#ParsedReport #CompletenessMedium
10-05-2024
APT28 campaign targeting Polish government institutions
https://cert.pl/en/posts/2024/05/apt28-campaign
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Dll_sideloading_technique
Headlace
Victims:
Polish government institutions
Industry:
Government
Geo:
Russian, Polish, Ukrainian
ChatGPT TTPs:
T1566, T1071, T1027, T1574, T1059, T1041
IOCs:
File: 36
Url: 37
Hash: 36
Soft:
Microsoft Edge
Algorithms:
zip, base64, sha256
10-05-2024
APT28 campaign targeting Polish government institutions
https://cert.pl/en/posts/2024/05/apt28-campaign
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Dll_sideloading_technique
Headlace
Victims:
Polish government institutions
Industry:
Government
Geo:
Russian, Polish, Ukrainian
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1027, T1574, T1059, T1041
IOCs:
File: 36
Url: 37
Hash: 36
Soft:
Microsoft Edge
Algorithms:
zip, base64, sha256
cert.pl
APT28 campaign targeting Polish government institutions
CERT Polska is observing a malicious e-mail campaign targeting Polish government institutions conducted by the APT28 group.
CTT Report Hub
#ParsedReport #CompletenessMedium 10-05-2024 APT28 campaign targeting Polish government institutions https://cert.pl/en/posts/2024/05/apt28-campaign Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Dll_sideloading_technique Headlace …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что масштабная вредоносная кампания, предположительно связанная с APT28 и российским ГРУ, была нацелена на польские правительственные учреждения, используя такие методы, как боковая загрузка DLL и использование популярных сервисов для перенаправления, чтобы избежать обнаружения и снизить затраты.
-----
Команды CERT Polska (CSIRT NASK) и CSIRT MON недавно обнаружили масштабную кампанию вредоносного ПО, направленную против польских государственных учреждений. Эта кампания имеет сходство с предыдущими атаками на украинские организации и, как полагают, связана с набором действий APT28. Известно, что APT28 связан с Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ).
Злоумышленники использовали ссылку, которая вела на run.mocky.io, популярный среди разработчиков бесплатный сервис для тестирования API. Затем эта ссылка была перенаправлена на другой веб-сайт, webhook.site, который позволял регистрировать все запросы по сгенерированному адресу и настраивать ответы. Используя широко используемые сервисы вместо создания собственных доменов, злоумышленники стремились избежать обнаружения и снизить операционные расходы - тенденция, наблюдаемая среди различных групп APT.
Одна из тактик, использованных в этой кампании, заключалась в дополнительной загрузке библиотеки DLL, когда безобидный файл, IMG-238279780.jpg.exe в данном случае замаскированный под калькулятор, пытался загрузить замененный WindowsCodecs.библиотека dll во время запуска. Роль библиотеки DLL заключалась в выполнении скрипта BAT, который собирал информацию о компьютере жертвы, включая IP-адрес и список файлов в определенных папках, которые затем отправлялись на сервер управления (C2). Весьма вероятно, что разные компьютеры-жертвы получили различные сценарии для конечных точек, разработанные злоумышленниками.
Ход атаки был представлен на диаграмме, и было установлено, что он повторяет ход атаки вредоносного по HEADLACE, что указывает на сложную и хорошо организованную операцию, направленную против государственных учреждений. Использование устоявшихся методов, таких как дополнительная загрузка библиотек DLL и использование популярных сервисов для перенаправления, подчеркивает эволюцию тактики, используемой злоумышленниками для проведения успешных кибератак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что масштабная вредоносная кампания, предположительно связанная с APT28 и российским ГРУ, была нацелена на польские правительственные учреждения, используя такие методы, как боковая загрузка DLL и использование популярных сервисов для перенаправления, чтобы избежать обнаружения и снизить затраты.
-----
Команды CERT Polska (CSIRT NASK) и CSIRT MON недавно обнаружили масштабную кампанию вредоносного ПО, направленную против польских государственных учреждений. Эта кампания имеет сходство с предыдущими атаками на украинские организации и, как полагают, связана с набором действий APT28. Известно, что APT28 связан с Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ).
Злоумышленники использовали ссылку, которая вела на run.mocky.io, популярный среди разработчиков бесплатный сервис для тестирования API. Затем эта ссылка была перенаправлена на другой веб-сайт, webhook.site, который позволял регистрировать все запросы по сгенерированному адресу и настраивать ответы. Используя широко используемые сервисы вместо создания собственных доменов, злоумышленники стремились избежать обнаружения и снизить операционные расходы - тенденция, наблюдаемая среди различных групп APT.
Одна из тактик, использованных в этой кампании, заключалась в дополнительной загрузке библиотеки DLL, когда безобидный файл, IMG-238279780.jpg.exe в данном случае замаскированный под калькулятор, пытался загрузить замененный WindowsCodecs.библиотека dll во время запуска. Роль библиотеки DLL заключалась в выполнении скрипта BAT, который собирал информацию о компьютере жертвы, включая IP-адрес и список файлов в определенных папках, которые затем отправлялись на сервер управления (C2). Весьма вероятно, что разные компьютеры-жертвы получили различные сценарии для конечных точек, разработанные злоумышленниками.
Ход атаки был представлен на диаграмме, и было установлено, что он повторяет ход атаки вредоносного по HEADLACE, что указывает на сложную и хорошо организованную операцию, направленную против государственных учреждений. Использование устоявшихся методов, таких как дополнительная загрузка библиотек DLL и использование популярных сервисов для перенаправления, подчеркивает эволюцию тактики, используемой злоумышленниками для проведения успешных кибератак.
