CTT Report Hub
#ParsedReport #CompletenessLow 08-05-2024 Alleged LockBit Ransomware Gang Leader Named https://intel471.com/blog/alleged-lockbit-ransomware-gang-leader-named Report completeness: Low Actors/Campaigns: Lockbit Threats: Lockbit Wazawaka_actor Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа программ-вымогателей LockBit представляет серьезную угрозу во всем мире, и правоохранительные органы прилагают усилия к борьбе с этой группой и ее администратором Дмитрием Юрьевичем Хорошевым. Несмотря на сбои в работе и изъятие ключей дешифрования, LockBit продолжила свою деятельность, но столкнулась с сокращением числа жертв и ухудшением репутации, столкнувшись с проблемами в своей программе RaaS, поскольку филиалы сокращаются и теряют доверие.
-----
Атаки с целью вымогательства с помощью программ-вымогателей остаются серьезной угрозой во всем мире, особенно со стороны группы LockBit ransomware-as-a-service (RaaS), ответственной за значительную часть атак в 2023 году. Действия правоохранительных органов были направлены против LockBit, что привело к сбоям в работе и действиям против группы. Дмитрий Юрьевич Хорошев, гражданин России, обвиняемый в том, что он является администратором и разработчиком LockBit, обвиняется в мошенничестве и вымогательстве, а также в получении значительной прибыли. Против Хорошева были введены санкции, и усилия по его поимке продолжаются. Филиалы LockBit, базирующиеся в разных странах, выплачивают группе процент от выкупа за использование ее инфраструктуры. Правоохранительные органы получили ключи дешифрования из инфраструктуры LockBit, чтобы помочь жертвам, а действия по нарушению были направлены против аффилированных лиц, связанных с группой.
Операция Cronos, проводимая Национальным агентством Великобритании по борьбе с преступностью и Европолом, была нацелена на инфраструктуру LockBit в феврале 2024 года. Операция была направлена на подрыв деятельности LockBit, в результате чего были изъяты ключи для расшифровки, арестованы двое преступников и выданы международные ордера. Несмотря на эти действия, LockBit быстро возобновила свою деятельность, даже пригрозив атаковать другие правительственные учреждения. Правоохранительные органы сотрудничали с LockBitSupp для сбора разведданных, а Хорошев искал информацию о конкурентах RaaS. LockBit продолжила свою деятельность, создав новый блог об утечке данных и перечислив новых жертв вымогательства после сбоя.
Действия правоохранительных органов значительно повлияли на деятельность LockBit, поскольку число жертв, перечисленных на их сайте, сократилось, а также возникли сомнения в легитимности некоторых жертв. Количество аффилированных лиц сократилось из-за опасений по поводу взаимодействия с правоохранительными органами, снижения репутации LockBit и уровня глобальной угрозы. В настоящее время группа работает с ограниченными возможностями, сталкиваясь с трудностями в рамках своей программы RaaS, а филиалы могут потерять доверие и отказаться от проекта. Несмотря на устойчивость перед лицом действий правоохранительных органов, LockBit остается в центре внимания властей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа программ-вымогателей LockBit представляет серьезную угрозу во всем мире, и правоохранительные органы прилагают усилия к борьбе с этой группой и ее администратором Дмитрием Юрьевичем Хорошевым. Несмотря на сбои в работе и изъятие ключей дешифрования, LockBit продолжила свою деятельность, но столкнулась с сокращением числа жертв и ухудшением репутации, столкнувшись с проблемами в своей программе RaaS, поскольку филиалы сокращаются и теряют доверие.
-----
Атаки с целью вымогательства с помощью программ-вымогателей остаются серьезной угрозой во всем мире, особенно со стороны группы LockBit ransomware-as-a-service (RaaS), ответственной за значительную часть атак в 2023 году. Действия правоохранительных органов были направлены против LockBit, что привело к сбоям в работе и действиям против группы. Дмитрий Юрьевич Хорошев, гражданин России, обвиняемый в том, что он является администратором и разработчиком LockBit, обвиняется в мошенничестве и вымогательстве, а также в получении значительной прибыли. Против Хорошева были введены санкции, и усилия по его поимке продолжаются. Филиалы LockBit, базирующиеся в разных странах, выплачивают группе процент от выкупа за использование ее инфраструктуры. Правоохранительные органы получили ключи дешифрования из инфраструктуры LockBit, чтобы помочь жертвам, а действия по нарушению были направлены против аффилированных лиц, связанных с группой.
Операция Cronos, проводимая Национальным агентством Великобритании по борьбе с преступностью и Европолом, была нацелена на инфраструктуру LockBit в феврале 2024 года. Операция была направлена на подрыв деятельности LockBit, в результате чего были изъяты ключи для расшифровки, арестованы двое преступников и выданы международные ордера. Несмотря на эти действия, LockBit быстро возобновила свою деятельность, даже пригрозив атаковать другие правительственные учреждения. Правоохранительные органы сотрудничали с LockBitSupp для сбора разведданных, а Хорошев искал информацию о конкурентах RaaS. LockBit продолжила свою деятельность, создав новый блог об утечке данных и перечислив новых жертв вымогательства после сбоя.
Действия правоохранительных органов значительно повлияли на деятельность LockBit, поскольку число жертв, перечисленных на их сайте, сократилось, а также возникли сомнения в легитимности некоторых жертв. Количество аффилированных лиц сократилось из-за опасений по поводу взаимодействия с правоохранительными органами, снижения репутации LockBit и уровня глобальной угрозы. В настоящее время группа работает с ограниченными возможностями, сталкиваясь с трудностями в рамках своей программы RaaS, а филиалы могут потерять доверие и отказаться от проекта. Несмотря на устойчивость перед лицом действий правоохранительных органов, LockBit остается в центре внимания властей.
