CTT Report Hub
3.39K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 Multi-level Dropbox commands and TutorialRAT behind APT43 https://www.genians.co.kr/blog/threat_intelligence/dropbox Report completeness: High Actors/Campaigns: Kimsuky Threats: Tutorialrat Babyshark Randomquery…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе киберугроз, связанных с группой APT43, с особым упором на использование ими многоступенчатых команд Dropbox и обучающих программ в своей вредоносной деятельности. APT43 использует различные методы обмана, такие как скрытый фишинг, выдача себя за законных лиц и использование вредоносных кодов в сжатых файлах, чтобы обойти традиционные методы обнаружения антивирусом. Деятельность группы связана с их кампанией по борьбе с угрозами BabyShark, в которой особое внимание уделяется использованию облачного хранилища Dropbox в вредоносных целях. В анализе подчеркивается необходимость упреждающей идентификации таких угроз и рассматриваются технические детали стратегий атаки APT43, включая распространение вредоносных файлов, использование команд PowerShell и такие операции, как кейлоггинг и эксфильтрация данных. Кроме того, в нем подчеркивается, что группа отдает предпочтение программам RAT с открытым исходным кодом, таким как TutorialRAT для удаленного управления, демонстрируя свои знания языка программирования C# для эффективного осуществления вредоносных действий.
-----

В своих вредоносных действиях APT43 group использует многоступенчатые команды Dropbox и TutorialRAT.

Они используют обманчивую тактику, такую как имитация политических встреч, опросов и лекций, чтобы заманить жертв.

Первоначальный подход включает в себя обычные электронные письма и стратегии реактивного фишинга.

APT43 стремится обойти традиционные методы обнаружения антивирусом, используя многоуровневую цепочку атак Dropbox.

Действия связаны с кампанией по борьбе с угрозами BabyShark и направлены на использование Dropbox в злонамеренных целях.

Для эффективного обнаружения таких угроз и реагирования на них используются системы EDR Genian с технологией обнаружения аномального поведения XBA.

APT43 фокусируется на уклонении от обнаружения антивирусом на основе сигнатур с помощью многоэтапных цепочек атак.

Для разных жертв используются конкретные индивидуальные подходы.

Вредоносные файлы распространяются в сжатом виде в формате RAR с защитой паролем для обхода антивирусного обнаружения.

Для обмена данными и расшифровки используются команды PowerShell с жестко заданными учетными данными Dropbox.

К вредоносным операциям относятся кейлоггинг, утечка данных с помощью токенов Dropbox и кража системной информации.

"TutorialRAT" - это программа дистанционного управления на C#, используемая APT43, с исходным кодом, доступным на GitHub.

APT43 использует программы RAT с открытым исходным кодом и демонстрирует владение языком программирования C# для своей деятельности.
#ParsedReport #CompletenessHigh
21-04-2024

Threat Group FIN7 Targets the U.S. Automotive Industry

https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry

Report completeness: High

Actors/Campaigns:
Carbanak (motivation: financially_motivated, cyber_criminal)

Threats:
Spear-phishing_technique
Lolbas_technique
Powertrash_tool
Blackcat
Revil
Darkside
Blackmatter
Typosquatting_technique
Powersploit

Victims:
Large automotive manufacturer

Industry:
Transport, Financial, Healthcare, Retail

Geo:
Russian

TTPs:
Tactics: 8
Technics: 22

IOCs:
Domain: 9
File: 10
Hash: 9
IP: 44
Command: 1

Soft:
OpenSSH, Embarcadero, Active Directory, Windows Service

Algorithms:
sha256, md5

Win API:
EnumWindows

Languages:
delphi, powershell

Links:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-Shellcode.ps1
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 Threat Group FIN7 Targets the U.S. Automotive Industry https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry Report completeness: High Actors/Campaigns: Carbanak (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в фишинговой кампании, проведенной российской передовой группой по борьбе с постоянными угрозами FIN7 против крупного американского производителя автомобилей, демонстрирующей переход от массового таргетинга к охоте на крупную дичь с целью получения более высоких выкупных платежей. Атака включала в себя сложную тактику фишинга, внедрение вредоносных инструментов и использование известных методов для использования уязвимостей. Команда BlackBerry Threat Research успешно пресекла вторжение, подчеркнув важность раннего обнаружения и реагирования для защиты кибербезопасности от новых угроз, таких как фишинговые атаки. В тексте также подчеркивается необходимость усиления организациями своих мер кибербезопасности посредством обучения, повышения осведомленности, многофакторной аутентификации, обновления систем, решений для обеспечения безопасности конечных точек, мониторинга, шифрования и планирования реагирования на инциденты.
-----

