#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная мысль текста заключается в том, что опасная команда аналитик кибер-разведки в Checkmarx исследования обнаружили изощренную кампанию нападения цепочке поставок программного обеспечения, используя различные тактики, методов и процедур (ТПД) для использования нескольких пострадавших, в том числе верхней.организация на GitHub GG и индивидуальные застройщики. Злоумышленники использовали захват учетной записи, внедрение вредоносного кода, поддельные настройки зеркал Python и публикацию вредоносных пакетов в реестре PyPI. Злоумышленники использовали соблазнительные описания инструментов с открытым исходным кодом, чтобы заманить жертв, распространяли вредоносные зависимости, захватывали учетные записи GitHub, использовали тактику социальной инженерии и использовали методы опечатывания. Вредоносные действия включали в себя эксфильтрацию данных, сокрытие и выполнение вредоносного кода с использованием различных методов, а также возможности кражи данных, такие как кейлоггинг, для получения конфиденциальной информации от жертв. Кампания подчеркивает важность постоянного мониторинга, сотрудничества и обмена информацией в сообществе кибербезопасности для борьбы с подобными угрозами в цепочке поставок программного обеспечения.
-----

Исследовательская группа Checkmarx раскрыла сложную кампанию атак, нацеленную на цепочку поставок программного обеспечения, в результате чего было успешно использовано множество жертв, включая Top.gg Организацию GitHub и отдельных разработчиков.

Злоумышленники использовали различные тактики, методы и процедуры (TTP), такие как захват учетной записи с помощью украденных файлов cookie браузера, внесение вредоносного кода с проверенными коммитами, настройка поддельного зеркала Python и публикация вредоносных пакетов в реестре PyPI.

Для заманивания жертв использовались вредоносные инструменты с открытым исходным кодом и заманчивыми описаниями, распространявшиеся в виде вредоносных зависимостей, связанных с популярными проектами GitHub и законными пакетами Python.

Атака включала методы опечатывания, перехваченные учетные записи GitHub и многоступенчатую полезную нагрузку для эксфильтрации данных в инфраструктуру злоумышленника.

Вредоносная программа обладала широкими возможностями для кражи данных, нацеливаясь на веб-браузеры, данные Discord, криптовалютные кошельки, сеансы Telegram, компьютерные файлы и данные Instagram с помощью компонента кейлоггинга, фиксирующего нажатия клавиш.

Кампания продемонстрировала передовые методы распространения вредоносного ПО через надежные платформы, такие как PyPI и GitHub.

Ключевые даты на временной шкале атаки включают регистрацию доменов, добавление вредоносных пакетов в PyPI пользователем "felpes", компрометацию учетной записи GitHub и регистрацию доменов с опечатками для расширения инфраструктуры распространения вредоносного ПО.

Постоянный мониторинг, сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для борьбы с такими угрозами.

#ParsedReport #CompletenessHigh
22-03-2024

Bringing Access Back Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect. Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect

https://www.mandiant.com/resources/blog/initial-access-brokers-exploit-f5-screenconnect

Report completeness: High

Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)

Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goreverse
Netcat_tool
Fscan_tool
Goheavy_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Metasploit_tool
Credential_dumping_technique

Victims:
U.s. defense contractor, Uk government entities, Institutions in asia, Southeast asian and u.s. research and education institutions, Hong kong businesses, Charities, Non-governmental organizations (ngos), U.s. and uk government organizations, Prominent universities in the u.s., Oceania, have more...

Industry:
Education, Government, Military, Ngo

Geo:
Taiwan, Asia, Chinese, Asian, Oceania, China, Canada

CVEs:
CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.3.3, 8.0.3, 8.1.0, 8.2.0, have more...)
- atlassian confluence server (<8.3.3, 8.2.3, 8.0.3, 8.0.1, 8.0.0, have more...)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<7.19.16, 5.7.6, 6.12.1, have more...)

CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2022-3052 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.52)
- google linux and chrome os (-)
- fedoraproject fedora (37)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.1.5, 13.1.1, 13.1.3, 13.1.5, have more...)


TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 1
IP: 5
Url: 4
Hash: 7

Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, MacOS, Unix

Algorithms:
xor, md5, sha256, base64

Languages:
visual_basic, golang

Links:
https://github.com/Chocapikk/CVE-2023-22515

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание исполнителя киберугроз UNC5174, действующего из Китая и использующего личность "Утеус", который перешел из хактивистских коллективов в качестве подрядчика Министерства государственной безопасности Китая (MSS). UNC5174 участвует в использовании различных уязвимостей, проведении агрессивных атак и вторжений, а также продаже доступа организациям, особенно в академическом, неправительственном и правительственном секторах. Действия злоумышленника демонстрируют систематическое сосредоточение внимания на стратегических целях, представляющих интерес для Китая, использование как пользовательских, так и общедоступных эксплойтов и сотрудничество с другими участниками угроз в рамках платформы MSS initial access broker для нацеливания на значимые глобальные организации.
-----

Инцидент с участием злоумышленника, известного как UNC5174, предположительно действующего из Китая и использующего личность "Утеус", был впервые обнаружен в ходе расследования вторжения в конце октября 2023 года компанией Mandiant. Было замечено, что этот субъект использует новую уязвимость N-day, затрагивающую пользовательский интерфейс управления трафиком F5 BIG-IP (CVE-2023-46747). Впоследствии, в феврале 2024 года, UNC5174 воспользовался уязвимостью Connectwise ScreenConnect (CVE-2024-1709). Mandiant со средней степенью уверенности оценил, что инструменты и фреймворки, использованные в этих инцидентах, были уникальными для UNC5174 и указывали на субъекта угрозы из Китайской Народной Республики (КНР).

UNC5174, ранее ассоциировавшийся с такими хактивистскими коллективами, как "Dawn Calvary" и "Genesis Day", перешел на работу в качестве подрядчика Министерства государственной безопасности Китая (MSS), в первую очередь сосредоточившись на выполнении операций доступа. Было замечено, что актер пытался продать доступ к различным организациям, включая технику оборонных подрядчиков США, правительственные структуры Великобритании и учреждения в Азии. UNC5174 был связан с агрессивным преследованием и вторжениями в исследовательские и образовательные учреждения, предприятия в Гонконге, НПО, а также правительственные организации в США и Великобритании.

Во время своей работы UNC5174 использовал несколько уязвимостей, включая F5 BIG-IP, Connectwise ScreenConnect, Atlassian Confluence, ядро Linux и брандмауэр Zyxel, среди прочих. Актер продемонстрировал обширную разведку, агрессивное сканирование уязвимостей и нацеливание на известные университеты и аналитические центры в различных регионах. Также было замечено использование таких инструментов, как SNOWLIGHT и GOREVERSE, а также коммуникационных платформ, таких как SUPERSHELL, GOHEAVY и других инструментов red teaming.

Деятельность UNC5174 носит систематический характер и направлена на достижение доступа к стратегическим целям, представляющим интерес для КНР, таким как академический сектор, НПО и государственный сектор. Злоумышленник использует как пользовательские, так и общедоступные эксплойты для нацеливания на широко распространенные периферийные устройства, такие как F5 BIG-IP и ScreenConnect. Взаимосвязанность операций UNC5174 с другими субъектами угроз, такими как UNC302, в рамках системы MSS initial access broker указывает на скоординированные усилия по нацеливанию на значимые глобальные организации.

В сообщении на форуме от 21 февраля 2024 года актер "Uteus" заявил об успешном использовании уязвимости Connectwise ScreenConnect в экземплярах, принадлежащих многочисленным организациям по всему миру, в первую очередь в США и Канаде. Mandiant подтвердил компрометацию в нескольких экземплярах ScreenConnect и наличие неавторизованных пользователей, добавленных UNC5174. Принадлежность актера к коллективам хактивистов до перехода к подрядчику MSS, а также их сосредоточенность на операциях доступа и посредничестве в скомпрометированных средах свидетельствуют о меняющемся ландшафте угроз в кибершпионаже.