#ParsedReport #CompletenessLow
08-05-2024
Massive Dump of Hacked Salvadorean Headshots and PII Highlights Growing Threat-Actor Interest in Biometric Data
https://www.resecurity.com/blog/article/massive-dump-of-hacked-salvadorean-headshots-and-pii-highlights-growing-threat-actor-interest-in-biometric-data
Report completeness: Low
Actors/Campaigns:
Guacamaya (motivation: hacktivism)
Threats:
Macaw
Bec_technique
Victims:
Citizens of el salvador
Industry:
Retail, Telco, Healthcare, Military, E-commerce, Financial, Government
Geo:
Salvadorean, Guatemala, Mexico, Spanish, American, America, Latam, Salvadoreans, Chile, Colombia, Peru
ChatGPT TTPs:
T1589, T1606, T1203, T1567
Soft:
Telegram
Wallets:
coinbase
Crypto:
bitcoin, binance
08-05-2024
Massive Dump of Hacked Salvadorean Headshots and PII Highlights Growing Threat-Actor Interest in Biometric Data
https://www.resecurity.com/blog/article/massive-dump-of-hacked-salvadorean-headshots-and-pii-highlights-growing-threat-actor-interest-in-biometric-data
Report completeness: Low
Actors/Campaigns:
Guacamaya (motivation: hacktivism)
Threats:
Macaw
Bec_technique
Victims:
Citizens of el salvador
Industry:
Retail, Telco, Healthcare, Military, E-commerce, Financial, Government
Geo:
Salvadorean, Guatemala, Mexico, Spanish, American, America, Latam, Salvadoreans, Chile, Colombia, Peru
ChatGPT TTPs:
do not use without manual checkT1589, T1606, T1203, T1567
Soft:
Telegram
Wallets:
coinbase
Crypto:
bitcoin, binance
CTT Report Hub
#ParsedReport #CompletenessLow 08-05-2024 Massive Dump of Hacked Salvadorean Headshots and PII Highlights Growing Threat-Actor Interest in Biometric Data https://www.resecurity.com/blog/article/massive-dump-of-hacked-salvadorean-headshots-and-pii-highlights…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в существенной утечке данных в Сальвадоре, связанной с раскрытием личной информации (PII), включая биометрические данные, более чем пяти миллионов граждан в Даркнете. Это нарушение создает высокий риск мошенничества и кражи личных данных из-за включения биометрических данных, таких как снимки головы, в личные данные жертв. Этот инцидент подчеркивает уязвимость биометрических данных к кибератакам и подчеркивает важность мер кибербезопасности и использования решений для анализа киберугроз для эффективной защиты цифровых идентификационных данных в Латинской Америке.
-----
Утечка данных в Сальвадоре выявила в Даркнете личные данные более пяти миллионов граждан, включая фотографии высокой четкости, помеченные соответствующими номерами DUI, именами, датами рождения, номерами телефонов, адресами электронной почты и адресами проживания.
Это нарушение является очевидным из-за включения биометрических данных: более пяти миллионов снимков головы индексируются с помощью PII, что создает высокий риск мошенничества и кражи личных данных для большинства населения Сальвадора.
Причастность к атаке неизвестна, есть предположения, что она связана с хакерским сообществом Guacamaya, но противоречивая информация ставит под сомнение их причастность.
Утечка подчеркивает уязвимость биометрических данных к кибератакам, как это было видно из предыдущего взлома и утечки 23andMe.
Этот инцидент подчеркивает растущий интерес участников угроз к получению биометрических данных и извлечению выгоды из них из-за их значительной ценности.
В рекомендациях FTC выражаются опасения по поводу конфиденциальности, безопасности данных, предвзятости и дискриминации, связанных с растущим использованием биометрической информации потребителей.
Преступники используют технологию deepfake для совершения мошеннических действий, в частности, нацеливаясь на влиятельных лиц в сфере криптовалют и руководителей, например, на кражу компрометирующей деловой электронной почты стоимостью 25 миллионов долларов в Гонконге.
Всплеск кибератак в Латинской Америке объясняется быстрым распространением цифровых технологий в регионе, что подвергает население повышенным рискам кражи данных и киберпреступности.
Сообщается, что учреждения и правительства в Латинской Америке более уязвимы, что подчеркивает важность повышения уровня цифровой гигиены и готовности к киберпространству.
Организациям и потребителям в Латинской Америке настоятельно рекомендуется уделять приоритетное внимание мерам кибербезопасности и использовать решения для анализа киберугроз для эффективной защиты цифровых идентификационных данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в существенной утечке данных в Сальвадоре, связанной с раскрытием личной информации (PII), включая биометрические данные, более чем пяти миллионов граждан в Даркнете. Это нарушение создает высокий риск мошенничества и кражи личных данных из-за включения биометрических данных, таких как снимки головы, в личные данные жертв. Этот инцидент подчеркивает уязвимость биометрических данных к кибератакам и подчеркивает важность мер кибербезопасности и использования решений для анализа киберугроз для эффективной защиты цифровых идентификационных данных в Латинской Америке.
-----
Утечка данных в Сальвадоре выявила в Даркнете личные данные более пяти миллионов граждан, включая фотографии высокой четкости, помеченные соответствующими номерами DUI, именами, датами рождения, номерами телефонов, адресами электронной почты и адресами проживания.
Это нарушение является очевидным из-за включения биометрических данных: более пяти миллионов снимков головы индексируются с помощью PII, что создает высокий риск мошенничества и кражи личных данных для большинства населения Сальвадора.
Причастность к атаке неизвестна, есть предположения, что она связана с хакерским сообществом Guacamaya, но противоречивая информация ставит под сомнение их причастность.
Утечка подчеркивает уязвимость биометрических данных к кибератакам, как это было видно из предыдущего взлома и утечки 23andMe.
Этот инцидент подчеркивает растущий интерес участников угроз к получению биометрических данных и извлечению выгоды из них из-за их значительной ценности.
В рекомендациях FTC выражаются опасения по поводу конфиденциальности, безопасности данных, предвзятости и дискриминации, связанных с растущим использованием биометрической информации потребителей.
Преступники используют технологию deepfake для совершения мошеннических действий, в частности, нацеливаясь на влиятельных лиц в сфере криптовалют и руководителей, например, на кражу компрометирующей деловой электронной почты стоимостью 25 миллионов долларов в Гонконге.
Всплеск кибератак в Латинской Америке объясняется быстрым распространением цифровых технологий в регионе, что подвергает население повышенным рискам кражи данных и киберпреступности.
Сообщается, что учреждения и правительства в Латинской Америке более уязвимы, что подчеркивает важность повышения уровня цифровой гигиены и готовности к киберпространству.
Организациям и потребителям в Латинской Америке настоятельно рекомендуется уделять приоритетное внимание мерам кибербезопасности и использовать решения для анализа киберугроз для эффективной защиты цифровых идентификационных данных.
