#ParsedReport #CompletenessLow
19-04-2024
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
https://blog.sucuri.net/2024/04/javascript-malware-switches-to-server-side-redirects-dns-txt-records-tds.html
Report completeness: Low
Threats:
Vextrio
Victims:
Wordpress sites
Geo:
Brazil, Thailand, Mexico, Pakistan, Egypt, Serbia, Morocco
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1071, T1027, T1553, T1485, T1574
IOCs:
Domain: 7
Url: 2
IP: 2
Soft:
WordPress, Android, Ubuntu, Fedora
Algorithms:
base64
Functions:
_red
Languages:
php, javascript
Platforms:
x64, apple
19-04-2024
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
https://blog.sucuri.net/2024/04/javascript-malware-switches-to-server-side-redirects-dns-txt-records-tds.html
Report completeness: Low
Threats:
Vextrio
Victims:
Wordpress sites
Geo:
Brazil, Thailand, Mexico, Pakistan, Egypt, Serbia, Morocco
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1027, T1553, T1485, T1574
IOCs:
Domain: 7
Url: 2
IP: 2
Soft:
WordPress, Android, Ubuntu, Fedora
Algorithms:
base64
Functions:
_red
Languages:
php, javascript
Platforms:
x64, apple
Sucuri Blog
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
A malware campaign that was injecting malicious JavaScript code into compromised WordPress sites to redirect site visitors to VexTrio domains has since switched to server-side Redirects and using DNS TXT Records as TDS. We include indicators of compromise…
CTT Report Hub
#ParsedReport #CompletenessLow 19-04-2024 JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS https://blog.sucuri.net/2024/04/javascript-malware-switches-to-server-side-redirects-dns-txt-records-tds.html Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ вредоносной кампании, нацеленной на сайты WordPress, включающей внедрение JavaScript, перенаправление домена и злоупотребление плагином WPCode для распространения вредоносного ПО. В нем также обсуждается наличие бэкдоров, использование динамических поддоменов и рекомендации по стратегиям защиты веб-сайтов от заражения. В тексте рассказывается о тактике, используемой злоумышленниками, масштабах воздействия вредоносного ПО, а также о методах обнаружения и удаления.
-----
Вредоносная кампания, нацеленная на сайты WordPress, включала внедрение вредоносного JavaScript для перенаправления посетителей на домены VexTrio.
Для получения URL-адресов перенаправления использовались динамические текстовые записи DNS типа tracker-cloud.com.
Кампания отслеживалась с августа с учетом изменений в методах обфускации и доменных именах в текстовом трафике DNS.
46 815 зараженных сайтов достигли пика обнаружения в феврале 2024 года (9 222 сайта в том месяце).
Домены TDS включают web-hosts.io, IP-адрес 185.161.248.253, размещенные домены в цепочках перенаправлений.
Злоумышленники использовали PHP-версию внедрения JavaScript через плагин WPCode для распространения вредоносного ПО.
Вредоносная программа содержала бэкдор, позволяющий осуществлять связь через файлы cookie в кодировке base64.
Запросы вредоносных ботов с различных локальных IP-адресов по всему миру предполагают использование прокси-сервера.
Рекомендации включают в себя отключение доменов DNS TDS, смену паролей администратора WordPress и проверку установленных плагинов на наличие вредоносных фрагментов.
Владельцам веб-сайтов настоятельно рекомендуется обратиться за профессиональной помощью в случае заражения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ вредоносной кампании, нацеленной на сайты WordPress, включающей внедрение JavaScript, перенаправление домена и злоупотребление плагином WPCode для распространения вредоносного ПО. В нем также обсуждается наличие бэкдоров, использование динамических поддоменов и рекомендации по стратегиям защиты веб-сайтов от заражения. В тексте рассказывается о тактике, используемой злоумышленниками, масштабах воздействия вредоносного ПО, а также о методах обнаружения и удаления.
-----
Вредоносная кампания, нацеленная на сайты WordPress, включала внедрение вредоносного JavaScript для перенаправления посетителей на домены VexTrio.
Для получения URL-адресов перенаправления использовались динамические текстовые записи DNS типа tracker-cloud.com.
Кампания отслеживалась с августа с учетом изменений в методах обфускации и доменных именах в текстовом трафике DNS.
46 815 зараженных сайтов достигли пика обнаружения в феврале 2024 года (9 222 сайта в том месяце).
Домены TDS включают web-hosts.io, IP-адрес 185.161.248.253, размещенные домены в цепочках перенаправлений.
Злоумышленники использовали PHP-версию внедрения JavaScript через плагин WPCode для распространения вредоносного ПО.
Вредоносная программа содержала бэкдор, позволяющий осуществлять связь через файлы cookie в кодировке base64.
Запросы вредоносных ботов с различных локальных IP-адресов по всему миру предполагают использование прокси-сервера.
Рекомендации включают в себя отключение доменов DNS TDS, смену паролей администратора WordPress и проверку установленных плагинов на наличие вредоносных фрагментов.
Владельцам веб-сайтов настоятельно рекомендуется обратиться за профессиональной помощью в случае заражения.
#ParsedReport #CompletenessHigh
19-04-2024
Threat Actor Profile: TransparentTribe
https://cyble.com/blog/threat-actor-profile-transparenttribe
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Steppy_kavach
Sidecopy
Sidewinder
Threats:
Crimson_rat
Typosquatting_technique
Luminosity_rat
Peppy_rat
Beendoor
Bezigate
Bozok_rat
Breach_rat
Caprarat
Darkcomet_rat
Limepad_tool
Mobzsar
Mumbaidown
Njrat
Oblique_rat
Quasar_rat
Silentcmd
Mango
Updatesee
Usbworm
Waizsar
Ss-rat
Slayer616_actor
Androrat_rat
Darkcodersc_actor
Spear-phishing_technique
Credential_dumping_technique
Mimikatz_tool
Victims:
Indian government organizations, Military personnel, Defense contractors, Indian embassies
Industry:
Government, Healthcare, Military, Education
Geo:
Sweden, Malaysia, Kenya, Japan, Belgium, Saudi, Usa, Bulgaria, Germany, Netherlands, India, Syrian, Nepal, Kazakhstan, Thailand, China, Canada, Indian, Iran, Botswana, Spain, Mongolia, Afghanistan, Romania, Austria, Pakistan, Azerbaijan, Turkey, Australia, Czech, Oman, France
CVEs:
CVE-2010-3333 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft open xml file format converter (*)
- microsoft office (2008, 2004, xp, 2007, 2011, 2010, 2003)
CVE-2012-0158 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2010, 2007, 2003)
- microsoft office web components (2003)
- microsoft sql server (2008, 2005, 2000)
- microsoft commerce server (2007, 2009, 2002)
- microsoft biztalk server (2002)
have more...
