#ParsedReport #CompletenessLow
08-05-2024
APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C
https://www.ctfiot.com/179767.html
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Threats:
Graphite
Geo:
Russian
CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1071.001, T1566.001, T1203, T1105, T1027, T1573.002
IOCs:
File: 7
Url: 2
Soft:
Microsoft OneDrive, WeChat
Algorithms:
sha256, crc-32, aes-256-cbc, xor
08-05-2024
APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C
https://www.ctfiot.com/179767.html
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Threats:
Graphite
Geo:
Russian
CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1071.001, T1566.001, T1203, T1105, T1027, T1573.002
IOCs:
File: 7
Url: 2
Soft:
Microsoft OneDrive, WeChat
Algorithms:
sha256, crc-32, aes-256-cbc, xor
CTF导航
APT28后门武器Graphite利用Graph API将Microsoft OneDrive做为C&C通信 | CTF导航
首发先知社区:https://xz.aliyun.com/t/14429首发作者:qianlan一、前言 在不同场景下的攻防对抗中,围绕远控、后门的研究和发展是不会过时的热点,除了传统的两端、三端通信,近年越来越多的组织开始恶意利用合...
🔥1
CTT Report Hub
#ParsedReport #CompletenessLow 08-05-2024 APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C https://www.ctfiot.com/179767.html Report completeness: Low Actors/Campaigns: Fancy_bear Threats: Graphite Geo: Russian …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении важности исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей, уделяя особое внимание таким инструментам, как Graphite, которые используют законные ресурсы для вредоносной коммуникации, и подробно описывая технические аспекты их работы, включая подключение к APT28 и использование уязвимостей для вредоносных программ. развертывание.
-----
В тексте описывается текущее значение исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей в различных сценариях. В нем подчеркивается переход к злонамеренному использованию законных сторонних ресурсов для коммуникации, что позволяет организациям действовать скрытно и поддерживать стабильность. В частности, в статье рассматривается инструмент для бэкдора, известный как Graphite, который использует Microsoft Graph API для использования OneDrive в качестве сервера управления. Graphite был впервые представлен 21 декабря и с тех пор используется многими организациями для развертывания бэкдоров.
В тексте также упоминается APT28, предполагаемая хакерская группа, связанная с российским государством, известная своими изощренными кибератаками. Далее рассматриваются технические аспекты работы Graphite, начиная с начальной загрузки, которая использует уязвимость удаленного выполнения кода MSHTML для загрузки вредоносного DLL-файла для последующего развертывания вредоносного ПО. Функциональность Graphite включает в себя расшифровку полезной нагрузки на основе полученных команд с конкретными шестнадцатеричными значениями, определяющими дальнейшее выполнение.
Первоначальная полезная нагрузка замаскирована под файл Excel с именем "parliament.xlsx", предназначенный для того, чтобы побудить пользователей нажимать на вредоносные вложения в фишинговых письмах. Анализ выявил наличие OLE-объекта в документе, что приводит к использованию уязвимости CVE-2021-40444. В конечном итоге это приводит к загрузке и выполнению CAB-файла, содержащего вредоносный JavaScript-код. Дальнейшее использование уязвимости предполагает загрузку CAB-файла, скомпилированного на C/C++, для выполнения произвольных команд и поддержания контроля над взломанной системой с помощью удаленных вызовов API.
Работа Graphite включает в себя запрос команд путем проверки вложенных файлов в определенных каталогах, расшифровку нового содержимого с помощью Graph API и выполнение шелл-кода на основе полученных инструкций. В тексте упоминается проверка определенных шестнадцатеричных значений в шелл-коде для обеспечения надлежащего выполнения последующих полезных нагрузок. Однако проблемы с устаревшей инфраструктурой командования и контроля затрудняют процесс расшифровки, что приводит к трудностям при сборе и анализе образцов для дальнейшего изучения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении важности исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей, уделяя особое внимание таким инструментам, как Graphite, которые используют законные ресурсы для вредоносной коммуникации, и подробно описывая технические аспекты их работы, включая подключение к APT28 и использование уязвимостей для вредоносных программ. развертывание.
-----
В тексте описывается текущее значение исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей в различных сценариях. В нем подчеркивается переход к злонамеренному использованию законных сторонних ресурсов для коммуникации, что позволяет организациям действовать скрытно и поддерживать стабильность. В частности, в статье рассматривается инструмент для бэкдора, известный как Graphite, который использует Microsoft Graph API для использования OneDrive в качестве сервера управления. Graphite был впервые представлен 21 декабря и с тех пор используется многими организациями для развертывания бэкдоров.
В тексте также упоминается APT28, предполагаемая хакерская группа, связанная с российским государством, известная своими изощренными кибератаками. Далее рассматриваются технические аспекты работы Graphite, начиная с начальной загрузки, которая использует уязвимость удаленного выполнения кода MSHTML для загрузки вредоносного DLL-файла для последующего развертывания вредоносного ПО. Функциональность Graphite включает в себя расшифровку полезной нагрузки на основе полученных команд с конкретными шестнадцатеричными значениями, определяющими дальнейшее выполнение.
Первоначальная полезная нагрузка замаскирована под файл Excel с именем "parliament.xlsx", предназначенный для того, чтобы побудить пользователей нажимать на вредоносные вложения в фишинговых письмах. Анализ выявил наличие OLE-объекта в документе, что приводит к использованию уязвимости CVE-2021-40444. В конечном итоге это приводит к загрузке и выполнению CAB-файла, содержащего вредоносный JavaScript-код. Дальнейшее использование уязвимости предполагает загрузку CAB-файла, скомпилированного на C/C++, для выполнения произвольных команд и поддержания контроля над взломанной системой с помощью удаленных вызовов API.