👍1
#ParsedReport #CompletenessLow
08-05-2024
APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C
https://www.ctfiot.com/179767.html
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Threats:
Graphite
Geo:
Russian
CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1071.001, T1566.001, T1203, T1105, T1027, T1573.002
IOCs:
File: 7
Url: 2
Soft:
Microsoft OneDrive, WeChat
Algorithms:
sha256, crc-32, aes-256-cbc, xor
08-05-2024
APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C
https://www.ctfiot.com/179767.html
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Threats:
Graphite
Geo:
Russian
CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1071.001, T1566.001, T1203, T1105, T1027, T1573.002
IOCs:
File: 7
Url: 2
Soft:
Microsoft OneDrive, WeChat
Algorithms:
sha256, crc-32, aes-256-cbc, xor
CTF导航
APT28后门武器Graphite利用Graph API将Microsoft OneDrive做为C&C通信 | CTF导航
首发先知社区:https://xz.aliyun.com/t/14429首发作者:qianlan一、前言 在不同场景下的攻防对抗中,围绕远控、后门的研究和发展是不会过时的热点,除了传统的两端、三端通信,近年越来越多的组织开始恶意利用合...
🔥1
CTT Report Hub
#ParsedReport #CompletenessLow 08-05-2024 APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C https://www.ctfiot.com/179767.html Report completeness: Low Actors/Campaigns: Fancy_bear Threats: Graphite Geo: Russian …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении важности исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей, уделяя особое внимание таким инструментам, как Graphite, которые используют законные ресурсы для вредоносной коммуникации, и подробно описывая технические аспекты их работы, включая подключение к APT28 и использование уязвимостей для вредоносных программ. развертывание.
-----
В тексте описывается текущее значение исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей в различных сценариях. В нем подчеркивается переход к злонамеренному использованию законных сторонних ресурсов для коммуникации, что позволяет организациям действовать скрытно и поддерживать стабильность. В частности, в статье рассматривается инструмент для бэкдора, известный как Graphite, который использует Microsoft Graph API для использования OneDrive в качестве сервера управления. Graphite был впервые представлен 21 декабря и с тех пор используется многими организациями для развертывания бэкдоров.
В тексте также упоминается APT28, предполагаемая хакерская группа, связанная с российским государством, известная своими изощренными кибератаками. Далее рассматриваются технические аспекты работы Graphite, начиная с начальной загрузки, которая использует уязвимость удаленного выполнения кода MSHTML для загрузки вредоносного DLL-файла для последующего развертывания вредоносного ПО. Функциональность Graphite включает в себя расшифровку полезной нагрузки на основе полученных команд с конкретными шестнадцатеричными значениями, определяющими дальнейшее выполнение.
Первоначальная полезная нагрузка замаскирована под файл Excel с именем "parliament.xlsx", предназначенный для того, чтобы побудить пользователей нажимать на вредоносные вложения в фишинговых письмах. Анализ выявил наличие OLE-объекта в документе, что приводит к использованию уязвимости CVE-2021-40444. В конечном итоге это приводит к загрузке и выполнению CAB-файла, содержащего вредоносный JavaScript-код. Дальнейшее использование уязвимости предполагает загрузку CAB-файла, скомпилированного на C/C++, для выполнения произвольных команд и поддержания контроля над взломанной системой с помощью удаленных вызовов API.
Работа Graphite включает в себя запрос команд путем проверки вложенных файлов в определенных каталогах, расшифровку нового содержимого с помощью Graph API и выполнение шелл-кода на основе полученных инструкций. В тексте упоминается проверка определенных шестнадцатеричных значений в шелл-коде для обеспечения надлежащего выполнения последующих полезных нагрузок. Однако проблемы с устаревшей инфраструктурой командования и контроля затрудняют процесс расшифровки, что приводит к трудностям при сборе и анализе образцов для дальнейшего изучения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении важности исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей, уделяя особое внимание таким инструментам, как Graphite, которые используют законные ресурсы для вредоносной коммуникации, и подробно описывая технические аспекты их работы, включая подключение к APT28 и использование уязвимостей для вредоносных программ. развертывание.
-----
В тексте описывается текущее значение исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей в различных сценариях. В нем подчеркивается переход к злонамеренному использованию законных сторонних ресурсов для коммуникации, что позволяет организациям действовать скрытно и поддерживать стабильность. В частности, в статье рассматривается инструмент для бэкдора, известный как Graphite, который использует Microsoft Graph API для использования OneDrive в качестве сервера управления. Graphite был впервые представлен 21 декабря и с тех пор используется многими организациями для развертывания бэкдоров.
В тексте также упоминается APT28, предполагаемая хакерская группа, связанная с российским государством, известная своими изощренными кибератаками. Далее рассматриваются технические аспекты работы Graphite, начиная с начальной загрузки, которая использует уязвимость удаленного выполнения кода MSHTML для загрузки вредоносного DLL-файла для последующего развертывания вредоносного ПО. Функциональность Graphite включает в себя расшифровку полезной нагрузки на основе полученных команд с конкретными шестнадцатеричными значениями, определяющими дальнейшее выполнение.
Первоначальная полезная нагрузка замаскирована под файл Excel с именем "parliament.xlsx", предназначенный для того, чтобы побудить пользователей нажимать на вредоносные вложения в фишинговых письмах. Анализ выявил наличие OLE-объекта в документе, что приводит к использованию уязвимости CVE-2021-40444. В конечном итоге это приводит к загрузке и выполнению CAB-файла, содержащего вредоносный JavaScript-код. Дальнейшее использование уязвимости предполагает загрузку CAB-файла, скомпилированного на C/C++, для выполнения произвольных команд и поддержания контроля над взломанной системой с помощью удаленных вызовов API.
Работа Graphite включает в себя запрос команд путем проверки вложенных файлов в определенных каталогах, расшифровку нового содержимого с помощью Graph API и выполнение шелл-кода на основе полученных инструкций. В тексте упоминается проверка определенных шестнадцатеричных значений в шелл-коде для обеспечения надлежащего выполнения последующих полезных нагрузок. Однако проблемы с устаревшей инфраструктурой командования и контроля затрудняют процесс расшифровки, что приводит к трудностям при сборе и анализе образцов для дальнейшего изучения.
