#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В начале 2024 года российские компании подверглись кибератакам со стороны новой группы под названием PhantomCore, использующей уникальный троян удаленного доступа PhantomRAT, использующий уязвимость WinRAR для проникновения в организации и установления связи с сервером управления для вредоносных действий.
-----

В начале 2024 года российские компании подверглись кибератакам со стороны группы кибершпионов, известной как PhantomCore, использующей троян удаленного доступа PhantomRAT.

Злоумышленники рассылали фишинговые электронные письма с защищенными паролем архивами RAR, содержащими PDF-документ вместе с исполняемым файлом, замаскированным в аналогичном каталоге.

PhantomRAT был разработан для скрытой работы с использованием .Сетевые приложения с однофайловым развертыванием, позволяющие избежать обнаружения в зараженных системах.

Злоумышленники воспользовались уязвимостью WinRAR CVE-2023-38831, нацеленной на архивы RAR, что позволило им установить PhantomRAT.

PhantomRAT облегчил загрузку файлов между скомпрометированными хостами и сервером управления, позволяя выполнять команды через cmd.exe.

Вредоносная программа установила соединение RSocket для связи с сервером управления, используя шифрование и специальные модели взаимодействия для эффективной передачи данных.

Структура классов PhantomRAT включала параметры конфигурации, влияющие на его работу, нацеленные на фильтрацию данных, выполнение команд и удаленное управление с помощью сетевых протоколов.

В ходе исследования были обнаружены связанные файлы, такие как PhantomCore.Загрузчик, ответственный за доставку PhantomRAT, с указанием методологий и инфраструктуры группы.

Тестовые адреса C2, найденные в некоторых образцах, предполагают потенциальную разведку перед атакой или тестирование действий субъектов угрозы.

#ParsedReport #CompletenessMedium
27-03-2024

Operation FlightNight: Indian Government Entities and Energy Sector Targeted by Cyber Espionage Campaign

https://blog.eclecticiq.com/operation-flightnight-indian-government-entities-and-energy-sector-targeted-by-cyber-espionage-campaign

Report completeness: Medium

Actors/Campaigns:
Flightnight (motivation: cyber_criminal, cyber_espionage, information_theft)

Threats:
Hackbrowserdata
Go-stealer
Spear-phishing_technique

Industry:
Petroleum, Government, Energy

Geo:
India, Indian, Ukraine, Russia

TTPs:

IOCs:
File: 3
Path: 1
Hash: 7
Domain: 5

Soft:
Slack, Microsoft Office, Google Chrome, Chromium, Microsoft Edge, Opera, OperaGX, Vivaldi, CocCoc, Internet Explorer, have more...

Algorithms:
zip, sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, windows: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что субъект киберугроз проводит кампанию кибершпионажа под названием "Операция FlightNight", нацеленную на государственные структуры Индии и энергетический сектор, используя настроенную версию программы для кражи информации с открытым исходным кодом HackBrowserData. Злоумышленник использовал фишинговые электронные письма, замаскированные под письма-приглашения от ВВС Индии, использовал каналы Slack для эксфильтрации конфиденциальных данных и хранил ключи Slack workspace и API в коде вредоносного ПО для связи. Атака включала кражу таких данных, как внутренние документы, сообщения электронной почты и данные браузера, в результате чего было отфильтровано в общей сложности 8,81 ГБ данных. Аналитики поделились своими выводами с индийскими властями, чтобы помочь в усилиях по реагированию на инциденты, и подчеркнули важность обмена разведданными, мониторинга, обнаружения на основе поведения и осведомленности сотрудников для эффективной борьбы с развивающимися киберугрозами.
-----

Начиная с 7 марта 2024 года, злоумышленник атаковал государственные учреждения Индии и энергетический сектор, используя настроенную версию программы для кражи информации HackBrowserData с помощью фишинговых электронных писем, замаскированных под письма-приглашения ВВС Индии.

Злоумышленник использовал каналы Slack для эксфильтрации данных, похитив конфиденциальные данные, такие как внутренние документы, электронные письма и данные браузера, общим объемом 8,81 ГБ.

Жертвами стали индийские правительственные учреждения, ответственные за электронные коммуникации, управление ИТ и национальную оборону, а также частные энергетические компании.

