CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 Multi-level Dropbox commands and TutorialRAT behind APT43 https://www.genians.co.kr/blog/threat_intelligence/dropbox Report completeness: High Actors/Campaigns: Kimsuky Threats: Tutorialrat Babyshark Randomquery…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе киберугроз, связанных с группой APT43, с особым упором на использование ими многоступенчатых команд Dropbox и обучающих программ в своей вредоносной деятельности. APT43 использует различные методы обмана, такие как скрытый фишинг, выдача себя за законных лиц и использование вредоносных кодов в сжатых файлах, чтобы обойти традиционные методы обнаружения антивирусом. Деятельность группы связана с их кампанией по борьбе с угрозами BabyShark, в которой особое внимание уделяется использованию облачного хранилища Dropbox в вредоносных целях. В анализе подчеркивается необходимость упреждающей идентификации таких угроз и рассматриваются технические детали стратегий атаки APT43, включая распространение вредоносных файлов, использование команд PowerShell и такие операции, как кейлоггинг и эксфильтрация данных. Кроме того, в нем подчеркивается, что группа отдает предпочтение программам RAT с открытым исходным кодом, таким как TutorialRAT для удаленного управления, демонстрируя свои знания языка программирования C# для эффективного осуществления вредоносных действий.
-----
В своих вредоносных действиях APT43 group использует многоступенчатые команды Dropbox и TutorialRAT.
Они используют обманчивую тактику, такую как имитация политических встреч, опросов и лекций, чтобы заманить жертв.
Первоначальный подход включает в себя обычные электронные письма и стратегии реактивного фишинга.
APT43 стремится обойти традиционные методы обнаружения антивирусом, используя многоуровневую цепочку атак Dropbox.
Действия связаны с кампанией по борьбе с угрозами BabyShark и направлены на использование Dropbox в злонамеренных целях.
Для эффективного обнаружения таких угроз и реагирования на них используются системы EDR Genian с технологией обнаружения аномального поведения XBA.
APT43 фокусируется на уклонении от обнаружения антивирусом на основе сигнатур с помощью многоэтапных цепочек атак.
Для разных жертв используются конкретные индивидуальные подходы.
Вредоносные файлы распространяются в сжатом виде в формате RAR с защитой паролем для обхода антивирусного обнаружения.
Для обмена данными и расшифровки используются команды PowerShell с жестко заданными учетными данными Dropbox.
К вредоносным операциям относятся кейлоггинг, утечка данных с помощью токенов Dropbox и кража системной информации.
"TutorialRAT" - это программа дистанционного управления на C#, используемая APT43, с исходным кодом, доступным на GitHub.
APT43 использует программы RAT с открытым исходным кодом и демонстрирует владение языком программирования C# для своей деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе киберугроз, связанных с группой APT43, с особым упором на использование ими многоступенчатых команд Dropbox и обучающих программ в своей вредоносной деятельности. APT43 использует различные методы обмана, такие как скрытый фишинг, выдача себя за законных лиц и использование вредоносных кодов в сжатых файлах, чтобы обойти традиционные методы обнаружения антивирусом. Деятельность группы связана с их кампанией по борьбе с угрозами BabyShark, в которой особое внимание уделяется использованию облачного хранилища Dropbox в вредоносных целях. В анализе подчеркивается необходимость упреждающей идентификации таких угроз и рассматриваются технические детали стратегий атаки APT43, включая распространение вредоносных файлов, использование команд PowerShell и такие операции, как кейлоггинг и эксфильтрация данных. Кроме того, в нем подчеркивается, что группа отдает предпочтение программам RAT с открытым исходным кодом, таким как TutorialRAT для удаленного управления, демонстрируя свои знания языка программирования C# для эффективного осуществления вредоносных действий.
-----
В своих вредоносных действиях APT43 group использует многоступенчатые команды Dropbox и TutorialRAT.
Они используют обманчивую тактику, такую как имитация политических встреч, опросов и лекций, чтобы заманить жертв.
Первоначальный подход включает в себя обычные электронные письма и стратегии реактивного фишинга.
APT43 стремится обойти традиционные методы обнаружения антивирусом, используя многоуровневую цепочку атак Dropbox.
Действия связаны с кампанией по борьбе с угрозами BabyShark и направлены на использование Dropbox в злонамеренных целях.
Для эффективного обнаружения таких угроз и реагирования на них используются системы EDR Genian с технологией обнаружения аномального поведения XBA.
APT43 фокусируется на уклонении от обнаружения антивирусом на основе сигнатур с помощью многоэтапных цепочек атак.
Для разных жертв используются конкретные индивидуальные подходы.
Вредоносные файлы распространяются в сжатом виде в формате RAR с защитой паролем для обхода антивирусного обнаружения.
Для обмена данными и расшифровки используются команды PowerShell с жестко заданными учетными данными Dropbox.
К вредоносным операциям относятся кейлоггинг, утечка данных с помощью токенов Dropbox и кража системной информации.
"TutorialRAT" - это программа дистанционного управления на C#, используемая APT43, с исходным кодом, доступным на GitHub.
APT43 использует программы RAT с открытым исходным кодом и демонстрирует владение языком программирования C# для своей деятельности.