#ParsedReport #CompletenessHigh
10-05-2024
Kimsuky APT attack discovered using Facebook and MS management console
https://www.genians.co.kr/blog/threat_intelligence/facebook
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Reconshark
Spear-phishing_technique
Babyshark
Victims:
Facebook, Meta
Geo:
Usa, Korea, Germany, India, Korean, Japan, Gyeonggi-do, American, Japanese, German
ChatGPT TTPs:
T1566, T1071, T1105, T1204, T1053, T1027, T1557
IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 27
Hash: 9
Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive
Algorithms:
md5
Functions:
CreateObject, CreateTextFile
Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList
Languages:
php
10-05-2024
Kimsuky APT attack discovered using Facebook and MS management console
https://www.genians.co.kr/blog/threat_intelligence/facebook
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Reconshark
Spear-phishing_technique
Babyshark
Victims:
Facebook, Meta
Geo:
Usa, Korea, Germany, India, Korean, Japan, Gyeonggi-do, American, Japanese, German
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1105, T1204, T1053, T1027, T1557
IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 27
Hash: 9
Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive
Algorithms:
md5
Functions:
CreateObject, CreateTextFile
Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList
Languages:
php
www.genians.co.kr
페이스북과 MS관리콘솔을 활용한 Kimsuky APT 공격 발견
지니언스 시큐리티 센터는 Kimsuky APT 그룹이 새로운 공격 전략을 도입한 것을 발견했습니다.이번 APT 공격은 페이스북(Facebook) 서비스가 초기 침투에 활용됐습니다.
CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 Kimsuky APT attack discovered using Facebook and MS management console https://www.genians.co.kr/blog/threat_intelligence/facebook Report completeness: High Actors/Campaigns: Kimsuky Threats: Reconshark Spear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----
Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.
Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.
Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.
Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.
Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----
Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.
Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.
Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.
Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.
Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.
#ParsedReport #CompletenessMedium
09-05-2024
Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.)
https://asec.ahnlab.com/ko/65307
Report completeness: Medium
Threats:
Xmrig_miner
Orcusrat
Hvnc_tool
Purecryptor
Trojan/win.antiav.c5619969
Dropper/win.3proxy.c5619967
Trojan/win.3proxy.c5619966
Infostealer/mdp.behavior.m1965
Antivm
Malware/mdp.behavior.m3108
Victims:
Domestic users
Geo:
Korea
ChatGPT TTPs:
T1027, T1566.001, T1059.001, T1562.001, T1053.005, T1574.002, T1071.001, T1090, T1027.005, T1047, have more...
IOCs:
Domain: 4
File: 77
Hash: 13
Url: 6
Soft:
task scheduler, Telegram, Mastodon, VALORANT, Photoshop, openssl, 3Proxy
Algorithms:
base64, md5, 7zip
Languages:
powershell
09-05-2024
Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.)
https://asec.ahnlab.com/ko/65307
Report completeness: Medium
Threats:
Xmrig_miner
Orcusrat
Hvnc_tool
Purecryptor
Trojan/win.antiav.c5619969
Dropper/win.3proxy.c5619967
Trojan/win.3proxy.c5619966
Infostealer/mdp.behavior.m1965
Antivm
Malware/mdp.behavior.m3108
Victims:
Domestic users
Geo:
Korea
ChatGPT TTPs:
do not use without manual checkT1027, T1566.001, T1059.001, T1562.001, T1053.005, T1574.002, T1071.001, T1090, T1027.005, T1047, have more...
IOCs:
Domain: 4
File: 77
Hash: 13
Url: 6
Soft:
task scheduler, Telegram, Mastodon, VALORANT, Photoshop, openssl, 3Proxy
Algorithms:
base64, md5, 7zip
Languages:
powershell
ASEC
MS 오피스 크랙을 위장하여 유포 중인 악성코드 (XMRig, OrcusRAT 등) - ASEC
AhnLab SEcurity intelligence Center(ASEC) 에서는 과거 “한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT” [1] 포스팅을 통해 국내 사용자들을 대상으로 RAT 및 코인 마이너를 유포하는 공격 사례를 공개한 바 있다. 공격자는 최근까지도 다운로더, 코인마이너, RAT, Proxy, AntiAV 등 다양한 악성코드들을 새롭게 제작해 유포하고 있다. 일반적으로 윈도우, 오피스 정품 인증 도구나 한글 워드 프로세서와…
CTT Report Hub
#ParsedReport #CompletenessMedium 09-05-2024 Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.) https://asec.ahnlab.com/ko/65307 Report completeness: Medium Threats: Xmrig_miner Orcusrat Hvnc_tool Purecryptor Trojan/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробное описание случая атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники маскируют вредоносные коды под взломанные версии легального программного обеспечения, чтобы заражать системы, особенно в Корее, и поддерживать их работоспособность с помощью планировщиков задач и обновлений вредоносных программ. Вредоносное ПО включает в себя различные функциональные возможности, такие как кейлоггинг, кража информации и майнинг. Из-за агрессивной тактики распространения происходит постоянное заражение вредоносными программами, и пользователям рекомендуется принимать меры предосторожности для предотвращения и удаления заражений.
-----
В тексте описывается случай атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники создают и распространяют различные новые вредоносные коды, такие как Downloader, Coin Miner, RAT, Proxy и AntiAV, маскируя их под взломанные версии законного программного обеспечения, такого как Windows или Office activation tools. Таким образом, они заражают многие системы, особенно в Корее.
Злоумышленники обновляют вредоносное ПО, регистрируя планировщик задач на зараженных системах, который затем устанавливает вредоносное ПО, выполняя команды Powershell. Если планировщик задач не удаляется, в систему продолжает устанавливаться новое вредоносное ПО. Текущий продукт версии 3 может очищать установленный вредоносным ПО планировщик заданий, предотвращая постоянную установку вредоносных программ, когда пользователи неосознанно устанавливают вредоносные программы, замаскированные под трещины. Однако системы без версии 3 остаются уязвимыми для постоянных заражений вредоносными программами.