В конце 2023 года аналитики BlackBerry раскрыли фишинговую кампанию российской APT group FIN7, направленную против крупного американского производителя автомобилей.

FIN7 использовала инструмент для сканирования IP-адресов, чтобы внедрить свой известный бэкдор Anunak и использовать автономные двоичные файлы, скрипты и библиотеки против сотрудников ИТ-отдела с высокими административными правами.

Эта атака иллюстрирует переход FIN7 от массового таргетинга к охоте на крупную дичь, сосредоточившись на более крупных объектах с целью получения более высоких выкупных платежей за счет тщательного выбора целей и изощренных фишинговых атак.

Международный производитель автомобилей был стратегически выбран FIN7, и команда BlackBerry Threat Research перехватила вторжение до развертывания программы-вымогателя, предотвратив дальнейший взлом сети.

FIN7, также известная как Carbon Spider, ELBRUS и Sangria Tempest, связана с киберпреступными группировками и в прошлом использовала программы-вымогатели, такие как REvil и DarkSide.

Злоумышленники использовали OpenSSH для внешнего доступа, запутанные сценарии PowerShell и развертывание OpenSSH для обеспечения сохраняемости, при этом подробная информация о прокси-серверах OpenSSH не была широко документирована.

Решения BlackBerry в области кибербезопасности успешно выявили и смягчили угрозы, подчеркнув важность раннего обнаружения и реагирования для предотвращения серьезных последствий.

Рекомендации для организаций по усилению защиты от фишинговых атак включают обучение безопасности, повышение осведомленности о социальной инженерии, многофакторную аутентификацию, соблюдение правил использования паролей, обновления системы, надежную защиту конечных точек, мониторинг подозрительной активности, шифрование данных, фильтрацию электронной почты и четко определенный план реагирования на инциденты.
#ParsedReport #CompletenessLow
21-04-2024

Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522)

https://cert.gov.ua/article/6278620

Report completeness: Low

Actors/Campaigns:
Uac-0149

Threats:
Cookbox

Victims:
Defense forces of ukraine

Industry:
Government

Geo:
Ukraine

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23, 4.11, 5.30, -, 4.1.0, 6.11, 5.21, 5.00, 6.21, 4.00, 6.20, 4.01, 5.10, 4.10.2, 4.10, 4.20, 5.50, 5.11, 5.70, 5.31, 5.20, 5.01, 5.40)


ChatGPT TTPs:
do not use without manual check
T1566, T1203, T1059, T1562, T1071, T1105

IOCs:
File: 8
Hash: 8
Url: 2
Domain: 2
Registry: 13
Command: 2

Languages:
powershell

Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2024 Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522) https://cert.gov.ua/article/6278620 Report completeness: Low Actors/Campaigns: Uac-0149 Threats: Cookbox…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, обнаружила кибератаку, направленную против представителя Сил обороны Украины, и отреагировала на нее. Атака была связана с вредоносным программным обеспечением, доставляемым в виде файла через приложение Signal messenger, которое использовало уязвимость в программном обеспечении WinRAR и запустило вредоносное ПО COOKBOX. Властям удалось нейтрализовать угрозу, но поступали сообщения о подобных атаках, что подчеркивает сохраняющуюся угрозу кибератак на критически важную инфраструктуру и государственные учреждения в Украине. Рекомендуется проявлять бдительность, обновлять систему и проявлять осторожность в отношении неожиданных файлов или сообщений, а также подчеркивать важность сотрудничества между экспертами по кибербезопасности, государственными учреждениями и правоохранительными органами для выявления и предотвращения таких вредоносных действий.
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, недавно получила информацию о попытке кибератаки на представителя Сил обороны Украины. Атака была связана с использованием вредоносного программного обеспечения, доставляемого через файл с именем "Support.rar", отправленный через приложение Signal Messenger. Отправитель утверждал, что предоставляет документы для работы в Департаменте операций ООН по поддержанию мира. Однако в архиве "Support.rar" был обнаружен эксплойт, нацеленный на уязвимость в программном обеспечении WinRAR, а именно CVE-2023-38831.