#ParsedReport #CompletenessHigh
21-04-2024
Threat Group FIN7 Targets the U.S. Automotive Industry
https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated, cyber_criminal)
Threats:
Spear-phishing_technique
Lolbas_technique
Powertrash_tool
Blackcat
Revil
Darkside
Blackmatter
Typosquatting_technique
Powersploit
Victims:
Large automotive manufacturer
Industry:
Transport, Financial, Healthcare, Retail
Geo:
Russian
TTPs:
Tactics: 8
Technics: 22
IOCs:
Domain: 9
File: 10
Hash: 9
IP: 44
Command: 1
Soft:
OpenSSH, Embarcadero, Active Directory, Windows Service
Algorithms:
sha256, md5
Win API:
EnumWindows
Languages:
delphi, powershell
Links:
21-04-2024
Threat Group FIN7 Targets the U.S. Automotive Industry
https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated, cyber_criminal)
Threats:
Spear-phishing_technique
Lolbas_technique
Powertrash_tool
Blackcat
Revil
Darkside
Blackmatter
Typosquatting_technique
Powersploit
Victims:
Large automotive manufacturer
Industry:
Transport, Financial, Healthcare, Retail
Geo:
Russian
TTPs:
Tactics: 8
Technics: 22
IOCs:
Domain: 9
File: 10
Hash: 9
IP: 44
Command: 1
Soft:
OpenSSH, Embarcadero, Active Directory, Windows Service
Algorithms:
sha256, md5
Win API:
EnumWindows
Languages:
delphi, powershell
Links:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-Shellcode.ps1BlackBerry
Threat Group FIN7 Targets the U.S. Automotive Industry
BlackBerry analysts have identified a spear-phishing campaign by threat group FIN7 that targeted a large automotive manufacturer based in the United States. FIN7 used the lure of a free IP scanning tool to run malware and gain an initial foothold.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 Threat Group FIN7 Targets the U.S. Automotive Industry https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry Report completeness: High Actors/Campaigns: Carbanak (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в фишинговой кампании, проведенной российской передовой группой по борьбе с постоянными угрозами FIN7 против крупного американского производителя автомобилей, демонстрирующей переход от массового таргетинга к охоте на крупную дичь с целью получения более высоких выкупных платежей. Атака включала в себя сложную тактику фишинга, внедрение вредоносных инструментов и использование известных методов для использования уязвимостей. Команда BlackBerry Threat Research успешно пресекла вторжение, подчеркнув важность раннего обнаружения и реагирования для защиты кибербезопасности от новых угроз, таких как фишинговые атаки. В тексте также подчеркивается необходимость усиления организациями своих мер кибербезопасности посредством обучения, повышения осведомленности, многофакторной аутентификации, обновления систем, решений для обеспечения безопасности конечных точек, мониторинга, шифрования и планирования реагирования на инциденты.
-----
В конце 2023 года аналитики BlackBerry раскрыли фишинговую кампанию российской APT group FIN7, направленную против крупного американского производителя автомобилей.
FIN7 использовала инструмент для сканирования IP-адресов, чтобы внедрить свой известный бэкдор Anunak и использовать автономные двоичные файлы, скрипты и библиотеки против сотрудников ИТ-отдела с высокими административными правами.
Эта атака иллюстрирует переход FIN7 от массового таргетинга к охоте на крупную дичь, сосредоточившись на более крупных объектах с целью получения более высоких выкупных платежей за счет тщательного выбора целей и изощренных фишинговых атак.
Международный производитель автомобилей был стратегически выбран FIN7, и команда BlackBerry Threat Research перехватила вторжение до развертывания программы-вымогателя, предотвратив дальнейший взлом сети.
FIN7, также известная как Carbon Spider, ELBRUS и Sangria Tempest, связана с киберпреступными группировками и в прошлом использовала программы-вымогатели, такие как REvil и DarkSide.
Злоумышленники использовали OpenSSH для внешнего доступа, запутанные сценарии PowerShell и развертывание OpenSSH для обеспечения сохраняемости, при этом подробная информация о прокси-серверах OpenSSH не была широко документирована.
Решения BlackBerry в области кибербезопасности успешно выявили и смягчили угрозы, подчеркнув важность раннего обнаружения и реагирования для предотвращения серьезных последствий.
Рекомендации для организаций по усилению защиты от фишинговых атак включают обучение безопасности, повышение осведомленности о социальной инженерии, многофакторную аутентификацию, соблюдение правил использования паролей, обновления системы, надежную защиту конечных точек, мониторинг подозрительной активности, шифрование данных, фильтрацию электронной почты и четко определенный план реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в фишинговой кампании, проведенной российской передовой группой по борьбе с постоянными угрозами FIN7 против крупного американского производителя автомобилей, демонстрирующей переход от массового таргетинга к охоте на крупную дичь с целью получения более высоких выкупных платежей. Атака включала в себя сложную тактику фишинга, внедрение вредоносных инструментов и использование известных методов для использования уязвимостей. Команда BlackBerry Threat Research успешно пресекла вторжение, подчеркнув важность раннего обнаружения и реагирования для защиты кибербезопасности от новых угроз, таких как фишинговые атаки. В тексте также подчеркивается необходимость усиления организациями своих мер кибербезопасности посредством обучения, повышения осведомленности, многофакторной аутентификации, обновления систем, решений для обеспечения безопасности конечных точек, мониторинга, шифрования и планирования реагирования на инциденты.
-----
В конце 2023 года аналитики BlackBerry раскрыли фишинговую кампанию российской APT group FIN7, направленную против крупного американского производителя автомобилей.
FIN7 использовала инструмент для сканирования IP-адресов, чтобы внедрить свой известный бэкдор Anunak и использовать автономные двоичные файлы, скрипты и библиотеки против сотрудников ИТ-отдела с высокими административными правами.
Эта атака иллюстрирует переход FIN7 от массового таргетинга к охоте на крупную дичь, сосредоточившись на более крупных объектах с целью получения более высоких выкупных платежей за счет тщательного выбора целей и изощренных фишинговых атак.
Международный производитель автомобилей был стратегически выбран FIN7, и команда BlackBerry Threat Research перехватила вторжение до развертывания программы-вымогателя, предотвратив дальнейший взлом сети.
FIN7, также известная как Carbon Spider, ELBRUS и Sangria Tempest, связана с киберпреступными группировками и в прошлом использовала программы-вымогатели, такие как REvil и DarkSide.