Злоумышленники распространяют вредоносное ПО, замаскированное под MS Office cracks, через веб-жесткие диски или торренты. Вредоносное ПО, разработанное с использованием .NET и замаскированное для маскировки, получает доступ к Telegram для получения адресов загрузки. Недавно распространенная вредоносная программа содержит адреса Telegram и Mastodon, а также строки, используемые для адресов Google Диска или GitHub. При расшифровке этих строк обнаруживаются команды Powershell, ответственные за установку различных вредоносных кодов.
Во время установки вредоносная программа копирует программу Powershell по определенному пути, загружает сжатые файлы с GitHub и Google Диска и распаковывает их с помощью программы 7zip. Ключевая вредоносная программа под названием Updater поддерживает постоянство, устанавливаясь под именем "software_reporter_tool.exe" и регистрируя планировщик задач для непрерывной работы.
Вредоносная программа включает в себя Orcus RAT для функций удаленного управления, таких как сбор системной информации и выполнение команд, а также возможности кейлоггинга и кражи информации. XMRig поддерживает майнинг и включает опции для остановки майнинга при выполнении определенных процессов. Вредоносная программа также использует 3Proxy для реализации функций прокси-сервера, внедряя его в обычные процессы.
Злоумышленники обходят диагностику файлов, регулярно распространяя новые вредоносные программы, что приводит к продолжению заражения даже после удаления предыдущих вредоносных программ. Пользователям рекомендуется быть осторожными с исполняемыми файлами с сайтов обмена данными, загружать программы из официальных источников и обновлять продукты безопасности, такие как V3, для предотвращения заражения. Для зараженных систем рекомендуется установить версию 3 и восстановить планировщик задач, чтобы остановить цикл установки вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробное описание случая атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники маскируют вредоносные коды под взломанные версии легального программного обеспечения, чтобы заражать системы, особенно в Корее, и поддерживать их работоспособность с помощью планировщиков задач и обновлений вредоносных программ. Вредоносное ПО включает в себя различные функциональные возможности, такие как кейлоггинг, кража информации и майнинг. Из-за агрессивной тактики распространения происходит постоянное заражение вредоносными программами, и пользователям рекомендуется принимать меры предосторожности для предотвращения и удаления заражений.
-----
В тексте описывается случай атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники создают и распространяют различные новые вредоносные коды, такие как Downloader, Coin Miner, RAT, Proxy и AntiAV, маскируя их под взломанные версии законного программного обеспечения, такого как Windows или Office activation tools. Таким образом, они заражают многие системы, особенно в Корее.
Злоумышленники обновляют вредоносное ПО, регистрируя планировщик задач на зараженных системах, который затем устанавливает вредоносное ПО, выполняя команды Powershell. Если планировщик задач не удаляется, в систему продолжает устанавливаться новое вредоносное ПО. Текущий продукт версии 3 может очищать установленный вредоносным ПО планировщик заданий, предотвращая постоянную установку вредоносных программ, когда пользователи неосознанно устанавливают вредоносные программы, замаскированные под трещины. Однако системы без версии 3 остаются уязвимыми для постоянных заражений вредоносными программами.
Злоумышленники распространяют вредоносное ПО, замаскированное под MS Office cracks, через веб-жесткие диски или торренты. Вредоносное ПО, разработанное с использованием .NET и замаскированное для маскировки, получает доступ к Telegram для получения адресов загрузки. Недавно распространенная вредоносная программа содержит адреса Telegram и Mastodon, а также строки, используемые для адресов Google Диска или GitHub. При расшифровке этих строк обнаруживаются команды Powershell, ответственные за установку различных вредоносных кодов.
Во время установки вредоносная программа копирует программу Powershell по определенному пути, загружает сжатые файлы с GitHub и Google Диска и распаковывает их с помощью программы 7zip. Ключевая вредоносная программа под названием Updater поддерживает постоянство, устанавливаясь под именем "software_reporter_tool.exe" и регистрируя планировщик задач для непрерывной работы.
Вредоносная программа включает в себя Orcus RAT для функций удаленного управления, таких как сбор системной информации и выполнение команд, а также возможности кейлоггинга и кражи информации. XMRig поддерживает майнинг и включает опции для остановки майнинга при выполнении определенных процессов. Вредоносная программа также использует 3Proxy для реализации функций прокси-сервера, внедряя его в обычные процессы.
Злоумышленники обходят диагностику файлов, регулярно распространяя новые вредоносные программы, что приводит к продолжению заражения даже после удаления предыдущих вредоносных программ. Пользователям рекомендуется быть осторожными с исполняемыми файлами с сайтов обмена данными, загружать программы из официальных источников и обновлять продукты безопасности, такие как V3, для предотвращения заражения. Для зараженных систем рекомендуется установить версию 3 и восстановить планировщик задач, чтобы остановить цикл установки вредоносного ПО.
#ParsedReport #CompletenessLow
09-05-2024
macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge
https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge
Report completeness: Low
Threats:
Cuckoo_stealer
Amos_stealer
Realst
Meta_stealer
Applescript
Pandora
ChatGPT TTPs:
T1587, T1204, T1555, T1027, T1547, T1059, T1553
IOCs:
File: 3
Hash: 54
Soft:
macOS, Android, Gatekeeper, acOS ne, Telegram
Algorithms:
sha1, xor
Platforms:
intel, apple, arm, x86
09-05-2024
macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge
https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge
Report completeness: Low
Threats:
Cuckoo_stealer
Amos_stealer
Realst
Meta_stealer
Applescript
Pandora
ChatGPT TTPs:
do not use without manual checkT1587, T1204, T1555, T1027, T1547, T1059, T1553
IOCs:
File: 3
Hash: 54
Soft:
macOS, Android, Gatekeeper, acOS ne, Telegram
Algorithms:
sha1, xor
Platforms:
intel, apple, arm, x86
SentinelOne
macOS Cuckoo Stealer | Ensuring Detection and Defense as New Samples Rapidly Emerge
Learn about the mechanics of macOS Cuckoo Stealer, discover extended indicators and ensure your organization remains protected.
