес для Китая, использование как пользовательских, так и общедоступных эксплойтов и сотрудничество с другими участниками угроз в рамках платформы MSS initial access broker для нацеливания на значимые глобальные организации.
-----

Инцидент с участием злоумышленника, известного как UNC5174, предположительно действующего из Китая и использующего личность "Утеус", был впервые обнаружен в ходе расследования вторжения в конце октября 2023 года компанией Mandiant. Было замечено, что этот субъект использует новую уязвимость N-day, затрагивающую пользовательский интерфейс управления трафиком F5 BIG-IP (CVE-2023-46747). Впоследствии, в феврале 2024 года, UNC5174 воспользовался уязвимостью Connectwise ScreenConnect (CVE-2024-1709). Mandiant со средней степенью уверенности оценил, что инструменты и фреймворки, использованные в этих инцидентах, были уникальными для UNC5174 и указывали на субъекта угрозы из Китайской Народной Республики (КНР).

UNC5174, ранее ассоциировавшийся с такими хактивистскими коллективами, как "Dawn Calvary" и "Genesis Day", перешел на работу в качестве подрядчика Министерства государственной безопасности Китая (MSS), в первую очередь сосредоточившись на выполнении операций доступа. Было замечено, что актер пытался продать доступ к различным организациям, включая технику оборонных подрядчиков США, правительственные структуры Великобритании и учреждения в Азии. UNC5174 был связан с агрессивным преследованием и вторжениями в исследовательские и образовательные учреждения, предприятия в Гонконге, НПО, а также правительственные организации в США и Великобритании.

Во время своей работы UNC5174 использовал несколько уязвимостей, включая F5 BIG-IP, Connectwise ScreenConnect, Atlassian Confluence, ядро Linux и брандмауэр Zyxel, среди прочих. Актер продемонстрировал обширную разведку, агрессивное сканирование уязвимостей и нацеливание на известные университеты и аналитические центры в различных регионах. Также было замечено использование таких инструментов, как SNOWLIGHT и GOREVERSE, а также коммуникационных платформ, таких как SUPERSHELL, GOHEAVY и других инструментов red teaming.

Деятельность UNC5174 носит систематический характер и направлена на достижение доступа к стратегическим целям, представляющим интерес для КНР, таким как академический сектор, НПО и государственный сектор. Злоумышленник использует как пользовательские, так и общедоступные эксплойты для нацеливания на широко распространенные периферийные устройства, такие как F5 BIG-IP и ScreenConnect. Взаимосвязанность операций UNC5174 с другими субъектами угроз, такими как UNC302, в рамках системы MSS initial access broker указывает на скоординированные усилия по нацеливанию на значимые глобальные организации.

В сообщении на форуме от 21 февраля 2024 года актер "Uteus" заявил об успешном использовании уязвимости Connectwise ScreenConnect в экземплярах, принадлежащих многочисленным организациям по всему миру, в первую очередь в США и Канаде. Mandiant подтвердил компрометацию в нескольких экземплярах ScreenConnect и наличие неавторизованных пользователей, добавленных UNC5174. Принадлежность актера к коллективам хактивистов до перехода к подрядчику MSS, а также их сосредоточенность на операциях доступа и посредничестве в скомпрометированных средах свидетельствуют о меняющемся ландшафте угроз в кибершпионаже.

#ParsedReport #CompletenessLow
25-03-2024

APT-C-09. 1. Analysis of attack activities

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247495954&idx=1&sn=d1b69cdc1465a9c0c033fe88e5c9ce51&chksm=f9c1c21bceb64b0df4cf0b45696c0b39cf5ef6f452265c755d6b6edd4deae4afe0b529fd9660&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Victims:
Palestinian federal tax office

Geo:
Asian, Pakistan, Palestinian

ChatGPT TTPs:
do not use without manual check
T1566, T1021.002, T1053.005, T1041, T1573.001, T1568.002, T1112, T1027

IOCs:
Hash: 2
Url: 3
File: 3

Algorithms:
md5, rc4, aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании кибератаки, осуществленной организацией Mahagrass, также известной как APT-C-09, нацеленной на Пакистан и соседние страны. Анализ охватывает методы атак, методы шифрования, профиль организации, анализ полезной нагрузки и информацию о фишинговых файлах, связанных с Mahagrass, подчеркивая необходимость того, чтобы аналитики безопасности отслеживали текущие и эволюционирующие угрозы, исходящие от этой группы APT, и эффективно реагировали на них.
-----

В проанализированном тексте освещается кибератака, приписываемая организации Mahagrass, также известной как APT-C-09 (Mahaca) или White Elephant, Patchwork и Dropping Elephant. Эта группа APT, имеющая опыт работы в странах Южной Азии, активна с 2013 года и последовательно нацелена на Пакистан и соседние страны. Методы атак, наблюдаемые в проанализированной выборке, напоминают предыдущие действия группы Mahagrass.

