CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2024 Another cyber attack UAC-0149 using Signal, vulnerability CVE-2023-38831 and COOKBOX program (CERT-UA#9522) https://cert.gov.ua/article/6278620 Report completeness: Low Actors/Campaigns: Uac-0149 Threats: Cookbox…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, обнаружила кибератаку, направленную против представителя Сил обороны Украины, и отреагировала на нее. Атака была связана с вредоносным программным обеспечением, доставляемым в виде файла через приложение Signal messenger, которое использовало уязвимость в программном обеспечении WinRAR и запустило вредоносное ПО COOKBOX. Властям удалось нейтрализовать угрозу, но поступали сообщения о подобных атаках, что подчеркивает сохраняющуюся угрозу кибератак на критически важную инфраструктуру и государственные учреждения в Украине. Рекомендуется проявлять бдительность, обновлять систему и проявлять осторожность в отношении неожиданных файлов или сообщений, а также подчеркивать важность сотрудничества между экспертами по кибербезопасности, государственными учреждениями и правоохранительными органами для выявления и предотвращения таких вредоносных действий.
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, недавно получила информацию о попытке кибератаки на представителя Сил обороны Украины. Атака была связана с использованием вредоносного программного обеспечения, доставляемого через файл с именем "Support.rar", отправленный через приложение Signal Messenger. Отправитель утверждал, что предоставляет документы для работы в Департаменте операций ООН по поддержанию мира. Однако в архиве "Support.rar" был обнаружен эксплойт, нацеленный на уязвимость в программном обеспечении WinRAR, а именно CVE-2023-38831.

После открытия зараженного архива и успешного использования уязвимости будет запущен CMD-файл с именем "support.pdf .cmd". Этот файл запускает открытие документа-приманки под названием "DPO_SEC23-1_OMA_P-3_16-ENG.pdf" и запускает выполнение сценариев PowerShell, связанных с вредоносной программой COOKBOX. Дополнительную информацию о вредоносном ПО COOKBOX можно найти в публикации от 24.02.2024 на веб-сайте CERT-UA.

Важно отметить, что киберпреступники, стоящие за этой атакой, используют службу динамического DNS NoIP для поддержания работоспособности сервера управления COOKBOX. Властям удалось устранить угрозу, заблокировав соответствующее доменное имя и приняв дополнительные контрмеры.

Кроме того, CERT-UA также сообщил о другой кибератаке, обозначенной как UAC-0149 и использующей аналогичный метод работы с использованием уязвимости CVE-2023-38831 и развертыванием программы COOKBOX, под регистрационным номером CERT-UA#9522.

Эти инциденты подчеркивают сохраняющуюся угрозу кибератак на критически важные объекты инфраструктуры и государственные учреждения в Украине. Организациям и частным лицам настоятельно рекомендуется сохранять бдительность, следить за тем, чтобы их системы были обновлены с помощью последних исправлений безопасности, и проявлять осторожность при получении неожиданных или нежелательных файлов или сообщений, особенно через такие коммуникационные платформы, как Signal. Сотрудничество между экспертами по кибербезопасности, правительственными учреждениями и правоохранительными органами имеет решающее значение для выявления подобных вредоносных действий, реагирования на них и предотвращения их в будущем.
#ParsedReport #CompletenessLow
21-04-2024

Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474)

https://cert.gov.ua/article/6278521

Report completeness: Low

Actors/Campaigns:
Uac0184

Threats:
Hijackloader
Shadowladder
Ghostpulse
Remcos_rat
Viottokeylogger
Xworm_rat
Sigtop_tool

Victims:
Defense forces of ukraine

Industry:
Government, Military

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1056, T1552, T1071, T1036, T1547, T1047