Злоумышленники использовали OpenSSH для внешнего доступа, запутанные сценарии PowerShell и развертывание OpenSSH для обеспечения сохраняемости, при этом подробная информация о прокси-серверах OpenSSH не была широко документирована.
Решения BlackBerry в области кибербезопасности успешно выявили и смягчили угрозы, подчеркнув важность раннего обнаружения и реагирования для предотвращения серьезных последствий.
Рекомендации для организаций по усилению защиты от фишинговых атак включают обучение безопасности, повышение осведомленности о социальной инженерии, многофакторную аутентификацию, соблюдение правил использования паролей, обновления системы, надежную защиту конечных точек, мониторинг подозрительной активности, шифрование данных, фильтрацию электронной почты и четко определенный план реагирования на инциденты.
#ParsedReport #CompletenessLow
21-04-2024
Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522)
https://cert.gov.ua/article/6278620
Report completeness: Low
Actors/Campaigns:
Uac-0149
Threats:
Cookbox
Victims:
Defense forces of ukraine
Industry:
Government
Geo:
Ukraine
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23, 4.11, 5.30, -, 4.1.0, 6.11, 5.21, 5.00, 6.21, 4.00, 6.20, 4.01, 5.10, 4.10.2, 4.10, 4.20, 5.50, 5.11, 5.70, 5.31, 5.20, 5.01, 5.40)
ChatGPT TTPs:
T1566, T1203, T1059, T1562, T1071, T1105
IOCs:
File: 8
Hash: 8
Url: 2
Domain: 2
Registry: 13
Command: 2
Languages:
powershell
Platforms:
x64
21-04-2024
Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522)
https://cert.gov.ua/article/6278620
Report completeness: Low
Actors/Campaigns:
Uac-0149
Threats:
Cookbox
Victims:
Defense forces of ukraine
Industry:
Government
Geo:
Ukraine
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23, 4.11, 5.30, -, 4.1.0, 6.11, 5.21, 5.00, 6.21, 4.00, 6.20, 4.01, 5.10, 4.10.2, 4.10, 4.20, 5.50, 5.11, 5.70, 5.31, 5.20, 5.01, 5.40)
ChatGPT TTPs:
do not use without manual checkT1566, T1203, T1059, T1562, T1071, T1105
IOCs:
File: 8
Hash: 8
Url: 2
Domain: 2
Registry: 13
Command: 2
Languages:
powershell
Platforms:
x64
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2024 Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522) https://cert.gov.ua/article/6278620 Report completeness: Low Actors/Campaigns: Uac-0149 Threats: Cookbox…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, обнаружила кибератаку, направленную против представителя Сил обороны Украины, и отреагировала на нее. Атака была связана с вредоносным программным обеспечением, доставляемым в виде файла через приложение Signal messenger, которое использовало уязвимость в программном обеспечении WinRAR и запустило вредоносное ПО COOKBOX. Властям удалось нейтрализовать угрозу, но поступали сообщения о подобных атаках, что подчеркивает сохраняющуюся угрозу кибератак на критически важную инфраструктуру и государственные учреждения в Украине. Рекомендуется проявлять бдительность, обновлять систему и проявлять осторожность в отношении неожиданных файлов или сообщений, а также подчеркивать важность сотрудничества между экспертами по кибербезопасности, государственными учреждениями и правоохранительными органами для выявления и предотвращения таких вредоносных действий.
-----
Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, недавно получила информацию о попытке кибератаки на представителя Сил обороны Украины. Атака была связана с использованием вредоносного программного обеспечения, доставляемого через файл с именем "Support.rar", отправленный через приложение Signal Messenger. Отправитель утверждал, что предоставляет документы для работы в Департаменте операций ООН по поддержанию мира. Однако в архиве "Support.rar" был обнаружен эксплойт, нацеленный на уязвимость в программном обеспечении WinRAR, а именно CVE-2023-38831.
После открытия зараженного архива и успешного использования уязвимости будет запущен CMD-файл с именем "support.pdf .cmd". Этот файл запускает открытие документа-приманки под названием "DPO_SEC23-1_OMA_P-3_16-ENG.pdf" и запускает выполнение сценариев PowerShell, связанных с вредоносной программой COOKBOX. Дополнительную информацию о вредоносном ПО COOKBOX можно найти в публикации от 24.02.2024 на веб-сайте CERT-UA.
Важно отметить, что киберпреступники, стоящие за этой атакой, используют службу динамического DNS NoIP для поддержания работоспособности сервера управления COOKBOX. Властям удалось устранить угрозу, заблокировав соответствующее доменное имя и приняв дополнительные контрмеры.
Кроме того, CERT-UA также сообщил о другой кибератаке, обозначенной как UAC-0149 и использующей аналогичный метод работы с использованием уязвимости CVE-2023-38831 и развертыванием программы COOKBOX, под регистрационным номером CERT-UA#9522.
Эти инциденты подчеркивают сохраняющуюся угрозу кибератак на критически важные объекты инфраструктуры и государственные учреждения в Украине. Организациям и частным лицам настоятельно рекомендуется сохранять бдительность, следить за тем, чтобы их системы были обновлены с помощью последних исправлений безопасности, и проявлять осторожность при получении неожиданных или нежелательных файлов или сообщений, особенно через такие коммуникационные платформы, как Signal. Сотрудничество между экспертами по кибербезопасности, правительственными учреждениями и правоохранительными органами имеет решающее значение для выявления подобных вредоносных действий, реагирования на них и предотвращения их в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, обнаружила кибератаку, направленную против представителя Сил обороны Украины, и отреагировала на нее. Атака была связана с вредоносным программным обеспечением, доставляемым в виде файла через приложение Signal messenger, которое использовало уязвимость в программном обеспечении WinRAR и запустило вредоносное ПО COOKBOX. Властям удалось нейтрализовать угрозу, но поступали сообщения о подобных атаках, что подчеркивает сохраняющуюся угрозу кибератак на критически важную инфраструктуру и государственные учреждения в Украине. Рекомендуется проявлять бдительность, обновлять систему и проявлять осторожность в отношении неожиданных файлов или сообщений, а также подчеркивать важность сотрудничества между экспертами по кибербезопасности, государственными учреждениями и правоохранительными органами для выявления и предотвращения таких вредоносных действий.