#ParsedReport #CompletenessLow
25-03-2024

APT-C-09. 1. Analysis of attack activities

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247495954&idx=1&sn=d1b69cdc1465a9c0c033fe88e5c9ce51&chksm=f9c1c21bceb64b0df4cf0b45696c0b39cf5ef6f452265c755d6b6edd4deae4afe0b529fd9660&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Victims:
Palestinian federal tax office

Geo:
Asian, Pakistan, Palestinian

ChatGPT TTPs:
do not use without manual check
T1566, T1021.002, T1053.005, T1041, T1573.001, T1568.002, T1112, T1027

IOCs:
Hash: 2
Url: 3
File: 3

Algorithms:
md5, rc4, aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании кибератаки, осуществленной организацией Mahagrass, также известной как APT-C-09, нацеленной на Пакистан и соседние страны. Анализ охватывает методы атак, методы шифрования, профиль организации, анализ полезной нагрузки и информацию о фишинговых файлах, связанных с Mahagrass, подчеркивая необходимость того, чтобы аналитики безопасности отслеживали текущие и эволюционирующие угрозы, исходящие от этой группы APT, и эффективно реагировали на них.
-----

В проанализированном тексте освещается кибератака, приписываемая организации Mahagrass, также известной как APT-C-09 (Mahaca) или White Elephant, Patchwork и Dropping Elephant. Эта группа APT, имеющая опыт работы в странах Южной Азии, активна с 2013 года и последовательно нацелена на Пакистан и соседние страны. Методы атак, наблюдаемые в проанализированной выборке, напоминают предыдущие действия группы Mahagrass.

Основные выводы, сделанные в результате анализа, включают:.

**Методы атаки:** Атака предполагает использование вредоносных параметров lnk, аналогичных предыдущим атакам Mahagrass на Mokocao. Злоумышленники загружают документы-приманки и вредоносную полезную нагрузку с удаленного сервера и устанавливают запланированные задачи для сохранения. Примечательно, что URL-адреса, используемые для загрузки контента, содержат определенную строку "b-cdn.net". Подпись "RUNSWITHSCISSORS LTD", содержащаяся в вредоносной полезной нагрузке, была ранее идентифицирована в действиях Mahagrass.

**Методы шифрования:** Значение IV в алгоритме AES, используемом в вредоносной полезной нагрузке, соответствует значению из предыдущего анализа, связанного с Махараштрой. Формат URL для загрузки данных также соответствует прошлым действиям. Использование алгоритма RC4 с определенной схемой перекрытия ключей было распространено в предыдущих операциях Mokocao. Пример адреса загрузки в Пакистане соответствует историческому таргетингу Mahagrass на такие организации, как Федеральное налоговое управление Палестины.

** Профиль организации:** APT-C-09 (Mahagrass) имеет многолетнюю историю атак на Пакистан и соседние страны, сосредоточив внимание на краже конфиденциальной информации. Организация продемонстрировала непрерывную эволюцию, включив полезные бэкдоры, написанные на C#, в последний образец атаки. Это свидетельствует о стремлении расширить технические возможности для обхода мер сетевой безопасности.

**Анализ полезной нагрузки: ** Полезные нагрузки бэкдора C#, обнаруженные в ходе недавней атаки, считаются относительно простыми по функциональности. Однако ожидается, что злоумышленник расширит функциональность кода в будущих атаках. Постоянный мониторинг усилий Mahagrass по созданию оружия имеет решающее значение для точного понимания потенциальных угроз.

** Информация о фишинговых файлах:** Фишинговые файлы, используемые в атаке, загружают файлы-приманки и вредоносную полезную нагрузку с определенных URL-адресов, в конечном итоге обеспечивая постоянство с помощью запланированных задач. Вредоносная полезная нагрузка собирает и шифрует различную системную информацию, включая MAC-адрес, имя хоста, выполненные команды и результаты, перед отправкой их обратно на сервер управления (C2) с использованием метода POST.

Изучая технические индикаторы, схемы атак и историческое поведение Mahagrass, аналитики безопасности могут выявлять текущие и будущие угрозы, исходящие от этой постоянной группы APT, и эффективно реагировать на них. Использование сложных алгоритмов шифрования, эволюционирующие методы атак и стратегическое нацеливание на чувствительные объекты подчеркивают необходимость принятия надежных мер кибербезопасности для снижения рисков, связанных со вредоносной деятельностью Mahagrass. Следите за любыми обновлениями или модификациями инструментов и тактики атак организации.