TTPs:
Tactics: 1
Technics: 13
IOCs:
File: 3
IP: 2
Url: 2
Path: 1
Soft:
Android, Microsoft Word, libreoffice, Microsoft Office, Windows registry
Languages:
python, swift, visual_basic
Platforms:
intel
19-04-2024
Threat Actor Profile: TransparentTribe
https://cyble.com/blog/threat-actor-profile-transparenttribe
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Steppy_kavach
Sidecopy
Sidewinder
Threats:
Crimson_rat
Typosquatting_technique
Luminosity_rat
Peppy_rat
Beendoor
Bezigate
Bozok_rat
Breach_rat
Caprarat
Darkcomet_rat
Limepad_tool
Mobzsar
Mumbaidown
Njrat
Oblique_rat
Quasar_rat
Silentcmd
Mango
Updatesee
Usbworm
Waizsar
Ss-rat
Slayer616_actor
Androrat_rat
Darkcodersc_actor
Spear-phishing_technique
Credential_dumping_technique
Mimikatz_tool
Victims:
Indian government organizations, Military personnel, Defense contractors, Indian embassies
Industry:
Government, Healthcare, Military, Education
Geo:
Sweden, Malaysia, Kenya, Japan, Belgium, Saudi, Usa, Bulgaria, Germany, Netherlands, India, Syrian, Nepal, Kazakhstan, Thailand, China, Canada, Indian, Iran, Botswana, Spain, Mongolia, Afghanistan, Romania, Austria, Pakistan, Azerbaijan, Turkey, Australia, Czech, Oman, France
CVEs:
CVE-2010-3333 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft open xml file format converter (*)
- microsoft office (2008, 2004, xp, 2007, 2011, 2010, 2003)
CVE-2012-0158 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2010, 2007, 2003)
- microsoft office web components (2003)
- microsoft sql server (2008, 2005, 2000)
- microsoft commerce server (2007, 2009, 2002)
- microsoft biztalk server (2002)
have more...
TTPs:
Tactics: 1
Technics: 13
IOCs:
File: 3
IP: 2
Url: 2
Path: 1
Soft:
Android, Microsoft Word, libreoffice, Microsoft Office, Windows registry
Languages:
python, swift, visual_basic
Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessHigh 19-04-2024 Threat Actor Profile: TransparentTribe https://cyble.com/blog/threat-actor-profile-transparenttribe Report completeness: High Actors/Campaigns: Transparenttribe (motivation: cyber_espionage) Steppy_kavach Sidecopy…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что TransparentTribe - это группа APT, базирующаяся в Пакистане, которая занимается кибершпионажем, нацеленным в первую очередь на индийские правительственные организации, военный персонал и оборонных подрядчиков. Они используют различные тактики и инструменты для использования уязвимостей, распространения вредоносного ПО и нарушения безопасности своих объектов, распространяя свою деятельность за пределы Индии и на другие страны. Их методы включают фишинг, социальную инженерию и использование специально разработанных вредоносных программ, таких как the Crimson RAT. TransparentTribe постоянно совершенствует свою тактику и процедуры, ориентируясь на пользователей из государственных структур Индии, демонстрируя связи с другими группами APT, такими как SideCopy и SideWinder.
-----
TransparentTribe - это группа APT, базирующаяся в Пакистане, которая нацелена на правительственные организации Индии, военнослужащих, оборонных подрядчиков и другие страны, такие как Австралия, Австрия, Канада, Китай, Германия, Япония, США и т.д.
Они используют для своих атак такие платформы, как Windows и Android, и используют такие тактики, как создание поддельных веб-сайтов и документов, чтобы обманом заставить пользователей раскрыть учетные данные или загрузить вредоносное ПО, подобное the Crimson RAT.
Были заподозрены связи между TransparentTribe и другими группами APT, такими как SideCopy и SideWinder.
Они используют различные средства заражения, включая файлы вредоносных документов, файлы PowerPoint, таблицы Excel, файлы для ввода данных на рабочем столе Linux и методы социальной инженерии, чтобы нацелиться на жертв.
TransparentTribe использует домены с доменным именем ".in" и популярные файлообменные платформы, такие как Google Drive, для размещения вредоносных файлов, что затрудняет идентификацию их сетевой инфраструктуры.
Группа разрабатывает вредоносные программы, нацеленные на системы Windows, Linux и Android, и использует различные методы для заражения каждого типа операционной системы.
Они используют уязвимости, такие как CVE-2012-0158 и CVE-2010-3333, для доставки полезной нагрузки, используя, среди прочего, таких уязвимостей, как Crimson RAT, DarkComet, QuasarRAT.
TransparentTribe использует методы в рамках платформы MITRE ATT&CK для своих операций, включая фишинг, выполнение команд, манипулирование реестром, запутывание, сброс учетных данных, обнаружение сети и эксфильтрацию данных.
Группа постоянно совершенствует свою тактику, процедуры и инструменты, ориентируясь на пользователей в государственных структурах Индии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что TransparentTribe - это группа APT, базирующаяся в Пакистане, которая занимается кибершпионажем, нацеленным в первую очередь на индийские правительственные организации, военный персонал и оборонных подрядчиков. Они используют различные тактики и инструменты для использования уязвимостей, распространения вредоносного ПО и нарушения безопасности своих объектов, распространяя свою деятельность за пределы Индии и на другие страны. Их методы включают фишинг, социальную инженерию и использование специально разработанных вредоносных программ, таких как the Crimson RAT. TransparentTribe постоянно совершенствует свою тактику и процедуры, ориентируясь на пользователей из государственных структур Индии, демонстрируя связи с другими группами APT, такими как SideCopy и SideWinder.