Работа Graphite включает в себя запрос команд путем проверки вложенных файлов в определенных каталогах, расшифровку нового содержимого с помощью Graph API и выполнение шелл-кода на основе полученных инструкций. В тексте упоминается проверка определенных шестнадцатеричных значений в шелл-коде для обеспечения надлежащего выполнения последующих полезных нагрузок. Однако проблемы с устаревшей инфраструктурой командования и контроля затрудняют процесс расшифровки, что приводит к трудностям при сборе и анализе образцов для дальнейшего изучения.
🔥1
#ParsedReport #CompletenessMedium
08-05-2024
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-four
Report completeness: Medium
Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 7
Path: 1
Hash: 7
Domain: 5
IP: 13
Functions:
SetWindowsHookEx, SetWindowsHoook
Languages:
visual_basic
YARA: Found
Links:
08-05-2024
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-four
Report completeness: Medium
Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 7
Path: 1
Hash: 7
Domain: 5
IP: 13
Functions:
SetWindowsHookEx, SetWindowsHoook
Languages:
visual_basic
YARA: Found
Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/command\_and\_control\_connection\_to\_dynamic\_dns\_provider\_by\_an\_unsigned\_binary.tomlhttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Remcos.yarhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_svchost.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_remote\_process\_injection\_via\_mapping.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/persistence\_startup\_persistence\_by\_a\_low\_reputation\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_uac\_bypass\_via\_icmluautil\_elevated\_com\_interface.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/command\_and\_control\_remcos\_rat\_exepath\_registry\_modification.tomlhttps://github.com/elastic/detection-rules/blob/main/rules/windows/privilege\_escalation\_disable\_uac\_registry.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/command\_and\_control\_remcos\_rat\_inetcookies\_file\_deletion.tomlwww.elastic.co
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, Part Four — Elastic Security Labs
In previous articles in this multipart series, malware researchers on the Elastic Security Labs team decomposed the REMCOS configuration structure and gave details about its C2 commands. In this final part, you’ll learn more about detecting and hunting REMCOS…
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four https://www.elastic.co/security-labs/dissecting…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста сосредоточена на анализе вредоносной программы REMCOS, в частности версии 4.9.3, с освещением ее поведения, тактики и механизмов обнаружения. В нем рассматриваются различные аспекты REMCOS, такие как структура конфигурации, команды C2, индикаторы компрометации и такие функции, как ведение кейлогга и очистка данных браузера. В тексте также подчеркивается использование эластичных технологий для обнаружения и отслеживания вредоносного ПО REMCOS и упоминается важность использования платформы MITRE ATT&CK для понимания и противодействия продвинутым постоянным угрозам. В целом, анализ направлен на улучшение понимания сообществом специалистов по кибербезопасности и защиту от угрозы REMCOS.
-----
Третья и заключительная часть серии статей, составленной исследователями вредоносного ПО из Elastic Security Labs, посвящена обнаружению и поиску вредоносного ПО REMCOS с использованием технологий Elastic. В тексте рассматриваются различные аспекты REMCOS, включая его поведение, тактику и механизмы обнаружения.
Вредоносная программа REMCOS, в частности версия 4.9.3, подробно проанализирована, особое внимание уделено ее структуре конфигурации, командам C2 и признакам компрометации. Вредоносная программа обладает такими характеристиками, как маскировка под SVCHOST, внедрение таких процессов, как Internet Explorer, и отключение контроля учетных записей пользователей (UAC) путем внесения изменений в реестр. Кроме того, большинство обнаруженных образцов REMCO используют динамический DNS для связи.
Одним из ключевых показателей компрометации, выделенных в тексте, является значение реестра exePath, используемое процессом отслеживания REMCOS, которое может быть использовано для обнаружения. Приведен пример запроса KQL, который поможет выявить потенциальные компрометации на основе этого значения реестра.
REMCOS включает функции, направленные на сбор информации из систем-жертв, такие как ведение кейлоггинга с использованием API SetWindowsHookEx. В тексте предлагается использовать запросы ES\|QL для поиска процессов, которые ведут кейлоггинг. В нем также упоминается функциональность REMCOS для очистки данных браузера, что потенциально позволяет получать веб-учетные данные для ведения кейлоггинга.
Кроме того, в тексте затрагивается использование Elastic платформы MITRE ATT&CK для документирования тактики и процедур, используемых в случае продвинутых постоянных угроз, обеспечивая структурированный подход к пониманию таких угроз и противодействию им.
Анализ REMCOS версии 4.9.3 направлен на то, чтобы предоставить информацию сообществу исследователей вредоносных программ для улучшения их понимания и защиты от этой угрозы. В тексте подчеркивается способность Elastic Defend обнаруживать и предотвращать угрозы REMCOS, при этом особое внимание уделяется простоте и эффективности языка запросов ES\|QL для поиска угроз.
