#ParsedReport #CompletenessMedium
27-03-2024

ASEAN Entities in the Spotlight: Chinese APT Group Targeting

https://unit42.paloaltonetworks.com/chinese-apts-target-asean-entities

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Pubload

Victims:
Asean-affiliated entity, Entities in myanmar, Entities in the philippines, Entities in japan, Entities in singapore, Government entities in cambodia, Government entities in laos

Industry:
Government, Military

Geo:
Asian, Asia, Myanmar, Laos, Philippines, Japanese, China, Apac, Japan, Chinese, America, Singapore, Cambodia

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1027, T1574, T1059, T1547, T1105, T1071, T1112, T1588, have more...

IOCs:
File: 8
Path: 1
IP: 8
Url: 2
Domain: 3
Hash: 5

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили китайские группы APT, Stately Taurus и другую неназванную группу, занимающуюся кибершпионажем, нацеленным на организации и страны-члены, связанные с Ассоциацией государств Юго-Восточной Азии (АСЕАН). Эти группы действуют уже несколько лет и нацелены на правительственные и неправительственные организации по всей Северной Америке, Европе и Азии. Кампании кибершпионажа предполагают использование пакетов вредоносных программ, предназначенных для конкретных стран региона АСЕАН, что указывает на текущие угрозы организациям в целях сбора разведывательной информации. Даны рекомендации организациям по усилению своих защитных мер против этих угроз.
-----

Исследователи подразделения 42 обнаружили, что две китайские группы advanced persistent threat (APT), известные как Stately Taurus и другая неназванная группа, в течение последних 90 дней занимались кибершпионажем, нацеленным на организации и страны-члены, связанные с Ассоциацией государств Юго-Восточной Азии (АСЕАН). Stately Taurus, также известная как Mustang Panda, BRONZE PRESIDENT, Red Delta, LuminousMoth, Earth Preta и Camaro Dragon, работает по меньшей мере с 2012 года и считается китайской APT-группой, специализирующейся на кампаниях кибершпионажа. Эта группа имеет историю нападок на государственные структуры, некоммерческие организации, религиозные организации и другие неправительственные организации по всей Северной Америке, Европе и Азии.

Во время Специального саммита АСЕАН-Австралия, состоявшегося в марте 2024 года, исследователи подразделения 42 выявили два вредоносных пакета, приписываемых Stately Taurus, которые были предназначены для атак на организации в Мьянме, на Филиппинах, в Японии и Сингапуре. Первый вредоносный пакет, созданный 4 марта 2024 года, был замаскирован под ZIP-архив, содержащий вредоносный исполняемый файл с именем Talking_Points_for_China.exe, который на самом деле был переименованной копией программы для защиты от регистрации ключей, разработанной QFX Software Corporation. Этот исполняемый файл загрузил вредоносный DLL-файл и попытался установить соединение с вредоносным IP-адресом. Второй пакет, созданный 5 марта 2024 года, представлял собой исполняемый файл скринсейвера с именем Note PSO.scr, предназначенный для загрузки доброкачественного исполняемого файла и вредоносного DLL-файла из определенных мест для целей командования и контроля.

Вторая китайская APT-группа скомпрометировала организацию, аффилированную с АСЕАН, указав, что среда организации была скомпрометирована путем подключения к вредоносной инфраструктуре группы. Кроме того, были обнаружены сетевые связи между организациями, аффилированными с АСЕАН, и инфраструктурой C2 китайских APT-групп, что подчеркивает привлекательность этих организаций в качестве целей шпионажа из-за их обработки конфиденциальной дипломатической и экономической информации в регионе.

Исследователи подразделения 42 отметили время совершения вредоносных действий с отчетливыми перерывами во время значительных китайских праздников, таких как Лунный Новый год и установленный законом "Особый рабочий день". Рабочее время субъекта угрозы совпадает со стандартным китайским временем, демонстрируя характер активности, соответствующий предыдущим наблюдениям во время Золотой недели Китая в 2023 году.