После открытия зараженного архива и успешного использования уязвимости будет запущен CMD-файл с именем "support.pdf .cmd". Этот файл запускает открытие документа-приманки под названием "DPO_SEC23-1_OMA_P-3_16-ENG.pdf" и запускает выполнение сценариев PowerShell, связанных с вредоносной программой COOKBOX. Дополнительную информацию о вредоносном ПО COOKBOX можно найти в публикации от 24.02.2024 на веб-сайте CERT-UA.

Важно отметить, что киберпреступники, стоящие за этой атакой, используют службу динамического DNS NoIP для поддержания работоспособности сервера управления COOKBOX. Властям удалось устранить угрозу, заблокировав соответствующее доменное имя и приняв дополнительные контрмеры.

Кроме того, CERT-UA также сообщил о другой кибератаке, обозначенной как UAC-0149 и использующей аналогичный метод работы с использованием уязвимости CVE-2023-38831 и развертыванием программы COOKBOX, под регистрационным номером CERT-UA#9522.

Эти инциденты подчеркивают сохраняющуюся угрозу кибератак на критически важные объекты инфраструктуры и государственные учреждения в Украине. Организациям и частным лицам настоятельно рекомендуется сохранять бдительность, следить за тем, чтобы их системы были обновлены с помощью последних исправлений безопасности, и проявлять осторожность при получении неожиданных или нежелательных файлов или сообщений, особенно через такие коммуникационные платформы, как Signal. Сотрудничество между экспертами по кибербезопасности, правительственными учреждениями и правоохранительными органами имеет решающее значение для выявления подобных вредоносных действий, реагирования на них и предотвращения их в будущем.
#ParsedReport #CompletenessLow
21-04-2024

Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474)

https://cert.gov.ua/article/6278521

Report completeness: Low

Actors/Campaigns:
Uac0184

Threats:
Hijackloader
Shadowladder
Ghostpulse
Remcos_rat
Viottokeylogger
Xworm_rat
Sigtop_tool

Victims:
Defense forces of ukraine

Industry:
Government, Military

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1056, T1552, T1071, T1036, T1547, T1047

IOCs:
Email: 1
Hash: 147
File: 48
IP: 13
Path: 78
Command: 2
CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2024 Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474) https://cert.gov.ua/article/6278521 Report completeness: Low Actors/Campaigns: Uac0184 Threats: Hijackloader Shadowladder Ghostpulse…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, активно работает над предотвращением, обнаружением и реагированием на киберинциденты и атаки, уделяя особое внимание деятельности группы UAC-0184, нацеленной на военнослужащих в Украине через популярные мессенджеры и социальные сети. инженерная тактика.
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, активно участвует в реализации организационных и технических мер по предотвращению, обнаружению и реагированию на киберинциденты и кибератаки. В 2024 году наблюдался заметный рост активности группы UAC-0184. Эта группа специально нацелена на получение несанкционированного доступа к компьютерам, принадлежащим представителям Сил обороны Украины, с целью кражи документов и данных мессенджеров.

Группа UAC-0184 использует различные тактики для распространения вредоносного ПО, основным каналом распространения которого являются популярные мессенджеры. Первоначальное проникновение включает в себя элементы социальной инженерии, такие как рассылка вводящих в заблуждение сообщений с такими темами, как возбуждение административного или уголовного дела, видеозаписи боевых действий или просьбы о знакомстве через популярные платформы. Ведя постоянную переписку с военнослужащими, злоумышленники убеждают их открыть или обработать файл (архив), неосознанно содержащий вредоносное программное обеспечение.