Elastic Security Labs подтверждает свою приверженность обмену знаниями и сотрудничеству с сообществом кибербезопасности в рамках инициатив с открытым исходным кодом. Команда планирует продолжить анализ аналогичных семейств вредоносных программ, чтобы получить ценную информацию и укрепить коллективную защиту от возникающих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста сосредоточена на анализе вредоносной программы REMCOS, в частности версии 4.9.3, с освещением ее поведения, тактики и механизмов обнаружения. В нем рассматриваются различные аспекты REMCOS, такие как структура конфигурации, команды C2, индикаторы компрометации и такие функции, как ведение кейлогга и очистка данных браузера. В тексте также подчеркивается использование эластичных технологий для обнаружения и отслеживания вредоносного ПО REMCOS и упоминается важность использования платформы MITRE ATT&CK для понимания и противодействия продвинутым постоянным угрозам. В целом, анализ направлен на улучшение понимания сообществом специалистов по кибербезопасности и защиту от угрозы REMCOS.
-----
Третья и заключительная часть серии статей, составленной исследователями вредоносного ПО из Elastic Security Labs, посвящена обнаружению и поиску вредоносного ПО REMCOS с использованием технологий Elastic. В тексте рассматриваются различные аспекты REMCOS, включая его поведение, тактику и механизмы обнаружения.
Вредоносная программа REMCOS, в частности версия 4.9.3, подробно проанализирована, особое внимание уделено ее структуре конфигурации, командам C2 и признакам компрометации. Вредоносная программа обладает такими характеристиками, как маскировка под SVCHOST, внедрение таких процессов, как Internet Explorer, и отключение контроля учетных записей пользователей (UAC) путем внесения изменений в реестр. Кроме того, большинство обнаруженных образцов REMCO используют динамический DNS для связи.
Одним из ключевых показателей компрометации, выделенных в тексте, является значение реестра exePath, используемое процессом отслеживания REMCOS, которое может быть использовано для обнаружения. Приведен пример запроса KQL, который поможет выявить потенциальные компрометации на основе этого значения реестра.
REMCOS включает функции, направленные на сбор информации из систем-жертв, такие как ведение кейлоггинга с использованием API SetWindowsHookEx. В тексте предлагается использовать запросы ES\|QL для поиска процессов, которые ведут кейлоггинг. В нем также упоминается функциональность REMCOS для очистки данных браузера, что потенциально позволяет получать веб-учетные данные для ведения кейлоггинга.
Кроме того, в тексте затрагивается использование Elastic платформы MITRE ATT&CK для документирования тактики и процедур, используемых в случае продвинутых постоянных угроз, обеспечивая структурированный подход к пониманию таких угроз и противодействию им.
Анализ REMCOS версии 4.9.3 направлен на то, чтобы предоставить информацию сообществу исследователей вредоносных программ для улучшения их понимания и защиты от этой угрозы. В тексте подчеркивается способность Elastic Defend обнаруживать и предотвращать угрозы REMCOS, при этом особое внимание уделяется простоте и эффективности языка запросов ES\|QL для поиска угроз.
Elastic Security Labs подтверждает свою приверженность обмену знаниями и сотрудничеству с сообществом кибербезопасности в рамках инициатив с открытым исходным кодом. Команда планирует продолжить анализ аналогичных семейств вредоносных программ, чтобы получить ценную информацию и укрепить коллективную защиту от возникающих киберугроз.
#ParsedReport #CompletenessMedium
08-05-2024
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats
Report completeness: Medium
Threats:
Asyncrat
Process_injection_technique
Confuserex_tool
Confuser_tool
ChatGPT TTPs:
T1566, T1204, T1059, T1055
IOCs:
File: 6
Hash: 11
Path: 2
Url: 2
Soft:
node.js, Windows Task Scheduler, Task Scheduler, process explorer, Microsoft Office
Algorithms:
zip
Functions:
fun_alosh
Languages:
visual_basic, powershell, javascript
08-05-2024
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats
Report completeness: Medium
Threats:
Asyncrat
Process_injection_technique
Confuserex_tool
Confuser_tool
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1055
IOCs:
File: 6
Hash: 11
Path: 2
Url: 2
Soft:
node.js, Windows Task Scheduler, Task Scheduler, process explorer, Microsoft Office
Algorithms:
zip
Functions:
fun_alosh
Languages:
visual_basic, powershell, javascript
McAfee Blog
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats | McAfee Blog
Authored by Yashvi Shah and Preksha Saxena AsyncRAT, also known as "Asynchronous Remote Access Trojan," represents a highly sophisticated malware variant
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - об AsyncRAT, сложной разновидности вредоносного ПО, предназначенной для компрометации компьютерных систем и кражи конфиденциальных данных. В тексте обсуждается цепочка заражения, связанная с AsyncRAT, методы обхода мер безопасности и различные типы файлов, которые он использует для распространения и уклонения от обнаружения. Кроме того, в нем рассказывается о процессе выполнения AsyncRAT, важности информированности пользователей для снижения рисков и рекомендуемых мерах безопасности для отдельных лиц и организаций для повышения их уровня безопасности.
-----
AsyncRAT представляет собой сложный вариант вредоносного ПО, предназначенный для компрометации компьютерных систем и кражи конфиденциальных данных. Лаборатория McAfee недавно обнаружила новую цепочку заражения, связанную с AsyncRAT, что подчеркивает его опасные возможности и методы обхода, которые он использует для обхода мер безопасности. Вредоносная программа использует различные типы файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и другие, встроенные в вредоносный HTML-файл, чтобы избежать обнаружения антивирусным программным обеспечением и способствовать его распространению.