Эти кампании кибершпионажа подчеркивают сохраняющуюся угрозу, исходящую от связанных с национальными государствами группировок, нацеленных на организации в целях сбора разведывательных данных, особенно в контексте геополитических интересов в регионе АСЕАН. Организациям рекомендуется использовать результаты исследования Unit 42 для усиления своих защитных мер против таких угроз, уделяя особое внимание защите от выявленных вредоносных инфраструктур и тактики, используемой китайскими APT-группами.

#ParsedReport #CompletenessLow
27-03-2024

Vishing RAT Fraud vs Fraud Kill Chain

https://www.threatfabric.com/blogs/vishing-rat-fraud-vs-fraud-kill-chain

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566.002, T1566.003, T1589.002, T1219, T1595

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в тактике, используемой мошенниками при голосовом фишинге или мошенничестве с "крысиным фишингом", важности обнаружения и предотвращения таких мошенничеств, а также стратегиях борьбы с мошенничеством путем оценки возможностей обнаружения мошенничества и готовности к нему. В нем подчеркивается взаимосвязь риска устройств и поведенческого риска для выявления подозрительных действий и предлагается использовать такие ресурсы, как ThreatFabric, для расширения возможностей обнаружения мошенничества. В тексте также упоминаются семинары для совершенствования навыков выявления и снижения рисков мошенничества и рекомендуется обращаться за консультациями по стратегиям предотвращения мошенничества.
-----

В третьем эпизоде серии блогов рассказывается о тактике, применяемой мошенниками, которые связываются с физическими лицами по телефону с намерением обмануть их, заставив поверить, что они представляют доверенную организацию, такую как банк, Microsoft или правоохранительные органы. Эти мошенники стремятся получить контроль над устройством жертвы с помощью набора инструментов удаленного доступа (RAT). Этот тип мошенничества, известный как голосовой фишинг или мошенничество с фишинговой крысой, широко распространен во всем мире, при этом в некоторых регионах, таких как Северная Америка и Великобритания, наблюдается более высокий уровень подобных мошеннических действий.

В блоге подчеркивается важность выявления и предотвращения подобных мошенничеств путем оценки возможностей обнаружения мошенничества и готовности к нему. Цель блога - предоставить читателям необходимые инструменты для выявления различных видов мошенничества и борьбы с ними, начиная от кампаний вредоносного по и заканчивая мошенничеством с выдачей себя за другого. Анализ включает в себя изучение тактики, методов и процедур (TTP), используемых мошенниками, определение цепочки убийств, связанной с этими мошенническими действиями, и выявление потенциальных пробелов в обнаружении, которые необходимо устранить.

Одной из ключевых стратегий, освещенных в блоге, является корреляция риска устройства и поведенческого риска для выявления подозрительных действий. Связывая такие показатели, как взаимодействие "по вызову", с наличием активного RAT и поведенческими аномалиями, организации могут повысить свою способность выявлять потенциальных мошенников и реагировать на них. Подчеркивается, что эффективная система обнаружения мошенничества должна охватывать как веб-, так и мобильные платформы, поскольку мошенники часто используют несколько каналов или переключаются между ними для осуществления своих схем. ThreatFabric, глобальный поставщик решений для обеспечения безопасности банков и финансовых учреждений, рекомендуется в качестве ресурса, помогающего в проведении углубленного анализа и расширяющего возможности обнаружения мошенничества.

Блог также приглашает читателей принять участие в семинарах по готовности к обнаружению, чтобы еще больше усовершенствовать свои навыки в выявлении и снижении рисков мошенничества. Заинтересованным сторонам рекомендуется обратиться за бесплатной консультацией, чтобы узнать, как ThreatFabric может помочь в укреплении их стратегий предотвращения мошенничества.

#ParsedReport #CompletenessLow
27-03-2024

Qilin Ransomware: Get the 2024 Lowdown

https://cyberint.com/blog/research/qilin-ransomware

Report completeness: Low

Threats:
Qilin_ransomware

Victims:
Yanfeng automotive interiors, Upper marion township, Etairos health, Kevin leeds, cpa, Commonwealth sign, International electro mechanical services, Felda global ventures holdings berhad, Bright wires, Pt sarana multi infrastruktur (persero), Casa santiveri, have more...