В ходе своей деятельности злоумышленники используют целый ряд программных средств, включая коммерческие программы и утилиты с открытым исходным кодом. Известные инструменты в их арсенале включают IDAT (HijackLoader, SHADOWLADDER, GHOSTPULSE) для нанесения основного урона, REMCOSRAT, VIOTTOKEYLOGGER, XWORM, SIGTOP и TUSC. SIGTOP и TUSC специально используются для кражи и скачивания данных, включая сообщения и контактную информацию, из приложения Signal messenger, которое широко используется военнослужащими в Украине.

Крайне важно признать, что злоумышленники постоянно совершенствуют свои методы внедрения вредоносных программ через популярные мессенджеры, используя эти платформы в качестве недостаточно контролируемых каналов обмена информацией. Кроме того, военнослужащие должны проявлять осторожность в своей деятельности в Интернете, поскольку кажущиеся безобидными действия, такие как размещение фотографий в военной форме, могут непреднамеренно сделать их главными мишенями для злоумышленных атак.

Злоумышленники используют различные пути к файлам для выполнения своих операций, таких как манипулирование файлами в каталогах %APPDATA% и %TMP%, а также на рабочем столе пользователей. К конкретным файлам и каталогам, которые были идентифицированы как часть стратегии злоумышленников, относятся ASIO.dll, bandele.wma, timepiece.ogg, converter.exe, vcruntime140.dll и многие другие, расположенные в разных местах системы.

Кроме того, злоумышленники разработали новые методы проведения атак, сосредоточив внимание на мессенджерах и сайтах знакомств в качестве основных объектов. Группа UAC-0184, помеченная как CERT-UA#9474, постоянно совершенствует свою тактику и стратегию, чтобы избежать обнаружения и успешно скомпрометировать целевые системы.
#cyberthreattech
Ребята из PassLeak прислали нам здоровенный список ресурсов с проксями. Грядет большое пополнение в нашем фиде :)
#ParsedReport #CompletenessMedium
22-04-2024

Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)

https://www.ctfiot.com/175132.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus

Threats:
Cobalt_strike

Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies

Industry:
Government, Transport, Maritime

Geo:
Chinese, China, Asia

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1027, T1055, T1574, T1047

IOCs:
Hash: 7
Domain: 1

Soft:
re.com, trycloudflare, Android, WeChat

Algorithms:
md5, xor

Win API:
VirtualAlloc

Languages:
rust
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2024 Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31) https://www.ctfiot.com/175132.html Report completeness: Medium Actors/Campaigns: Oceanlotus Threats: Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что OceanLotus, также известная как APT32 и APT-Q-31, является передовой группой постоянных угроз, которая проводит систематические и целенаправленные кибератаки против различных организаций в Китае и Юго-Восточной Азии, используя ряд методов и инструментов атаки, чтобы избежать обнаружения и установления виновности. В тексте рассказывается об использовании группой специально разработанных вредоносных программ, проектов с открытым исходным кодом и коммерческих инструментов, а также об их новой тактике, позволяющей оставаться незамеченными. Кроме того, Центр анализа угроз QiAnXin предоставляет пользователям рекомендации о том, как защитить себя от таких угроз, как OceanLotus.
-----

OceanLotus, также известная как APT32 и APT-Q-31, представляет собой группу продвинутых постоянных угроз (APT), которая была первоначально идентифицирована и названа Центром анализа угроз QiAnXin. С апреля 2012 года OceanLotus проводит систематические, целенаправленные и устойчивые кибератаки против различных организаций, включая правительство Китая, научно-исследовательские институты, морские организации, судоходные компании и другие ключевые секторы. Цели группы охватывают весь Китай и Юго-Восточную Азию, включая правительственные учреждения, исследовательские институты, средства массовой информации и предприятия.

OceanLotus использует широкий спектр методов и средств атаки, часто сочетая специально разработанные вредоносные программы, проекты с открытым исходным кодом и коммерческие инструменты для проведения своих операций. Например, Центр анализа угроз QiAnXin наблюдал, как OceanLotus использовал загрузчик, написанный на Rust, для загрузки троянца Cobalt Strike в память во время атаки на внутреннюю цель. Образцы вредоносных программ группы были обнаружены на платформах с открытым исходным кодом, что свидетельствует о совпадении характеристик Rust-кода и шелл-кода.