🔥1
#ParsedReport #CompletenessMedium
08-05-2024
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-four
Report completeness: Medium
Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 7
Path: 1
Hash: 7
Domain: 5
IP: 13
Functions:
SetWindowsHookEx, SetWindowsHoook
Languages:
visual_basic
YARA: Found
Links:
08-05-2024
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-four
Report completeness: Medium
Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 7
Path: 1
Hash: 7
Domain: 5
IP: 13
Functions:
SetWindowsHookEx, SetWindowsHoook
Languages:
visual_basic
YARA: Found
Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/command\_and\_control\_connection\_to\_dynamic\_dns\_provider\_by\_an\_unsigned\_binary.tomlhttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Remcos.yarhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_svchost.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_remote\_process\_injection\_via\_mapping.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/persistence\_startup\_persistence\_by\_a\_low\_reputation\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_uac\_bypass\_via\_icmluautil\_elevated\_com\_interface.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/command\_and\_control\_remcos\_rat\_exepath\_registry\_modification.tomlhttps://github.com/elastic/detection-rules/blob/main/rules/windows/privilege\_escalation\_disable\_uac\_registry.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/command\_and\_control\_remcos\_rat\_inetcookies\_file\_deletion.tomlwww.elastic.co
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, Part Four — Elastic Security Labs
In previous articles in this multipart series, malware researchers on the Elastic Security Labs team decomposed the REMCOS configuration structure and gave details about its C2 commands. In this final part, you’ll learn more about detecting and hunting REMCOS…
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four https://www.elastic.co/security-labs/dissecting…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста сосредоточена на анализе вредоносной программы REMCOS, в частности версии 4.9.3, с освещением ее поведения, тактики и механизмов обнаружения. В нем рассматриваются различные аспекты REMCOS, такие как структура конфигурации, команды C2, индикаторы компрометации и такие функции, как ведение кейлогга и очистка данных браузера. В тексте также подчеркивается использование эластичных технологий для обнаружения и отслеживания вредоносного ПО REMCOS и упоминается важность использования платформы MITRE ATT&CK для понимания и противодействия продвинутым постоянным угрозам. В целом, анализ направлен на улучшение понимания сообществом специалистов по кибербезопасности и защиту от угрозы REMCOS.
-----
Третья и заключительная часть серии статей, составленной исследователями вредоносного ПО из Elastic Security Labs, посвящена обнаружению и поиску вредоносного ПО REMCOS с использованием технологий Elastic. В тексте рассматриваются различные аспекты REMCOS, включая его поведение, тактику и механизмы обнаружения.
Вредоносная программа REMCOS, в частности версия 4.9.3, подробно проанализирована, особое внимание уделено ее структуре конфигурации, командам C2 и признакам компрометации. Вредоносная программа обладает такими характеристиками, как маскировка под SVCHOST, внедрение таких процессов, как Internet Explorer, и отключение контроля учетных записей пользователей (UAC) путем внесения изменений в реестр. Кроме того, большинство обнаруженных образцов REMCO используют динамический DNS для связи.
Одним из ключевых показателей компрометации, выделенных в тексте, является значение реестра exePath, используемое процессом отслеживания REMCOS, которое может быть использовано для обнаружения. Приведен пример запроса KQL, который поможет выявить потенциальные компрометации на основе этого значения реестра.
REMCOS включает функции, направленные на сбор информации из систем-жертв, такие как ведение кейлоггинга с использованием API SetWindowsHookEx. В тексте предлагается использовать запросы ES\|QL для поиска процессов, которые ведут кейлоггинг. В нем также упоминается функциональность REMCOS для очистки данных браузера, что потенциально позволяет получать веб-учетные данные для ведения кейлоггинга.
Кроме того, в тексте затрагивается использование Elastic платформы MITRE ATT&CK для документирования тактики и процедур, используемых в случае продвинутых постоянных угроз, обеспечивая структурированный подход к пониманию таких угроз и противодействию им.
Анализ REMCOS версии 4.9.3 направлен на то, чтобы предоставить информацию сообществу исследователей вредоносных программ для улучшения их понимания и защиты от этой угрозы. В тексте подчеркивается способность Elastic Defend обнаруживать и предотвращать угрозы REMCOS, при этом особое внимание уделяется простоте и эффективности языка запросов ES\|QL для поиска угроз.
Elastic Security Labs подтверждает свою приверженность обмену знаниями и сотрудничеству с сообществом кибербезопасности в рамках инициатив с открытым исходным кодом. Команда планирует продолжить анализ аналогичных семейств вредоносных программ, чтобы получить ценную информацию и укрепить коллективную защиту от возникающих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста сосредоточена на анализе вредоносной программы REMCOS, в частности версии 4.9.3, с освещением ее поведения, тактики и механизмов обнаружения. В нем рассматриваются различные аспекты REMCOS, такие как структура конфигурации, команды C2, индикаторы компрометации и такие функции, как ведение кейлогга и очистка данных браузера. В тексте также подчеркивается использование эластичных технологий для обнаружения и отслеживания вредоносного ПО REMCOS и упоминается важность использования платформы MITRE ATT&CK для понимания и противодействия продвинутым постоянным угрозам. В целом, анализ направлен на улучшение понимания сообществом специалистов по кибербезопасности и защиту от угрозы REMCOS.
-----
Третья и заключительная часть серии статей, составленной исследователями вредоносного ПО из Elastic Security Labs, посвящена обнаружению и поиску вредоносного ПО REMCOS с использованием технологий Elastic. В тексте рассматриваются различные аспекты REMCOS, включая его поведение, тактику и механизмы обнаружения.
Вредоносная программа REMCOS, в частности версия 4.9.3, подробно проанализирована, особое внимание уделено ее структуре конфигурации, командам C2 и признакам компрометации. Вредоносная программа обладает такими характеристиками, как маскировка под SVCHOST, внедрение таких процессов, как Internet Explorer, и отключение контроля учетных записей пользователей (UAC) путем внесения изменений в реестр. Кроме того, большинство обнаруженных образцов REMCO используют динамический DNS для связи.
Одним из ключевых показателей компрометации, выделенных в тексте, является значение реестра exePath, используемое процессом отслеживания REMCOS, которое может быть использовано для обнаружения. Приведен пример запроса KQL, который поможет выявить потенциальные компрометации на основе этого значения реестра.
