CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
08-05-2024

APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C

https://www.ctfiot.com/179767.html

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Graphite

Geo:
Russian

CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.001, T1203, T1105, T1027, T1573.002

IOCs:
File: 7
Url: 2

Soft:
Microsoft OneDrive, WeChat

Algorithms:
sha256, crc-32, aes-256-cbc, xor
🔥1
CTT Report Hub
#ParsedReport #CompletenessLow 08-05-2024 APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C https://www.ctfiot.com/179767.html Report completeness: Low Actors/Campaigns: Fancy_bear Threats: Graphite Geo: Russian …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении важности исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей, уделяя особое внимание таким инструментам, как Graphite, которые используют законные ресурсы для вредоносной коммуникации, и подробно описывая технические аспекты их работы, включая подключение к APT28 и использование уязвимостей для вредоносных программ. развертывание.
-----

В тексте описывается текущее значение исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей в различных сценариях. В нем подчеркивается переход к злонамеренному использованию законных сторонних ресурсов для коммуникации, что позволяет организациям действовать скрытно и поддерживать стабильность. В частности, в статье рассматривается инструмент для бэкдора, известный как Graphite, который использует Microsoft Graph API для использования OneDrive в качестве сервера управления. Graphite был впервые представлен 21 декабря и с тех пор используется многими организациями для развертывания бэкдоров.

В тексте также упоминается APT28, предполагаемая хакерская группа, связанная с российским государством, известная своими изощренными кибератаками. Далее рассматриваются технические аспекты работы Graphite, начиная с начальной загрузки, которая использует уязвимость удаленного выполнения кода MSHTML для загрузки вредоносного DLL-файла для последующего развертывания вредоносного ПО. Функциональность Graphite включает в себя расшифровку полезной нагрузки на основе полученных команд с конкретными шестнадцатеричными значениями, определяющими дальнейшее выполнение.

Первоначальная полезная нагрузка замаскирована под файл Excel с именем "parliament.xlsx", предназначенный для того, чтобы побудить пользователей нажимать на вредоносные вложения в фишинговых письмах. Анализ выявил наличие OLE-объекта в документе, что приводит к использованию уязвимости CVE-2021-40444. В конечном итоге это приводит к загрузке и выполнению CAB-файла, содержащего вредоносный JavaScript-код. Дальнейшее использование уязвимости предполагает загрузку CAB-файла, скомпилированного на C/C++, для выполнения произвольных команд и поддержания контроля над взломанной системой с помощью удаленных вызовов API.

Работа Graphite включает в себя запрос команд путем проверки вложенных файлов в определенных каталогах, расшифровку нового содержимого с помощью Graph API и выполнение шелл-кода на основе полученных инструкций. В тексте упоминается проверка определенных шестнадцатеричных значений в шелл-коде для обеспечения надлежащего выполнения последующих полезных нагрузок. Однако проблемы с устаревшей инфраструктурой командования и контроля затрудняют процесс расшифровки, что приводит к трудностям при сборе и анализе образцов для дальнейшего изучения.
🔥1
#ParsedReport #CompletenessMedium
08-05-2024

Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four

https://www.elastic.co/security-labs/dissecting-remcos-rat-part-four

Report completeness: Medium

Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 7
Path: 1
Hash: 7
Domain: 5
IP: 13

Functions:
SetWindowsHookEx, SetWindowsHoook

Languages:
visual_basic

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/command\_and\_control\_connection\_to\_dynamic\_dns\_provider\_by\_an\_unsigned\_binary.toml
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Remcos.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_svchost.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_remote\_process\_injection\_via\_mapping.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/persistence\_startup\_persistence\_by\_a\_low\_reputation\_process.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_uac\_bypass\_via\_icmluautil\_elevated\_com\_interface.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/command\_and\_control\_remcos\_rat\_exepath\_registry\_modification.toml
https://github.com/elastic/detection-rules/blob/main/rules/windows/privilege\_escalation\_disable\_uac\_registry.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/command\_and\_control\_remcos\_rat\_inetcookies\_file\_deletion.toml
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four https://www.elastic.co/security-labs/dissecting…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста сосредоточена на анализе вредоносной программы REMCOS, в частности версии 4.9.3, с освещением ее поведения, тактики и механизмов обнаружения. В нем рассматриваются различные аспекты REMCOS, такие как структура конфигурации, команды C2, индикаторы компрометации и такие функции, как ведение кейлогга и очистка данных браузера. В тексте также подчеркивается использование эластичных технологий для обнаружения и отслеживания вредоносного ПО REMCOS и упоминается важность использования платформы MITRE ATT&CK для понимания и противодействия продвинутым постоянным угрозам. В целом, анализ направлен на улучшение понимания сообществом специалистов по кибербезопасности и защиту от угрозы REMCOS.
-----

Третья и заключительная часть серии статей, составленной исследователями вредоносного ПО из Elastic Security Labs, посвящена обнаружению и поиску вредоносного ПО REMCOS с использованием технологий Elastic. В тексте рассматриваются различные аспекты REMCOS, включая его поведение, тактику и механизмы обнаружения.