Образцы загрузчика Rust, связанные с OceanLotus, демонстрируют сложные процессы, такие как изменение прав доступа к памяти, расшифровка содержимого и выполнение шелл-кода. Эти загрузчики могут взаимодействовать с туннельным сервисом Cloudflare как частью своей инфраструктуры управления (C&C), чтобы скрыть реальный IP-адрес сервера. Вредоносная программа loader, используемая OceanLotus, имеет сходство кода с ранее захваченными образцами атак, что усиливает связь с APT group.

Одним из примечательных аспектов деятельности OceanLotus является использование идентификатора лицензии 987654321 в данных конфигурации троянца Cobalt Strike. Этот идентификатор, который также содержится в образцах из открытых источников, может быть попыткой OceanLotus скрыть принадлежность своей деятельности по добыче кобальта. Группа обновляет свои методы атаки, такие как шифрование полезной нагрузки в загрузчиках и использование законных библиотек DLL для хранения вредоносного шеллкода, в попытке избежать обнаружения системами безопасности и посеять путаницу в отношении атрибуции.

Для борьбы с OceanLotus и подобными угрозами Центр анализа угроз QiAnXin рекомендует пользователям проявлять осторожность в Интернете. Рекомендации включают в себя отказ от перехода по ссылкам из неизвестных источников в социальных сетях, отказ от использования вложений электронной почты от незнакомых отправителей, отказ от использования подозрительных файлов с сенсационными названиями и отказ от использования неофициальных источников при загрузке приложений. Пользователям также настоятельно рекомендуется регулярно создавать резервные копии важных файлов, своевременно вносить исправления в программное обеспечение и проявлять бдительность в отношении фишинговых атак.
#ParsedReport #CompletenessHigh
22-04-2024

ToddyCat is making holes in your infrastructure

https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443

Report completeness: High

Actors/Campaigns:
Toddycat (motivation: cyber_espionage, information_theft)

Threats:
Lofise_tool
Pcexter_tool
Impacket_tool
Retefe
Iobit_tool
Netscan_tool
Krong_tool
Cuthead_tool
Tomberbil
Mimikatz_tool
Shadow_copies_delete_technique

Victims:
Governmental organizations

Industry:
Education

Geo:
Thailand, Asia-pacific

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1021, T1570, T1572, T1090, T1041, T1119, T1003, T1040

IOCs:
File: 14
Path: 2
IP: 2
Email: 1
Coin: 1
Command: 5
Url: 5
Domain: 1
Hash: 12

Soft:
PsExec, OpenSSH for Windows, OPENSSH, softether, curl, whatsapp, Chrome, Mozilla Thunderbird

Algorithms:
xor, 7zip, zip

Functions:
GetOwner

Win API:
CryptProtectData, CryptUnprotectData

Platforms:
intel, x86

Links:
https://github.com/gentilkiwi/mimikatz/wiki/module-\~-dpapi
https://github.com/icsharpcode/SharpZipLib
https://github.com/fortra/impacket
https://github.com/fatedier/frp
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 ToddyCat is making holes in your infrastructure https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443 Report completeness: High Actors/Campaigns: Toddycat (motivation: cyber_espionage…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT group ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, используя различные инструменты и методы для автоматизации сбора данных, поддержания постоянного доступа к системам и уклонения от обнаружения с целью кражи конфиденциальной информации в промышленных масштабах.
-----

Группа APT ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, занимаясь кражей конфиденциальной информации со взломанных хостов в промышленных масштабах. Для достижения этой цели они используют различные инструменты и методы для автоматизации сбора данных, обеспечения постоянного доступа к системам и предотвращения обнаружения.

Одним из методов, используемых ToddyCat, является установление SSH-соединений с удаленными серверами с помощью таких инструментов, как PsExec или Impacket. Перенаправляя сетевой трафик с определенных портов сервера на порты зараженных хостов, злоумышленники обеспечивают постоянный доступ к службам, запущенным на целевых хостах. Эта тактика, особенно на контроллерах домена, позволяет им извлекать IP-адреса узлов внутренней сети с помощью DNS-запросов, расширяя их разведывательные возможности.