-----
TransparentTribe - это группа APT, базирующаяся в Пакистане, которая нацелена на правительственные организации Индии, военнослужащих, оборонных подрядчиков и другие страны, такие как Австралия, Австрия, Канада, Китай, Германия, Япония, США и т.д.
Они используют для своих атак такие платформы, как Windows и Android, и используют такие тактики, как создание поддельных веб-сайтов и документов, чтобы обманом заставить пользователей раскрыть учетные данные или загрузить вредоносное ПО, подобное the Crimson RAT.
Были заподозрены связи между TransparentTribe и другими группами APT, такими как SideCopy и SideWinder.
Они используют различные средства заражения, включая файлы вредоносных документов, файлы PowerPoint, таблицы Excel, файлы для ввода данных на рабочем столе Linux и методы социальной инженерии, чтобы нацелиться на жертв.
TransparentTribe использует домены с доменным именем ".in" и популярные файлообменные платформы, такие как Google Drive, для размещения вредоносных файлов, что затрудняет идентификацию их сетевой инфраструктуры.
Группа разрабатывает вредоносные программы, нацеленные на системы Windows, Linux и Android, и использует различные методы для заражения каждого типа операционной системы.
Они используют уязвимости, такие как CVE-2012-0158 и CVE-2010-3333, для доставки полезной нагрузки, используя, среди прочего, таких уязвимостей, как Crimson RAT, DarkComet, QuasarRAT.
TransparentTribe использует методы в рамках платформы MITRE ATT&CK для своих операций, включая фишинг, выполнение команд, манипулирование реестром, запутывание, сброс учетных данных, обнаружение сети и эксфильтрацию данных.
Группа постоянно совершенствует свою тактику, процедуры и инструменты, ориентируясь на пользователей в государственных структурах Индии.
#ParsedReport #CompletenessMedium
20-04-2024
Analysis of the new Sticky Werewolf cyber spy attack using Rhadamanthys Stealer
https://habr.com/ru/companies/f_a_c_c_t/articles/809063
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Rhadamanthys
Darktrack_rat
Glorysprout
Ozone
Meta_stealer
Redline_stealer
Themida_tool
Teamviewer_tool
Putty_tool
Victims:
Government agencies, Financial companies
Industry:
Government, Financial
Geo:
Haiti, Poland, Belarus, Russia, Russian
ChatGPT TTPs:
T1566, T1204, T1564, T1059, T1070, T1027, T1574, T1583, T1105, T1555, have more...
IOCs:
File: 13
Command: 3
IP: 3
Path: 15
Url: 2
Hash: 2
Soft:
NSIS Installer, Chrome, Internet Explorer, Brave-Browser, 360Browser, CocCoc, Pale Moon, Opera, Sleipnir5, K-Meleon, have more...
Wallets:
dashcore, electron_cash, electrum, tronlink, mymonero, bitcoincore, coinomi, defichain-electrum, jaxx, mycrypto, have more...
Crypto:
litecoin, binance, monero
Languages:
autoit
20-04-2024
Analysis of the new Sticky Werewolf cyber spy attack using Rhadamanthys Stealer
https://habr.com/ru/companies/f_a_c_c_t/articles/809063
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Rhadamanthys
Darktrack_rat
Glorysprout
Ozone
Meta_stealer
Redline_stealer
Themida_tool
Teamviewer_tool
Putty_tool
Victims:
Government agencies, Financial companies
Industry:
Government, Financial
Geo:
Haiti, Poland, Belarus, Russia, Russian
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1564, T1059, T1070, T1027, T1574, T1583, T1105, T1555, have more...
IOCs:
File: 13
Command: 3
IP: 3
Path: 15
Url: 2
Hash: 2
Soft:
NSIS Installer, Chrome, Internet Explorer, Brave-Browser, 360Browser, CocCoc, Pale Moon, Opera, Sleipnir5, K-Meleon, have more...
Wallets:
dashcore, electron_cash, electrum, tronlink, mymonero, bitcoincore, coinomi, defichain-electrum, jaxx, mycrypto, have more...
Crypto:
litecoin, binance, monero
Languages:
autoit
Хабр
Разбор новой атаки кибершпионов Sticky Werewolf с использованием Rhadamanthys Stealer
5 апреля 2024 года на платформу VirusTotal была загружена вредоносная ссылка кибершпионской группы Sticky Werewolf . Внимание аналитиков тогда привлекла новая для группы полезная нагрузка –...
CTT Report Hub
#ParsedReport #CompletenessMedium 20-04-2024 Analysis of the new Sticky Werewolf cyber spy attack using Rhadamanthys Stealer https://habr.com/ru/companies/f_a_c_c_t/articles/809063 Report completeness: Medium Actors/Campaigns: Sticky_werewolf (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте рассказывается о Sticky Werewolf, группе кибершпионажа, известной своими атаками на правительственные учреждения и финансовые компании. Недавно они включили в свой инструментарий модульную программу Rhadamanthys Stealer, написанную на C++. Это введение привлекло внимание аналитиков из-за его возможностей в краже конфиденциальной информации. В анализе рассматривается цепочка атак, используемая Sticky Werewolf, с подробным описанием их методов уклонения от обнаружения и конкретных действий, предпринимаемых группой. В целом.
Аналитики подчеркивают важность Rhadamanthys Stealer в операциях Sticky Werewolf, подчеркивая сложность и изощренность кибератак группы.
-----
В тексте рассказывается о группе кибершпионажа под названием Sticky Werewolf и ее использовании Rhadamanthys Stealer, модульной программы для кражи данных, написанной на C++. Группа в основном нацелена на правительственные учреждения и финансовые компании и была связана с различными кибератаками в России, Беларуси и Польше. Вектор атак Sticky Werewolf часто включает фишинговые электронные письма со ссылками на вредоносные файлы и использование троянских программ удаленного доступа, таких как Darktrack RAT и Ozone RAT, а также таких злоумышленников, как Glory Stealer и RedLine Stealer. Появление Rhadamanthys Stealer в их наборе инструментов привлекло внимание аналитиков.