REMCOS включает функции, направленные на сбор информации из систем-жертв, такие как ведение кейлоггинга с использованием API SetWindowsHookEx. В тексте предлагается использовать запросы ES\|QL для поиска процессов, которые ведут кейлоггинг. В нем также упоминается функциональность REMCOS для очистки данных браузера, что потенциально позволяет получать веб-учетные данные для ведения кейлоггинга.
Кроме того, в тексте затрагивается использование Elastic платформы MITRE ATT&CK для документирования тактики и процедур, используемых в случае продвинутых постоянных угроз, обеспечивая структурированный подход к пониманию таких угроз и противодействию им.
Анализ REMCOS версии 4.9.3 направлен на то, чтобы предоставить информацию сообществу исследователей вредоносных программ для улучшения их понимания и защиты от этой угрозы. В тексте подчеркивается способность Elastic Defend обнаруживать и предотвращать угрозы REMCOS, при этом особое внимание уделяется простоте и эффективности языка запросов ES\|QL для поиска угроз.
Elastic Security Labs подтверждает свою приверженность обмену знаниями и сотрудничеству с сообществом кибербезопасности в рамках инициатив с открытым исходным кодом. Команда планирует продолжить анализ аналогичных семейств вредоносных программ, чтобы получить ценную информацию и укрепить коллективную защиту от возникающих киберугроз.
#ParsedReport #CompletenessMedium
08-05-2024
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats
Report completeness: Medium
Threats:
Asyncrat
Process_injection_technique
Confuserex_tool
Confuser_tool
ChatGPT TTPs:
T1566, T1204, T1059, T1055
IOCs:
File: 6
Hash: 11
Path: 2
Url: 2
Soft:
node.js, Windows Task Scheduler, Task Scheduler, process explorer, Microsoft Office
Algorithms:
zip
Functions:
fun_alosh
Languages:
visual_basic, powershell, javascript
08-05-2024
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats
Report completeness: Medium
Threats:
Asyncrat
Process_injection_technique
Confuserex_tool
Confuser_tool
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1055
IOCs:
File: 6
Hash: 11
Path: 2
Url: 2
Soft:
node.js, Windows Task Scheduler, Task Scheduler, process explorer, Microsoft Office
Algorithms:
zip
Functions:
fun_alosh
Languages:
visual_basic, powershell, javascript
McAfee Blog
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats | McAfee Blog
Authored by Yashvi Shah and Preksha Saxena AsyncRAT, also known as "Asynchronous Remote Access Trojan," represents a highly sophisticated malware variant
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - об AsyncRAT, сложной разновидности вредоносного ПО, предназначенной для компрометации компьютерных систем и кражи конфиденциальных данных. В тексте обсуждается цепочка заражения, связанная с AsyncRAT, методы обхода мер безопасности и различные типы файлов, которые он использует для распространения и уклонения от обнаружения. Кроме того, в нем рассказывается о процессе выполнения AsyncRAT, важности информированности пользователей для снижения рисков и рекомендуемых мерах безопасности для отдельных лиц и организаций для повышения их уровня безопасности.
-----
AsyncRAT представляет собой сложный вариант вредоносного ПО, предназначенный для компрометации компьютерных систем и кражи конфиденциальных данных. Лаборатория McAfee недавно обнаружила новую цепочку заражения, связанную с AsyncRAT, что подчеркивает его опасные возможности и методы обхода, которые он использует для обхода мер безопасности. Вредоносная программа использует различные типы файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и другие, встроенные в вредоносный HTML-файл, чтобы избежать обнаружения антивирусным программным обеспечением и способствовать его распространению.
Процесс заражения начинается со спам-письма, содержащего вложенную HTML-страницу. Когда пользователь открывает HTML-страницу, автоматически загружается файл сценария Windows (WSF). WSF-файл имеет хитроумное название, чтобы отображаться в качестве идентификатора заказа, создавая ощущение законности, позволяющее обманом заставить пользователей выполнить его. После запуска вредоносная программа продолжает работать автономно, не требуя дальнейшего взаимодействия с пользователем. Последующие этапы заражения включают в себя развертывание скриптов Visual Basic (VBS), JavaScript (JS), пакетных (BAT), текстовых (TXT) и PowerShell (PS1) файлов, что в конечном итоге приводит к целенаправленному внедрению процесса aspnet_compiler.exe.
При открытии спам-письма получатель перенаправляется на веб-ссылку, встроенную в содержимое письма, которая запускает открытие HTML-страницы. Это действие запускает загрузку WSF-файла, запуская цепочку событий, которые могут нанести вред системе. Файл WSF, замаскированный под документ, связанный с заказом, скрывает злой умысел и запускается без вмешательства пользователя.
Основной сценарий выполнения вредоносной программы, "t.ps1", сценарий PowerShell, отвечает за процесс внедрения, нацеленный на aspnet_compiler.exe. Кроме того, DLL-файл, содержащий ConfuserEx и идентифицированный как "NewPE2.В процессе задействован PE" с методом выполнения "Execute".
Подводя итог процессу выполнения AsyncRAT, можно сказать, что ключевые этапы включают в себя начальный запуск с помощью HTML-файла, загрузку вредоносного WSF-файла, выполнение различных сценариев и, в конечном счете, ввод окончательной полезной нагрузки в aspnet_compiler.exe. Эта тактика часто используется злоумышленниками для того, чтобы на начальном этапе закрепиться в системе. Поскольку Корпорация Майкрософт усиливает защиту от вредоносных макросов Office, злоумышленники, вероятно, все чаще будут использовать такие типы файлов, как WSF, для доставки вредоносных программ.
Чтобы снизить риск, связанный с такими угрозами, как AsyncRAT, пользователям рекомендуется избегать открытия файлов из неизвестных источников, особенно полученных по электронной почте. Организациям рекомендуется проводить обучение сотрудников по вопросам безопасности и внедрять защищенный веб-шлюз с расширенными возможностями защиты от угроз для сканирования и обнаружения вредоносных файлов в режиме реального времени, тем самым повышая общую безопасность.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - об AsyncRAT, сложной разновидности вредоносного ПО, предназначенной для компрометации компьютерных систем и кражи конфиденциальных данных. В тексте обсуждается цепочка заражения, связанная с AsyncRAT, методы обхода мер безопасности и различные типы файлов, которые он использует для распространения и уклонения от обнаружения. Кроме того, в нем рассказывается о процессе выполнения AsyncRAT, важности информированности пользователей для снижения рисков и рекомендуемых мерах безопасности для отдельных лиц и организаций для повышения их уровня безопасности.