IOCs:
Email: 1
Hash: 147
File: 48
IP: 13
Path: 78
Command: 2
CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2024 Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474) https://cert.gov.ua/article/6278521 Report completeness: Low Actors/Campaigns: Uac0184 Threats: Hijackloader Shadowladder Ghostpulse…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, активно работает над предотвращением, обнаружением и реагированием на киберинциденты и атаки, уделяя особое внимание деятельности группы UAC-0184, нацеленной на военнослужащих в Украине через популярные мессенджеры и социальные сети. инженерная тактика.
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, активно участвует в реализации организационных и технических мер по предотвращению, обнаружению и реагированию на киберинциденты и кибератаки. В 2024 году наблюдался заметный рост активности группы UAC-0184. Эта группа специально нацелена на получение несанкционированного доступа к компьютерам, принадлежащим представителям Сил обороны Украины, с целью кражи документов и данных мессенджеров.

Группа UAC-0184 использует различные тактики для распространения вредоносного ПО, основным каналом распространения которого являются популярные мессенджеры. Первоначальное проникновение включает в себя элементы социальной инженерии, такие как рассылка вводящих в заблуждение сообщений с такими темами, как возбуждение административного или уголовного дела, видеозаписи боевых действий или просьбы о знакомстве через популярные платформы. Ведя постоянную переписку с военнослужащими, злоумышленники убеждают их открыть или обработать файл (архив), неосознанно содержащий вредоносное программное обеспечение.

В ходе своей деятельности злоумышленники используют целый ряд программных средств, включая коммерческие программы и утилиты с открытым исходным кодом. Известные инструменты в их арсенале включают IDAT (HijackLoader, SHADOWLADDER, GHOSTPULSE) для нанесения основного урона, REMCOSRAT, VIOTTOKEYLOGGER, XWORM, SIGTOP и TUSC. SIGTOP и TUSC специально используются для кражи и скачивания данных, включая сообщения и контактную информацию, из приложения Signal messenger, которое широко используется военнослужащими в Украине.

Крайне важно признать, что злоумышленники постоянно совершенствуют свои методы внедрения вредоносных программ через популярные мессенджеры, используя эти платформы в качестве недостаточно контролируемых каналов обмена информацией. Кроме того, военнослужащие должны проявлять осторожность в своей деятельности в Интернете, поскольку кажущиеся безобидными действия, такие как размещение фотографий в военной форме, могут непреднамеренно сделать их главными мишенями для злоумышленных атак.

Злоумышленники используют различные пути к файлам для выполнения своих операций, таких как манипулирование файлами в каталогах %APPDATA% и %TMP%, а также на рабочем столе пользователей. К конкретным файлам и каталогам, которые были идентифицированы как часть стратегии злоумышленников, относятся ASIO.dll, bandele.wma, timepiece.ogg, converter.exe, vcruntime140.dll и многие другие, расположенные в разных местах системы.

Кроме того, злоумышленники разработали новые методы проведения атак, сосредоточив внимание на мессенджерах и сайтах знакомств в качестве основных объектов. Группа UAC-0184, помеченная как CERT-UA#9474, постоянно совершенствует свою тактику и стратегию, чтобы избежать обнаружения и успешно скомпрометировать целевые системы.
#cyberthreattech
Ребята из PassLeak прислали нам здоровенный список ресурсов с проксями. Грядет большое пополнение в нашем фиде :)
#ParsedReport #CompletenessMedium
22-04-2024

Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)

https://www.ctfiot.com/175132.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus

Threats:
Cobalt_strike

Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies

Industry:
Government, Transport, Maritime

Geo:
Chinese, China, Asia

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1027, T1055, T1574, T1047

IOCs:
Hash: 7
Domain: 1

Soft:
re.com, trycloudflare, Android, WeChat

Algorithms:
md5, xor

Win API:
VirtualAlloc

Languages:
rust
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2024 Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31) https://www.ctfiot.com/175132.html Report completeness: Medium Actors/Campaigns: Oceanlotus Threats: Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что OceanLotus, также известная как APT32 и APT-Q-31, является передовой группой постоянных угроз, которая проводит систематические и целенаправленные кибератаки против различных организаций в Китае и Юго-Восточной Азии, используя ряд методов и инструментов атаки, чтобы избежать обнаружения и установления виновности. В тексте рассказывается об использовании группой специально разработанных вредоносных программ, проектов с открытым исходным кодом и коммерческих инструментов, а также об их новой тактике, позволяющей оставаться незамеченными. Кроме того, Центр анализа угроз QiAnXin предоставляет пользователям рекомендации о том, как защитить себя от таких угроз, как OceanLotus.
-----