Вредоносная программа REMCOS, в частности версия 4.9.3, подробно проанализирована, особое внимание уделено ее структуре конфигурации, командам C2 и признакам компрометации. Вредоносная программа обладает такими характеристиками, как маскировка под SVCHOST, внедрение таких процессов, как Internet Explorer, и отключение контроля учетных записей пользователей (UAC) путем внесения изменений в реестр. Кроме того, большинство обнаруженных образцов REMCO используют динамический DNS для связи.

Одним из ключевых показателей компрометации, выделенных в тексте, является значение реестра exePath, используемое процессом отслеживания REMCOS, которое может быть использовано для обнаружения. Приведен пример запроса KQL, который поможет выявить потенциальные компрометации на основе этого значения реестра.

REMCOS включает функции, направленные на сбор информации из систем-жертв, такие как ведение кейлоггинга с использованием API SetWindowsHookEx. В тексте предлагается использовать запросы ES\|QL для поиска процессов, которые ведут кейлоггинг. В нем также упоминается функциональность REMCOS для очистки данных браузера, что потенциально позволяет получать веб-учетные данные для ведения кейлоггинга.

Кроме того, в тексте затрагивается использование Elastic платформы MITRE ATT&CK для документирования тактики и процедур, используемых в случае продвинутых постоянных угроз, обеспечивая структурированный подход к пониманию таких угроз и противодействию им.

Анализ REMCOS версии 4.9.3 направлен на то, чтобы предоставить информацию сообществу исследователей вредоносных программ для улучшения их понимания и защиты от этой угрозы. В тексте подчеркивается способность Elastic Defend обнаруживать и предотвращать угрозы REMCOS, при этом особое внимание уделяется простоте и эффективности языка запросов ES\|QL для поиска угроз.

Elastic Security Labs подтверждает свою приверженность обмену знаниями и сотрудничеству с сообществом кибербезопасности в рамках инициатив с открытым исходным кодом. Команда планирует продолжить анализ аналогичных семейств вредоносных программ, чтобы получить ценную информацию и укрепить коллективную защиту от возникающих киберугроз.
#ParsedReport #CompletenessMedium
08-05-2024

From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats

Report completeness: Medium

Threats:
Asyncrat
Process_injection_technique
Confuserex_tool
Confuser_tool

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1055

IOCs:
File: 6
Hash: 11
Path: 2
Url: 2

Soft:
node.js, Windows Task Scheduler, Task Scheduler, process explorer, Microsoft Office

Algorithms:
zip

Functions:
fun_alosh

Languages:
visual_basic, powershell, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - об AsyncRAT, сложной разновидности вредоносного ПО, предназначенной для компрометации компьютерных систем и кражи конфиденциальных данных. В тексте обсуждается цепочка заражения, связанная с AsyncRAT, методы обхода мер безопасности и различные типы файлов, которые он использует для распространения и уклонения от обнаружения. Кроме того, в нем рассказывается о процессе выполнения AsyncRAT, важности информированности пользователей для снижения рисков и рекомендуемых мерах безопасности для отдельных лиц и организаций для повышения их уровня безопасности.
-----

AsyncRAT представляет собой сложный вариант вредоносного ПО, предназначенный для компрометации компьютерных систем и кражи конфиденциальных данных. Лаборатория McAfee недавно обнаружила новую цепочку заражения, связанную с AsyncRAT, что подчеркивает его опасные возможности и методы обхода, которые он использует для обхода мер безопасности. Вредоносная программа использует различные типы файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и другие, встроенные в вредоносный HTML-файл, чтобы избежать обнаружения антивирусным программным обеспечением и способствовать его распространению.