-----
AsyncRAT представляет собой сложный вариант вредоносного ПО, предназначенный для компрометации компьютерных систем и кражи конфиденциальных данных. Лаборатория McAfee недавно обнаружила новую цепочку заражения, связанную с AsyncRAT, что подчеркивает его опасные возможности и методы обхода, которые он использует для обхода мер безопасности. Вредоносная программа использует различные типы файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и другие, встроенные в вредоносный HTML-файл, чтобы избежать обнаружения антивирусным программным обеспечением и способствовать его распространению.
Процесс заражения начинается со спам-письма, содержащего вложенную HTML-страницу. Когда пользователь открывает HTML-страницу, автоматически загружается файл сценария Windows (WSF). WSF-файл имеет хитроумное название, чтобы отображаться в качестве идентификатора заказа, создавая ощущение законности, позволяющее обманом заставить пользователей выполнить его. После запуска вредоносная программа продолжает работать автономно, не требуя дальнейшего взаимодействия с пользователем. Последующие этапы заражения включают в себя развертывание скриптов Visual Basic (VBS), JavaScript (JS), пакетных (BAT), текстовых (TXT) и PowerShell (PS1) файлов, что в конечном итоге приводит к целенаправленному внедрению процесса aspnet_compiler.exe.
При открытии спам-письма получатель перенаправляется на веб-ссылку, встроенную в содержимое письма, которая запускает открытие HTML-страницы. Это действие запускает загрузку WSF-файла, запуская цепочку событий, которые могут нанести вред системе. Файл WSF, замаскированный под документ, связанный с заказом, скрывает злой умысел и запускается без вмешательства пользователя.
Основной сценарий выполнения вредоносной программы, "t.ps1", сценарий PowerShell, отвечает за процесс внедрения, нацеленный на aspnet_compiler.exe. Кроме того, DLL-файл, содержащий ConfuserEx и идентифицированный как "NewPE2.В процессе задействован PE" с методом выполнения "Execute".
Подводя итог процессу выполнения AsyncRAT, можно сказать, что ключевые этапы включают в себя начальный запуск с помощью HTML-файла, загрузку вредоносного WSF-файла, выполнение различных сценариев и, в конечном счете, ввод окончательной полезной нагрузки в aspnet_compiler.exe. Эта тактика часто используется злоумышленниками для того, чтобы на начальном этапе закрепиться в системе. Поскольку Корпорация Майкрософт усиливает защиту от вредоносных макросов Office, злоумышленники, вероятно, все чаще будут использовать такие типы файлов, как WSF, для доставки вредоносных программ.
Чтобы снизить риск, связанный с такими угрозами, как AsyncRAT, пользователям рекомендуется избегать открытия файлов из неизвестных источников, особенно полученных по электронной почте. Организациям рекомендуется проводить обучение сотрудников по вопросам безопасности и внедрять защищенный веб-шлюз с расширенными возможностями защиты от угроз для сканирования и обнаружения вредоносных файлов в режиме реального времени, тем самым повышая общую безопасность.
#ParsedReport #CompletenessHigh
09-05-2024
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Threats:
Anydesk_tool
Blackrock
Lizar_loader
Netsupportmanager_rat
Process_injection_technique
Victims:
Anydesk, Winscp, Blackrock, Asana, Concur, The wall street journal, Workable, Google meet
Geo:
Apac, America, Russia, Emea
ChatGPT TTPs:
T1566, T1204, T1059, T1218, T1060, T1562, T1105, T1027, T1055
IOCs:
Url: 3
Path: 3
Domain: 51
File: 3
Hash: 5
Command: 1
IP: 6
Soft:
WinSCP, curl, Active Directory
Algorithms:
zip, base64, xor, md5
Languages:
powershell, python
Links:
09-05-2024
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Threats:
Anydesk_tool
Blackrock
Lizar_loader
Netsupportmanager_rat
Process_injection_technique
Victims:
Anydesk, Winscp, Blackrock, Asana, Concur, The wall street journal, Workable, Google meet
Geo:
Apac, America, Russia, Emea
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1218, T1060, T1562, T1105, T1027, T1055
IOCs:
Url: 3
Path: 3
Domain: 51
File: 3
Hash: 5
Command: 1
IP: 6
Soft:
WinSCP, curl, Active Directory
Algorithms:
zip, base64, xor, md5
Languages:
powershell, python
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/FIN7/FIN7\_IOCs\_5-3-2024.txteSentire
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
Learn more about FIN7 using trusted brands and sponsored Google Ads to distribute MSIX payloads and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessHigh 09-05-2024 FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации за счет использования возможностей поиска, исследования и обнаружения угроз для защиты от известных и неизвестных угроз. В частности, в нем освещаются инциденты, связанные с финансово мотивированной группой угроз FIN7 из России, и их обманная тактика, включая использование вредоносных веб-сайтов, выдающих себя за популярные бренды, для доставки полезных вредоносных программ, таких как NetSupport RAT и DiceLoader.
-----
В апреле 2024 года TRU из eSentire выявил серию инцидентов, связанных с FIN7, финансово мотивированной террористической группой из России, действующей с 2013 года. Эти инциденты были связаны, в частности, с использованием вредоносных веб-сайтов, выдающих себя за популярные бренды, такие как AnyDesk, WinSCP, BlackRock и Google Meet. Злоумышленники использовали обманную тактику, в том числе поддельные расширения для браузера, распространяемые через спонсируемую рекламу Google, для доставки жертвам вредоносных программ, таких как NetSupport RAT и DiceLoader.
В первом случае цепочка заражения NetSupport RAT началась с того, что пользователи загрузили поддельное расширение для браузера, предположительно в формате MSIX. После проверки пакет MSIX содержал сценарий PowerShell, предназначенный для сбора системной информации, взаимодействия с сервером управления (C2), а также загрузки и выполнения полезной нагрузки NetSupport RAT. Злоумышленник организовал последовательность команд, чтобы обеспечить устойчивость скомпрометированной системы и успешно запустить вредоносное ПО.