CTT Report Hub
#ParsedReport #CompletenessLow 09-05-2024 macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем распространении инфокрадов, нацеленных на устройства macOS, с акцентом на семейство вредоносных программ Cuckoo Stealer, их возможности, методы распространения, эволюцию и изощренные методы уклонения. Это подчеркивает необходимость в упреждающих стратегиях смягчения последствий и передовых решениях безопасности для защиты от развивающихся киберугроз, нацеленных на macOS.
-----
Распространение инфокрадов, нацеленных на устройства macOS, растет уже более года, при этом такие варианты, как Atomic Stealer, RealStealer, MetaStealer и недавно идентифицированный Cuckoo Stealer, распространяются через вредоносные веб-сайты, взломанные приложения и троянские программы для установки. Cuckoo Stealer выделяется своей двойной функциональностью - как программа для кражи информации и как программа-шпион, что представляет серьезную угрозу для пользователей macOS. Это семейство вредоносных программ быстро развивалось с момента их первоначального обнаружения, и число уникальных троянских приложений выросло с четырех до 18, что свидетельствует о проактивном подходе злоумышленников к расширению зоны их атаки.
Cuckoo Stealer распространяется через приложения, содержащие вредоносный двоичный файл с именем upd в папке macOS, причем последние версии поддерживают архитектуры Intel x86 и arm64. Несмотря на то, что Gatekeeper от Apple предупреждает о незарегистрированных приложениях, авторы вредоносного ПО содержат инструкции для пользователей по обходу этого механизма защиты, демонстрируя уровень изощренности своей тактики атаки. Вредоносная программа закодирована на C++ с использованием более старой версии Xcode и использует XOR-шифрование для маскировки своего поведения, что делает сканеры статических сигнатур менее эффективными при обнаружении ее вредоносных действий.
Анализ Cuckoo Stealer показывает, что он использует знакомые методы, которые можно увидеть у других инфокрадов, нацеленных на macOS, такие как использование AppleScript для дублирования файлов, папок и кражи паролей администратора в виде обычного текста. Вредоносная программа использует диалоговое окно для запроса пароля администратора, настойчиво запрашивая его до тех пор, пока не будет введен правильный пароль, даже если пользователь попытается отменить диалоговое окно. Кроме того, Cuckoo Stealer пытается установить постоянный агент запуска, чтобы обеспечить его присутствие в зараженных системах, используя автономные утилиты для выполнения различных задач.
Решения для обеспечения безопасности, такие как SentinelOne Singularity, оказались эффективными в обнаружении и предотвращении запуска Cuckoo Stealer, обеспечивая защиту от этой развивающейся угрозы. Уделяя особое внимание поведенческим индикаторам и ссылкам на TTP-адреса MITRE, характерные для инфокрадов macOS, SentinelOne обеспечивает надежный механизм защиты от таких разновидностей вредоносных программ. Быстрое развитие и инвестиции в ресурсы, наблюдаемые в рамках кампании Cuckoo Stealer, указывают на постоянную угрозу, что побуждает предприятия рассматривать сторонние решения для обеспечения безопасности устройств macOS от этой и подобных возникающих угроз.
Подводя итог, можно сказать, что появление Cuckoo Stealer подчеркивает постоянную угрозу, исходящую от инфокрадов, нацеленных на устройства macOS, с ее сложными функциями и методами обхода, требующими упреждающих стратегий противодействия и использования передовых решений безопасности для защиты от развивающихся киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем распространении инфокрадов, нацеленных на устройства macOS, с акцентом на семейство вредоносных программ Cuckoo Stealer, их возможности, методы распространения, эволюцию и изощренные методы уклонения. Это подчеркивает необходимость в упреждающих стратегиях смягчения последствий и передовых решениях безопасности для защиты от развивающихся киберугроз, нацеленных на macOS.
-----
Распространение инфокрадов, нацеленных на устройства macOS, растет уже более года, при этом такие варианты, как Atomic Stealer, RealStealer, MetaStealer и недавно идентифицированный Cuckoo Stealer, распространяются через вредоносные веб-сайты, взломанные приложения и троянские программы для установки. Cuckoo Stealer выделяется своей двойной функциональностью - как программа для кражи информации и как программа-шпион, что представляет серьезную угрозу для пользователей macOS. Это семейство вредоносных программ быстро развивалось с момента их первоначального обнаружения, и число уникальных троянских приложений выросло с четырех до 18, что свидетельствует о проактивном подходе злоумышленников к расширению зоны их атаки.
Cuckoo Stealer распространяется через приложения, содержащие вредоносный двоичный файл с именем upd в папке macOS, причем последние версии поддерживают архитектуры Intel x86 и arm64. Несмотря на то, что Gatekeeper от Apple предупреждает о незарегистрированных приложениях, авторы вредоносного ПО содержат инструкции для пользователей по обходу этого механизма защиты, демонстрируя уровень изощренности своей тактики атаки. Вредоносная программа закодирована на C++ с использованием более старой версии Xcode и использует XOR-шифрование для маскировки своего поведения, что делает сканеры статических сигнатур менее эффективными при обнаружении ее вредоносных действий.