-----
Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, недавно получила информацию о попытке кибератаки на представителя Сил обороны Украины. Атака была связана с использованием вредоносного программного обеспечения, доставляемого через файл с именем "Support.rar", отправленный через приложение Signal Messenger. Отправитель утверждал, что предоставляет документы для работы в Департаменте операций ООН по поддержанию мира. Однако в архиве "Support.rar" был обнаружен эксплойт, нацеленный на уязвимость в программном обеспечении WinRAR, а именно CVE-2023-38831.
После открытия зараженного архива и успешного использования уязвимости будет запущен CMD-файл с именем "support.pdf .cmd". Этот файл запускает открытие документа-приманки под названием "DPO_SEC23-1_OMA_P-3_16-ENG.pdf" и запускает выполнение сценариев PowerShell, связанных с вредоносной программой COOKBOX. Дополнительную информацию о вредоносном ПО COOKBOX можно найти в публикации от 24.02.2024 на веб-сайте CERT-UA.
Важно отметить, что киберпреступники, стоящие за этой атакой, используют службу динамического DNS NoIP для поддержания работоспособности сервера управления COOKBOX. Властям удалось устранить угрозу, заблокировав соответствующее доменное имя и приняв дополнительные контрмеры.
Кроме того, CERT-UA также сообщил о другой кибератаке, обозначенной как UAC-0149 и использующей аналогичный метод работы с использованием уязвимости CVE-2023-38831 и развертыванием программы COOKBOX, под регистрационным номером CERT-UA#9522.
Эти инциденты подчеркивают сохраняющуюся угрозу кибератак на критически важные объекты инфраструктуры и государственные учреждения в Украине. Организациям и частным лицам настоятельно рекомендуется сохранять бдительность, следить за тем, чтобы их системы были обновлены с помощью последних исправлений безопасности, и проявлять осторожность при получении неожиданных или нежелательных файлов или сообщений, особенно через такие коммуникационные платформы, как Signal. Сотрудничество между экспертами по кибербезопасности, правительственными учреждениями и правоохранительными органами имеет решающее значение для выявления подобных вредоносных действий, реагирования на них и предотвращения их в будущем.
#ParsedReport #CompletenessLow
21-04-2024
Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474)
https://cert.gov.ua/article/6278521
Report completeness: Low
Actors/Campaigns:
Uac0184
Threats:
Hijackloader
Shadowladder
Ghostpulse
Remcos_rat
Viottokeylogger
Xworm_rat
Sigtop_tool
Victims:
Defense forces of ukraine
Industry:
Government, Military
Geo:
Ukraine
ChatGPT TTPs:
T1566, T1204, T1105, T1056, T1552, T1071, T1036, T1547, T1047
IOCs:
Email: 1
Hash: 147
File: 48
IP: 13
Path: 78
Command: 2
21-04-2024
Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474)
https://cert.gov.ua/article/6278521
Report completeness: Low
Actors/Campaigns:
Uac0184
Threats:
Hijackloader
Shadowladder
Ghostpulse
Remcos_rat
Viottokeylogger
Xworm_rat
Sigtop_tool
Victims:
Defense forces of ukraine
Industry:
Government, Military
Geo:
Ukraine
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1105, T1056, T1552, T1071, T1036, T1547, T1047
IOCs:
Email: 1
Hash: 147
File: 48
IP: 13
Path: 78
Command: 2
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2024 Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474) https://cert.gov.ua/article/6278521 Report completeness: Low Actors/Campaigns: Uac0184 Threats: Hijackloader Shadowladder Ghostpulse…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, активно работает над предотвращением, обнаружением и реагированием на киберинциденты и атаки, уделяя особое внимание деятельности группы UAC-0184, нацеленной на военнослужащих в Украине через популярные мессенджеры и социальные сети. инженерная тактика.
-----
Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, активно участвует в реализации организационных и технических мер по предотвращению, обнаружению и реагированию на киберинциденты и кибератаки. В 2024 году наблюдался заметный рост активности группы UAC-0184. Эта группа специально нацелена на получение несанкционированного доступа к компьютерам, принадлежащим представителям Сил обороны Украины, с целью кражи документов и данных мессенджеров.
Группа UAC-0184 использует различные тактики для распространения вредоносного ПО, основным каналом распространения которого являются популярные мессенджеры. Первоначальное проникновение включает в себя элементы социальной инженерии, такие как рассылка вводящих в заблуждение сообщений с такими темами, как возбуждение административного или уголовного дела, видеозаписи боевых действий или просьбы о знакомстве через популярные платформы. Ведя постоянную переписку с военнослужащими, злоумышленники убеждают их открыть или обработать файл (архив), неосознанно содержащий вредоносное программное обеспечение.
В ходе своей деятельности злоумышленники используют целый ряд программных средств, включая коммерческие программы и утилиты с открытым исходным кодом. Известные инструменты в их арсенале включают IDAT (HijackLoader, SHADOWLADDER, GHOSTPULSE) для нанесения основного урона, REMCOSRAT, VIOTTOKEYLOGGER, XWORM, SIGTOP и TUSC. SIGTOP и TUSC специально используются для кражи и скачивания данных, включая сообщения и контактную информацию, из приложения Signal messenger, которое широко используется военнослужащими в Украине.