Во втором случае аналогичная цепочка заражения развернулась, когда NetSupport RAT был запущен через поддельный установщик MSIX, полученный с вредоносного веб-сайта. Впоследствии злоумышленник использовал NetSupport RAT для сбора системных данных и выполнения дополнительной полезной нагрузки, включая полезную нагрузку на основе Python (svchostc.py) и DiceLoader. Тактика злоумышленника включала в себя создание запланированных задач для сохранения и использование передовых методов, таких как внедрение процессов, чтобы избежать обнаружения и расширить контроль над скомпрометированным хостом.
Инциденты, связанные с FIN7, подчеркивают сохраняющийся уровень угроз и акцент группы на использовании надежных торговых марок и вводящей в заблуждение рекламы для распространения вредоносных программ. Злоупотребление подписанными файлами MSIX со стороны злоумышленников служит напоминанием о меняющейся тактике, используемой для обмана пользователей и обхода мер безопасности. Пользователям рекомендуется проявлять осторожность при просмотре спонсорской рекламы, проверять источники файлов перед загрузкой и проявлять бдительность в отношении тактик социальной инженерии, которые используют доверие к знакомым брендам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации за счет использования возможностей поиска, исследования и обнаружения угроз для защиты от известных и неизвестных угроз. В частности, в нем освещаются инциденты, связанные с финансово мотивированной группой угроз FIN7 из России, и их обманная тактика, включая использование вредоносных веб-сайтов, выдающих себя за популярные бренды, для доставки полезных вредоносных программ, таких как NetSupport RAT и DiceLoader.
-----
В апреле 2024 года TRU из eSentire выявил серию инцидентов, связанных с FIN7, финансово мотивированной террористической группой из России, действующей с 2013 года. Эти инциденты были связаны, в частности, с использованием вредоносных веб-сайтов, выдающих себя за популярные бренды, такие как AnyDesk, WinSCP, BlackRock и Google Meet. Злоумышленники использовали обманную тактику, в том числе поддельные расширения для браузера, распространяемые через спонсируемую рекламу Google, для доставки жертвам вредоносных программ, таких как NetSupport RAT и DiceLoader.
В первом случае цепочка заражения NetSupport RAT началась с того, что пользователи загрузили поддельное расширение для браузера, предположительно в формате MSIX. После проверки пакет MSIX содержал сценарий PowerShell, предназначенный для сбора системной информации, взаимодействия с сервером управления (C2), а также загрузки и выполнения полезной нагрузки NetSupport RAT. Злоумышленник организовал последовательность команд, чтобы обеспечить устойчивость скомпрометированной системы и успешно запустить вредоносное ПО.
Во втором случае аналогичная цепочка заражения развернулась, когда NetSupport RAT был запущен через поддельный установщик MSIX, полученный с вредоносного веб-сайта. Впоследствии злоумышленник использовал NetSupport RAT для сбора системных данных и выполнения дополнительной полезной нагрузки, включая полезную нагрузку на основе Python (svchostc.py) и DiceLoader. Тактика злоумышленника включала в себя создание запланированных задач для сохранения и использование передовых методов, таких как внедрение процессов, чтобы избежать обнаружения и расширить контроль над скомпрометированным хостом.
Инциденты, связанные с FIN7, подчеркивают сохраняющийся уровень угроз и акцент группы на использовании надежных торговых марок и вводящей в заблуждение рекламы для распространения вредоносных программ. Злоупотребление подписанными файлами MSIX со стороны злоумышленников служит напоминанием о меняющейся тактике, используемой для обмана пользователей и обхода мер безопасности. Пользователям рекомендуется проявлять осторожность при просмотре спонсорской рекламы, проверять источники файлов перед загрузкой и проявлять бдительность в отношении тактик социальной инженерии, которые используют доверие к знакомым брендам.
#ParsedReport #CompletenessMedium
09-05-2024
Dark Web Profile: APT31
https://socradar.io/dark-web-profile-apt31
Report completeness: Medium
Actors/Campaigns:
Apt31 (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Dll_sideloading_technique
Rawdoor
Trochilus_rat
Evilosx
Dropcat
Cobalt_strike
Victims:
U.s. businesses, Political officials, Defense contractor subsidiaries, Activists and organizations critical of the chinese government, U.s. government officials, Umbrella movement activists
Industry:
Military, Government
Geo:
Chinese, Russian, American, China
CVEs:
CVE-2017-0005 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, -)
- microsoft windows 8.1 (*)
have more...
TTPs:
Tactics: 1
Technics: 25
IOCs:
File: 1
Hash: 11
Algorithms:
sha256, aes, aes-256
Languages:
python
09-05-2024
Dark Web Profile: APT31
https://socradar.io/dark-web-profile-apt31
Report completeness: Medium
Actors/Campaigns:
Apt31 (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Dll_sideloading_technique
Rawdoor
Trochilus_rat
Evilosx
Dropcat
Cobalt_strike
Victims:
U.s. businesses, Political officials, Defense contractor subsidiaries, Activists and organizations critical of the chinese government, U.s. government officials, Umbrella movement activists
Industry:
Military, Government
Geo:
Chinese, Russian, American, China
CVEs:
CVE-2017-0005 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, -)
- microsoft windows 8.1 (*)
have more...
TTPs:
Tactics: 1
Technics: 25
IOCs:
File: 1
Hash: 11
Algorithms:
sha256, aes, aes-256
Languages:
python
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: APT31
Advanced Persistent Threat Group 31 (APT31), also known by aliases like ZIRCONIUM or Judgment Panda, represents a sophisticated cybersecurity threat with ties
CTT Report Hub
#ParsedReport #CompletenessMedium 09-05-2024 Dark Web Profile: APT31 https://socradar.io/dark-web-profile-apt31 Report completeness: Medium Actors/Campaigns: Apt31 (motivation: cyber_espionage) Threats: Spear-phishing_technique Dll_sideloading_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: APT31, изощренная группа по борьбе с киберугрозами, которая, как полагают, действует от имени правительства Китая, занимается кибершпионажем, целенаправленными атаками и передовой тактикой сбора разведданных в поддержку национальных интересов Китая, что создает серьезную проблему для глобальных усилий в области кибербезопасности.