В ходе анализа была проанализирована цепочка атак, используемая Sticky Werewolf, от первоначального фишингового электронного письма до загрузки вредоносных файлов. Злоумышленники используют различные методы, чтобы избежать обнаружения, например, используют службу регистрации IP-адресов для сбора информации о потенциальных жертвах и фильтрации нежелательного трафика. Они перенаправляют жертв на легальный сервис, gofile.io чтобы обманом заставить пользователей загружать вредоносные файлы, такие как priglashenie_na_sovet.pdf.exe.
После запуска вредоносных файлов запускается сложная цепочка событий. Запускается запутанный скрипт BAT с именем Grave, который собирает компоненты для внедрения Rhadamanthys Stealer в различные процессы. Основной модуль Rhadamanthys Stealer отвечает за развертывание различных модулей в памяти и кражу конфиденциальной информации из зараженной системы. Stealer нацелен на широкий спектр данных, включая историю посещенных страниц, закладки, файлы cookie, учетные данные для входа в систему и информацию, связанную с криптовалютой, из различных приложений.
Полезная нагрузка Rhadamanthys Stealer взаимодействует с сервером C2, расположенным по адресу hxxps://94.156.8.211:443, для получения инструкций и доставки украденных данных. Аналитики определили сетевой адрес основного модуля, сервер C2 и мьютекс для анализируемого Rhadamanthys Stealer. Группа использовала сервер, расположенный на 94.156.8.211, чтобы максимально использовать возможности Rhadamanthys Stealer.
Кроме того, Sticky Werewolf использовал самозаверяющий SSL-сертификат на порт 2096 для загрузки компонента stealer. В тексте также содержатся технические подробности о командах, выполняемых во время атаки, таких как перемещение файлов, создание каталогов и копирование данных в системе. Аналитики представили подробный обзор программного обеспечения, на которое нацелен Rhadamanthys Stealer, охватывающего широкий спектр приложений и сервисов, подверженных риску кражи данных.
Аналитики Борис Мартынюк и Дмитрий Купин подчеркнули важность Rhadamanthys Stealer как нового инструмента в арсенале Sticky Werewolf. В тексте подчеркивается сложность и изощренность цепочки атак, проливающей свет на тактику, используемую группой кибершпионажа. В целом, анализ представляет собой всесторонний обзор угрозы, исходящей от Sticky Werewolf, и последствий использования Rhadamanthys Stealer для целенаправленных кибератак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте рассказывается о Sticky Werewolf, группе кибершпионажа, известной своими атаками на правительственные учреждения и финансовые компании. Недавно они включили в свой инструментарий модульную программу Rhadamanthys Stealer, написанную на C++. Это введение привлекло внимание аналитиков из-за его возможностей в краже конфиденциальной информации. В анализе рассматривается цепочка атак, используемая Sticky Werewolf, с подробным описанием их методов уклонения от обнаружения и конкретных действий, предпринимаемых группой. В целом.
Аналитики подчеркивают важность Rhadamanthys Stealer в операциях Sticky Werewolf, подчеркивая сложность и изощренность кибератак группы.
-----
В тексте рассказывается о группе кибершпионажа под названием Sticky Werewolf и ее использовании Rhadamanthys Stealer, модульной программы для кражи данных, написанной на C++. Группа в основном нацелена на правительственные учреждения и финансовые компании и была связана с различными кибератаками в России, Беларуси и Польше. Вектор атак Sticky Werewolf часто включает фишинговые электронные письма со ссылками на вредоносные файлы и использование троянских программ удаленного доступа, таких как Darktrack RAT и Ozone RAT, а также таких злоумышленников, как Glory Stealer и RedLine Stealer. Появление Rhadamanthys Stealer в их наборе инструментов привлекло внимание аналитиков.
В ходе анализа была проанализирована цепочка атак, используемая Sticky Werewolf, от первоначального фишингового электронного письма до загрузки вредоносных файлов. Злоумышленники используют различные методы, чтобы избежать обнаружения, например, используют службу регистрации IP-адресов для сбора информации о потенциальных жертвах и фильтрации нежелательного трафика. Они перенаправляют жертв на легальный сервис, gofile.io чтобы обманом заставить пользователей загружать вредоносные файлы, такие как priglashenie_na_sovet.pdf.exe.
После запуска вредоносных файлов запускается сложная цепочка событий. Запускается запутанный скрипт BAT с именем Grave, который собирает компоненты для внедрения Rhadamanthys Stealer в различные процессы. Основной модуль Rhadamanthys Stealer отвечает за развертывание различных модулей в памяти и кражу конфиденциальной информации из зараженной системы. Stealer нацелен на широкий спектр данных, включая историю посещенных страниц, закладки, файлы cookie, учетные данные для входа в систему и информацию, связанную с криптовалютой, из различных приложений.
Полезная нагрузка Rhadamanthys Stealer взаимодействует с сервером C2, расположенным по адресу hxxps://94.156.8.211:443, для получения инструкций и доставки украденных данных. Аналитики определили сетевой адрес основного модуля, сервер C2 и мьютекс для анализируемого Rhadamanthys Stealer. Группа использовала сервер, расположенный на 94.156.8.211, чтобы максимально использовать возможности Rhadamanthys Stealer.
Кроме того, Sticky Werewolf использовал самозаверяющий SSL-сертификат на порт 2096 для загрузки компонента stealer. В тексте также содержатся технические подробности о командах, выполняемых во время атаки, таких как перемещение файлов, создание каталогов и копирование данных в системе. Аналитики представили подробный обзор программного обеспечения, на которое нацелен Rhadamanthys Stealer, охватывающего широкий спектр приложений и сервисов, подверженных риску кражи данных.
Аналитики Борис Мартынюк и Дмитрий Купин подчеркнули важность Rhadamanthys Stealer как нового инструмента в арсенале Sticky Werewolf. В тексте подчеркивается сложность и изощренность цепочки атак, проливающей свет на тактику, используемую группой кибершпионажа. В целом, анализ представляет собой всесторонний обзор угрозы, исходящей от Sticky Werewolf, и последствий использования Rhadamanthys Stealer для целенаправленных кибератак.