Предыдущая атака, совершенная 17 января 2024 года, имела сходство в поведении и технике доставки, что наводит на мысль о взаимосвязанной кампании.

Основным мотивом был кибершпионаж, а кража данных потенциально способствовала дальнейшим вторжениям в инфраструктуру индийского правительства.

EclecticIQ поделилась результатами с индийскими властями, чтобы помочь в выявлении жертв и реагировании на инциденты.

Вредоносная программа обладала расширенными функциями, включая связь по каналам Slack, эксфильтрацию документов и запутывание, чтобы избежать обнаружения.

В вредоносной программе были обнаружены Slack workspace и API-ключи, облегчающие взаимодействие с ботами Slack для извлечения данных.

Операция высветила тенденцию к модификации злоумышленниками инструментов с открытым исходным кодом для кибершпионажа, подчеркнув важность обмена разведданными, мониторинга, обнаружения на основе поведения и информированности сотрудников для борьбы с развивающимися киберугрозами.

#ParsedReport #CompletenessMedium
27-03-2024

Breaking Boundaries: Mispadu's Infiltration Beyond LATAM. Introduction

https://blog.morphisec.com/mispadu-infiltration-beyond-latam

Report completeness: Medium

Threats:
Mispadu
Passview_tool

Industry:
Financial

Geo:
Latam, Russian, Mexico

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1027, T1497, T1218, T1552, T1071

IOCs:
File: 3
Url: 2
Hash: 21
Domain: 8
Coin: 2

Crypto:
bitcoin

Algorithms:
zip

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расширении охвата банковского трояна Mispadu за пределы Латинской Америки и усилении его ориентации на европейские страны в ходе недавней кампании, а также в успешной краже учетных данных злоумышленником и использовании фишинговых электронных писем в качестве серьезной угрозы. Кроме того, в тексте подчеркивается эффективность Morphisec в предотвращении атак Mispadu с помощью инновационных технологий защиты, тактика уклонения Mispadu для обхода решений безопасности, а также конкретные детали цепочки заражения и поведения полезной нагрузки, связанные с Mispadu. В целом подчеркивается важность упреждающих мер кибербезопасности и передовых оборонных технологий для противодействия развивающимся киберугрозам.
-----

Mispadu, банковский троян и инфокрад, расширил свои цели за пределы Латинской Америки, включив в них европейские страны, при этом Мексика остается его основным объектом.

Злоумышленник, стоящий за Mispadu, успешно украл тысячи учетных данных с апреля 2023 года, запустив вредоносные фишинговые электронные письма, которые представляют значительную угрозу.

Morphisec, компания по кибербезопасности, эффективно обнаружила и предотвратила атаки в рамках этой кампании, используя запатентованную технологию защиты от движущихся целей.

Недавний всплеск активности Mispadu подчеркивает сохраняющуюся угрозу, исходящую от этого банковского трояна, который обходит многие существующие решения безопасности.

Цепочка заражения, организованная Mispadu, включает в себя несколько этапов, позволяющих избежать обнаружения, отфильтровать данные и использовать украденные учетные данные для дальнейших фишинговых кампаний.

Злоумышленник управляет двумя серверами управления (C2) для получения полезной нагрузки и эксфильтрации украденных учетных данных, используя украденные данные для создания дополнительных фишинговых электронных писем.

Географическое расширение и возросшая активность Mispadu подчеркивают важность упреждающих мер кибербезопасности и инвестиций в передовые решения для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessMedium
27-03-2024

CHAVECLOAK: A Complex Cyber Threat to Brazil s Financial Security

https://socradar.io/chavecloak-cyber-threat-to-brazils-financial-security

Report completeness: Medium

Threats:
Chavecloak
Dll_sideloading_technique
Credential_harvesting_technique

Industry:
Financial

Geo:
Brazilian, Portuguese, Brazil

ChatGPT TTPs:
do not use without manual check
T1566.002, T1140, T1574.002, T1082, T1547.001, T1111, T1132.001, T1059.001, T1071.001, T1041, have more...