OceanLotus, также известная как APT32 и APT-Q-31, представляет собой группу продвинутых постоянных угроз (APT), которая была первоначально идентифицирована и названа Центром анализа угроз QiAnXin. С апреля 2012 года OceanLotus проводит систематические, целенаправленные и устойчивые кибератаки против различных организаций, включая правительство Китая, научно-исследовательские институты, морские организации, судоходные компании и другие ключевые секторы. Цели группы охватывают весь Китай и Юго-Восточную Азию, включая правительственные учреждения, исследовательские институты, средства массовой информации и предприятия.

OceanLotus использует широкий спектр методов и средств атаки, часто сочетая специально разработанные вредоносные программы, проекты с открытым исходным кодом и коммерческие инструменты для проведения своих операций. Например, Центр анализа угроз QiAnXin наблюдал, как OceanLotus использовал загрузчик, написанный на Rust, для загрузки троянца Cobalt Strike в память во время атаки на внутреннюю цель. Образцы вредоносных программ группы были обнаружены на платформах с открытым исходным кодом, что свидетельствует о совпадении характеристик Rust-кода и шелл-кода.

Образцы загрузчика Rust, связанные с OceanLotus, демонстрируют сложные процессы, такие как изменение прав доступа к памяти, расшифровка содержимого и выполнение шелл-кода. Эти загрузчики могут взаимодействовать с туннельным сервисом Cloudflare как частью своей инфраструктуры управления (C&C), чтобы скрыть реальный IP-адрес сервера. Вредоносная программа loader, используемая OceanLotus, имеет сходство кода с ранее захваченными образцами атак, что усиливает связь с APT group.

Одним из примечательных аспектов деятельности OceanLotus является использование идентификатора лицензии 987654321 в данных конфигурации троянца Cobalt Strike. Этот идентификатор, который также содержится в образцах из открытых источников, может быть попыткой OceanLotus скрыть принадлежность своей деятельности по добыче кобальта. Группа обновляет свои методы атаки, такие как шифрование полезной нагрузки в загрузчиках и использование законных библиотек DLL для хранения вредоносного шеллкода, в попытке избежать обнаружения системами безопасности и посеять путаницу в отношении атрибуции.

Для борьбы с OceanLotus и подобными угрозами Центр анализа угроз QiAnXin рекомендует пользователям проявлять осторожность в Интернете. Рекомендации включают в себя отказ от перехода по ссылкам из неизвестных источников в социальных сетях, отказ от использования вложений электронной почты от незнакомых отправителей, отказ от использования подозрительных файлов с сенсационными названиями и отказ от использования неофициальных источников при загрузке приложений. Пользователям также настоятельно рекомендуется регулярно создавать резервные копии важных файлов, своевременно вносить исправления в программное обеспечение и проявлять бдительность в отношении фишинговых атак.
#ParsedReport #CompletenessHigh
22-04-2024

ToddyCat is making holes in your infrastructure

https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443

Report completeness: High

Actors/Campaigns:
Toddycat (motivation: cyber_espionage, information_theft)

Threats:
Lofise_tool
Pcexter_tool
Impacket_tool
Retefe
Iobit_tool
Netscan_tool
Krong_tool
Cuthead_tool
Tomberbil
Mimikatz_tool
Shadow_copies_delete_technique

Victims:
Governmental organizations

Industry:
Education

Geo:
Thailand, Asia-pacific

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1021, T1570, T1572, T1090, T1041, T1119, T1003, T1040

IOCs:
File: 14
Path: 2
IP: 2
Email: 1
Coin: 1
Command: 5
Url: 5
Domain: 1
Hash: 12