#ParsedReport #CompletenessHigh
21-04-2024
Multi-level Dropbox commands and TutorialRAT behind APT43
https://www.genians.co.kr/blog/threat_intelligence/dropbox
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Tutorialrat
Babyshark
Randomquery
Spear-phishing_technique
Trurat
Xenorat
Exbyte_stealer
Winvnc_tool
Tutclient_tool
Industry:
Financial, Government
Geo:
China, Korea, Chinese, Korean, Gyeonggi-do, Thailand, Usa
ChatGPT TTPs:
T1566.001, T1566.002, T1105, T1552.001, T1027, T1059.001, T1047, T1090, T1112, T1204.002, have more...
IOCs:
File: 50
Domain: 11
IP: 4
Command: 1
Path: 5
Hash: 25
Soft:
Slack, task scheduler, Google Chrome, Chrome
Crypto:
bitcoin
Algorithms:
base64, zip, aes, md5, pbkdf2
Functions:
PowerShell, GetTimeInterval, GetBrowserInfo
Win API:
GetAsyncKeyState, GetKeyboardState, GetForegroundWindow, ToUnicode, GetClipboardSequenceNumber, IsClipboardFormatAvailable, GetTickCount, ShowWindow, CryptProtectData
Languages:
php, c_language, powershell
Platforms:
x64, x86
21-04-2024
Multi-level Dropbox commands and TutorialRAT behind APT43
https://www.genians.co.kr/blog/threat_intelligence/dropbox
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Tutorialrat
Babyshark
Randomquery
Spear-phishing_technique
Trurat
Xenorat
Exbyte_stealer
Winvnc_tool
Tutclient_tool
Industry:
Financial, Government
Geo:
China, Korea, Chinese, Korean, Gyeonggi-do, Thailand, Usa
ChatGPT TTPs:
do not use without manual checkT1566.001, T1566.002, T1105, T1552.001, T1027, T1059.001, T1047, T1090, T1112, T1204.002, have more...
IOCs:
File: 50
Domain: 11
IP: 4
Command: 1
Path: 5
Hash: 25
Soft:
Slack, task scheduler, Google Chrome, Chrome
Crypto:
bitcoin
Algorithms:
base64, zip, aes, md5, pbkdf2
Functions:
PowerShell, GetTimeInterval, GetBrowserInfo
Win API:
GetAsyncKeyState, GetKeyboardState, GetForegroundWindow, ToUnicode, GetClipboardSequenceNumber, IsClipboardFormatAvailable, GetTickCount, ShowWindow, CryptProtectData
Languages:
php, c_language, powershell
Platforms:
x64, x86
www.genians.co.kr
APT43 배후의 다단계 드롭박스 명령과 TutorialRAT
지니언스 시큐리티 센터는 APT43 그룹이 다단계 공격 체인을 활용해 시그니처 기반 Anti-Virus 탐지 기술 회피에 집중함을 확인했습니다. 특히, 드롭박스 클라우드 저장소를 마치 공격 거점으로 활용해 위협 모니터링 범위에서 탈피하기 위한 전술 노력도 시도 중입니다.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 Multi-level Dropbox commands and TutorialRAT behind APT43 https://www.genians.co.kr/blog/threat_intelligence/dropbox Report completeness: High Actors/Campaigns: Kimsuky Threats: Tutorialrat Babyshark Randomquery…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе киберугроз, связанных с группой APT43, с особым упором на использование ими многоступенчатых команд Dropbox и обучающих программ в своей вредоносной деятельности. APT43 использует различные методы обмана, такие как скрытый фишинг, выдача себя за законных лиц и использование вредоносных кодов в сжатых файлах, чтобы обойти традиционные методы обнаружения антивирусом. Деятельность группы связана с их кампанией по борьбе с угрозами BabyShark, в которой особое внимание уделяется использованию облачного хранилища Dropbox в вредоносных целях. В анализе подчеркивается необходимость упреждающей идентификации таких угроз и рассматриваются технические детали стратегий атаки APT43, включая распространение вредоносных файлов, использование команд PowerShell и такие операции, как кейлоггинг и эксфильтрация данных. Кроме того, в нем подчеркивается, что группа отдает предпочтение программам RAT с открытым исходным кодом, таким как TutorialRAT для удаленного управления, демонстрируя свои знания языка программирования C# для эффективного осуществления вредоносных действий.
-----
В своих вредоносных действиях APT43 group использует многоступенчатые команды Dropbox и TutorialRAT.
Они используют обманчивую тактику, такую как имитация политических встреч, опросов и лекций, чтобы заманить жертв.
Первоначальный подход включает в себя обычные электронные письма и стратегии реактивного фишинга.
APT43 стремится обойти традиционные методы обнаружения антивирусом, используя многоуровневую цепочку атак Dropbox.
Действия связаны с кампанией по борьбе с угрозами BabyShark и направлены на использование Dropbox в злонамеренных целях.
Для эффективного обнаружения таких угроз и реагирования на них используются системы EDR Genian с технологией обнаружения аномального поведения XBA.
APT43 фокусируется на уклонении от обнаружения антивирусом на основе сигнатур с помощью многоэтапных цепочек атак.
Для разных жертв используются конкретные индивидуальные подходы.
Вредоносные файлы распространяются в сжатом виде в формате RAR с защитой паролем для обхода антивирусного обнаружения.
Для обмена данными и расшифровки используются команды PowerShell с жестко заданными учетными данными Dropbox.
К вредоносным операциям относятся кейлоггинг, утечка данных с помощью токенов Dropbox и кража системной информации.
"TutorialRAT" - это программа дистанционного управления на C#, используемая APT43, с исходным кодом, доступным на GitHub.