Процесс заражения начинается со спам-письма, содержащего вложенную HTML-страницу. Когда пользователь открывает HTML-страницу, автоматически загружается файл сценария Windows (WSF). WSF-файл имеет хитроумное название, чтобы отображаться в качестве идентификатора заказа, создавая ощущение законности, позволяющее обманом заставить пользователей выполнить его. После запуска вредоносная программа продолжает работать автономно, не требуя дальнейшего взаимодействия с пользователем. Последующие этапы заражения включают в себя развертывание скриптов Visual Basic (VBS), JavaScript (JS), пакетных (BAT), текстовых (TXT) и PowerShell (PS1) файлов, что в конечном итоге приводит к целенаправленному внедрению процесса aspnet_compiler.exe.
При открытии спам-письма получатель перенаправляется на веб-ссылку, встроенную в содержимое письма, которая запускает открытие HTML-страницы. Это действие запускает загрузку WSF-файла, запуская цепочку событий, которые могут нанести вред системе. Файл WSF, замаскированный под документ, связанный с заказом, скрывает злой умысел и запускается без вмешательства пользователя.
Основной сценарий выполнения вредоносной программы, "t.ps1", сценарий PowerShell, отвечает за процесс внедрения, нацеленный на aspnet_compiler.exe. Кроме того, DLL-файл, содержащий ConfuserEx и идентифицированный как "NewPE2.В процессе задействован PE" с методом выполнения "Execute".
Подводя итог процессу выполнения AsyncRAT, можно сказать, что ключевые этапы включают в себя начальный запуск с помощью HTML-файла, загрузку вредоносного WSF-файла, выполнение различных сценариев и, в конечном счете, ввод окончательной полезной нагрузки в aspnet_compiler.exe. Эта тактика часто используется злоумышленниками для того, чтобы на начальном этапе закрепиться в системе. Поскольку Корпорация Майкрософт усиливает защиту от вредоносных макросов Office, злоумышленники, вероятно, все чаще будут использовать такие типы файлов, как WSF, для доставки вредоносных программ.
Чтобы снизить риск, связанный с такими угрозами, как AsyncRAT, пользователям рекомендуется избегать открытия файлов из неизвестных источников, особенно полученных по электронной почте. Организациям рекомендуется проводить обучение сотрудников по вопросам безопасности и внедрять защищенный веб-шлюз с расширенными возможностями защиты от угроз для сканирования и обнаружения вредоносных файлов в режиме реального времени, тем самым повышая общую безопасность.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - об AsyncRAT, сложной разновидности вредоносного ПО, предназначенной для компрометации компьютерных систем и кражи конфиденциальных данных. В тексте обсуждается цепочка заражения, связанная с AsyncRAT, методы обхода мер безопасности и различные типы файлов, которые он использует для распространения и уклонения от обнаружения. Кроме того, в нем рассказывается о процессе выполнения AsyncRAT, важности информированности пользователей для снижения рисков и рекомендуемых мерах безопасности для отдельных лиц и организаций для повышения их уровня безопасности.
-----
AsyncRAT представляет собой сложный вариант вредоносного ПО, предназначенный для компрометации компьютерных систем и кражи конфиденциальных данных. Лаборатория McAfee недавно обнаружила новую цепочку заражения, связанную с AsyncRAT, что подчеркивает его опасные возможности и методы обхода, которые он использует для обхода мер безопасности. Вредоносная программа использует различные типы файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и другие, встроенные в вредоносный HTML-файл, чтобы избежать обнаружения антивирусным программным обеспечением и способствовать его распространению.
Процесс заражения начинается со спам-письма, содержащего вложенную HTML-страницу. Когда пользователь открывает HTML-страницу, автоматически загружается файл сценария Windows (WSF). WSF-файл имеет хитроумное название, чтобы отображаться в качестве идентификатора заказа, создавая ощущение законности, позволяющее обманом заставить пользователей выполнить его. После запуска вредоносная программа продолжает работать автономно, не требуя дальнейшего взаимодействия с пользователем. Последующие этапы заражения включают в себя развертывание скриптов Visual Basic (VBS), JavaScript (JS), пакетных (BAT), текстовых (TXT) и PowerShell (PS1) файлов, что в конечном итоге приводит к целенаправленному внедрению процесса aspnet_compiler.exe.
При открытии спам-письма получатель перенаправляется на веб-ссылку, встроенную в содержимое письма, которая запускает открытие HTML-страницы. Это действие запускает загрузку WSF-файла, запуская цепочку событий, которые могут нанести вред системе. Файл WSF, замаскированный под документ, связанный с заказом, скрывает злой умысел и запускается без вмешательства пользователя.
Основной сценарий выполнения вредоносной программы, "t.ps1", сценарий PowerShell, отвечает за процесс внедрения, нацеленный на aspnet_compiler.exe. Кроме того, DLL-файл, содержащий ConfuserEx и идентифицированный как "NewPE2.В процессе задействован PE" с методом выполнения "Execute".
Подводя итог процессу выполнения AsyncRAT, можно сказать, что ключевые этапы включают в себя начальный запуск с помощью HTML-файла, загрузку вредоносного WSF-файла, выполнение различных сценариев и, в конечном счете, ввод окончательной полезной нагрузки в aspnet_compiler.exe. Эта тактика часто используется злоумышленниками для того, чтобы на начальном этапе закрепиться в системе. Поскольку Корпорация Майкрософт усиливает защиту от вредоносных макросов Office, злоумышленники, вероятно, все чаще будут использовать такие типы файлов, как WSF, для доставки вредоносных программ.
Чтобы снизить риск, связанный с такими угрозами, как AsyncRAT, пользователям рекомендуется избегать открытия файлов из неизвестных источников, особенно полученных по электронной почте. Организациям рекомендуется проводить обучение сотрудников по вопросам безопасности и внедрять защищенный веб-шлюз с расширенными возможностями защиты от угроз для сканирования и обнаружения вредоносных файлов в режиме реального времени, тем самым повышая общую безопасность.