#ParsedReport #CompletenessMedium
25-03-2024

China-linked Threats to Operational Technology

https://www.reliaquest.com/blog/china-linked-threats-to-operational-technology

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon
Blacktech
Apt31
Emissary_panda (motivation: cyber_espionage)

Threats:
Chargeweapon
Cobalt_strike
Hyperbro
Cobra
Spear-phishing_technique
Fourteenhi
Meatball
Winrm_tool
Shadow_copies_delete_technique
Ntdsutil_tool
Byovd_technique

Victims:
Us critical infrastructure organizations, Semiconductor companies, International subsidiaries, Industrial organizations

Industry:
Energy, Military, Government, Ics, Semiconductor_industry, Financial

Geo:
China, Chinese, Japanese, Singapore, Japan, Taiwan

TTPs:

IOCs:
File: 4

Soft:
Windows Defender, Ivanti, PSExec

Algorithms:
ecc, base64, xor, rc4

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе угрозы, исходящей от китайских группировок advanced persistent threat (APT), нацеленных на операционные технологии (OT) и критическую инфраструктуру с помощью изощренной тактики для извлечения ценной информации и потенциального нарушения работы систем. В отчете освещаются конкретные кибератаки, проведенные APT27, APT31, BlackTech и Volt Typhoon, подчеркиваются стратегические интересы Китая и необходимость усиления организациями мер кибербезопасности для защиты от этих угроз.
-----

В этом отчете анализируется угроза, исходящая от китайских групп продвинутых постоянных угроз (APT) в области операционных технологий (OT), с акцентом на четыре ключевые кибератаки, проведенные APT27, APT31, BlackTech и Volt Typhoon за последние 12 месяцев. Ожидается, что китайские APT-группы продолжат использовать сложные тактики, такие как эксплойты нулевого дня и социальная инженерия, для нацеливания на OT и сетевые устройства с целью извлечения ценной информации и разрушения критически важной инфраструктуры.

Группа Volt Typhoon нацелилась на критически важную инфраструктуру США, используя ботнет и бэкдор ChargeWeapon в среде OT. Группа поддерживала постоянство с помощью бэкдоров маршрутизаторов и стремилась нарушить функции OT в различных секторах, используя многоступенчатые прокси-серверы для инфраструктуры командования и контроля. APT31 нацелился на системы с воздушным зазором в Восточной Европе, используя множество бэкдоров для установления постоянного удаленного доступа и эксфильтрации конфиденциальной информации с помощью Yandex Cloud for C2.

Сообщалось, что BlackTech незаметно модифицировала прошивку маршрутизатора филиала для переключения между международными филиалами организаций и штаб-квартирами в Японии и США. Группа нацелилась на сектора, сильно зависящие от OT, посредством фишинговых электронных писем, содержащих вложения с бэкдорами, с целью сбора конфиденциальных данных. APT27 нацелился на полупроводниковые компании в Гонконге, Сингапуре и Тайване в рамках кампании кибершпионажа, используя бэкдор ChargeWeapon для удаленного доступа и утечки данных.

Кроме того, в докладе подчеркиваются стратегические интересы Китая, такие как инициативы "Пояс и путь" и "Сделано в Китае 2025", которые увеличили потребность страны в информации. Китайские группы APT играют важную роль в проведении операций по кибершпионажу и сбору разведданных для поддержки стратегических целей Китая и потенциального подрыва критически важной инфраструктуры в случае конфликта с США или их союзниками.

В анализе подчеркивается важность внедрения правил обнаружения и ключевых рекомендаций по снижению TTP, задействованных в этих атаках. Рекомендации включают предотвращение удаленного выполнения процессов с помощью таких методов, как WMI/PsExec в защитнике Windows, и внедрение более жесткого контроля доступа к критически важным ресурсам, требующим протокола удаленного рабочего стола (RDP). Организациям, использующим или планирующим внедрить OT в свою инфраструктуру, рекомендуется предпринимать активные шаги по укреплению своей системы кибербезопасности против потенциальных угроз со стороны китайских APT-групп.

В отчете также обсуждаются проблемы, связанные с приписыванием китайской деятельности APT из-за сотрудничества между различными группами угроз, что приводит к дублированию TTP и наборов инструментов. Предполагается, что китайские участники угроз продолжат использовать передовые тактики и сохранять настойчивость для достижения своих целей, согласующихся с более широкими стратегическими интересами Коммунистической партии Китая. По мере роста геополитической напряженности китайские участники угроз, вероятно, усилят свое внимание к атакам на устройства и сети OT, подчеркивая необходимость усиления мер кибербезопасности для защиты от потенциальных киберугроз.

#cyberthreattech #passleak

Мы официально объявили о тех партнерстве с командой PassLeak.

PassLeak - крутой стартап, собирают утечки из Dark-а а еще, что очень круто, парсят тонны логов стиллеров.
Т.е. если вы нашли себя в их базе, то, скорее всего, надо искать заразу в своей инфре.