IOCs:
File: 3
Url: 3

Soft:
Windows Defender

Crypto:
bitcoin

Algorithms:
zip

Win API:
GetForegroundWindow, GetWindowTextW

Languages:
delphi, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что бразильский финансовый сектор сталкивается со значительной угрозой со стороны банковского трояна высокой степени вредоносности под названием CHAVECLOAK. Это сложное вредоносное ПО нацелено на пользователей в Бразилии на платформах Microsoft Windows, инициируя атаку с помощью поддельных PDF-файлов и используя передовые методы для извлечения конфиденциальной финансовой информации. CHAVECLOAK работает скрытно, отслеживая действия пользователей на финансовых платформах и используя как традиционные банковские услуги, так и криптовалютные биржи, подчеркивая меняющийся характер киберугроз, с которыми сталкиваются финансовые учреждения Бразилии.
-----

Бразильский финансовый сектор в настоящее время находится под серьезной угрозой со стороны сложного банковского трояна, известного как CHAVECLOAK. Эта вредоносная программа предназначена для нарушения мер безопасности и извлечения конфиденциальной финансовой информации, в первую очередь нацелена на пользователей в Бразилии, работающих на платформах Microsoft Windows. Уровень серьезности этой угрозы классифицируется как высокий из-за ее возможностей и целенаправленной направленности на бразильский финансовый сектор.

Троянец CHAVECLOAK инициирует свое проникновение через вводящий в заблуждение PDF-файл, содержащий скрытую ссылку для скачивания, которая отображается как документы, связанные с контрактом, на португальском языке. Как только жертва нажимает на ссылку, загружается ZIP-файл, содержащий полезную нагрузку трояна. Затем вредоносная программа использует методы боковой загрузки DLL для незаметной интеграции в систему, запуская многоэтапный процесс атаки. Она собирает информацию о файловой системе, устанавливает постоянство с помощью изменений реестра и подтверждает местоположение жертвы в Бразилии, прежде чем продолжить.

CHAVECLOAK работает скрытно, отслеживая действия пользователя на финансовых платформах и связываясь со своим сервером управления (C2) при обнаружении взаимодействий, связанных с банковской деятельностью. Троянец может блокировать экраны, регистрировать нажатия клавиш и отображать обманчивые всплывающие окна для сбора учетных данных не только с традиционных банковских платформ, но и с криптовалютных бирж.

При распаковке установщика MSI, связанного с CHAVECLOAK, обнаруживаются различные файлы, включая законные исполняемые файлы и подозрительные библиотеки DLL. Троянец работает путем регистрации системной информации, создания файлов журнала и инициирования HTTP-запросов для записи данных, относящихся к жертвам в Бразилии. Он постоянно проверяет наличие активных окон, связанных с финансовой деятельностью, перехватывая конфиденциальную информацию с помощью зависающих экранов, фиксируя нажатия клавиш и отображая вводящие в заблуждение всплывающие окна. Затем украденные данные загружаются в определенные каталоги в зависимости от типа целевого финансового учреждения.

Более старый вариант CHAVECLOAK демонстрирует другой механизм доставки, использующий исполняемый файл Delphi для встраивания окончательной полезной нагрузки. Этот вариант хранит полезную нагрузку в уникальном каталоге, обеспечивает сохранение в системе и активно отслеживает взаимодействия пользователей на экранах банковского обслуживания и входа в систему с использованием биткойнов. Троянец собирает различную конфиденциальную информацию, включая имена пользователей, пароли и нажатия клавиш, которые затем отправляются на его сервер C2 для дальнейшей эксплуатации.

Таким образом, CHAVECLOAK представляет серьезную угрозу для бразильского финансового сектора, используя тактику обмана, изощренные методы и обширные возможности для извлечения конфиденциальной финансовой информации у целевых жертв. Способность трояна отслеживать как традиционные банки, так и криптовалютные биржи подчеркивает эволюционирующий характер киберугроз, с которыми сталкиваются финансовые учреждения Бразилии.