#ParsedReport #CompletenessHigh
09-05-2024
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Threats:
Anydesk_tool
Blackrock
Lizar_loader
Netsupportmanager_rat
Process_injection_technique
Victims:
Anydesk, Winscp, Blackrock, Asana, Concur, The wall street journal, Workable, Google meet
Geo:
Apac, America, Russia, Emea
ChatGPT TTPs:
T1566, T1204, T1059, T1218, T1060, T1562, T1105, T1027, T1055
IOCs:
Url: 3
Path: 3
Domain: 51
File: 3
Hash: 5
Command: 1
IP: 6
Soft:
WinSCP, curl, Active Directory
Algorithms:
zip, base64, xor, md5
Languages:
powershell, python
Links:
09-05-2024
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Threats:
Anydesk_tool
Blackrock
Lizar_loader
Netsupportmanager_rat
Process_injection_technique
Victims:
Anydesk, Winscp, Blackrock, Asana, Concur, The wall street journal, Workable, Google meet
Geo:
Apac, America, Russia, Emea
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1218, T1060, T1562, T1105, T1027, T1055
IOCs:
Url: 3
Path: 3
Domain: 51
File: 3
Hash: 5
Command: 1
IP: 6
Soft:
WinSCP, curl, Active Directory
Algorithms:
zip, base64, xor, md5
Languages:
powershell, python
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/FIN7/FIN7\_IOCs\_5-3-2024.txteSentire
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
Learn more about FIN7 using trusted brands and sponsored Google Ads to distribute MSIX payloads and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessHigh 09-05-2024 FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации за счет использования возможностей поиска, исследования и обнаружения угроз для защиты от известных и неизвестных угроз. В частности, в нем освещаются инциденты, связанные с финансово мотивированной группой угроз FIN7 из России, и их обманная тактика, включая использование вредоносных веб-сайтов, выдающих себя за популярные бренды, для доставки полезных вредоносных программ, таких как NetSupport RAT и DiceLoader.
-----
В апреле 2024 года TRU из eSentire выявил серию инцидентов, связанных с FIN7, финансово мотивированной террористической группой из России, действующей с 2013 года. Эти инциденты были связаны, в частности, с использованием вредоносных веб-сайтов, выдающих себя за популярные бренды, такие как AnyDesk, WinSCP, BlackRock и Google Meet. Злоумышленники использовали обманную тактику, в том числе поддельные расширения для браузера, распространяемые через спонсируемую рекламу Google, для доставки жертвам вредоносных программ, таких как NetSupport RAT и DiceLoader.
В первом случае цепочка заражения NetSupport RAT началась с того, что пользователи загрузили поддельное расширение для браузера, предположительно в формате MSIX. После проверки пакет MSIX содержал сценарий PowerShell, предназначенный для сбора системной информации, взаимодействия с сервером управления (C2), а также загрузки и выполнения полезной нагрузки NetSupport RAT. Злоумышленник организовал последовательность команд, чтобы обеспечить устойчивость скомпрометированной системы и успешно запустить вредоносное ПО.
Во втором случае аналогичная цепочка заражения развернулась, когда NetSupport RAT был запущен через поддельный установщик MSIX, полученный с вредоносного веб-сайта. Впоследствии злоумышленник использовал NetSupport RAT для сбора системных данных и выполнения дополнительной полезной нагрузки, включая полезную нагрузку на основе Python (svchostc.py) и DiceLoader. Тактика злоумышленника включала в себя создание запланированных задач для сохранения и использование передовых методов, таких как внедрение процессов, чтобы избежать обнаружения и расширить контроль над скомпрометированным хостом.
Инциденты, связанные с FIN7, подчеркивают сохраняющийся уровень угроз и акцент группы на использовании надежных торговых марок и вводящей в заблуждение рекламы для распространения вредоносных программ. Злоупотребление подписанными файлами MSIX со стороны злоумышленников служит напоминанием о меняющейся тактике, используемой для обмана пользователей и обхода мер безопасности. Пользователям рекомендуется проявлять осторожность при просмотре спонсорской рекламы, проверять источники файлов перед загрузкой и проявлять бдительность в отношении тактик социальной инженерии, которые используют доверие к знакомым брендам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации за счет использования возможностей поиска, исследования и обнаружения угроз для защиты от известных и неизвестных угроз. В частности, в нем освещаются инциденты, связанные с финансово мотивированной группой угроз FIN7 из России, и их обманная тактика, включая использование вредоносных веб-сайтов, выдающих себя за популярные бренды, для доставки полезных вредоносных программ, таких как NetSupport RAT и DiceLoader.
-----
В апреле 2024 года TRU из eSentire выявил серию инцидентов, связанных с FIN7, финансово мотивированной террористической группой из России, действующей с 2013 года. Эти инциденты были связаны, в частности, с использованием вредоносных веб-сайтов, выдающих себя за популярные бренды, такие как AnyDesk, WinSCP, BlackRock и Google Meet. Злоумышленники использовали обманную тактику, в том числе поддельные расширения для браузера, распространяемые через спонсируемую рекламу Google, для доставки жертвам вредоносных программ, таких как NetSupport RAT и DiceLoader.