С точки зрения TI, партнерство позволяет нам получить доступ к огромному массиву данных, собранных со стиллеров и использовать это в фидах и механизмах обогащения и скоринга.

https://cisoclub.ru/tehnologii-kiberugroz-brend-rst-cloud-russia-i-passleak-objavili-o-tehnologicheskom-partnerstve/

Заявку на пилот можно оставить у ребят на сайте [тык], либо написать мне в личку.

#ParsedReport #CompletenessLow
26-03-2024

The Darkside of TheMoon

https://blog.lumen.com/the-darkside-of-themoon

Report completeness: Low

Threats:
Moon_botnet
Faceless_tool
Solarmarker
Icedid
Residential_proxy_technique
Acunetix_tool
Password_spray_technique

Victims:
Asus routers, Iot devices, Soho routers, Network attached storage devices, D-link cameras

Industry:
Telco, Iot

ChatGPT TTPs:
do not use without manual check
T1583.001, T1584.002, T1588.002, T1190, T1046, T1071.001, T1571, T1027, T1090, T1583, have more...

IOCs:
IP: 3

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Moon\_Faceless\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, table: 1, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Команда Black Lotus Labs в Lumen Technologies раскрыла сложную кампанию по борьбе с киберпреступностью, в которой использовалась вредоносная программа "TheMoon", нацеленная на маршрутизаторы с истекшим сроком службы и устройства Интернета вещей, чтобы стимулировать рост безликого прокси-сервиса, используемого киберпреступниками. Анализ выявил процесс развертывания, сильную корреляцию между TheMoon и Faceless, влияние на безопасность глобальной сети и упреждающие меры, принятые Lumen для нарушения работы и обмена показателями компрометации с сообществом безопасности.
-----

Лаборатории Black Lotus обнаружили многолетнюю кампанию киберпреступности, направленную против устаревших маршрутизаторов и устройств Интернета вещей с использованием обновленной версии вредоносного ПО "TheMoon".

У TheMoon более 40 000 ботов в 88 странах, причем большинство из них служат основой для сервиса Faceless proxy.

Faceless способствует преступной деятельности и использовался операторами ботнетов, такими как SolarMarker и IcedID.

Развертывание вредоносного ПО включает в себя ряд этапов, при этом полезные нагрузки облегчают распространение, прокси-трафик и связь с инфраструктурой Faceless C2.

Существует сильная корреляция между ботами TheMoon и Faceless, со значительным совпадением кластеров активности.

Faceless позволяет пользователям маскировать подключения и представляться законными конечными пользователями интернет-провайдера, работая без проверки KYC и принимая платежи только через криптовалюты.

Скомпрометированные устройства Интернета вещей, питающие Faceless, часто являются неподдерживаемыми устройствами с истекшим сроком службы, что со временем повышает их уязвимость.

Безликие боты, расположенные в основном в США, представляют значительную угрозу для американских учетных записей и организаций, вероятно, сосредоточившись на распределении паролей и утечке данных в финансовом секторе.

Преступники подключают зараженные устройства к прокси-сервисам для анонимизации действий, сигнализируя об отходе от традиционных инструментов, таких как VPN.

Компания Lumen Technologies предприняла действия по блокированию трафика, связанного с TheMoon и Faceless, поделившись IOCs с сообществом безопасности для усиления усилий по кибербезопасности и продолжения мониторинга крупномасштабных ботнетов для защиты от возникающих угроз.

#ParsedReport #CompletenessMedium
26-03-2024

APT-C-43Machete. APT-C-43 (Machete) organization suspected of evolving into more diversified

https://www.ctfiot.com/169674.html

Report completeness: Medium

Actors/Campaigns:
Machete (motivation: information_theft)

Threats:
Spear-phishing_technique

Industry:
Military

Geo:
Turkish, Korean, America

CVEs:
CVE-2017-8570 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1027, T1547, T1112, T1574, T1059, T1020, T1210, have more...