-----
APT31, также известная как ZIRCONIUM или Judgment Panda, представляет собой очень сложную угрозу кибербезопасности, которая, как полагают, действует от имени правительства Китая. APT31 занимается кибершпионажем и целенаправленными атаками для сбора разведданных в поддержку национальных интересов Китая. В своей деятельности они используют передовые тактики, такие как внедрение вредоносных программ, кампании по борьбе с фишингом и использование уязвимостей нулевого дня, что создает серьезную проблему для глобальных усилий по обеспечению кибербезопасности.
Недавно Министерство юстиции Соединенных Штатов обнародовало обвинительный акт, в котором семи лицам, связанным с APT31, предъявлены обвинения в заговоре с целью совершения компьютерных вторжений и мошенничества с использованием электронных средств. Считается, что эти люди являются частью хакерской группы APT31, поддерживающей цели Министерства государственной безопасности Китая, связанные с транснациональными репрессиями, экономическим шпионажем и деятельностью иностранной разведки. В обвинительном заключении описывается тактика APT31, в том числе использование вредоносных электронных писем, замаскированных под законные новостные статьи, для адресной рассылки отдельным лицам по всему миру. Отправив более 10 000 таких электронных писем, APT31 отслеживала конфиденциальную информацию и проводила сложные целенаправленные атаки, компрометируя сети и аккаунты жертв.
В обвинительном заключении также говорится, что APT31 нацеливалась на правительственных чиновников США, политических деятелей, сотрудников избирательных кампаний и компаний из различных отраслей с целью сбора экономических планов, коммерческой тайны и интеллектуальной собственности. Кроме того, группа преследовала диссидентов и отдельных лиц, критикующих китайское правительство по всему миру, осуществляя слежку и проникновение в их сети.
APT31 имеет связи с Департаментом государственной безопасности провинции Хубэй в Ухане и учредил подставную компанию под названием "Wuhan XRZ" для сокрытия своих киберопераций. Группа использовала такие тактические приемы, как рассылка электронных писем с отслеживанием, замаскированных под сообщения американских журналистов, нацеливание членов семей жертв на использование домашних маршрутизаторов и переход к использованию взломанных версий Cobalt Strike для развертывания вредоносного ПО. Хакерский подход APT31 включал в себя нацеливание на дочерние компании, поставщиков управляемых услуг и даже супругов основных целей, чтобы получить первоначальный доступ и в конечном итоге скомпрометировать сети.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: APT31, изощренная группа по борьбе с киберугрозами, которая, как полагают, действует от имени правительства Китая, занимается кибершпионажем, целенаправленными атаками и передовой тактикой сбора разведданных в поддержку национальных интересов Китая, что создает серьезную проблему для глобальных усилий в области кибербезопасности.
-----
APT31, также известная как ZIRCONIUM или Judgment Panda, представляет собой очень сложную угрозу кибербезопасности, которая, как полагают, действует от имени правительства Китая. APT31 занимается кибершпионажем и целенаправленными атаками для сбора разведданных в поддержку национальных интересов Китая. В своей деятельности они используют передовые тактики, такие как внедрение вредоносных программ, кампании по борьбе с фишингом и использование уязвимостей нулевого дня, что создает серьезную проблему для глобальных усилий по обеспечению кибербезопасности.
Недавно Министерство юстиции Соединенных Штатов обнародовало обвинительный акт, в котором семи лицам, связанным с APT31, предъявлены обвинения в заговоре с целью совершения компьютерных вторжений и мошенничества с использованием электронных средств. Считается, что эти люди являются частью хакерской группы APT31, поддерживающей цели Министерства государственной безопасности Китая, связанные с транснациональными репрессиями, экономическим шпионажем и деятельностью иностранной разведки. В обвинительном заключении описывается тактика APT31, в том числе использование вредоносных электронных писем, замаскированных под законные новостные статьи, для адресной рассылки отдельным лицам по всему миру. Отправив более 10 000 таких электронных писем, APT31 отслеживала конфиденциальную информацию и проводила сложные целенаправленные атаки, компрометируя сети и аккаунты жертв.
В обвинительном заключении также говорится, что APT31 нацеливалась на правительственных чиновников США, политических деятелей, сотрудников избирательных кампаний и компаний из различных отраслей с целью сбора экономических планов, коммерческой тайны и интеллектуальной собственности. Кроме того, группа преследовала диссидентов и отдельных лиц, критикующих китайское правительство по всему миру, осуществляя слежку и проникновение в их сети.
APT31 имеет связи с Департаментом государственной безопасности провинции Хубэй в Ухане и учредил подставную компанию под названием "Wuhan XRZ" для сокрытия своих киберопераций. Группа использовала такие тактические приемы, как рассылка электронных писем с отслеживанием, замаскированных под сообщения американских журналистов, нацеливание членов семей жертв на использование домашних маршрутизаторов и переход к использованию взломанных версий Cobalt Strike для развертывания вредоносного ПО. Хакерский подход APT31 включал в себя нацеливание на дочерние компании, поставщиков управляемых услуг и даже супругов основных целей, чтобы получить первоначальный доступ и в конечном итоге скомпрометировать сети.
#ParsedReport #CompletenessMedium
10-05-2024
APT28 campaign targeting Polish government institutions
https://cert.pl/en/posts/2024/05/apt28-campaign
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Dll_sideloading_technique
Headlace
Victims:
Polish government institutions
Industry:
Government
Geo:
Russian, Polish, Ukrainian
ChatGPT TTPs:
T1566, T1071, T1027, T1574, T1059, T1041
IOCs:
File: 36
Url: 37
Hash: 36
Soft:
Microsoft Edge
Algorithms:
zip, base64, sha256
10-05-2024
APT28 campaign targeting Polish government institutions
https://cert.pl/en/posts/2024/05/apt28-campaign
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Dll_sideloading_technique
Headlace
Victims:
Polish government institutions
Industry:
Government
Geo:
Russian, Polish, Ukrainian
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1027, T1574, T1059, T1041
IOCs:
File: 36
Url: 37
Hash: 36
Soft:
Microsoft Edge
Algorithms:
zip, base64, sha256
cert.pl
APT28 campaign targeting Polish government institutions
CERT Polska is observing a malicious e-mail campaign targeting Polish government institutions conducted by the APT28 group.