Industry:
Healthcare, Financial

Geo:
France, Colombia, Brazil, Australia, Malaysia, Japan, Spain, Canada, Netherlands, Indonesia, Serbia

ChatGPT TTPs:
do not use without manual check
T1562.001, T1486, T1071, T1027, T1560, T1567.002, T1566.002, T1083, T1059

IOCs:
Hash: 6

Soft:
ESXi

Algorithms:
sha256

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Qilin - это сложная партнерская программа-вымогатель как услуга, известная своими склонными к уклонению характеристиками, тактикой настройки для таргетинга на различные операционные системы и использованием метода двойного вымогательства для принуждения жертв платить за расшифровку. Группа, стоящая за Qilin, занимается целым рядом вредоносных действий, включая эксфильтрацию конфиденциальных данных, настройку вредоносного ПО для максимального воздействия и нацеливание на организации по всему миру с помощью фишинговых электронных писем. Их широкое распространение, включая компании из списка Fortune 500, подчеркивает значительное влияние и потенциальные риски, связанные с их деятельностью.
-----

Qilin работает как партнерская программа для Ransomware-as-a-Service, использующая программу-вымогатель на основе Rust, известную своими склонными к уклонению и труднодоступными для расшифровки характеристиками. Это позволяет настраивать вредоносное ПО для различных операционных систем, включая Windows, Linux и ESXi. Группа, стоящая за программой-вымогателем Qilin, использует метод двойного вымогательства, извлекая конфиденциальные данные в дополнение к их шифрованию, чтобы заставить жертв заплатить за дешифратор. Их операции включают в себя тактику настройки, такую как изменение расширений имен зашифрованных файлов и завершение определенных процессов и служб для максимального воздействия.

Qilin рекламирует свою программу-вымогатель в даркнете, демонстрируя проприетарный DLS с уникальными идентификаторами компаний и утеченными данными учетной записи. Недавние действия Qilin включают размещение данных о жертвах в своих DLS, причем случаи наблюдались в различных странах, таких как Австралия, Бразилия, Канада, Колумбия, Франция, Нидерланды, Сербия, Соединенное Королевство, Япония и Соединенные Штаты. Известные атаки, приписываемые Цилиню, включают кибератаку на Yanfeng Automotive Interiors и несколько других организаций в различных секторах и географических точках.

Группа нацеливается на жертв с помощью фишинговых электронных писем, содержащих вредоносные ссылки, чтобы получить первоначальный доступ к сетям и отфильтровать критически важные данные. Оказавшись внутри инфраструктуры жертвы, Qilin перемещается вбок, чтобы идентифицировать и зашифровать важные данные, оставляя записки о выкупе с инструкциями по расшифровке. В некоторых случаях операторы могут попытаться воспрепятствовать восстановлению данных путем перезагрузки систем и остановки определенных процессов.

Программа-вымогатель Qilin предлагает различные режимы шифрования, контролируемые оператором, что позволяет настраивать процесс шифрования. Программа-вымогатель поддерживает такие функции, как изменение расширения имени файла и завершение определенного процесса, что усиливает ее воздействие на жертв. Было замечено, что группа использует различные режимы шифрования, такие как пошаговое, процентное и быстрое, в рамках своих операций.

Хотя в настоящее время нет никаких конкретных сведений о происхождении или аффилированных лицах Qilin, широко распространенная ориентация группы на организации, включая компании из списка Fortune 500, подчеркивает значительное влияние и потенциальные риски, связанные с их деятельностью. Организации, стремящиеся защитить себя от внешних угроз, таких как уязвимости, фишинг, заражение вредоносными программами и утечки данных, часто обращаются к решениям в области кибербезопасности, таким как Cyberint, для усиления своей защиты от развивающихся киберугроз.