IOCs:
IP: 1
Hash: 139
File: 4

Soft:
WeChat, Roblox, discord, Telegram

Algorithms:
md5, base64

Languages:
visual_basic, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание группы киберугроз APT-C-43, также известной как Machete, сосредоточенной на нацеливании на испаноязычных людей в Латинской Америке с помощью тактики социальной инженерии, распространения вредоносных файлов и развивающихся методов, использующих Python, .NET, Visual Basic и различные типы вредоносных программ. В тексте также освещаются их недавние действия, направленные против военных секретов Венесуэлы, и анализ их потоков атак и методологий.
-----

Организация APT-C-43, также известная как Machete, была впервые идентифицирована Kaspersky в 2014 году. Эта группа нацеливает свои атаки на цели с испаноязычным происхождением в Латинской Америке. Их основной метод первоначальных атак включает тактику социальной инженерии, такую как фишинговые электронные письма или поддельные блоги. Эта тактика используется для распространения вредоносных файлов, причем жертвами преимущественно являются испаноязычные лица. В декабре 2020 года стало известно, что APT-C-43 нацелился на военные секреты Венесуэлы в попытке поддержать оппозицию, используя в своих атаках новый бэкдор Python под названием Pyark.

Потоки атак, использованные APT-C-43 в предыдущих инцидентах, соответствуют методам, использованным при краже военных секретов Венесуэлы. Код VBA, найденный в документе полезной нагрузки, практически не изменился, что позволяет сделать вывод о том, что организацией, стоящей за этой атакой, скорее всего, является APT-C-43.

APT-C-43 продолжает доставлять полезную нагрузку в основном через фишинговые электронные письма и поддельные блоги, используя документы Office с вредоносными макрокодами. Эти макрокоды, будучи активированными, инициируют FTP-запросы для загрузки троянца-бэкдора с удаленного сервера. Вредоносный макрокод зашифрован для обмана пользователей. После выполнения макрокод загружает три файла - lnk, bat и png - в каталог "C:ProgramData". Затем файл lnk перемещается в каталог автозагрузки для запуска файла bat, который, в свою очередь, загружает и выполняет вредоносный код с удаленного сервера funkytothemoon.live.

После перезагрузки компьютера файл lnk в каталоге автозагрузки запускает выполнение файла bat, содержащего вредоносный код. Этот код загружает MSI-файл с сайта funkytothemoon.live, в котором содержится вредоносная программа. В последние годы APT-C-43 эволюционировал за счет использования вредоносных программ, скомпилированных с помощью .NET и Visual Basic в дополнение к Python. Вредоносные программы, скомпилированные с помощью Visual Basic, вставляют вредоносный код в законные программы VB для выполнения гнусных функций. Эти программы могут считывать данные конфигурации, устанавливать постоянство, выполнять резервное копирование файлов и загружать дополнительные вредоносные программы с gitlab.com.

Вредоносная программа .NET, используемая APT-C-43, сильно запутана и взята из проекта Qvoid-Token-Grabber на GitHub, что указывает на сильные возможности перехвата паролей. Модифицированная вредоносная программа .NET шифрует символы файла конфигурации, сохраняет их в ресурсах программы и в конечном итоге отправляет украденную конфиденциальную информацию злоумышленнику через Discord API.

Дальнейшее расследование выявило подозрительный RTF-файл, содержащий полезную нагрузку уязвимости CVE-2017-8570 в данных APT-C-43 C&C. Эта уязвимость срабатывает, когда RTF-файл открывается уязвимой программой Word, выполняя вредоносный код скрипта VBA, который загружает и запускает полезную нагрузку с заранее определенного C&C адреса. Несмотря на сходство доменных имен, используемых APT-C-43, включение CVE-2017-8570 в их поток атак не согласуется с предыдущими отчетами. Однако сопоставление кода VBA привело к обнаружению многочисленных RTF-документов с различными названиями-приманками, преимущественно относящимися к финансовым вопросам, что указывает на потенциальные мотивы, связанные с получением прибыли, и отход от традиционной тактики APT-C-43.

#ParsedReport #CompletenessMedium
26-03-2024

Unknown TTPs of Remcos RAT

https://labs.k7computing.com/index.php/unknown-ttps-of-remcos-rat

Report completeness: Medium

Threats:
Remcos_rat
Amsi_bypass_technique
Amsi-reaper_tool
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1053, T1027, T1055, T1573, T1112, T1056, T1123, have more...

IOCs:
File: 2
Url: 5
Hash: 2

Soft:
MacOSX, Internet Explorer

Algorithms:
base64, rc4

Win API:
CreateProcess, GetThreadContext, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, ZwUnmapViewOfSection

Languages:
powershell

Links:
https://github.com/h0ru/AMSI-Reaper.git