Крайне важно признать, что злоумышленники постоянно совершенствуют свои методы внедрения вредоносных программ через популярные мессенджеры, используя эти платформы в качестве недостаточно контролируемых каналов обмена информацией. Кроме того, военнослужащие должны проявлять осторожность в своей деятельности в Интернете, поскольку кажущиеся безобидными действия, такие как размещение фотографий в военной форме, могут непреднамеренно сделать их главными мишенями для злоумышленных атак.
Злоумышленники используют различные пути к файлам для выполнения своих операций, таких как манипулирование файлами в каталогах %APPDATA% и %TMP%, а также на рабочем столе пользователей. К конкретным файлам и каталогам, которые были идентифицированы как часть стратегии злоумышленников, относятся ASIO.dll, bandele.wma, timepiece.ogg, converter.exe, vcruntime140.dll и многие другие, расположенные в разных местах системы.
Кроме того, злоумышленники разработали новые методы проведения атак, сосредоточив внимание на мессенджерах и сайтах знакомств в качестве основных объектов. Группа UAC-0184, помеченная как CERT-UA#9474, постоянно совершенствует свою тактику и стратегию, чтобы избежать обнаружения и успешно скомпрометировать целевые системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, активно работает над предотвращением, обнаружением и реагированием на киберинциденты и атаки, уделяя особое внимание деятельности группы UAC-0184, нацеленной на военнослужащих в Украине через популярные мессенджеры и социальные сети. инженерная тактика.
-----
Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, активно участвует в реализации организационных и технических мер по предотвращению, обнаружению и реагированию на киберинциденты и кибератаки. В 2024 году наблюдался заметный рост активности группы UAC-0184. Эта группа специально нацелена на получение несанкционированного доступа к компьютерам, принадлежащим представителям Сил обороны Украины, с целью кражи документов и данных мессенджеров.
Группа UAC-0184 использует различные тактики для распространения вредоносного ПО, основным каналом распространения которого являются популярные мессенджеры. Первоначальное проникновение включает в себя элементы социальной инженерии, такие как рассылка вводящих в заблуждение сообщений с такими темами, как возбуждение административного или уголовного дела, видеозаписи боевых действий или просьбы о знакомстве через популярные платформы. Ведя постоянную переписку с военнослужащими, злоумышленники убеждают их открыть или обработать файл (архив), неосознанно содержащий вредоносное программное обеспечение.
В ходе своей деятельности злоумышленники используют целый ряд программных средств, включая коммерческие программы и утилиты с открытым исходным кодом. Известные инструменты в их арсенале включают IDAT (HijackLoader, SHADOWLADDER, GHOSTPULSE) для нанесения основного урона, REMCOSRAT, VIOTTOKEYLOGGER, XWORM, SIGTOP и TUSC. SIGTOP и TUSC специально используются для кражи и скачивания данных, включая сообщения и контактную информацию, из приложения Signal messenger, которое широко используется военнослужащими в Украине.
Крайне важно признать, что злоумышленники постоянно совершенствуют свои методы внедрения вредоносных программ через популярные мессенджеры, используя эти платформы в качестве недостаточно контролируемых каналов обмена информацией. Кроме того, военнослужащие должны проявлять осторожность в своей деятельности в Интернете, поскольку кажущиеся безобидными действия, такие как размещение фотографий в военной форме, могут непреднамеренно сделать их главными мишенями для злоумышленных атак.
Злоумышленники используют различные пути к файлам для выполнения своих операций, таких как манипулирование файлами в каталогах %APPDATA% и %TMP%, а также на рабочем столе пользователей. К конкретным файлам и каталогам, которые были идентифицированы как часть стратегии злоумышленников, относятся ASIO.dll, bandele.wma, timepiece.ogg, converter.exe, vcruntime140.dll и многие другие, расположенные в разных местах системы.
Кроме того, злоумышленники разработали новые методы проведения атак, сосредоточив внимание на мессенджерах и сайтах знакомств в качестве основных объектов. Группа UAC-0184, помеченная как CERT-UA#9474, постоянно совершенствует свою тактику и стратегию, чтобы избежать обнаружения и успешно скомпрометировать целевые системы.
#cyberthreattech
Ребята из PassLeak прислали нам здоровенный список ресурсов с проксями. Грядет большое пополнение в нашем фиде :)
Ребята из PassLeak прислали нам здоровенный список ресурсов с проксями. Грядет большое пополнение в нашем фиде :)
#ParsedReport #CompletenessMedium
22-04-2024
Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)
https://www.ctfiot.com/175132.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Cobalt_strike
Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies
Industry:
Government, Transport, Maritime
Geo:
Chinese, China, Asia
ChatGPT TTPs:
T1566, T1204, T1105, T1027, T1055, T1574, T1047
IOCs:
Hash: 7
Domain: 1
Soft:
re.com, trycloudflare, Android, WeChat
Algorithms:
md5, xor
Win API:
VirtualAlloc
Languages:
rust
22-04-2024
Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)
https://www.ctfiot.com/175132.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Cobalt_strike
Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies
Industry:
Government, Transport, Maritime
Geo:
Chinese, China, Asia
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1105, T1027, T1055, T1574, T1047
IOCs:
Hash: 7
Domain: 1
Soft:
re.com, trycloudflare, Android, WeChat
Algorithms:
md5, xor
Win API:
VirtualAlloc
Languages:
rust
CTF导航
海莲花(APT-Q-31)组织数字武器Rust加载器技术分析 | CTF导航
团伙背景海莲花,又名OceanLotus、APT32,奇安信内部跟踪编号APT-Q-31,是由奇安信威胁情报中心最早披露并命名的一个APT组织。自2012年4月起,海莲花针对中国政府、科研院所、海事机构、海域建设、航运企业等相关...