Основные выводы, сделанные в результате анализа, включают:.

**Методы атаки:** Атака предполагает использование вредоносных параметров lnk, аналогичных предыдущим атакам Mahagrass на Mokocao. Злоумышленники загружают документы-приманки и вредоносную полезную нагрузку с удаленного сервера и устанавливают запланированные задачи для сохранения. Примечательно, что URL-адреса, используемые для загрузки контента, содержат определенную строку "b-cdn.net". Подпись "RUNSWITHSCISSORS LTD", содержащаяся в вредоносной полезной нагрузке, была ранее идентифицирована в действиях Mahagrass.

**Методы шифрования:** Значение IV в алгоритме AES, используемом в вредоносной полезной нагрузке, соответствует значению из предыдущего анализа, связанного с Махараштрой. Формат URL для загрузки данных также соответствует прошлым действиям. Использование алгоритма RC4 с определенной схемой перекрытия ключей было распространено в предыдущих операциях Mokocao. Пример адреса загрузки в Пакистане соответствует историческому таргетингу Mahagrass на такие организации, как Федеральное налоговое управление Палестины.

** Профиль организации:** APT-C-09 (Mahagrass) имеет многолетнюю историю атак на Пакистан и соседние страны, сосредоточив внимание на краже конфиденциальной информации. Организация продемонстрировала непрерывную эволюцию, включив полезные бэкдоры, написанные на C#, в последний образец атаки. Это свидетельствует о стремлении расширить технические возможности для обхода мер сетевой безопасности.

**Анализ полезной нагрузки: ** Полезные нагрузки бэкдора C#, обнаруженные в ходе недавней атаки, считаются относительно простыми по функциональности. Однако ожидается, что злоумышленник расширит функциональность кода в будущих атаках. Постоянный мониторинг усилий Mahagrass по созданию оружия имеет решающее значение для точного понимания потенциальных угроз.

** Информация о фишинговых файлах:** Фишинговые файлы, используемые в атаке, загружают файлы-приманки и вредоносную полезную нагрузку с определенных URL-адресов, в конечном итоге обеспечивая постоянство с помощью запланированных задач. Вредоносная полезная нагрузка собирает и шифрует различную системную информацию, включая MAC-адрес, имя хоста, выполненные команды и результаты, перед отправкой их обратно на сервер управления (C2) с использованием метода POST.

Изучая технические индикаторы, схемы атак и историческое поведение Mahagrass, аналитики безопасности могут выявлять текущие и будущие угрозы, исходящие от этой постоянной группы APT, и эффективно реагировать на них. Использование сложных алгоритмов шифрования, эволюционирующие методы атак и стратегическое нацеливание на чувствительные объекты подчеркивают необходимость принятия надежных мер кибербезопасности для снижения рисков, связанных со вредоносной деятельностью Mahagrass. Следите за любыми обновлениями или модификациями инструментов и тактики атак организации.

#ParsedReport #CompletenessMedium
25-03-2024

China-linked Threats to Operational Technology

https://www.reliaquest.com/blog/china-linked-threats-to-operational-technology

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon
Blacktech
Apt31
Emissary_panda (motivation: cyber_espionage)

Threats:
Chargeweapon
Cobalt_strike
Hyperbro
Cobra
Spear-phishing_technique
Fourteenhi
Meatball
Winrm_tool
Shadow_copies_delete_technique
Ntdsutil_tool
Byovd_technique

Victims:
Us critical infrastructure organizations, Semiconductor companies, International subsidiaries, Industrial organizations

Industry:
Energy, Military, Government, Ics, Semiconductor_industry, Financial

Geo:
China, Chinese, Japanese, Singapore, Japan, Taiwan

TTPs:

IOCs:
File: 4

Soft:
Windows Defender, Ivanti, PSExec

Algorithms:
ecc, base64, xor, rc4

Languages:
powershell