Процесс заражения начинается со спам-письма, содержащего вложенную HTML-страницу. Когда пользователь открывает HTML-страницу, автоматически загружается файл сценария Windows (WSF). WSF-файл имеет хитроумное название, чтобы отображаться в качестве идентификатора заказа, создавая ощущение законности, позволяющее обманом заставить пользователей выполнить его. После запуска вредоносная программа продолжает работать автономно, не требуя дальнейшего взаимодействия с пользователем. Последующие этапы заражения включают в себя развертывание скриптов Visual Basic (VBS), JavaScript (JS), пакетных (BAT), текстовых (TXT) и PowerShell (PS1) файлов, что в конечном итоге приводит к целенаправленному внедрению процесса aspnet_compiler.exe.

При открытии спам-письма получатель перенаправляется на веб-ссылку, встроенную в содержимое письма, которая запускает открытие HTML-страницы. Это действие запускает загрузку WSF-файла, запуская цепочку событий, которые могут нанести вред системе. Файл WSF, замаскированный под документ, связанный с заказом, скрывает злой умысел и запускается без вмешательства пользователя.

Основной сценарий выполнения вредоносной программы, "t.ps1", сценарий PowerShell, отвечает за процесс внедрения, нацеленный на aspnet_compiler.exe. Кроме того, DLL-файл, содержащий ConfuserEx и идентифицированный как "NewPE2.В процессе задействован PE" с методом выполнения "Execute".

Подводя итог процессу выполнения AsyncRAT, можно сказать, что ключевые этапы включают в себя начальный запуск с помощью HTML-файла, загрузку вредоносного WSF-файла, выполнение различных сценариев и, в конечном счете, ввод окончательной полезной нагрузки в aspnet_compiler.exe. Эта тактика часто используется злоумышленниками для того, чтобы на начальном этапе закрепиться в системе. Поскольку Корпорация Майкрософт усиливает защиту от вредоносных макросов Office, злоумышленники, вероятно, все чаще будут использовать такие типы файлов, как WSF, для доставки вредоносных программ.

Чтобы снизить риск, связанный с такими угрозами, как AsyncRAT, пользователям рекомендуется избегать открытия файлов из неизвестных источников, особенно полученных по электронной почте. Организациям рекомендуется проводить обучение сотрудников по вопросам безопасности и внедрять защищенный веб-шлюз с расширенными возможностями защиты от угроз для сканирования и обнаружения вредоносных файлов в режиме реального времени, тем самым повышая общую безопасность.
#ParsedReport #CompletenessHigh
09-05-2024

FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads

https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads

Report completeness: High

Actors/Campaigns:
Carbanak (motivation: financially_motivated)

Threats:
Anydesk_tool
Blackrock
Lizar_loader
Netsupportmanager_rat
Process_injection_technique

Victims:
Anydesk, Winscp, Blackrock, Asana, Concur, The wall street journal, Workable, Google meet

Geo:
Apac, America, Russia, Emea

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1218, T1060, T1562, T1105, T1027, T1055

IOCs:
Url: 3
Path: 3
Domain: 51
File: 3
Hash: 5
Command: 1
IP: 6

Soft:
WinSCP, curl, Active Directory

Algorithms:
zip, base64, xor, md5

Languages:
powershell, python

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/FIN7/FIN7\_IOCs\_5-3-2024.txt
CTT Report Hub
#ParsedReport #CompletenessHigh 09-05-2024 FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации за счет использования возможностей поиска, исследования и обнаружения угроз для защиты от известных и неизвестных угроз. В частности, в нем освещаются инциденты, связанные с финансово мотивированной группой угроз FIN7 из России, и их обманная тактика, включая использование вредоносных веб-сайтов, выдающих себя за популярные бренды, для доставки полезных вредоносных программ, таких как NetSupport RAT и DiceLoader.
-----

В апреле 2024 года TRU из eSentire выявил серию инцидентов, связанных с FIN7, финансово мотивированной террористической группой из России, действующей с 2013 года. Эти инциденты были связаны, в частности, с использованием вредоносных веб-сайтов, выдающих себя за популярные бренды, такие как AnyDesk, WinSCP, BlackRock и Google Meet. Злоумышленники использовали обманную тактику, в том числе поддельные расширения для браузера, распространяемые через спонсируемую рекламу Google, для доставки жертвам вредоносных программ, таких как NetSupport RAT и DiceLoader.