Анализ Cuckoo Stealer показывает, что он использует знакомые методы, которые можно увидеть у других инфокрадов, нацеленных на macOS, такие как использование AppleScript для дублирования файлов, папок и кражи паролей администратора в виде обычного текста. Вредоносная программа использует диалоговое окно для запроса пароля администратора, настойчиво запрашивая его до тех пор, пока не будет введен правильный пароль, даже если пользователь попытается отменить диалоговое окно. Кроме того, Cuckoo Stealer пытается установить постоянный агент запуска, чтобы обеспечить его присутствие в зараженных системах, используя автономные утилиты для выполнения различных задач.
Решения для обеспечения безопасности, такие как SentinelOne Singularity, оказались эффективными в обнаружении и предотвращении запуска Cuckoo Stealer, обеспечивая защиту от этой развивающейся угрозы. Уделяя особое внимание поведенческим индикаторам и ссылкам на TTP-адреса MITRE, характерные для инфокрадов macOS, SentinelOne обеспечивает надежный механизм защиты от таких разновидностей вредоносных программ. Быстрое развитие и инвестиции в ресурсы, наблюдаемые в рамках кампании Cuckoo Stealer, указывают на постоянную угрозу, что побуждает предприятия рассматривать сторонние решения для обеспечения безопасности устройств macOS от этой и подобных возникающих угроз.
Подводя итог, можно сказать, что появление Cuckoo Stealer подчеркивает постоянную угрозу, исходящую от инфокрадов, нацеленных на устройства macOS, с ее сложными функциями и методами обхода, требующими упреждающих стратегий противодействия и использования передовых решений безопасности для защиты от развивающихся киберугроз.
#ParsedReport #CompletenessLow
09-05-2024
Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up
https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024
Report completeness: Low
Actors/Campaigns:
Nemesis_kitten
Threats:
Lockbit
Ars_loader
Kmsauto_tool
Victims:
Royal mail, Canadian town, Chicago children's hospital, British armed forces, Users of affected vpn applications, Users of affected tinyproxy, Users of milesight ur32l wireless router
Industry:
Military, Iot, Telco, Government, Financial
Geo:
Canadian, Ontario, Russian, Chinese, Netherlands, China
CVEs:
CVE-2023-49606 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1190
IOCs:
Hash: 10
File: 4
Soft:
Android, Tinyproxy, Kmsauto
Algorithms:
md5
Platforms:
x86
09-05-2024
Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up
https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024
Report completeness: Low
Actors/Campaigns:
Nemesis_kitten
Threats:
Lockbit
Ars_loader
Kmsauto_tool
Victims:
Royal mail, Canadian town, Chicago children's hospital, British armed forces, Users of affected vpn applications, Users of affected tinyproxy, Users of milesight ur32l wireless router
Industry:
Military, Iot, Telco, Government, Financial
Geo:
Canadian, Ontario, Russian, Chinese, Netherlands, China
CVEs:
CVE-2023-49606 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1190
IOCs:
Hash: 10
File: 4
Soft:
Android, Tinyproxy, Kmsauto
Algorithms:
md5
Platforms:
x86
Cisco Talos
A new alert system from CISA seems to be effective — now we just need companies to sign up
Under a pilot program, CISA has sent out more than 2,000 alerts to registered organizations regarding the existence of any unpatched vulnerabilities in CISA’s KEV catalog.
CTT Report Hub
#ParsedReport #CompletenessLow 09-05-2024 Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024 Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена различным темам разведки киберугроз, в том числе программе, предоставляющей бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети, обвинительному заключению Дмитрия Юрьевича Хорошева, лидера группы программ-вымогателей LockBit, недавнему раскрытию уязвимостей исследовательской группой Cisco Talos, а также важности оперативное реагирование на киберугрозы и уязвимости для улучшения состояния кибербезопасности и защиты критически важной инфраструктуры и национальной безопасности.
-----
В тексте обсуждаются различные темы, касающиеся анализа киберугроз, в том числе программа, которая предоставляет бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети. В настоящее время оповещения доступны федеральным органам власти, правительствам штатов, местным органам власти, племенам и территориям, а также некоторым организациям, занимающимся критически важной инфраструктурой. Цель состоит в том, чтобы расширить охват программы в будущем, но есть вопросы о критериях приемлемости для объектов критически важной инфраструктуры, таких как региональные интернет-провайдеры. Несмотря на то, что подписаться на получение оповещений по электронной почте несложно, цель программы - помочь организациям, испытывающим нехватку персонала и финансирования, улучшить свою систему кибербезопасности.
Кроме того, в нем упоминается идентификация и предъявление обвинения Дмитрию Юрьевичу Хорошеву, предполагаемому лидеру группы вымогателей LockBit, которому в США предъявлено 26 обвинений с максимальным наказанием в виде 185 лет тюремного заключения. Группа LockBit вымогала у жертв около 500 миллионов долларов и связана с крупными нападениями, в том числе на Royal Mail, канадский город и детскую больницу в Чикаго. США предлагают вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к аресту Хорошева. Кроме того, Великобритания обвинила спонсируемых китайским государством лиц в утечке данных военного подрядчика, которая затронула около 270 000 военнослужащих британских вооруженных сил.
Кроме того, в тексте освещаются недавние раскрытия уязвимостей исследовательской группой Cisco Talos, в которых основное внимание уделяется трем уязвимостям нулевого дня. Примечательно, что две уязвимости в демоне HTTP-прокси Tinyproxy и библиотеке файлов stb_vorbis.c могут привести к выполнению произвольного кода с оценкой CVSS 9,8 из 10. Хотя с тех пор Tinyproxy был исправлен, в беспроводном маршрутизаторе Milesight UR32L существует еще одна уязвимость нулевого дня. Эти данные были опубликованы в соответствии с графиком, после того как соответствующие поставщики не смогли устранить уязвимости в течение указанного периода.