Soft:
PsExec, OpenSSH for Windows, OPENSSH, softether, curl, whatsapp, Chrome, Mozilla Thunderbird

Algorithms:
xor, 7zip, zip

Functions:
GetOwner

Win API:
CryptProtectData, CryptUnprotectData

Platforms:
intel, x86

Links:
https://github.com/gentilkiwi/mimikatz/wiki/module-\~-dpapi
https://github.com/icsharpcode/SharpZipLib
https://github.com/fortra/impacket
https://github.com/fatedier/frp
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 ToddyCat is making holes in your infrastructure https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443 Report completeness: High Actors/Campaigns: Toddycat (motivation: cyber_espionage…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT group ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, используя различные инструменты и методы для автоматизации сбора данных, поддержания постоянного доступа к системам и уклонения от обнаружения с целью кражи конфиденциальной информации в промышленных масштабах.
-----

Группа APT ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, занимаясь кражей конфиденциальной информации со взломанных хостов в промышленных масштабах. Для достижения этой цели они используют различные инструменты и методы для автоматизации сбора данных, обеспечения постоянного доступа к системам и предотвращения обнаружения.

Одним из методов, используемых ToddyCat, является установление SSH-соединений с удаленными серверами с помощью таких инструментов, как PsExec или Impacket. Перенаправляя сетевой трафик с определенных портов сервера на порты зараженных хостов, злоумышленники обеспечивают постоянный доступ к службам, запущенным на целевых хостах. Эта тактика, особенно на контроллерах домена, позволяет им извлекать IP-адреса узлов внутренней сети с помощью DNS-запросов, расширяя их разведывательные возможности.

Злоумышленники также используют пакет SoftEther VPN для настройки VPN-серверов на скомпрометированных системах. Это решение с открытым исходным кодом поддерживает различные протоколы VPN, позволяя ToddyCat создавать безопасные соединения для туннелирования и удаленного доступа. Настраивая VPN-сервер с помощью определенных файлов и компонентов, злоумышленники создают скрытые каналы связи и передачи данных, повышая свою операционную безопасность.

Ngrok, облегченный агент, используется ToddyCat для перенаправления трафика команд и контроля (C2) между конечными точками и облачной инфраструктурой. В сочетании с другим инструментом под названием Krong, который дополняется легальным приложением, позволяющим избежать обнаружения, Ngrok обеспечивает передачу зашифрованных данных через прокси-серверы, маскируя вредоносные действия и сохраняя скрытность в скомпрометированной среде.

Еще больше расширяя свой доступ и контроль над целевыми хостами, ToddyCat устанавливает FRP-клиент для быстрого обратного прокси-сервера. FRP, инструмент, написанный на платформе Go, облегчает внешний доступ к локальным серверам за NAT или брандмауэрами, обеспечивая гибкость в маршрутизации трафика для связи C2 и оперативного управления.

Представляя новый инструмент cuthead, ToddyCat расширяет свои возможности поиска файлов в взломанных системах. Этот исполняемый файл .NET предназначен для поиска определенных типов файлов или ключевых слов в именах файлов, что облегчает автоматизированный сбор целевых документов. Задавая параметры поиска, включая расширения файлов и даты последнего изменения, cuthead упрощает процесс идентификации и архивирования соответствующих файлов для последующей фильтрации.

В случаях, когда для расшифровки данных требуются ключи шифрования, ToddyCat использует варианты mimikatz и TomBerBil для извлечения этих ключей из системных процессов, в частности из экземпляров explorer.exe и JSON-файлов браузера. Несмотря на риск обнаружения системами безопасности из-за широкого распространения этих инструментов, ToddyCat продолжает использовать их наряду с такими методами, как теневое копирование дисков и архивирование пользовательских данных для целей эксфильтрации.