В первом случае цепочка заражения NetSupport RAT началась с того, что пользователи загрузили поддельное расширение для браузера, предположительно в формате MSIX. После проверки пакет MSIX содержал сценарий PowerShell, предназначенный для сбора системной информации, взаимодействия с сервером управления (C2), а также загрузки и выполнения полезной нагрузки NetSupport RAT. Злоумышленник организовал последовательность команд, чтобы обеспечить устойчивость скомпрометированной системы и успешно запустить вредоносное ПО.

Во втором случае аналогичная цепочка заражения развернулась, когда NetSupport RAT был запущен через поддельный установщик MSIX, полученный с вредоносного веб-сайта. Впоследствии злоумышленник использовал NetSupport RAT для сбора системных данных и выполнения дополнительной полезной нагрузки, включая полезную нагрузку на основе Python (svchostc.py) и DiceLoader. Тактика злоумышленника включала в себя создание запланированных задач для сохранения и использование передовых методов, таких как внедрение процессов, чтобы избежать обнаружения и расширить контроль над скомпрометированным хостом.

Инциденты, связанные с FIN7, подчеркивают сохраняющийся уровень угроз и акцент группы на использовании надежных торговых марок и вводящей в заблуждение рекламы для распространения вредоносных программ. Злоупотребление подписанными файлами MSIX со стороны злоумышленников служит напоминанием о меняющейся тактике, используемой для обмана пользователей и обхода мер безопасности. Пользователям рекомендуется проявлять осторожность при просмотре спонсорской рекламы, проверять источники файлов перед загрузкой и проявлять бдительность в отношении тактик социальной инженерии, которые используют доверие к знакомым брендам.
#ParsedReport #CompletenessMedium
09-05-2024

Dark Web Profile: APT31

https://socradar.io/dark-web-profile-apt31

Report completeness: Medium

Actors/Campaigns:
Apt31 (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Rawdoor
Trochilus_rat
Evilosx
Dropcat
Cobalt_strike

Victims:
U.s. businesses, Political officials, Defense contractor subsidiaries, Activists and organizations critical of the chinese government, U.s. government officials, Umbrella movement activists

Industry:
Military, Government

Geo:
Chinese, Russian, American, China

CVEs:
CVE-2017-0005 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, -)
- microsoft windows 8.1 (*)
have more...

TTPs:
Tactics: 1
Technics: 25

IOCs:
File: 1
Hash: 11

Algorithms:
sha256, aes, aes-256

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 09-05-2024 Dark Web Profile: APT31 https://socradar.io/dark-web-profile-apt31 Report completeness: Medium Actors/Campaigns: Apt31 (motivation: cyber_espionage) Threats: Spear-phishing_technique Dll_sideloading_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: APT31, изощренная группа по борьбе с киберугрозами, которая, как полагают, действует от имени правительства Китая, занимается кибершпионажем, целенаправленными атаками и передовой тактикой сбора разведданных в поддержку национальных интересов Китая, что создает серьезную проблему для глобальных усилий в области кибербезопасности.
-----

APT31, также известная как ZIRCONIUM или Judgment Panda, представляет собой очень сложную угрозу кибербезопасности, которая, как полагают, действует от имени правительства Китая. APT31 занимается кибершпионажем и целенаправленными атаками для сбора разведданных в поддержку национальных интересов Китая. В своей деятельности они используют передовые тактики, такие как внедрение вредоносных программ, кампании по борьбе с фишингом и использование уязвимостей нулевого дня, что создает серьезную проблему для глобальных усилий по обеспечению кибербезопасности.

Недавно Министерство юстиции Соединенных Штатов обнародовало обвинительный акт, в котором семи лицам, связанным с APT31, предъявлены обвинения в заговоре с целью совершения компьютерных вторжений и мошенничества с использованием электронных средств. Считается, что эти люди являются частью хакерской группы APT31, поддерживающей цели Министерства государственной безопасности Китая, связанные с транснациональными репрессиями, экономическим шпионажем и деятельностью иностранной разведки. В обвинительном заключении описывается тактика APT31, в том числе использование вредоносных электронных писем, замаскированных под законные новостные статьи, для адресной рассылки отдельным лицам по всему миру. Отправив более 10 000 таких электронных писем, APT31 отслеживала конфиденциальную информацию и проводила сложные целенаправленные атаки, компрометируя сети и аккаунты жертв.

В обвинительном заключении также говорится, что APT31 нацеливалась на правительственных чиновников США, политических деятелей, сотрудников избирательных кампаний и компаний из различных отраслей с целью сбора экономических планов, коммерческой тайны и интеллектуальной собственности. Кроме того, группа преследовала диссидентов и отдельных лиц, критикующих китайское правительство по всему миру, осуществляя слежку и проникновение в их сети.