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2024 Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31) https://www.ctfiot.com/175132.html Report completeness: Medium Actors/Campaigns: Oceanlotus Threats: Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что OceanLotus, также известная как APT32 и APT-Q-31, является передовой группой постоянных угроз, которая проводит систематические и целенаправленные кибератаки против различных организаций в Китае и Юго-Восточной Азии, используя ряд методов и инструментов атаки, чтобы избежать обнаружения и установления виновности. В тексте рассказывается об использовании группой специально разработанных вредоносных программ, проектов с открытым исходным кодом и коммерческих инструментов, а также об их новой тактике, позволяющей оставаться незамеченными. Кроме того, Центр анализа угроз QiAnXin предоставляет пользователям рекомендации о том, как защитить себя от таких угроз, как OceanLotus.
-----
OceanLotus, также известная как APT32 и APT-Q-31, представляет собой группу продвинутых постоянных угроз (APT), которая была первоначально идентифицирована и названа Центром анализа угроз QiAnXin. С апреля 2012 года OceanLotus проводит систематические, целенаправленные и устойчивые кибератаки против различных организаций, включая правительство Китая, научно-исследовательские институты, морские организации, судоходные компании и другие ключевые секторы. Цели группы охватывают весь Китай и Юго-Восточную Азию, включая правительственные учреждения, исследовательские институты, средства массовой информации и предприятия.
OceanLotus использует широкий спектр методов и средств атаки, часто сочетая специально разработанные вредоносные программы, проекты с открытым исходным кодом и коммерческие инструменты для проведения своих операций. Например, Центр анализа угроз QiAnXin наблюдал, как OceanLotus использовал загрузчик, написанный на Rust, для загрузки троянца Cobalt Strike в память во время атаки на внутреннюю цель. Образцы вредоносных программ группы были обнаружены на платформах с открытым исходным кодом, что свидетельствует о совпадении характеристик Rust-кода и шелл-кода.
Образцы загрузчика Rust, связанные с OceanLotus, демонстрируют сложные процессы, такие как изменение прав доступа к памяти, расшифровка содержимого и выполнение шелл-кода. Эти загрузчики могут взаимодействовать с туннельным сервисом Cloudflare как частью своей инфраструктуры управления (C&C), чтобы скрыть реальный IP-адрес сервера. Вредоносная программа loader, используемая OceanLotus, имеет сходство кода с ранее захваченными образцами атак, что усиливает связь с APT group.
Одним из примечательных аспектов деятельности OceanLotus является использование идентификатора лицензии 987654321 в данных конфигурации троянца Cobalt Strike. Этот идентификатор, который также содержится в образцах из открытых источников, может быть попыткой OceanLotus скрыть принадлежность своей деятельности по добыче кобальта. Группа обновляет свои методы атаки, такие как шифрование полезной нагрузки в загрузчиках и использование законных библиотек DLL для хранения вредоносного шеллкода, в попытке избежать обнаружения системами безопасности и посеять путаницу в отношении атрибуции.
Для борьбы с OceanLotus и подобными угрозами Центр анализа угроз QiAnXin рекомендует пользователям проявлять осторожность в Интернете. Рекомендации включают в себя отказ от перехода по ссылкам из неизвестных источников в социальных сетях, отказ от использования вложений электронной почты от незнакомых отправителей, отказ от использования подозрительных файлов с сенсационными названиями и отказ от использования неофициальных источников при загрузке приложений. Пользователям также настоятельно рекомендуется регулярно создавать резервные копии важных файлов, своевременно вносить исправления в программное обеспечение и проявлять бдительность в отношении фишинговых атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что OceanLotus, также известная как APT32 и APT-Q-31, является передовой группой постоянных угроз, которая проводит систематические и целенаправленные кибератаки против различных организаций в Китае и Юго-Восточной Азии, используя ряд методов и инструментов атаки, чтобы избежать обнаружения и установления виновности. В тексте рассказывается об использовании группой специально разработанных вредоносных программ, проектов с открытым исходным кодом и коммерческих инструментов, а также об их новой тактике, позволяющей оставаться незамеченными. Кроме того, Центр анализа угроз QiAnXin предоставляет пользователям рекомендации о том, как защитить себя от таких угроз, как OceanLotus.
-----
OceanLotus, также известная как APT32 и APT-Q-31, представляет собой группу продвинутых постоянных угроз (APT), которая была первоначально идентифицирована и названа Центром анализа угроз QiAnXin. С апреля 2012 года OceanLotus проводит систематические, целенаправленные и устойчивые кибератаки против различных организаций, включая правительство Китая, научно-исследовательские институты, морские организации, судоходные компании и другие ключевые секторы. Цели группы охватывают весь Китай и Юго-Восточную Азию, включая правительственные учреждения, исследовательские институты, средства массовой информации и предприятия.
OceanLotus использует широкий спектр методов и средств атаки, часто сочетая специально разработанные вредоносные программы, проекты с открытым исходным кодом и коммерческие инструменты для проведения своих операций. Например, Центр анализа угроз QiAnXin наблюдал, как OceanLotus использовал загрузчик, написанный на Rust, для загрузки троянца Cobalt Strike в память во время атаки на внутреннюю цель. Образцы вредоносных программ группы были обнаружены на платформах с открытым исходным кодом, что свидетельствует о совпадении характеристик Rust-кода и шелл-кода.
Образцы загрузчика Rust, связанные с OceanLotus, демонстрируют сложные процессы, такие как изменение прав доступа к памяти, расшифровка содержимого и выполнение шелл-кода. Эти загрузчики могут взаимодействовать с туннельным сервисом Cloudflare как частью своей инфраструктуры управления (C&C), чтобы скрыть реальный IP-адрес сервера. Вредоносная программа loader, используемая OceanLotus, имеет сходство кода с ранее захваченными образцами атак, что усиливает связь с APT group.