В обсуждении подчеркивается уязвимость после использования (CVE-2023-49606) в заголовке "Connection" Tinyproxy, которая может привести к удаленному выполнению кода из-за повреждения памяти. Несмотря на наличие некоторых исправлений, некоторые выявленные проблемы остаются нерешенными, что побуждает затронутых пользователей искать альтернативные способы их устранения. В целом, в тексте подчеркивается важность получения информации о киберугрозах, оперативного реагирования на уязвимости и учета последствий различных киберинцидентов для критически важной инфраструктуры и национальной безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена различным темам разведки киберугроз, в том числе программе, предоставляющей бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети, обвинительному заключению Дмитрия Юрьевича Хорошева, лидера группы программ-вымогателей LockBit, недавнему раскрытию уязвимостей исследовательской группой Cisco Talos, а также важности оперативное реагирование на киберугрозы и уязвимости для улучшения состояния кибербезопасности и защиты критически важной инфраструктуры и национальной безопасности.
-----
В тексте обсуждаются различные темы, касающиеся анализа киберугроз, в том числе программа, которая предоставляет бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети. В настоящее время оповещения доступны федеральным органам власти, правительствам штатов, местным органам власти, племенам и территориям, а также некоторым организациям, занимающимся критически важной инфраструктурой. Цель состоит в том, чтобы расширить охват программы в будущем, но есть вопросы о критериях приемлемости для объектов критически важной инфраструктуры, таких как региональные интернет-провайдеры. Несмотря на то, что подписаться на получение оповещений по электронной почте несложно, цель программы - помочь организациям, испытывающим нехватку персонала и финансирования, улучшить свою систему кибербезопасности.
Кроме того, в нем упоминается идентификация и предъявление обвинения Дмитрию Юрьевичу Хорошеву, предполагаемому лидеру группы вымогателей LockBit, которому в США предъявлено 26 обвинений с максимальным наказанием в виде 185 лет тюремного заключения. Группа LockBit вымогала у жертв около 500 миллионов долларов и связана с крупными нападениями, в том числе на Royal Mail, канадский город и детскую больницу в Чикаго. США предлагают вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к аресту Хорошева. Кроме того, Великобритания обвинила спонсируемых китайским государством лиц в утечке данных военного подрядчика, которая затронула около 270 000 военнослужащих британских вооруженных сил.
Кроме того, в тексте освещаются недавние раскрытия уязвимостей исследовательской группой Cisco Talos, в которых основное внимание уделяется трем уязвимостям нулевого дня. Примечательно, что две уязвимости в демоне HTTP-прокси Tinyproxy и библиотеке файлов stb_vorbis.c могут привести к выполнению произвольного кода с оценкой CVSS 9,8 из 10. Хотя с тех пор Tinyproxy был исправлен, в беспроводном маршрутизаторе Milesight UR32L существует еще одна уязвимость нулевого дня. Эти данные были опубликованы в соответствии с графиком, после того как соответствующие поставщики не смогли устранить уязвимости в течение указанного периода.
В обсуждении подчеркивается уязвимость после использования (CVE-2023-49606) в заголовке "Connection" Tinyproxy, которая может привести к удаленному выполнению кода из-за повреждения памяти. Несмотря на наличие некоторых исправлений, некоторые выявленные проблемы остаются нерешенными, что побуждает затронутых пользователей искать альтернативные способы их устранения. В целом, в тексте подчеркивается важность получения информации о киберугрозах, оперативного реагирования на уязвимости и учета последствий различных киберинцидентов для критически важной инфраструктуры и национальной безопасности.
#ParsedReport #CompletenessHigh
09-05-2024
SocGholish Sets Sights on Victim Peers
https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers
Report completeness: High
Threats:
Socgholish_loader
Lolbin_technique
Industry:
Education
Geo:
Emea, America, Apac
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1566, T1193, T1020, T1059, T1204, T1140, T1556, T1070, T1565, T1105, have more...
IOCs:
File: 2
Hash: 1
Url: 5
Path: 2
Command: 2
IP: 1
Soft:
Selenium, WordPress, Microsoft Edge, Google Chrome, Chrome, Microsoft Outlook
Algorithms:
md5, base64
Languages:
powershell, python, javascript
Links:
09-05-2024
SocGholish Sets Sights on Victim Peers
https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers
Report completeness: High
Threats:
Socgholish_loader
Lolbin_technique
Industry:
Education
Geo:
Emea, America, Apac
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1020, T1059, T1204, T1140, T1556, T1070, T1565, T1105, have more...
IOCs:
File: 2
Hash: 1
Url: 5
Path: 2
Command: 2
IP: 1
Soft:
Selenium, WordPress, Microsoft Edge, Google Chrome, Chrome, Microsoft Outlook
Algorithms:
md5, base64
Languages:
powershell, python, javascript
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SocGholish/SocGholish\_iocs\_4-27-2024.txteSentire
SocGholish Sets Sights on Victim Peers
Learn more about SocGholish malware infection initiated by a fake browser update and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessHigh 09-05-2024 SocGholish Sets Sights on Victim Peers https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers Report completeness: High Threats: Socgholish_loader Lolbin_technique Industry: Education Geo: Emea…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена подразделению eSentire Threat Response Unit (TRU) и его усилиям по повышению устойчивости организации с помощью передовых исследований угроз, возможностей обнаружения и сотрудничества с центрами обеспечения безопасности (SoCs). В тексте также освещается конкретный инцидент, когда TRU обнаружил заражение SocGholish, вызванное поддельным обновлением браузера, и обсуждается тактика, используемая злоумышленниками для компрометации деловых отношений, сбора конфиденциальных данных и мониторинга действий пользователей. Подчеркивается важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных источников, тщательного мониторинга поведения в сети и понимания поведения после эксплуатации для защиты от кибератак.