В первом случае цепочка заражения NetSupport RAT началась с того, что пользователи загрузили поддельное расширение для браузера, предположительно в формате MSIX. После проверки пакет MSIX содержал сценарий PowerShell, предназначенный для сбора системной информации, взаимодействия с сервером управления (C2), а также загрузки и выполнения полезной нагрузки NetSupport RAT. Злоумышленник организовал последовательность команд, чтобы обеспечить устойчивость скомпрометированной системы и успешно запустить вредоносное ПО.
Во втором случае аналогичная цепочка заражения развернулась, когда NetSupport RAT был запущен через поддельный установщик MSIX, полученный с вредоносного веб-сайта. Впоследствии злоумышленник использовал NetSupport RAT для сбора системных данных и выполнения дополнительной полезной нагрузки, включая полезную нагрузку на основе Python (svchostc.py) и DiceLoader. Тактика злоумышленника включала в себя создание запланированных задач для сохранения и использование передовых методов, таких как внедрение процессов, чтобы избежать обнаружения и расширить контроль над скомпрометированным хостом.
Инциденты, связанные с FIN7, подчеркивают сохраняющийся уровень угроз и акцент группы на использовании надежных торговых марок и вводящей в заблуждение рекламы для распространения вредоносных программ. Злоупотребление подписанными файлами MSIX со стороны злоумышленников служит напоминанием о меняющейся тактике, используемой для обмана пользователей и обхода мер безопасности. Пользователям рекомендуется проявлять осторожность при просмотре спонсорской рекламы, проверять источники файлов перед загрузкой и проявлять бдительность в отношении тактик социальной инженерии, которые используют доверие к знакомым брендам.
#ParsedReport #CompletenessMedium
09-05-2024
Dark Web Profile: APT31
https://socradar.io/dark-web-profile-apt31
Report completeness: Medium
Actors/Campaigns:
Apt31 (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Dll_sideloading_technique
Rawdoor
Trochilus_rat
Evilosx
Dropcat
Cobalt_strike
Victims:
U.s. businesses, Political officials, Defense contractor subsidiaries, Activists and organizations critical of the chinese government, U.s. government officials, Umbrella movement activists
Industry:
Military, Government
Geo:
Chinese, Russian, American, China
CVEs:
CVE-2017-0005 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, -)
- microsoft windows 8.1 (*)
have more...
TTPs:
Tactics: 1
Technics: 25
IOCs:
File: 1
Hash: 11
Algorithms:
sha256, aes, aes-256
Languages:
python
09-05-2024
Dark Web Profile: APT31
https://socradar.io/dark-web-profile-apt31
Report completeness: Medium
Actors/Campaigns:
Apt31 (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Dll_sideloading_technique
Rawdoor
Trochilus_rat
Evilosx
Dropcat
Cobalt_strike
Victims:
U.s. businesses, Political officials, Defense contractor subsidiaries, Activists and organizations critical of the chinese government, U.s. government officials, Umbrella movement activists
Industry:
Military, Government
Geo:
Chinese, Russian, American, China
CVEs:
CVE-2017-0005 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, -)
- microsoft windows 8.1 (*)
have more...
TTPs:
Tactics: 1
Technics: 25
IOCs:
File: 1
Hash: 11
Algorithms:
sha256, aes, aes-256
Languages:
python
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: APT31
Advanced Persistent Threat Group 31 (APT31), also known by aliases like ZIRCONIUM or Judgment Panda, represents a sophisticated cybersecurity threat with ties
CTT Report Hub
#ParsedReport #CompletenessMedium 09-05-2024 Dark Web Profile: APT31 https://socradar.io/dark-web-profile-apt31 Report completeness: Medium Actors/Campaigns: Apt31 (motivation: cyber_espionage) Threats: Spear-phishing_technique Dll_sideloading_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: APT31, изощренная группа по борьбе с киберугрозами, которая, как полагают, действует от имени правительства Китая, занимается кибершпионажем, целенаправленными атаками и передовой тактикой сбора разведданных в поддержку национальных интересов Китая, что создает серьезную проблему для глобальных усилий в области кибербезопасности.
-----
APT31, также известная как ZIRCONIUM или Judgment Panda, представляет собой очень сложную угрозу кибербезопасности, которая, как полагают, действует от имени правительства Китая. APT31 занимается кибершпионажем и целенаправленными атаками для сбора разведданных в поддержку национальных интересов Китая. В своей деятельности они используют передовые тактики, такие как внедрение вредоносных программ, кампании по борьбе с фишингом и использование уязвимостей нулевого дня, что создает серьезную проблему для глобальных усилий по обеспечению кибербезопасности.
Недавно Министерство юстиции Соединенных Штатов обнародовало обвинительный акт, в котором семи лицам, связанным с APT31, предъявлены обвинения в заговоре с целью совершения компьютерных вторжений и мошенничества с использованием электронных средств. Считается, что эти люди являются частью хакерской группы APT31, поддерживающей цели Министерства государственной безопасности Китая, связанные с транснациональными репрессиями, экономическим шпионажем и деятельностью иностранной разведки. В обвинительном заключении описывается тактика APT31, в том числе использование вредоносных электронных писем, замаскированных под законные новостные статьи, для адресной рассылки отдельным лицам по всему миру. Отправив более 10 000 таких электронных писем, APT31 отслеживала конфиденциальную информацию и проводила сложные целенаправленные атаки, компрометируя сети и аккаунты жертв.
В обвинительном заключении также говорится, что APT31 нацеливалась на правительственных чиновников США, политических деятелей, сотрудников избирательных кампаний и компаний из различных отраслей с целью сбора экономических планов, коммерческой тайны и интеллектуальной собственности. Кроме того, группа преследовала диссидентов и отдельных лиц, критикующих китайское правительство по всему миру, осуществляя слежку и проникновение в их сети.