APT43 использует программы RAT с открытым исходным кодом и демонстрирует владение языком программирования C# для своей деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе киберугроз, связанных с группой APT43, с особым упором на использование ими многоступенчатых команд Dropbox и обучающих программ в своей вредоносной деятельности. APT43 использует различные методы обмана, такие как скрытый фишинг, выдача себя за законных лиц и использование вредоносных кодов в сжатых файлах, чтобы обойти традиционные методы обнаружения антивирусом. Деятельность группы связана с их кампанией по борьбе с угрозами BabyShark, в которой особое внимание уделяется использованию облачного хранилища Dropbox в вредоносных целях. В анализе подчеркивается необходимость упреждающей идентификации таких угроз и рассматриваются технические детали стратегий атаки APT43, включая распространение вредоносных файлов, использование команд PowerShell и такие операции, как кейлоггинг и эксфильтрация данных. Кроме того, в нем подчеркивается, что группа отдает предпочтение программам RAT с открытым исходным кодом, таким как TutorialRAT для удаленного управления, демонстрируя свои знания языка программирования C# для эффективного осуществления вредоносных действий.
-----
В своих вредоносных действиях APT43 group использует многоступенчатые команды Dropbox и TutorialRAT.
Они используют обманчивую тактику, такую как имитация политических встреч, опросов и лекций, чтобы заманить жертв.
Первоначальный подход включает в себя обычные электронные письма и стратегии реактивного фишинга.
APT43 стремится обойти традиционные методы обнаружения антивирусом, используя многоуровневую цепочку атак Dropbox.
Действия связаны с кампанией по борьбе с угрозами BabyShark и направлены на использование Dropbox в злонамеренных целях.
Для эффективного обнаружения таких угроз и реагирования на них используются системы EDR Genian с технологией обнаружения аномального поведения XBA.
APT43 фокусируется на уклонении от обнаружения антивирусом на основе сигнатур с помощью многоэтапных цепочек атак.
Для разных жертв используются конкретные индивидуальные подходы.
Вредоносные файлы распространяются в сжатом виде в формате RAR с защитой паролем для обхода антивирусного обнаружения.
Для обмена данными и расшифровки используются команды PowerShell с жестко заданными учетными данными Dropbox.
К вредоносным операциям относятся кейлоггинг, утечка данных с помощью токенов Dropbox и кража системной информации.
"TutorialRAT" - это программа дистанционного управления на C#, используемая APT43, с исходным кодом, доступным на GitHub.
APT43 использует программы RAT с открытым исходным кодом и демонстрирует владение языком программирования C# для своей деятельности.
#ParsedReport #CompletenessHigh
21-04-2024
Threat Group FIN7 Targets the U.S. Automotive Industry
https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated, cyber_criminal)
Threats:
Spear-phishing_technique
Lolbas_technique
Powertrash_tool
Blackcat
Revil
Darkside
Blackmatter
Typosquatting_technique
Powersploit
Victims:
Large automotive manufacturer
Industry:
Transport, Financial, Healthcare, Retail
Geo:
Russian
TTPs:
Tactics: 8
Technics: 22
IOCs:
Domain: 9
File: 10
Hash: 9
IP: 44
Command: 1
Soft:
OpenSSH, Embarcadero, Active Directory, Windows Service
Algorithms:
sha256, md5
Win API:
EnumWindows
Languages:
delphi, powershell
Links:
21-04-2024
Threat Group FIN7 Targets the U.S. Automotive Industry
https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated, cyber_criminal)
Threats:
Spear-phishing_technique
Lolbas_technique
Powertrash_tool
Blackcat
Revil
Darkside
Blackmatter
Typosquatting_technique
Powersploit
Victims:
Large automotive manufacturer
Industry:
Transport, Financial, Healthcare, Retail
Geo:
Russian
TTPs:
Tactics: 8
Technics: 22
IOCs:
Domain: 9
File: 10
Hash: 9
IP: 44
Command: 1
Soft:
OpenSSH, Embarcadero, Active Directory, Windows Service
Algorithms:
sha256, md5
Win API:
EnumWindows
Languages:
delphi, powershell
Links:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-Shellcode.ps1BlackBerry
Threat Group FIN7 Targets the U.S. Automotive Industry
BlackBerry analysts have identified a spear-phishing campaign by threat group FIN7 that targeted a large automotive manufacturer based in the United States. FIN7 used the lure of a free IP scanning tool to run malware and gain an initial foothold.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 Threat Group FIN7 Targets the U.S. Automotive Industry https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry Report completeness: High Actors/Campaigns: Carbanak (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в фишинговой кампании, проведенной российской передовой группой по борьбе с постоянными угрозами FIN7 против крупного американского производителя автомобилей, демонстрирующей переход от массового таргетинга к охоте на крупную дичь с целью получения более высоких выкупных платежей. Атака включала в себя сложную тактику фишинга, внедрение вредоносных инструментов и использование известных методов для использования уязвимостей. Команда BlackBerry Threat Research успешно пресекла вторжение, подчеркнув важность раннего обнаружения и реагирования для защиты кибербезопасности от новых угроз, таких как фишинговые атаки. В тексте также подчеркивается необходимость усиления организациями своих мер кибербезопасности посредством обучения, повышения осведомленности, многофакторной аутентификации, обновления систем, решений для обеспечения безопасности конечных точек, мониторинга, шифрования и планирования реагирования на инциденты.
-----
В конце 2023 года аналитики BlackBerry раскрыли фишинговую кампанию российской APT group FIN7, направленную против крупного американского производителя автомобилей.
FIN7 использовала инструмент для сканирования IP-адресов, чтобы внедрить свой известный бэкдор Anunak и использовать автономные двоичные файлы, скрипты и библиотеки против сотрудников ИТ-отдела с высокими административными правами.
Эта атака иллюстрирует переход FIN7 от массового таргетинга к охоте на крупную дичь, сосредоточившись на более крупных объектах с целью получения более высоких выкупных платежей за счет тщательного выбора целей и изощренных фишинговых атак.
Международный производитель автомобилей был стратегически выбран FIN7, и команда BlackBerry Threat Research перехватила вторжение до развертывания программы-вымогателя, предотвратив дальнейший взлом сети.
FIN7, также известная как Carbon Spider, ELBRUS и Sangria Tempest, связана с киберпреступными группировками и в прошлом использовала программы-вымогатели, такие как REvil и DarkSide.