-----
В апреле 2024 года eSentire TRU выявила вирусную инфекцию SocGholish, которая возникла из-за поддельного обновления браузера, использующего запутанный JavaScript для закрепления в целевой среде. Злоумышленники стремились скомпрометировать деловые отношения, внедряя веб-маяки в подписи электронной почты и общие сетевые ресурсы, что позволяло им отображать соединения и потенциально использовать уязвимости. Вредоносный код JavaScript был внедрен на взломанный веб-сайт под видом поддельного обновления браузера с именем "Update.js" в качестве тактики, позволяющей обойти механизмы обнаружения. Впоследствии, после заражения, злоумышленники осуществляли различные вредоносные действия, включая извлечение пароля, выполнение команд PowerShell для расшифровки ключей шифрования и развертывание полезных программ на языке Python в системе жертвы. Они также использовали команды PowerShell для изменения файлов подписи HTML в Microsoft Outlook для удаленного доступа и наблюдения. Кроме того, в сетевом ресурсе были созданы ярлыки, позволяющие отслеживать взаимодействие пользователей, подключаясь к серверу управления (C2). Эта кампания по внедрению SocGholish продемонстрировала тактику социальной инженерии, используя поддельные обновления для проникновения в системы и выполнения действий по сценарию для сбора конфиденциальных данных и мониторинга действий пользователей.
Первичный источник заражения, который включал загрузку с компьютера, замаскированную под законное обновление браузера, подчеркивает критическую важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных или подозрительных источников. Извлечение и манипулирование критически важными данными, такими как учетные данные для входа в браузеры и изменения в подписях электронной почты для потенциального отслеживания взаимодействий, подчеркивают необходимость тщательного мониторинга поведения сети и анализа любых нерегулярных действий, которые могут указывать на скомпрометированный хост. Более того, использование закодированных сценариев PowerShell для расшифровки паролей и создание переносимой среды Python для дальнейших вредоносных операций подчеркивают важность понимания поведения после эксплуатации и потенциальных признаков компрометации для эффективной защиты от вторжений и реагирования на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена подразделению eSentire Threat Response Unit (TRU) и его усилиям по повышению устойчивости организации с помощью передовых исследований угроз, возможностей обнаружения и сотрудничества с центрами обеспечения безопасности (SoCs). В тексте также освещается конкретный инцидент, когда TRU обнаружил заражение SocGholish, вызванное поддельным обновлением браузера, и обсуждается тактика, используемая злоумышленниками для компрометации деловых отношений, сбора конфиденциальных данных и мониторинга действий пользователей. Подчеркивается важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных источников, тщательного мониторинга поведения в сети и понимания поведения после эксплуатации для защиты от кибератак.
-----
В апреле 2024 года eSentire TRU выявила вирусную инфекцию SocGholish, которая возникла из-за поддельного обновления браузера, использующего запутанный JavaScript для закрепления в целевой среде. Злоумышленники стремились скомпрометировать деловые отношения, внедряя веб-маяки в подписи электронной почты и общие сетевые ресурсы, что позволяло им отображать соединения и потенциально использовать уязвимости. Вредоносный код JavaScript был внедрен на взломанный веб-сайт под видом поддельного обновления браузера с именем "Update.js" в качестве тактики, позволяющей обойти механизмы обнаружения. Впоследствии, после заражения, злоумышленники осуществляли различные вредоносные действия, включая извлечение пароля, выполнение команд PowerShell для расшифровки ключей шифрования и развертывание полезных программ на языке Python в системе жертвы. Они также использовали команды PowerShell для изменения файлов подписи HTML в Microsoft Outlook для удаленного доступа и наблюдения. Кроме того, в сетевом ресурсе были созданы ярлыки, позволяющие отслеживать взаимодействие пользователей, подключаясь к серверу управления (C2). Эта кампания по внедрению SocGholish продемонстрировала тактику социальной инженерии, используя поддельные обновления для проникновения в системы и выполнения действий по сценарию для сбора конфиденциальных данных и мониторинга действий пользователей.
Первичный источник заражения, который включал загрузку с компьютера, замаскированную под законное обновление браузера, подчеркивает критическую важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных или подозрительных источников. Извлечение и манипулирование критически важными данными, такими как учетные данные для входа в браузеры и изменения в подписях электронной почты для потенциального отслеживания взаимодействий, подчеркивают необходимость тщательного мониторинга поведения сети и анализа любых нерегулярных действий, которые могут указывать на скомпрометированный хост. Более того, использование закодированных сценариев PowerShell для расшифровки паролей и создание переносимой среды Python для дальнейших вредоносных операций подчеркивают важность понимания поведения после эксплуатации и потенциальных признаков компрометации для эффективной защиты от вторжений и реагирования на них.
#ParsedReport #CompletenessHigh
10-05-2024
Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation
https://www.ctfiot.com/180250.html
Report completeness: High
Actors/Campaigns:
Lazarus
Contagious_interview
Threats:
Anydesk_tool
Beavertail
Invisibleferret
Victims:
Developers in the blockchain industry, Financial institutions
Industry:
Financial, Government
Geo:
Asian
ChatGPT TTPs:
T1566, T1204, T1059, T1064, T1027, T1573, T1555
IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4
Url: 12
Soft:
macOS, Chrome, Opera, , Android, WeChat
Algorithms:
base64, zip, md5
Languages:
javascript, python
10-05-2024
Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation
https://www.ctfiot.com/180250.html
Report completeness: High
Actors/Campaigns:
Lazarus
Contagious_interview
Threats:
Anydesk_tool
Beavertail
Invisibleferret
Victims:
Developers in the blockchain industry, Financial institutions
Industry:
Financial, Government
Geo:
Asian
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1064, T1027, T1573, T1555
IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4
Url: 12
Soft:
macOS, Chrome, Opera, , Android, WeChat
Algorithms:
base64, zip, md5
Languages:
javascript, python
CTF导航
针对区块链从业者的招聘陷阱:疑似Lazarus(APT-Q-1)窃密行动分析 | CTF导航
团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的...
CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation https://www.ctfiot.com/180250.html Report completeness: High Actors/Campaigns: Lazarus Contagious_interview…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Lazarus, организация APT из Северо-Восточной Азии, ранее работала с государственными учреждениями, но с 2014 года переключила свое внимание на глобальные финансовые институты и платформы виртуальной валюты. В последнее время они нацелились на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о приеме на работу, используя такие платформы, как LinkedIn и Upwork, для кражи конфиденциальной информации, связанной с виртуальной валютой, и внедрения вредоносных программ. Злоумышленники хранят вредоносный код в программных пакетах на таких платформах, как GitHub, GitLab и Bitbucket, что затрудняет его обнаружение. Lazarus последовательно атакует криптовалютную и блокчейн-индустрию, используя методы фишинга и социальной инженерии для кражи криптовалюты.
-----
Краткое содержание:.
Компания QiAnXin идентифицировала Lazarus, организацию APT, предположительно имеющую происхождение из Северо-Восточной Азии, по внутреннему номеру для отслеживания APT-Q-1. Группа впервые привлекла к себе внимание нападками на Sony Pictures в 2014 году и ведет свою историю с 2007 года. Изначально Lazarus был нацелен на правительственные агентства, занимающиеся кражей разведывательных данных, но с 2014 года переключился на глобальные финансовые институты и платформы виртуальной валюты, занимающиеся кражей денег и активов. В последнее время Lazarus нацелился на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о вакансиях на таких платформах, как LinkedIn и Upwork. Злоумышленники используют эти объявления о приеме на работу, чтобы обманом заставить кандидатов запустить вредоносный код на их устройствах, что приводит к краже конфиденциальной информации, связанной с виртуальной валютой, и внедрению вредоносного ПО.
Злоумышленники используют такие платформы, как GitHub, GitLab и Bitbucket, для хранения пакетов программного обеспечения, содержащих вредоносный код, который может быть загружен кандидатами в блокчейн-индустрии. В примерах атак часто упоминается домен app.freebling.io, связанный с кражей криптовалютных кошельков. Вредоносный JavaScript-код вставляется в пакеты программного обеспечения, что затрудняет его обнаружение. Пример MD5-хэша показывает, как конфиденциальная информация собирается и отправляется на сервер C2 с последующей загрузкой скриптов для дальнейшей кражи данных.
Lazarus последовательно нацеливается на криптовалютную и блокчейн-индустрию, часто используя методы фишинга для привлечения технического персонала. Создавая фальшивые удостоверения личности и используя поиск работы в качестве прикрытия, злоумышленники стремятся украсть криптовалюту с помощью социальной инженерии. Считается, что продолжающиеся крупномасштабные фишинговые атаки связаны с Lazarus из-за сходства тактики и таргетинга на блокчейн-сектор.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Lazarus, организация APT из Северо-Восточной Азии, ранее работала с государственными учреждениями, но с 2014 года переключила свое внимание на глобальные финансовые институты и платформы виртуальной валюты. В последнее время они нацелились на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о приеме на работу, используя такие платформы, как LinkedIn и Upwork, для кражи конфиденциальной информации, связанной с виртуальной валютой, и внедрения вредоносных программ. Злоумышленники хранят вредоносный код в программных пакетах на таких платформах, как GitHub, GitLab и Bitbucket, что затрудняет его обнаружение. Lazarus последовательно атакует криптовалютную и блокчейн-индустрию, используя методы фишинга и социальной инженерии для кражи криптовалюты.
-----
Краткое содержание:.
Компания QiAnXin идентифицировала Lazarus, организацию APT, предположительно имеющую происхождение из Северо-Восточной Азии, по внутреннему номеру для отслеживания APT-Q-1. Группа впервые привлекла к себе внимание нападками на Sony Pictures в 2014 году и ведет свою историю с 2007 года. Изначально Lazarus был нацелен на правительственные агентства, занимающиеся кражей разведывательных данных, но с 2014 года переключился на глобальные финансовые институты и платформы виртуальной валюты, занимающиеся кражей денег и активов. В последнее время Lazarus нацелился на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о вакансиях на таких платформах, как LinkedIn и Upwork. Злоумышленники используют эти объявления о приеме на работу, чтобы обманом заставить кандидатов запустить вредоносный код на их устройствах, что приводит к краже конфиденциальной информации, связанной с виртуальной валютой, и внедрению вредоносного ПО.
Злоумышленники используют такие платформы, как GitHub, GitLab и Bitbucket, для хранения пакетов программного обеспечения, содержащих вредоносный код, который может быть загружен кандидатами в блокчейн-индустрии. В примерах атак часто упоминается домен app.freebling.io, связанный с кражей криптовалютных кошельков. Вредоносный JavaScript-код вставляется в пакеты программного обеспечения, что затрудняет его обнаружение. Пример MD5-хэша показывает, как конфиденциальная информация собирается и отправляется на сервер C2 с последующей загрузкой скриптов для дальнейшей кражи данных.
Lazarus последовательно нацеливается на криптовалютную и блокчейн-индустрию, часто используя методы фишинга для привлечения технического персонала. Создавая фальшивые удостоверения личности и используя поиск работы в качестве прикрытия, злоумышленники стремятся украсть криптовалюту с помощью социальной инженерии. Считается, что продолжающиеся крупномасштабные фишинговые атаки связаны с Lazarus из-за сходства тактики и таргетинга на блокчейн-сектор.