APT31 имеет связи с Департаментом государственной безопасности провинции Хубэй в Ухане и учредил подставную компанию под названием "Wuhan XRZ" для сокрытия своих киберопераций. Группа использовала такие тактические приемы, как рассылка электронных писем с отслеживанием, замаскированных под сообщения американских журналистов, нацеливание членов семей жертв на использование домашних маршрутизаторов и переход к использованию взломанных версий Cobalt Strike для развертывания вредоносного ПО. Хакерский подход APT31 включал в себя нацеливание на дочерние компании, поставщиков управляемых услуг и даже супругов основных целей, чтобы получить первоначальный доступ и в конечном итоге скомпрометировать сети.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: APT31, изощренная группа по борьбе с киберугрозами, которая, как полагают, действует от имени правительства Китая, занимается кибершпионажем, целенаправленными атаками и передовой тактикой сбора разведданных в поддержку национальных интересов Китая, что создает серьезную проблему для глобальных усилий в области кибербезопасности.
-----
APT31, также известная как ZIRCONIUM или Judgment Panda, представляет собой очень сложную угрозу кибербезопасности, которая, как полагают, действует от имени правительства Китая. APT31 занимается кибершпионажем и целенаправленными атаками для сбора разведданных в поддержку национальных интересов Китая. В своей деятельности они используют передовые тактики, такие как внедрение вредоносных программ, кампании по борьбе с фишингом и использование уязвимостей нулевого дня, что создает серьезную проблему для глобальных усилий по обеспечению кибербезопасности.
Недавно Министерство юстиции Соединенных Штатов обнародовало обвинительный акт, в котором семи лицам, связанным с APT31, предъявлены обвинения в заговоре с целью совершения компьютерных вторжений и мошенничества с использованием электронных средств. Считается, что эти люди являются частью хакерской группы APT31, поддерживающей цели Министерства государственной безопасности Китая, связанные с транснациональными репрессиями, экономическим шпионажем и деятельностью иностранной разведки. В обвинительном заключении описывается тактика APT31, в том числе использование вредоносных электронных писем, замаскированных под законные новостные статьи, для адресной рассылки отдельным лицам по всему миру. Отправив более 10 000 таких электронных писем, APT31 отслеживала конфиденциальную информацию и проводила сложные целенаправленные атаки, компрометируя сети и аккаунты жертв.
В обвинительном заключении также говорится, что APT31 нацеливалась на правительственных чиновников США, политических деятелей, сотрудников избирательных кампаний и компаний из различных отраслей с целью сбора экономических планов, коммерческой тайны и интеллектуальной собственности. Кроме того, группа преследовала диссидентов и отдельных лиц, критикующих китайское правительство по всему миру, осуществляя слежку и проникновение в их сети.
APT31 имеет связи с Департаментом государственной безопасности провинции Хубэй в Ухане и учредил подставную компанию под названием "Wuhan XRZ" для сокрытия своих киберопераций. Группа использовала такие тактические приемы, как рассылка электронных писем с отслеживанием, замаскированных под сообщения американских журналистов, нацеливание членов семей жертв на использование домашних маршрутизаторов и переход к использованию взломанных версий Cobalt Strike для развертывания вредоносного ПО. Хакерский подход APT31 включал в себя нацеливание на дочерние компании, поставщиков управляемых услуг и даже супругов основных целей, чтобы получить первоначальный доступ и в конечном итоге скомпрометировать сети.
#ParsedReport #CompletenessMedium
10-05-2024
APT28 campaign targeting Polish government institutions
https://cert.pl/en/posts/2024/05/apt28-campaign
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Dll_sideloading_technique
Headlace
Victims:
Polish government institutions
Industry:
Government
Geo:
Russian, Polish, Ukrainian
ChatGPT TTPs:
T1566, T1071, T1027, T1574, T1059, T1041
IOCs:
File: 36
Url: 37
Hash: 36
Soft:
Microsoft Edge
Algorithms:
zip, base64, sha256
10-05-2024
APT28 campaign targeting Polish government institutions
https://cert.pl/en/posts/2024/05/apt28-campaign
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Dll_sideloading_technique
Headlace
Victims:
Polish government institutions
Industry:
Government
Geo:
Russian, Polish, Ukrainian
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1027, T1574, T1059, T1041
IOCs:
File: 36
Url: 37
Hash: 36
Soft:
Microsoft Edge
Algorithms:
zip, base64, sha256
cert.pl
APT28 campaign targeting Polish government institutions
CERT Polska is observing a malicious e-mail campaign targeting Polish government institutions conducted by the APT28 group.
CTT Report Hub
#ParsedReport #CompletenessMedium 10-05-2024 APT28 campaign targeting Polish government institutions https://cert.pl/en/posts/2024/05/apt28-campaign Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Dll_sideloading_technique Headlace …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что масштабная вредоносная кампания, предположительно связанная с APT28 и российским ГРУ, была нацелена на польские правительственные учреждения, используя такие методы, как боковая загрузка DLL и использование популярных сервисов для перенаправления, чтобы избежать обнаружения и снизить затраты.
-----
Команды CERT Polska (CSIRT NASK) и CSIRT MON недавно обнаружили масштабную кампанию вредоносного ПО, направленную против польских государственных учреждений. Эта кампания имеет сходство с предыдущими атаками на украинские организации и, как полагают, связана с набором действий APT28. Известно, что APT28 связан с Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ).