Сочетая широкий спектр инструментов и тактик, ToddyCat обеспечивает постоянный доступ к скомпрометированной инфраструктуре, автоматизирует процессы сбора данных и использует методы шифрования и туннелирования, чтобы избежать обнаружения и достичь своих целей по краже данных у важных объектов в Азиатско-Тихоокеанском регионе.
👍1
#ParsedReport #CompletenessHigh
22-04-2024

MuddyWater campaign abusing Atera Agents

https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique

Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...

Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco

Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London

ChatGPT TTPs:
do not use without manual check
T1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595

IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3

Soft:
Outlook, Gmail

Algorithms:
sha256, zip

Languages:
powershell

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR240402
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 MuddyWater campaign abusing Atera Agents https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign Report completeness: High Actors/Campaigns: Muddywater Threats: Atera_tool Spear-phishing_technique Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----

Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.

С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.

Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.

Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.

Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.

Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.

Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.
#ParsedReport #CompletenessMedium
21-04-2024

UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine

https://cert.gov.ua/article/6278706

Report completeness: Medium

Actors/Campaigns:
Sandworm

Threats:
Kapeka
Loadgrip
Supply_chain_technique
Weevely
Regeorg
Gossipflow_tool
Chisel_tool
Libprocesshider_rootkit
Juicypotato_tool
Rottenpotatong_tool
Dumplsass_tool
Chrysaor

Victims:
Energy companies, Water supply facilities, Heat supply enterprises

Industry:
Energy, Government, Ics

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1583, T1027, T1555, T1587, T1547, T1584, T1059, T1071, have more...

IOCs:
File: 34
Hash: 138
Path: 8
Command: 2
Registry: 2
IP: 17

Soft:
Windows registry

Algorithms:
aes, aes-128-cbc

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine https://cert.gov.ua/article/6278706 Report completeness: Medium Actors/Campaigns: Sandworm Threats: Kapeka…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный обзор вредоносного киберплана, раскрытого Правительственной группой реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA), организованного группой Sandworm в марте 2024 года. Злоумышленники стремились нарушить работу предприятий энергетики, водо- и теплоснабжения в Украине с помощью различных вредоносных инструментов и тактик, подчеркивая необходимость усиления мер кибербезопасности и упреждающего анализа угроз для защиты от таких сложных угроз, нацеленных на критически важную инфраструктуру.
-----

В марте 2024 года Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) раскрыла вредоносный план группы Sandworm. Целью было нарушить работу примерно двадцати предприятий энерго-, водо- и теплоснабжения в десяти регионах Украины. Злоумышленники использовали различные вредоносные программы, в том числе бэкдор QUEUESEED и новые дополнения, такие как LOADGRIP и BIASBOAT, Linux-вариант QUEUESEED.

В ходе расследования инцидента CERT-UA обнаружил, что целью атак был компьютер под управлением операционной системы Linux, который управлял технологическими процессами с помощью специализированного программного обеспечения. BIASBOAT был замаскирован под файл, зашифрованный для определенного сервера, что указывает на сложный подход. Был подтвержден факт компрометации по меньшей мере трех цепочек поставок, причем основной несанкционированный доступ был связан с уязвимостями программного обеспечения или доступом сотрудников поставщиков к организациям ICS.

Злоумышленники использовали КОМПЬЮТЕРЫ с программно-определяемыми радиоприемниками (SDRS) в корпоративных сетях для горизонтального перемещения и кибератак на корпоративные сети, внедряя такие инструменты, как веб-оболочки PHP и туннели. CERT-UA незамедлительно приняла меры по информированию пострадавших предприятий, удалению вредоносного ПО, анализу хронологии инцидентов и усилению мер кибербезопасности.

Вредоносные программы QUEUESEED и GOSSIPFLOW ранее использовались в разрушительных кибератаках на объекты водоснабжения в Украине. UAC-0133, входящий в группу Sandworm, был идентифицирован как подкластер UAC-0002, что подчеркивает опыт группы в атаках на критически важную инфраструктуру.