Одним из примечательных аспектов деятельности OceanLotus является использование идентификатора лицензии 987654321 в данных конфигурации троянца Cobalt Strike. Этот идентификатор, который также содержится в образцах из открытых источников, может быть попыткой OceanLotus скрыть принадлежность своей деятельности по добыче кобальта. Группа обновляет свои методы атаки, такие как шифрование полезной нагрузки в загрузчиках и использование законных библиотек DLL для хранения вредоносного шеллкода, в попытке избежать обнаружения системами безопасности и посеять путаницу в отношении атрибуции.
Для борьбы с OceanLotus и подобными угрозами Центр анализа угроз QiAnXin рекомендует пользователям проявлять осторожность в Интернете. Рекомендации включают в себя отказ от перехода по ссылкам из неизвестных источников в социальных сетях, отказ от использования вложений электронной почты от незнакомых отправителей, отказ от использования подозрительных файлов с сенсационными названиями и отказ от использования неофициальных источников при загрузке приложений. Пользователям также настоятельно рекомендуется регулярно создавать резервные копии важных файлов, своевременно вносить исправления в программное обеспечение и проявлять бдительность в отношении фишинговых атак.
#ParsedReport #CompletenessHigh
22-04-2024
ToddyCat is making holes in your infrastructure
https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443
Report completeness: High
Actors/Campaigns:
Toddycat (motivation: cyber_espionage, information_theft)
Threats:
Lofise_tool
Pcexter_tool
Impacket_tool
Retefe
Iobit_tool
Netscan_tool
Krong_tool
Cuthead_tool
Tomberbil
Mimikatz_tool
Shadow_copies_delete_technique
Victims:
Governmental organizations
Industry:
Education
Geo:
Thailand, Asia-pacific
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
T1021, T1570, T1572, T1090, T1041, T1119, T1003, T1040
IOCs:
File: 14
Path: 2
IP: 2
Email: 1
Coin: 1
Command: 5
Url: 5
Domain: 1
Hash: 12
Soft:
PsExec, OpenSSH for Windows, OPENSSH, softether, curl, whatsapp, Chrome, Mozilla Thunderbird
Algorithms:
xor, 7zip, zip
Functions:
GetOwner
Win API:
CryptProtectData, CryptUnprotectData
Platforms:
intel, x86
Links:
22-04-2024
ToddyCat is making holes in your infrastructure
https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443
Report completeness: High
Actors/Campaigns:
Toddycat (motivation: cyber_espionage, information_theft)
Threats:
Lofise_tool
Pcexter_tool
Impacket_tool
Retefe
Iobit_tool
Netscan_tool
Krong_tool
Cuthead_tool
Tomberbil
Mimikatz_tool
Shadow_copies_delete_technique
Victims:
Governmental organizations
Industry:
Education
Geo:
Thailand, Asia-pacific
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1021, T1570, T1572, T1090, T1041, T1119, T1003, T1040
IOCs:
File: 14
Path: 2
IP: 2
Email: 1
Coin: 1
Command: 5
Url: 5
Domain: 1
Hash: 12
Soft:
PsExec, OpenSSH for Windows, OPENSSH, softether, curl, whatsapp, Chrome, Mozilla Thunderbird
Algorithms:
xor, 7zip, zip
Functions:
GetOwner
Win API:
CryptProtectData, CryptUnprotectData
Platforms:
intel, x86
Links:
https://github.com/gentilkiwi/mimikatz/wiki/module-\~-dpapihttps://github.com/icsharpcode/SharpZipLibhttps://github.com/fortra/impackethttps://github.com/fatedier/frpSecurelist
ToddyCat’s traffic tunneling and data extraction tools
We continue to report on the APT group ToddyCat. This time, we’ll talk about traffic tunneling, constant access to a target infrastructure and data extraction from hosts.
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 ToddyCat is making holes in your infrastructure https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443 Report completeness: High Actors/Campaigns: Toddycat (motivation: cyber_espionage…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT group ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, используя различные инструменты и методы для автоматизации сбора данных, поддержания постоянного доступа к системам и уклонения от обнаружения с целью кражи конфиденциальной информации в промышленных масштабах.
-----
Группа APT ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, занимаясь кражей конфиденциальной информации со взломанных хостов в промышленных масштабах. Для достижения этой цели они используют различные инструменты и методы для автоматизации сбора данных, обеспечения постоянного доступа к системам и предотвращения обнаружения.
Одним из методов, используемых ToddyCat, является установление SSH-соединений с удаленными серверами с помощью таких инструментов, как PsExec или Impacket. Перенаправляя сетевой трафик с определенных портов сервера на порты зараженных хостов, злоумышленники обеспечивают постоянный доступ к службам, запущенным на целевых хостах. Эта тактика, особенно на контроллерах домена, позволяет им извлекать IP-адреса узлов внутренней сети с помощью DNS-запросов, расширяя их разведывательные возможности.
Злоумышленники также используют пакет SoftEther VPN для настройки VPN-серверов на скомпрометированных системах. Это решение с открытым исходным кодом поддерживает различные протоколы VPN, позволяя ToddyCat создавать безопасные соединения для туннелирования и удаленного доступа. Настраивая VPN-сервер с помощью определенных файлов и компонентов, злоумышленники создают скрытые каналы связи и передачи данных, повышая свою операционную безопасность.
Ngrok, облегченный агент, используется ToddyCat для перенаправления трафика команд и контроля (C2) между конечными точками и облачной инфраструктурой. В сочетании с другим инструментом под названием Krong, который дополняется легальным приложением, позволяющим избежать обнаружения, Ngrok обеспечивает передачу зашифрованных данных через прокси-серверы, маскируя вредоносные действия и сохраняя скрытность в скомпрометированной среде.
Еще больше расширяя свой доступ и контроль над целевыми хостами, ToddyCat устанавливает FRP-клиент для быстрого обратного прокси-сервера. FRP, инструмент, написанный на платформе Go, облегчает внешний доступ к локальным серверам за NAT или брандмауэрами, обеспечивая гибкость в маршрутизации трафика для связи C2 и оперативного управления.