Злоумышленники использовали ссылку, которая вела на run.mocky.io, популярный среди разработчиков бесплатный сервис для тестирования API. Затем эта ссылка была перенаправлена на другой веб-сайт, webhook.site, который позволял регистрировать все запросы по сгенерированному адресу и настраивать ответы. Используя широко используемые сервисы вместо создания собственных доменов, злоумышленники стремились избежать обнаружения и снизить операционные расходы - тенденция, наблюдаемая среди различных групп APT.
Одна из тактик, использованных в этой кампании, заключалась в дополнительной загрузке библиотеки DLL, когда безобидный файл, IMG-238279780.jpg.exe в данном случае замаскированный под калькулятор, пытался загрузить замененный WindowsCodecs.библиотека dll во время запуска. Роль библиотеки DLL заключалась в выполнении скрипта BAT, который собирал информацию о компьютере жертвы, включая IP-адрес и список файлов в определенных папках, которые затем отправлялись на сервер управления (C2). Весьма вероятно, что разные компьютеры-жертвы получили различные сценарии для конечных точек, разработанные злоумышленниками.
Ход атаки был представлен на диаграмме, и было установлено, что он повторяет ход атаки вредоносного по HEADLACE, что указывает на сложную и хорошо организованную операцию, направленную против государственных учреждений. Использование устоявшихся методов, таких как дополнительная загрузка библиотек DLL и использование популярных сервисов для перенаправления, подчеркивает эволюцию тактики, используемой злоумышленниками для проведения успешных кибератак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что масштабная вредоносная кампания, предположительно связанная с APT28 и российским ГРУ, была нацелена на польские правительственные учреждения, используя такие методы, как боковая загрузка DLL и использование популярных сервисов для перенаправления, чтобы избежать обнаружения и снизить затраты.
-----
Команды CERT Polska (CSIRT NASK) и CSIRT MON недавно обнаружили масштабную кампанию вредоносного ПО, направленную против польских государственных учреждений. Эта кампания имеет сходство с предыдущими атаками на украинские организации и, как полагают, связана с набором действий APT28. Известно, что APT28 связан с Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ).
Злоумышленники использовали ссылку, которая вела на run.mocky.io, популярный среди разработчиков бесплатный сервис для тестирования API. Затем эта ссылка была перенаправлена на другой веб-сайт, webhook.site, который позволял регистрировать все запросы по сгенерированному адресу и настраивать ответы. Используя широко используемые сервисы вместо создания собственных доменов, злоумышленники стремились избежать обнаружения и снизить операционные расходы - тенденция, наблюдаемая среди различных групп APT.
Одна из тактик, использованных в этой кампании, заключалась в дополнительной загрузке библиотеки DLL, когда безобидный файл, IMG-238279780.jpg.exe в данном случае замаскированный под калькулятор, пытался загрузить замененный WindowsCodecs.библиотека dll во время запуска. Роль библиотеки DLL заключалась в выполнении скрипта BAT, который собирал информацию о компьютере жертвы, включая IP-адрес и список файлов в определенных папках, которые затем отправлялись на сервер управления (C2). Весьма вероятно, что разные компьютеры-жертвы получили различные сценарии для конечных точек, разработанные злоумышленниками.
Ход атаки был представлен на диаграмме, и было установлено, что он повторяет ход атаки вредоносного по HEADLACE, что указывает на сложную и хорошо организованную операцию, направленную против государственных учреждений. Использование устоявшихся методов, таких как дополнительная загрузка библиотек DLL и использование популярных сервисов для перенаправления, подчеркивает эволюцию тактики, используемой злоумышленниками для проведения успешных кибератак.
#ParsedReport #CompletenessHigh
10-05-2024
Kimsuky APT attack discovered using Facebook and MS management console
https://www.genians.co.kr/blog/threat_intelligence/facebook
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Reconshark
Spear-phishing_technique
Babyshark
Victims:
Facebook, Meta
Geo:
Usa, Korea, Germany, India, Korean, Japan, Gyeonggi-do, American, Japanese, German
ChatGPT TTPs:
T1566, T1071, T1105, T1204, T1053, T1027, T1557
IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 27
Hash: 9
Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive
Algorithms:
md5
Functions:
CreateObject, CreateTextFile
Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList
Languages:
php
10-05-2024
Kimsuky APT attack discovered using Facebook and MS management console
https://www.genians.co.kr/blog/threat_intelligence/facebook
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Reconshark
Spear-phishing_technique
Babyshark
Victims:
Facebook, Meta
Geo:
Usa, Korea, Germany, India, Korean, Japan, Gyeonggi-do, American, Japanese, German
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1105, T1204, T1053, T1027, T1557
IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 27
Hash: 9
Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive
Algorithms:
md5
Functions:
CreateObject, CreateTextFile
Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList
Languages:
php
www.genians.co.kr
페이스북과 MS관리콘솔을 활용한 Kimsuky APT 공격 발견
지니언스 시큐리티 센터는 Kimsuky APT 그룹이 새로운 공격 전략을 도입한 것을 발견했습니다.이번 APT 공격은 페이스북(Facebook) 서비스가 초기 침투에 활용됐습니다.
CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 Kimsuky APT attack discovered using Facebook and MS management console https://www.genians.co.kr/blog/threat_intelligence/facebook Report completeness: High Actors/Campaigns: Kimsuky Threats: Reconshark Spear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----
Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.
Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.
Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.
Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.
Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----
Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.
Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.
Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.
Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.
Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.