Успеху плана киберсаботажа способствовали слабые методы обеспечения безопасности, такие как неадекватная сегментация и небрежное отношение поставщиков к безопасности программного обеспечения. Злоумышленники намеревались использовать несанкционированный доступ к ICS для усиления воздействия потенциальных ракетных ударов по украинской инфраструктуре.

QUEUESEED, написанный на C++, представляет собой универсальный бэкдор, способный выполнять команды, обновлять конфигурации и самоудаляться. Он взаимодействует с сервером управления по протоколу HTTPS, используя зашифрованные данные в формате JSON. BIASBOAT, Linux-версия QUEUESEED, запускается с помощью инжектора LOADGRIP и взаимодействует с центральным сервером. Другой используемый инструмент, GOSSIPFLOW, устанавливает туннели и действует как прокси-сервер SOCKS5.

Злоумышленники использовали различные файлы и скрипты для сохранения данных, такие как запланированные задачи, записи реестра и общие библиотеки. Они атаковали широкий спектр систем и каталогов в средах Windows и Linux, демонстрируя сложные и стойкие возможности для борьбы с киберугрозами.

В ответ на эту угрозу CERT-UA рекомендовала усилить меры безопасности, включая сегментацию сети, контроль доступа, оценку безопасности программного обеспечения и готовность к реагированию на инциденты, чтобы смягчить будущие киберугрозы, нацеленные на критически важную инфраструктуру. Проведенный анализ подчеркивает важность упреждающей разведки угроз и надежных протоколов кибербезопасности для защиты от сложных угроз, таких как Sandworm.
#ParsedReport #CompletenessMedium
21-04-2024

Search. Finding the unknown unknowns, part 1

https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Atera_tool
Polymorphism_technique

Geo:
Israel, Australia, Israeli, Italy, Ukrainian, Ukraine, Turkish

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1566.001, T1563.002, T1140, T1059, T1071, T1027, T1036

IOCs:
Email: 1
Url: 11
Hash: 22

Algorithms:
zip

Platforms:
x86

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2024-04-16%20Unknown%20unknowns
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 Search. Finding the unknown unknowns, part 1 https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1 Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Atera_tool Polymorphism_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании pivots для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий, подчеркивая важность программного обнаружения угроз, ежедневного анализа каждого предупреждения, содержащего защищенные паролем объекты, и ценность человеческого анализа для выявления аномалий. В нем также обсуждается использование скрытого отслеживания изображений в электронных письмах, необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз, а также поощряется сотрудничество и исследования в сообществе кибербезопасности.
-----

В тексте выделяются три основных метода, которые используются для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий. Автор подчеркивает важность возможности программного обнаружения угроз и советует предприятиям ежедневно анализировать каждое предупреждение, содержащее защищенный паролем объект. Они отмечают, что законные средства мониторинга доставки электронной почты ограничены, и предполагают, что к предупреждениям о контенте, защищенном паролем, таком как документы office или zip-файлы, следует относиться серьезно. В качестве примера приводится защищенный паролем zip-файл, адресованный Израилю, с паролем "123456", что указывает на преднамеренное использование злоумышленником. В тексте подчеркивается ценность человеческого анализа, особенно при выявлении аномалий, таких как использование ИТ-пользователем незнакомых инструментов. Также упоминается важность быстрой оценки легитимности приманок, и предлагается программно извлекать URL-адреса и выполнять поиск по соответствующим показателям.

Кроме того, в тексте обсуждается использование скрытого отслеживания изображений в электронных письмах для отслеживания взаимодействия с пользователем и упоминается случай, когда участники шпионажа использовали изображения канареек в документах Word для отслеживания. В нем подчеркивается необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз. Автор рекомендует посетить их страницу на GitHub, чтобы ознакомиться со списком показателей, и предлагает поставщикам предоставлять заявления о предполагаемой авторской принадлежности для сотрудничества и исследовательских целей.

Авторы выражают благодарность рецензентам, другим поставщикам и отдельным лицам, которые помогли связаться с заинтересованными сторонами в Израиле. Они приглашают внести исправления и направить запросы о сотрудничестве по электронной почте.