APT31 имеет связи с Департаментом государственной безопасности провинции Хубэй в Ухане и учредил подставную компанию под названием "Wuhan XRZ" для сокрытия своих киберопераций. Группа использовала такие тактические приемы, как рассылка электронных писем с отслеживанием, замаскированных под сообщения американских журналистов, нацеливание членов семей жертв на использование домашних маршрутизаторов и переход к использованию взломанных версий Cobalt Strike для развертывания вредоносного ПО. Хакерский подход APT31 включал в себя нацеливание на дочерние компании, поставщиков управляемых услуг и даже супругов основных целей, чтобы получить первоначальный доступ и в конечном итоге скомпрометировать сети.
#ParsedReport #CompletenessMedium
10-05-2024

APT28 campaign targeting Polish government institutions

https://cert.pl/en/posts/2024/05/apt28-campaign

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Dll_sideloading_technique
Headlace

Victims:
Polish government institutions

Industry:
Government

Geo:
Russian, Polish, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1071, T1027, T1574, T1059, T1041

IOCs:
File: 36
Url: 37
Hash: 36

Soft:
Microsoft Edge

Algorithms:
zip, base64, sha256
CTT Report Hub
#ParsedReport #CompletenessMedium 10-05-2024 APT28 campaign targeting Polish government institutions https://cert.pl/en/posts/2024/05/apt28-campaign Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Dll_sideloading_technique Headlace …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что масштабная вредоносная кампания, предположительно связанная с APT28 и российским ГРУ, была нацелена на польские правительственные учреждения, используя такие методы, как боковая загрузка DLL и использование популярных сервисов для перенаправления, чтобы избежать обнаружения и снизить затраты.
-----

Команды CERT Polska (CSIRT NASK) и CSIRT MON недавно обнаружили масштабную кампанию вредоносного ПО, направленную против польских государственных учреждений. Эта кампания имеет сходство с предыдущими атаками на украинские организации и, как полагают, связана с набором действий APT28. Известно, что APT28 связан с Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ).

Злоумышленники использовали ссылку, которая вела на run.mocky.io, популярный среди разработчиков бесплатный сервис для тестирования API. Затем эта ссылка была перенаправлена на другой веб-сайт, webhook.site, который позволял регистрировать все запросы по сгенерированному адресу и настраивать ответы. Используя широко используемые сервисы вместо создания собственных доменов, злоумышленники стремились избежать обнаружения и снизить операционные расходы - тенденция, наблюдаемая среди различных групп APT.

Одна из тактик, использованных в этой кампании, заключалась в дополнительной загрузке библиотеки DLL, когда безобидный файл, IMG-238279780.jpg.exe в данном случае замаскированный под калькулятор, пытался загрузить замененный WindowsCodecs.библиотека dll во время запуска. Роль библиотеки DLL заключалась в выполнении скрипта BAT, который собирал информацию о компьютере жертвы, включая IP-адрес и список файлов в определенных папках, которые затем отправлялись на сервер управления (C2). Весьма вероятно, что разные компьютеры-жертвы получили различные сценарии для конечных точек, разработанные злоумышленниками.

Ход атаки был представлен на диаграмме, и было установлено, что он повторяет ход атаки вредоносного по HEADLACE, что указывает на сложную и хорошо организованную операцию, направленную против государственных учреждений. Использование устоявшихся методов, таких как дополнительная загрузка библиотек DLL и использование популярных сервисов для перенаправления, подчеркивает эволюцию тактики, используемой злоумышленниками для проведения успешных кибератак.
#ParsedReport #CompletenessHigh
10-05-2024

Kimsuky APT attack discovered using Facebook and MS management console

https://www.genians.co.kr/blog/threat_intelligence/facebook

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Reconshark
Spear-phishing_technique
Babyshark

Victims:
Facebook, Meta

Geo:
Usa, Korea, Germany, India, Korean, Japan, Gyeonggi-do, American, Japanese, German

ChatGPT TTPs:
do not use without manual check
T1566, T1071, T1105, T1204, T1053, T1027, T1557

IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 27
Hash: 9

Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive

Algorithms:
md5

Functions:
CreateObject, CreateTextFile

Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 Kimsuky APT attack discovered using Facebook and MS management console https://www.genians.co.kr/blog/threat_intelligence/facebook Report completeness: High Actors/Campaigns: Kimsuky Threats: Reconshark Spear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----

Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.

Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.

Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.

Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.

Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.