Злоумышленники использовали OpenSSH для внешнего доступа, запутанные сценарии PowerShell и развертывание OpenSSH для обеспечения сохраняемости, при этом подробная информация о прокси-серверах OpenSSH не была широко документирована.
Решения BlackBerry в области кибербезопасности успешно выявили и смягчили угрозы, подчеркнув важность раннего обнаружения и реагирования для предотвращения серьезных последствий.
Рекомендации для организаций по усилению защиты от фишинговых атак включают обучение безопасности, повышение осведомленности о социальной инженерии, многофакторную аутентификацию, соблюдение правил использования паролей, обновления системы, надежную защиту конечных точек, мониторинг подозрительной активности, шифрование данных, фильтрацию электронной почты и четко определенный план реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в фишинговой кампании, проведенной российской передовой группой по борьбе с постоянными угрозами FIN7 против крупного американского производителя автомобилей, демонстрирующей переход от массового таргетинга к охоте на крупную дичь с целью получения более высоких выкупных платежей. Атака включала в себя сложную тактику фишинга, внедрение вредоносных инструментов и использование известных методов для использования уязвимостей. Команда BlackBerry Threat Research успешно пресекла вторжение, подчеркнув важность раннего обнаружения и реагирования для защиты кибербезопасности от новых угроз, таких как фишинговые атаки. В тексте также подчеркивается необходимость усиления организациями своих мер кибербезопасности посредством обучения, повышения осведомленности, многофакторной аутентификации, обновления систем, решений для обеспечения безопасности конечных точек, мониторинга, шифрования и планирования реагирования на инциденты.
-----
В конце 2023 года аналитики BlackBerry раскрыли фишинговую кампанию российской APT group FIN7, направленную против крупного американского производителя автомобилей.
FIN7 использовала инструмент для сканирования IP-адресов, чтобы внедрить свой известный бэкдор Anunak и использовать автономные двоичные файлы, скрипты и библиотеки против сотрудников ИТ-отдела с высокими административными правами.
Эта атака иллюстрирует переход FIN7 от массового таргетинга к охоте на крупную дичь, сосредоточившись на более крупных объектах с целью получения более высоких выкупных платежей за счет тщательного выбора целей и изощренных фишинговых атак.
Международный производитель автомобилей был стратегически выбран FIN7, и команда BlackBerry Threat Research перехватила вторжение до развертывания программы-вымогателя, предотвратив дальнейший взлом сети.
FIN7, также известная как Carbon Spider, ELBRUS и Sangria Tempest, связана с киберпреступными группировками и в прошлом использовала программы-вымогатели, такие как REvil и DarkSide.
Злоумышленники использовали OpenSSH для внешнего доступа, запутанные сценарии PowerShell и развертывание OpenSSH для обеспечения сохраняемости, при этом подробная информация о прокси-серверах OpenSSH не была широко документирована.
Решения BlackBerry в области кибербезопасности успешно выявили и смягчили угрозы, подчеркнув важность раннего обнаружения и реагирования для предотвращения серьезных последствий.
Рекомендации для организаций по усилению защиты от фишинговых атак включают обучение безопасности, повышение осведомленности о социальной инженерии, многофакторную аутентификацию, соблюдение правил использования паролей, обновления системы, надежную защиту конечных точек, мониторинг подозрительной активности, шифрование данных, фильтрацию электронной почты и четко определенный план реагирования на инциденты.
#ParsedReport #CompletenessLow
21-04-2024
Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522)
https://cert.gov.ua/article/6278620
Report completeness: Low
Actors/Campaigns:
Uac-0149
Threats:
Cookbox
Victims:
Defense forces of ukraine
Industry:
Government
Geo:
Ukraine
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23, 4.11, 5.30, -, 4.1.0, 6.11, 5.21, 5.00, 6.21, 4.00, 6.20, 4.01, 5.10, 4.10.2, 4.10, 4.20, 5.50, 5.11, 5.70, 5.31, 5.20, 5.01, 5.40)
ChatGPT TTPs:
T1566, T1203, T1059, T1562, T1071, T1105
IOCs:
File: 8
Hash: 8
Url: 2
Domain: 2
Registry: 13
Command: 2
Languages:
powershell
Platforms:
x64
21-04-2024
Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522)
https://cert.gov.ua/article/6278620
Report completeness: Low
Actors/Campaigns:
Uac-0149
Threats:
Cookbox
Victims:
Defense forces of ukraine
Industry:
Government
Geo:
Ukraine
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23, 4.11, 5.30, -, 4.1.0, 6.11, 5.21, 5.00, 6.21, 4.00, 6.20, 4.01, 5.10, 4.10.2, 4.10, 4.20, 5.50, 5.11, 5.70, 5.31, 5.20, 5.01, 5.40)
ChatGPT TTPs:
do not use without manual checkT1566, T1203, T1059, T1562, T1071, T1105
IOCs:
File: 8
Hash: 8
Url: 2
Domain: 2
Registry: 13
Command: 2
Languages:
powershell
Platforms:
x64
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2024 Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522) https://cert.gov.ua/article/6278620 Report completeness: Low Actors/Campaigns: Uac-0149 Threats: Cookbox…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, обнаружила кибератаку, направленную против представителя Сил обороны Украины, и отреагировала на нее. Атака была связана с вредоносным программным обеспечением, доставляемым в виде файла через приложение Signal messenger, которое использовало уязвимость в программном обеспечении WinRAR и запустило вредоносное ПО COOKBOX. Властям удалось нейтрализовать угрозу, но поступали сообщения о подобных атаках, что подчеркивает сохраняющуюся угрозу кибератак на критически важную инфраструктуру и государственные учреждения в Украине. Рекомендуется проявлять бдительность, обновлять систему и проявлять осторожность в отношении неожиданных файлов или сообщений, а также подчеркивать важность сотрудничества между экспертами по кибербезопасности, государственными учреждениями и правоохранительными органами для выявления и предотвращения таких вредоносных действий.