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 23, chart: 2, schema: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание последних разработок в группе программ-вымогателей Agenda, включая ее новый вариант Rust, методы распространения, тактику защитного уклонения и потенциальное воздействие на жертв в различных отраслях и регионах. В нем подчеркивается необходимость принятия упреждающих мер кибербезопасности для противодействия продвинутым программам-вымогателям, таким как Agenda.
-----

В записи блога подробно рассказывается о том, как группа вымогателей Agenda, также известная как Qilin и отслеживаемая Trend Micro как Water Galura, была активна и постоянно развивалась с момента своего обнаружения в 2022 году. Группа нацелена на различные отрасли, такие как финансы и юриспруденция, по всему миру, причем такие страны, как США, Аргентина, Австралия и Таиланд, входят в число ее главных целей. Последние данные анализа угроз свидетельствуют об увеличении числа обнаружений программ-вымогателей Agenda, начиная с декабря 2023 года, что указывает на повышенную активность или более широкое преследование со стороны операторов группы.

Одним из выделенных примечательных аспектов является внедрение последней версии Rust программы-вымогателя Agenda. В этой новой версии используются инструменты удаленного мониторинга и управления (RMM), а также такие инструменты, как Cobalt Strike, для развертывания двоичных файлов программы-вымогателя. Программа-вымогатель способна распространяться через PsExec, SecureShell и использовать уязвимые системные драйверы для обхода защиты.

Важной особенностью последней версии является использование нескольких аргументов командной строки, при этом команда "--spread-vcenter" позволяет программе-вымогателю распространяться по серверам VMware vCenter и ESXi. Встраивая пользовательский сценарий PowerShell в двоичный файл, программа-вымогатель может воздействовать на виртуальные машины и всю виртуальную инфраструктуру, потенциально приводя к потере данных, финансовым последствиям и сбоям в обслуживании.

Программа-вымогатель Agenda требует, чтобы жертвы вводили свои учетные данные на целевом хосте vCenter или ESXi, позволяя злоумышленникам выполнять свои вредоносные действия. Выполнение программы-вымогателя без файлов через поток памяти в процессах PowerShell повышает скрытность и стойкость. Кроме того, Agenda теперь изменяет пароль root для всех хостов ESXi, препятствуя доступу жертвы даже после шифрования.

Программа-вымогатель также вводит команду "--spread" для распространения, отбрасывая PsExec по определенным путям. Теперь он может печатать уведомления о выкупе на подключенных принтерах, копируя уведомление о выкупе во временный каталог и выполняя команды PowerShell для получения списка имен принтеров и информации о драйверах, что позволяет более эффективно взаимодействовать с пользователем в процессе получения выкупа.

Другой важной возможностью последнего варианта Agenda является его способность завершать работу VMclusters, воздействуя на группы виртуальных машин/хостов ESXi, настроенных для совместного использования ресурсов. Чтобы обойти системы безопасности, Agenda использует метод Bring Your Own Vulnerable Driver (BYOVD), используя различные уязвимые драйверы, такие как YDark и Spyboy Terminator, для отключения средств безопасности и уклонения от обнаружения. Такой адаптивный подход подчеркивает сложность защиты от кибербезопасности в борьбе с эволюционирующими угрозами со стороны программ-вымогателей.

Таким образом, последние разработки в варианте программы-вымогателя Agenda демонстрируют ее сложное распространение, выполнение без файлов, методы развертывания и тактику защитного уклонения, направленную на максимизацию воздействия, затруднение обнаружения и вымогательство у жертв в различных отраслях промышленности и географических регионах. Эти выводы подчеркивают важность упреждающих мер кибербезопасности для снижения рисков, создаваемых продвинутыми программами-вымогателями, такими как Agenda.