Злоумышленники также используют пакет SoftEther VPN для настройки VPN-серверов на скомпрометированных системах. Это решение с открытым исходным кодом поддерживает различные протоколы VPN, позволяя ToddyCat создавать безопасные соединения для туннелирования и удаленного доступа. Настраивая VPN-сервер с помощью определенных файлов и компонентов, злоумышленники создают скрытые каналы связи и передачи данных, повышая свою операционную безопасность.

Ngrok, облегченный агент, используется ToddyCat для перенаправления трафика команд и контроля (C2) между конечными точками и облачной инфраструктурой. В сочетании с другим инструментом под названием Krong, который дополняется легальным приложением, позволяющим избежать обнаружения, Ngrok обеспечивает передачу зашифрованных данных через прокси-серверы, маскируя вредоносные действия и сохраняя скрытность в скомпрометированной среде.

Еще больше расширяя свой доступ и контроль над целевыми хостами, ToddyCat устанавливает FRP-клиент для быстрого обратного прокси-сервера. FRP, инструмент, написанный на платформе Go, облегчает внешний доступ к локальным серверам за NAT или брандмауэрами, обеспечивая гибкость в маршрутизации трафика для связи C2 и оперативного управления.

Представляя новый инструмент cuthead, ToddyCat расширяет свои возможности поиска файлов в взломанных системах. Этот исполняемый файл .NET предназначен для поиска определенных типов файлов или ключевых слов в именах файлов, что облегчает автоматизированный сбор целевых документов. Задавая параметры поиска, включая расширения файлов и даты последнего изменения, cuthead упрощает процесс идентификации и архивирования соответствующих файлов для последующей фильтрации.

В случаях, когда для расшифровки данных требуются ключи шифрования, ToddyCat использует варианты mimikatz и TomBerBil для извлечения этих ключей из системных процессов, в частности из экземпляров explorer.exe и JSON-файлов браузера. Несмотря на риск обнаружения системами безопасности из-за широкого распространения этих инструментов, ToddyCat продолжает использовать их наряду с такими методами, как теневое копирование дисков и архивирование пользовательских данных для целей эксфильтрации.

Сочетая широкий спектр инструментов и тактик, ToddyCat обеспечивает постоянный доступ к скомпрометированной инфраструктуре, автоматизирует процессы сбора данных и использует методы шифрования и туннелирования, чтобы избежать обнаружения и достичь своих целей по краже данных у важных объектов в Азиатско-Тихоокеанском регионе.
👍1
#ParsedReport #CompletenessHigh
22-04-2024

MuddyWater campaign abusing Atera Agents

https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique

Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...

Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco

Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London

ChatGPT TTPs:
do not use without manual check
T1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595

IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3

Soft:
Outlook, Gmail

Algorithms:
sha256, zip

Languages:
powershell

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR240402
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 MuddyWater campaign abusing Atera Agents https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign Report completeness: High Actors/Campaigns: Muddywater Threats: Atera_tool Spear-phishing_technique Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----

Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.

С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.

Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.

Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.

Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.

Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.

Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.
#ParsedReport #CompletenessMedium
21-04-2024

UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine

https://cert.gov.ua/article/6278706

Report completeness: Medium

Actors/Campaigns:
Sandworm

Threats:
Kapeka
Loadgrip
Supply_chain_technique
Weevely
Regeorg
Gossipflow_tool
Chisel_tool
Libprocesshider_rootkit
Juicypotato_tool
Rottenpotatong_tool
Dumplsass_tool
Chrysaor

Victims:
Energy companies, Water supply facilities, Heat supply enterprises

Industry:
Energy, Government, Ics

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1583, T1027, T1555, T1587, T1547, T1584, T1059, T1071, have more...

IOCs:
File: 34
Hash: 138
Path: 8
Command: 2
Registry: 2
IP: 17

Soft:
Windows registry

Algorithms:
aes, aes-128-cbc

Languages:
php