-----
Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, недавно получила информацию о попытке кибератаки на представителя Сил обороны Украины. Атака была связана с использованием вредоносного программного обеспечения, доставляемого через файл с именем "Support.rar", отправленный через приложение Signal Messenger. Отправитель утверждал, что предоставляет документы для работы в Департаменте операций ООН по поддержанию мира. Однако в архиве "Support.rar" был обнаружен эксплойт, нацеленный на уязвимость в программном обеспечении WinRAR, а именно CVE-2023-38831.
После открытия зараженного архива и успешного использования уязвимости будет запущен CMD-файл с именем "support.pdf .cmd". Этот файл запускает открытие документа-приманки под названием "DPO_SEC23-1_OMA_P-3_16-ENG.pdf" и запускает выполнение сценариев PowerShell, связанных с вредоносной программой COOKBOX. Дополнительную информацию о вредоносном ПО COOKBOX можно найти в публикации от 24.02.2024 на веб-сайте CERT-UA.
Важно отметить, что киберпреступники, стоящие за этой атакой, используют службу динамического DNS NoIP для поддержания работоспособности сервера управления COOKBOX. Властям удалось устранить угрозу, заблокировав соответствующее доменное имя и приняв дополнительные контрмеры.
Кроме того, CERT-UA также сообщил о другой кибератаке, обозначенной как UAC-0149 и использующей аналогичный метод работы с использованием уязвимости CVE-2023-38831 и развертыванием программы COOKBOX, под регистрационным номером CERT-UA#9522.
Эти инциденты подчеркивают сохраняющуюся угрозу кибератак на критически важные объекты инфраструктуры и государственные учреждения в Украине. Организациям и частным лицам настоятельно рекомендуется сохранять бдительность, следить за тем, чтобы их системы были обновлены с помощью последних исправлений безопасности, и проявлять осторожность при получении неожиданных или нежелательных файлов или сообщений, особенно через такие коммуникационные платформы, как Signal. Сотрудничество между экспертами по кибербезопасности, правительственными учреждениями и правоохранительными органами имеет решающее значение для выявления подобных вредоносных действий, реагирования на них и предотвращения их в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, обнаружила кибератаку, направленную против представителя Сил обороны Украины, и отреагировала на нее. Атака была связана с вредоносным программным обеспечением, доставляемым в виде файла через приложение Signal messenger, которое использовало уязвимость в программном обеспечении WinRAR и запустило вредоносное ПО COOKBOX. Властям удалось нейтрализовать угрозу, но поступали сообщения о подобных атаках, что подчеркивает сохраняющуюся угрозу кибератак на критически важную инфраструктуру и государственные учреждения в Украине. Рекомендуется проявлять бдительность, обновлять систему и проявлять осторожность в отношении неожиданных файлов или сообщений, а также подчеркивать важность сотрудничества между экспертами по кибербезопасности, государственными учреждениями и правоохранительными органами для выявления и предотвращения таких вредоносных действий.
-----
Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, недавно получила информацию о попытке кибератаки на представителя Сил обороны Украины. Атака была связана с использованием вредоносного программного обеспечения, доставляемого через файл с именем "Support.rar", отправленный через приложение Signal Messenger. Отправитель утверждал, что предоставляет документы для работы в Департаменте операций ООН по поддержанию мира. Однако в архиве "Support.rar" был обнаружен эксплойт, нацеленный на уязвимость в программном обеспечении WinRAR, а именно CVE-2023-38831.
После открытия зараженного архива и успешного использования уязвимости будет запущен CMD-файл с именем "support.pdf .cmd". Этот файл запускает открытие документа-приманки под названием "DPO_SEC23-1_OMA_P-3_16-ENG.pdf" и запускает выполнение сценариев PowerShell, связанных с вредоносной программой COOKBOX. Дополнительную информацию о вредоносном ПО COOKBOX можно найти в публикации от 24.02.2024 на веб-сайте CERT-UA.
Важно отметить, что киберпреступники, стоящие за этой атакой, используют службу динамического DNS NoIP для поддержания работоспособности сервера управления COOKBOX. Властям удалось устранить угрозу, заблокировав соответствующее доменное имя и приняв дополнительные контрмеры.
Кроме того, CERT-UA также сообщил о другой кибератаке, обозначенной как UAC-0149 и использующей аналогичный метод работы с использованием уязвимости CVE-2023-38831 и развертыванием программы COOKBOX, под регистрационным номером CERT-UA#9522.
Эти инциденты подчеркивают сохраняющуюся угрозу кибератак на критически важные объекты инфраструктуры и государственные учреждения в Украине. Организациям и частным лицам настоятельно рекомендуется сохранять бдительность, следить за тем, чтобы их системы были обновлены с помощью последних исправлений безопасности, и проявлять осторожность при получении неожиданных или нежелательных файлов или сообщений, особенно через такие коммуникационные платформы, как Signal. Сотрудничество между экспертами по кибербезопасности, правительственными учреждениями и правоохранительными органами имеет решающее значение для выявления подобных вредоносных действий, реагирования на них и предотвращения их в будущем.
#ParsedReport #CompletenessLow
21-04-2024
Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474)
https://cert.gov.ua/article/6278521
Report completeness: Low
Actors/Campaigns:
Uac0184
Threats:
Hijackloader
Shadowladder
Ghostpulse
Remcos_rat
Viottokeylogger
Xworm_rat
Sigtop_tool
Victims:
Defense forces of ukraine
Industry:
Government, Military
Geo:
Ukraine
ChatGPT TTPs:
T1566, T1204, T1105, T1056, T1552, T1071, T1036, T1547, T1047
IOCs:
Email: 1
Hash: 147
File: 48
IP: 13
Path: 78
Command: 2
21-04-2024
Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474)
https://cert.gov.ua/article/6278521
Report completeness: Low
Actors/Campaigns:
Uac0184
Threats:
Hijackloader
Shadowladder
Ghostpulse
Remcos_rat
Viottokeylogger
Xworm_rat
Sigtop_tool
Victims:
Defense forces of ukraine
Industry:
Government, Military
Geo:
Ukraine
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1105, T1056, T1552, T1071, T1036, T1547, T1047
IOCs:
Email: 1
Hash: 147
File: 48
IP: 13
Path: 78
Command: 2
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.