#ParsedReport #CompletenessMedium
27-03-2024

ASEAN Entities in the Spotlight: Chinese APT Group Targeting

https://unit42.paloaltonetworks.com/chinese-apts-target-asean-entities

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Pubload

Victims:
Asean-affiliated entity, Entities in myanmar, Entities in the philippines, Entities in japan, Entities in singapore, Government entities in cambodia, Government entities in laos

Industry:
Government, Military

Geo:
Asian, Asia, Myanmar, Laos, Philippines, Japanese, China, Apac, Japan, Chinese, America, Singapore, Cambodia

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1027, T1574, T1059, T1547, T1105, T1071, T1112, T1588, have more...

IOCs:
File: 8
Path: 1
IP: 8
Url: 2
Domain: 3
Hash: 5

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили китайские группы APT, Stately Taurus и другую неназванную группу, занимающуюся кибершпионажем, нацеленным на организации и страны-члены, связанные с Ассоциацией государств Юго-Восточной Азии (АСЕАН). Эти группы действуют уже несколько лет и нацелены на правительственные и неправительственные организации по всей Северной Америке, Европе и Азии. Кампании кибершпионажа предполагают использование пакетов вредоносных программ, предназначенных для конкретных стран региона АСЕАН, что указывает на текущие угрозы организациям в целях сбора разведывательной информации. Даны рекомендации организациям по усилению своих защитных мер против этих угроз.
-----

Исследователи подразделения 42 обнаружили, что две китайские группы advanced persistent threat (APT), известные как Stately Taurus и другая неназванная группа, в течение последних 90 дней занимались кибершпионажем, нацеленным на организации и страны-члены, связанные с Ассоциацией государств Юго-Восточной Азии (АСЕАН). Stately Taurus, также известная как Mustang Panda, BRONZE PRESIDENT, Red Delta, LuminousMoth, Earth Preta и Camaro Dragon, работает по меньшей мере с 2012 года и считается китайской APT-группой, специализирующейся на кампаниях кибершпионажа. Эта группа имеет историю нападок на государственные структуры, некоммерческие организации, религиозные организации и другие неправительственные организации по всей Северной Америке, Европе и Азии.

Во время Специального саммита АСЕАН-Австралия, состоявшегося в марте 2024 года, исследователи подразделения 42 выявили два вредоносных пакета, приписываемых Stately Taurus, которые были предназначены для атак на организации в Мьянме, на Филиппинах, в Японии и Сингапуре. Первый вредоносный пакет, созданный 4 марта 2024 года, был замаскирован под ZIP-архив, содержащий вредоносный исполняемый файл с именем Talking_Points_for_China.exe, который на самом деле был переименованной копией программы для защиты от регистрации ключей, разработанной QFX Software Corporation. Этот исполняемый файл загрузил вредоносный DLL-файл и попытался установить соединение с вредоносным IP-адресом. Второй пакет, созданный 5 марта 2024 года, представлял собой исполняемый файл скринсейвера с именем Note PSO.scr, предназначенный для загрузки доброкачественного исполняемого файла и вредоносного DLL-файла из определенных мест для целей командования и контроля.

Вторая китайская APT-группа скомпрометировала организацию, аффилированную с АСЕАН, указав, что среда организации была скомпрометирована путем подключения к вредоносной инфраструктуре группы. Кроме того, были обнаружены сетевые связи между организациями, аффилированными с АСЕАН, и инфраструктурой C2 китайских APT-групп, что подчеркивает привлекательность этих организаций в качестве целей шпионажа из-за их обработки конфиденциальной дипломатической и экономической информации в регионе.

Исследователи подразделения 42 отметили время совершения вредоносных действий с отчетливыми перерывами во время значительных китайских праздников, таких как Лунный Новый год и установленный законом "Особый рабочий день". Рабочее время субъекта угрозы совпадает со стандартным китайским временем, демонстрируя характер активности, соответствующий предыдущим наблюдениям во время Золотой недели Китая в 2023 году.

Эти кампании кибершпионажа подчеркивают сохраняющуюся угрозу, исходящую от связанных с национальными государствами группировок, нацеленных на организации в целях сбора разведывательных данных, особенно в контексте геополитических интересов в регионе АСЕАН. Организациям рекомендуется использовать результаты исследования Unit 42 для усиления своих защитных мер против таких угроз, уделяя особое внимание защите от выявленных вредоносных инфраструктур и тактики, используемой китайскими APT-группами.