Представляя новый инструмент cuthead, ToddyCat расширяет свои возможности поиска файлов в взломанных системах. Этот исполняемый файл .NET предназначен для поиска определенных типов файлов или ключевых слов в именах файлов, что облегчает автоматизированный сбор целевых документов. Задавая параметры поиска, включая расширения файлов и даты последнего изменения, cuthead упрощает процесс идентификации и архивирования соответствующих файлов для последующей фильтрации.
В случаях, когда для расшифровки данных требуются ключи шифрования, ToddyCat использует варианты mimikatz и TomBerBil для извлечения этих ключей из системных процессов, в частности из экземпляров explorer.exe и JSON-файлов браузера. Несмотря на риск обнаружения системами безопасности из-за широкого распространения этих инструментов, ToddyCat продолжает использовать их наряду с такими методами, как теневое копирование дисков и архивирование пользовательских данных для целей эксфильтрации.
Сочетая широкий спектр инструментов и тактик, ToddyCat обеспечивает постоянный доступ к скомпрометированной инфраструктуре, автоматизирует процессы сбора данных и использует методы шифрования и туннелирования, чтобы избежать обнаружения и достичь своих целей по краже данных у важных объектов в Азиатско-Тихоокеанском регионе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT group ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, используя различные инструменты и методы для автоматизации сбора данных, поддержания постоянного доступа к системам и уклонения от обнаружения с целью кражи конфиденциальной информации в промышленных масштабах.
-----
Группа APT ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, занимаясь кражей конфиденциальной информации со взломанных хостов в промышленных масштабах. Для достижения этой цели они используют различные инструменты и методы для автоматизации сбора данных, обеспечения постоянного доступа к системам и предотвращения обнаружения.
Одним из методов, используемых ToddyCat, является установление SSH-соединений с удаленными серверами с помощью таких инструментов, как PsExec или Impacket. Перенаправляя сетевой трафик с определенных портов сервера на порты зараженных хостов, злоумышленники обеспечивают постоянный доступ к службам, запущенным на целевых хостах. Эта тактика, особенно на контроллерах домена, позволяет им извлекать IP-адреса узлов внутренней сети с помощью DNS-запросов, расширяя их разведывательные возможности.
Злоумышленники также используют пакет SoftEther VPN для настройки VPN-серверов на скомпрометированных системах. Это решение с открытым исходным кодом поддерживает различные протоколы VPN, позволяя ToddyCat создавать безопасные соединения для туннелирования и удаленного доступа. Настраивая VPN-сервер с помощью определенных файлов и компонентов, злоумышленники создают скрытые каналы связи и передачи данных, повышая свою операционную безопасность.
Ngrok, облегченный агент, используется ToddyCat для перенаправления трафика команд и контроля (C2) между конечными точками и облачной инфраструктурой. В сочетании с другим инструментом под названием Krong, который дополняется легальным приложением, позволяющим избежать обнаружения, Ngrok обеспечивает передачу зашифрованных данных через прокси-серверы, маскируя вредоносные действия и сохраняя скрытность в скомпрометированной среде.
Еще больше расширяя свой доступ и контроль над целевыми хостами, ToddyCat устанавливает FRP-клиент для быстрого обратного прокси-сервера. FRP, инструмент, написанный на платформе Go, облегчает внешний доступ к локальным серверам за NAT или брандмауэрами, обеспечивая гибкость в маршрутизации трафика для связи C2 и оперативного управления.
Представляя новый инструмент cuthead, ToddyCat расширяет свои возможности поиска файлов в взломанных системах. Этот исполняемый файл .NET предназначен для поиска определенных типов файлов или ключевых слов в именах файлов, что облегчает автоматизированный сбор целевых документов. Задавая параметры поиска, включая расширения файлов и даты последнего изменения, cuthead упрощает процесс идентификации и архивирования соответствующих файлов для последующей фильтрации.
В случаях, когда для расшифровки данных требуются ключи шифрования, ToddyCat использует варианты mimikatz и TomBerBil для извлечения этих ключей из системных процессов, в частности из экземпляров explorer.exe и JSON-файлов браузера. Несмотря на риск обнаружения системами безопасности из-за широкого распространения этих инструментов, ToddyCat продолжает использовать их наряду с такими методами, как теневое копирование дисков и архивирование пользовательских данных для целей эксфильтрации.
Сочетая широкий спектр инструментов и тактик, ToddyCat обеспечивает постоянный доступ к скомпрометированной инфраструктуре, автоматизирует процессы сбора данных и использует методы шифрования и туннелирования, чтобы избежать обнаружения и достичь своих целей по краже данных у важных объектов в Азиатско-Тихоокеанском регионе.
👍1
#ParsedReport #CompletenessHigh
22-04-2024
MuddyWater campaign abusing Atera Agents
https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign
Report completeness: High
Actors/Campaigns:
Muddywater
Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique
Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...
Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco
Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London
ChatGPT TTPs:
T1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595
IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3
Soft:
Outlook, Gmail
Algorithms:
sha256, zip
Languages:
powershell
YARA: Found
Links:
22-04-2024
MuddyWater campaign abusing Atera Agents
https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign
Report completeness: High
Actors/Campaigns:
Muddywater
Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique
Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...
Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco
Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London
ChatGPT TTPs:
do not use without manual checkT1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595
IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3
Soft:
Outlook, Gmail
Algorithms:
sha256, zip
Languages:
powershell
YARA: Found
Links:
https://github.com/HarfangLab/iocs/tree/main/TRR240402
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 MuddyWater campaign abusing Atera Agents https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign Report completeness: High Actors/Campaigns: Muddywater Threats: Atera_tool Spear-phishing_technique Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----
Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.
С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.
Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.
Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.
Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.
Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.
Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----
Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.
С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.
Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.
Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.
Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.
Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.
Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.