#ParsedReport #CompletenessHigh
28-03-2024

WarzoneRAT Returns with Multi-Stage Attack Post FBI Seizure

https://cyble.com/blog/warzonerat-returns-with-multi-stage-attack-post-fbi-seizure

Report completeness: High

Threats:
Warzone_rat
Avemaria_rat
Dll_sideloading_technique
Taskkill
Amsi_bypass_technique
Spear-phishing_technique
Process_injection_technique

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 23
Url: 4
Command: 1
Path: 1
Registry: 1
Domain: 1
Hash: 9

Soft:
Microsoft Edge, NET Framework, Windows Defender, Windows Firewall

Algorithms:
zip, sha256, sha1, md5

Functions:
ExecuteRandomEquations, CheckUsername, Execute, Invoke

Win API:
CreateProcess, VirtualAllocEx, ResumeThread, WriteProcessMemory, AmsiScanBuffer

Win Services:
ekrn, AvastSvc

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии ФБР схемы вредоносного ПО WarzoneRAT, выявлении кампании вредоносного ПО Cyble Research и Intelligence Labs с использованием WarzoneRAT, функциональных возможностях RAT, ее эволюции, тактике, используемой в кампании вредоносного ПО, и вызовах, создаваемых участниками угроз, использующими сложные методы для распространения и запуска вредоносных программ.
-----

В феврале ФБР провело операцию по ликвидации вредоносной схемы WarzoneRAT, что привело к захвату ее инфраструктуры и аресту двух лиц, связанных с операцией по борьбе с киберпреступностью. После этого Cyble Research and Intelligence Labs (CRIL) выявила образцы вредоносной кампании, распространяемой через спам-письма на налоговую тематику, развернув WarzoneRAT (также известный как Avemaria) в качестве конечной полезной нагрузки в двух различных сценариях.

В первом случае вложение электронной почты содержало сжатый файл с файлом LNK, который запускал серию действий, приводящих к выполнению WarzoneRAT. Это включало загрузку HTA-файла, запуск команд PowerShell для дальнейшей загрузки и, в конечном итоге, ввод конечной полезной нагрузки в RegSvcs.exe с использованием метода отражающей загрузки. Во втором сценарии вложение включало исполняемый файл, который использовал стороннюю загрузку библиотеки DLL для загрузки вредоносного модуля WarzoneRAT DLL при выполнении, устанавливая соединение с сервером управления (C&C).

AveMaria, характеризуемая как вредоносная программа для удаленного администрирования (RAT), предоставляет возможности удаленного управления для выполнения вредоносных действий при получении команд с сервера C&C. RAT впервые появилась в ходе фишинговой кампании 2018 года и была пресечена ФБР в феврале. Впоследствии ThreatMon анонсировал новые функции для WarZoneRAT v3, направленные на повышение эффективности вредоносного ПО.

Кампания вредоносных программ, раскрытая CRIL, использовала различные тактики обмана, включая маскировку файла быстрого доступа под изображение в спам-письме на налоговую тематику, чтобы запустить цепочку заражения. После запуска вредоносная программа выполнила несколько шагов для загрузки и выполнения конечной полезной нагрузки WarzoneRAT, используя методы обфускации для обхода мер безопасности и внедрения вредоносного кода в законные процессы.

WarzoneRAT, или Avemaria, - это троян удаленного доступа, предназначенный для обеспечения несанкционированного доступа к системам жертв и контроля над ними. Avemaria, способный выполнять такие действия, как утечка данных, повышение привилегий, кейлоггинг и многое другое, представляет серьезную угрозу для скомпрометированных систем. Анализ, проведенный Splunk, дает более глубокое представление о функциональных возможностях RAT и выявляет жестко закодированные строки в его двоичном исполняемом файле.

Другой пример кампании включал сжатый ZIP-файл с тремя файлами, один из которых был идентифицирован как двоичный файл вредоносной программы WarzoneRAT. Вредоносная программа использовала стороннюю загрузку DLL для постоянной загрузки в системную память, устанавливая соединения с доменами C&C для удаленного управления и вредоносных действий.

Злоумышленники часто используют тематические спам-вложения в электронных письмах, чтобы обманом заставить пользователей открывать вредоносный контент, как это наблюдалось в этой кампании, использующей электронные письма налоговой тематики для распространения WarzoneRAT. Используя отражающую загрузку, стороннюю загрузку библиотек DLL и другие сложные методы, участники угроз стремятся повысить сложность своих атак и обойти механизмы обнаружения, создавая проблемы для защитников в обнаружении, предотвращении и реагировании на такие киберугрозы.