#ParsedReport #CompletenessLow
27-03-2024

Vishing RAT Fraud vs Fraud Kill Chain

https://www.threatfabric.com/blogs/vishing-rat-fraud-vs-fraud-kill-chain

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566.002, T1566.003, T1589.002, T1219, T1595

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в тактике, используемой мошенниками при голосовом фишинге или мошенничестве с "крысиным фишингом", важности обнаружения и предотвращения таких мошенничеств, а также стратегиях борьбы с мошенничеством путем оценки возможностей обнаружения мошенничества и готовности к нему. В нем подчеркивается взаимосвязь риска устройств и поведенческого риска для выявления подозрительных действий и предлагается использовать такие ресурсы, как ThreatFabric, для расширения возможностей обнаружения мошенничества. В тексте также упоминаются семинары для совершенствования навыков выявления и снижения рисков мошенничества и рекомендуется обращаться за консультациями по стратегиям предотвращения мошенничества.
-----

В третьем эпизоде серии блогов рассказывается о тактике, применяемой мошенниками, которые связываются с физическими лицами по телефону с намерением обмануть их, заставив поверить, что они представляют доверенную организацию, такую как банк, Microsoft или правоохранительные органы. Эти мошенники стремятся получить контроль над устройством жертвы с помощью набора инструментов удаленного доступа (RAT). Этот тип мошенничества, известный как голосовой фишинг или мошенничество с фишинговой крысой, широко распространен во всем мире, при этом в некоторых регионах, таких как Северная Америка и Великобритания, наблюдается более высокий уровень подобных мошеннических действий.

В блоге подчеркивается важность выявления и предотвращения подобных мошенничеств путем оценки возможностей обнаружения мошенничества и готовности к нему. Цель блога - предоставить читателям необходимые инструменты для выявления различных видов мошенничества и борьбы с ними, начиная от кампаний вредоносного по и заканчивая мошенничеством с выдачей себя за другого. Анализ включает в себя изучение тактики, методов и процедур (TTP), используемых мошенниками, определение цепочки убийств, связанной с этими мошенническими действиями, и выявление потенциальных пробелов в обнаружении, которые необходимо устранить.

Одной из ключевых стратегий, освещенных в блоге, является корреляция риска устройства и поведенческого риска для выявления подозрительных действий. Связывая такие показатели, как взаимодействие "по вызову", с наличием активного RAT и поведенческими аномалиями, организации могут повысить свою способность выявлять потенциальных мошенников и реагировать на них. Подчеркивается, что эффективная система обнаружения мошенничества должна охватывать как веб-, так и мобильные платформы, поскольку мошенники часто используют несколько каналов или переключаются между ними для осуществления своих схем. ThreatFabric, глобальный поставщик решений для обеспечения безопасности банков и финансовых учреждений, рекомендуется в качестве ресурса, помогающего в проведении углубленного анализа и расширяющего возможности обнаружения мошенничества.

Блог также приглашает читателей принять участие в семинарах по готовности к обнаружению, чтобы еще больше усовершенствовать свои навыки в выявлении и снижении рисков мошенничества. Заинтересованным сторонам рекомендуется обратиться за бесплатной консультацией, чтобы узнать, как ThreatFabric может помочь в укреплении их стратегий предотвращения мошенничества.

#ParsedReport #CompletenessLow
27-03-2024

Qilin Ransomware: Get the 2024 Lowdown

https://cyberint.com/blog/research/qilin-ransomware

Report completeness: Low

Threats:
Qilin_ransomware

Victims:
Yanfeng automotive interiors, Upper marion township, Etairos health, Kevin leeds, cpa, Commonwealth sign, International electro mechanical services, Felda global ventures holdings berhad, Bright wires, Pt sarana multi infrastruktur (persero), Casa santiveri, have more...

Industry:
Healthcare, Financial

Geo:
France, Colombia, Brazil, Australia, Malaysia, Japan, Spain, Canada, Netherlands, Indonesia, Serbia

ChatGPT TTPs:
do not use without manual check
T1562.001, T1486, T1071, T1027, T1560, T1567.002, T1566.002, T1083, T1059

IOCs:
Hash: 6

Soft:
ESXi

Algorithms:
sha256

Languages:
rust