#ParsedReport #CompletenessLow
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
T1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
15-05-2024
Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)
Threats:
Eternal_petya
Victims:
Ukraine, Google
Industry:
Petroleum, Government, Military, Energy
Geo:
Ukraine, Russia, Moscow, Russian
ChatGPT TTPs:
do not use without manual checkT1562
Soft:
Jenkins, Gmail, Chrome
Platforms:
arm
Google Cloud Blog
Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm | Google Cloud Blog
APT44 is a threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations.
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm Report completeness: Low Actors/Campaigns: Sandworm (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----
Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.
Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.
Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.
APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.
APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.
APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.
Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----
Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.
Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.
Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.
APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.
APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.
APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.
Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
#ParsedReport #CompletenessHigh
16-05-2024
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed
Report completeness: High
Threats:
Grandoreiro
Bloat_technique
Fake-trusteer
Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service
Industry:
Financial, Government
Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...
IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4
Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera
Wallets:
electrum, coinomi
Crypto:
binance, bitcoin
Algorithms:
zip, cbc, rc4, aes, sha256
Win API:
ShellExecuteW
Languages:
javascript, delphi, pascal, python
Links:
16-05-2024
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed
Report completeness: High
Threats:
Grandoreiro
Bloat_technique
Fake-trusteer
Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service
Industry:
Financial, Government
Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...
IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4
Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera
Wallets:
electrum, coinomi
Crypto:
binance, bitcoin
Algorithms:
zip, cbc, rc4, aes, sha256
Win API:
ShellExecuteW
Languages:
javascript, delphi, pascal, python
Links:
https://github.com/AArhin/delphi-oop/blob/master/Persistence/Externals/NativeXml/extlib/eldos\_aes/ElAES.pasSecurity Intelligence
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
Since March 2024, IBM X-Force has been tracking several large-scale phishing campaigns distributing the Grandoreiro banking trojan.
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed Report completeness: High Threats: Grandoreiro Bloat_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----
IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.
Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.
Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.
Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.
Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.
Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.
Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.
Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----
IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.
Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.
Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.
Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.
Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.
Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.
Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.
Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
#ParsedReport #CompletenessHigh
17-05-2024
Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups
https://rt-solar.ru/solar-4rays/blog/4329
Report completeness: High
Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti
Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique
Victims:
Russian telecom company, Government iis servers
Industry:
Healthcare, Telco, Government
Geo:
Russian, Australian, Switzerland, Usa, Asian
CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)
TTPs:
IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9
Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows
Algorithms:
aes, sha1, base64, xor, md5, sha256
Win Services:
w3svc
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
17-05-2024
Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups
https://rt-solar.ru/solar-4rays/blog/4329
Report completeness: High
Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti
Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique
Victims:
Russian telecom company, Government iis servers
Industry:
Healthcare, Telco, Government
Geo:
Russian, Australian, Switzerland, Usa, Asian
CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)
TTPs:
IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9
Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows
Algorithms:
aes, sha1, base64, xor, md5, sha256
Win Services:
w3svc
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
https://github.com/Kevin-Robertson/Invoke-TheHash/tree/master?tab=readme-ov-file#invoke-smbclienthttps://github.com/pwntester/ysoserial.net/tree/masterhttps://github.com/pwntester/ysoserial.net/blob/1dba9c4416ba6e79b6b262b758fa75e2ee9008e9/ysoserial/Generators/ActivitySurrogateDisableTypeCheck.cs#L48
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups https://rt-solar.ru/solar-4rays/blog/4329 Report completeness: High Actors/Campaigns: Obstinate_mogwai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----
В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.
В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.
В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.
Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.
В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----
В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.
В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.
В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.
Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.
В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
#ParsedReport #CompletenessMedium
17-05-2024
[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate
https://www.ctfiot.com/182058.html
Report completeness: Medium
Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Victims:
Operation and maintenance personnel
ChatGPT TTPs:
T1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090
IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7
Soft:
Nginx, WeChat
Algorithms:
md5
17-05-2024
[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate
https://www.ctfiot.com/182058.html
Report completeness: Medium
Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Victims:
Operation and maintenance personnel
ChatGPT TTPs:
do not use without manual checkT1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090
IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7
Soft:
Nginx, WeChat
Algorithms:
md5
CTF导航
【高级持续威胁(APT)】amdc6766团伙来袭,供应链投毒攻击再升级 | CTF导航
概述2024年5月,深信服深瞻情报实验室,监测到LNMP遭受供应链投毒攻击。根据此次供应链攻击分析,深瞻情报实验室将该事件归因为amdc6766黑产组织。2023上半年至今,amdc6766黑产组织利用仿冒页面(AMH、宝塔、Xsh...
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 [Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate https://www.ctfiot.com/182058.html Report completeness: Medium Actors/Campaigns: Amdc6766 (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----
Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.
Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.
Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.
Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.
В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.
Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.
Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----
Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.
Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.
Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.
Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.
В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.
Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.
Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
#ParsedReport #CompletenessHigh
16-05-2024
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID
https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus
Report completeness: High
Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 2
Technics: 6
IOCs:
File: 15
Domain: 4
Hash: 1
Soft:
Component Object Model, Flask
Algorithms:
crc-32, sha256, prng, rc4, base64
Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx
Languages:
javascript, python
YARA: Found
Links:
16-05-2024
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID
https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus
Report completeness: High
Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 2
Technics: 6
IOCs:
File: 15
Domain: 4
Hash: 1
Soft:
Component Object Model, Flask
Algorithms:
crc-32, sha256, prng, rc4, base64
Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx
Languages:
javascript, python
YARA: Found
Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_oversized\_windows\_script\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_oversized\_windows\_script\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_remote\_file\_execution\_via\_msiexec.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_suspicious\_msiexec\_child\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_virtualprotect\_api\_call\_from\_an\_unsigned\_dll.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_shellcode\_execution\_from\_low\_reputation\_module.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/persistence\_scheduled\_task\_creation\_by\_an\_unusual\_process.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_potential\_self\_deletion\_of\_a\_running\_executable.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_network\_module\_loaded\_from\_suspicious\_unbacked\_memory.tomlhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_rundll32\_or\_regsvr32\_loaded\_a\_dll\_from\_unbacked\_memory.tomlhttps://github.com/mandiant/capa-rules/blob/master/anti-analysis/anti-forensic/self-deletion/self-delete-using-alternate-data-streams.ymlhttps://github.com/elastic/labs-releases/blob/main/tools/latrodectus/latro\_str\_decrypt.pyhttps://github.com/LloydLabs/delete-self-pochttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Latrodectus.yarhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_command\_shell\_activity\_started\_via\_rundll32.tomlhttps://github.com/LloydLabs/delete-self-poc/blob/49fe92218fdcfe8e173aa60a9eb307bae07cb027/main.h#L10https://github.com/elastic/labs-releases/tree/main/nightMAREhttps://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/initial\_access\_execution\_via\_a\_suspicious\_wmi\_client.tomlwww.elastic.co
Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID — Elastic Security Labs
Elastic Security Labs has observed an uptick in a recent emerging loader known as LATRODECTUS. This lightweight loader packs a big punch with ties to ICEDID and may turn into a possible replacement to fill the gap in the loader market.
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus Report completeness: High Threats: Latrodectus Icedid Pikabot Qakbot Rook…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что LATRODECTUS - это сложный и развивающийся загрузчик вредоносных программ, тесно связанный с ICEDID, обладающий расширенными возможностями, методами обхода и механизмом самоудаления. Он активно используется в киберкампаниях и представляет серьезную угрозу для организаций, что побуждает специалистов по кибербезопасности проявлять бдительность при выявлении и смягчении его последствий.
-----
LATRODECTUS - это вредоносный загрузчик, впервые обнаруженный исследователями Walmart в октябре 2023 года, набирающий популярность среди киберпреступников и демонстрирующий тесную связь с ICEDID из-за сходства в поведении и развитии. Этот загрузчик предоставляет участникам угроз различные возможности для развертывания дополнительных полезных нагрузок, включая базу кода с 11 обработчиками команд, ориентированными на перечисление и выполнение. LATRODECTUS является частью недавней тенденции создания облегченных и прямых загрузчиков, наблюдаемой специалистами по кибербезопасности.
В Elastic Security Labs отметили увеличение количества рассылок по электронной почте с рассылкой LATRODECTUS, начиная с начала марта 2024 года, в которых используются узнаваемые цепочки заражения, включающие файлы JavaScript большого размера, которые используют WMI для установки удаленного файла MSI. Поскольку другие загрузчики, такие как QBOT и ICEDID, столкнулись с закрытием или сокращением присутствия, в качестве потенциальных заменителей появляются новые, такие как PIKABOT и LATRODECTUS.
Образец вредоносной программы LATRODECTUS изначально содержит информацию о файле, маскирующуюся под компонент драйвера режима ядра Bitdefender. В нем используется простой алгоритм защиты строк и тактика, позволяющая скрыть импорт до времени выполнения. Россия- выполняя противоаналитические проверки, такие как обнаружение отладчиков и изолированных сред, LATRODECTUS обеспечивает защиту от заражения и сохранение работоспособности зараженных систем.
LATRODECTUS использует технологию самоудаления, позволяющую ему удалять себя во время выполнения процесса, чтобы препятствовать процессам реагирования на инциденты. Вредоносная программа шифрует свои запросы с помощью base64 и RC4 с помощью жестко заданного пароля и поддерживает постоянство при выполнении запланированных задач с использованием компонентной объектной модели Windows (COM). Кроме того, она поддерживает дрожание для передачи данных по маяку на сервер командования и управления, повышая скрытность за счет рандомизированных интервалов связи.
Между ICEDID и LATRODECTUS есть заметные сходства, такие как общие команды перечисления, экспорт библиотек DLL, указывающих на один и тот же адрес, и настройка запланированных задач на основе COM. Хотя исследователи окончательно не пришли к выводу о прямой взаимосвязи между этими двумя семействами, развитие LATRODECTUS может быть продолжающейся попыткой постепенно вытеснить ICEDID.
Чтобы помочь организациям обнаруживать LATRODECTUS и реагировать на него, Elastic Security разработала правила YARA и запросы для обнаружения. Кроме того, создав изолированную среду с сервером Flask, настроенным для имитации действий вредоносного ПО, защитники могут эффективно протестировать свои механизмы обнаружения и ведения журнала. Защитные функции Elastic Defend и сигнатуры памяти используются для выявления инфекций, вызванных LATRODECTUS, и реагирования на них.
Таким образом, LATRODECTUS представляет собой серьезную киберугрозу благодаря своим расширяющимся возможностям, подключениям к ICEDID и сложным методам обхода. Специалисты по кибербезопасности должны проявлять бдительность при обнаружении и устранении этого вредоносного ПО, чтобы защитить свои сети и системы от эксплуатации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что LATRODECTUS - это сложный и развивающийся загрузчик вредоносных программ, тесно связанный с ICEDID, обладающий расширенными возможностями, методами обхода и механизмом самоудаления. Он активно используется в киберкампаниях и представляет серьезную угрозу для организаций, что побуждает специалистов по кибербезопасности проявлять бдительность при выявлении и смягчении его последствий.
-----
LATRODECTUS - это вредоносный загрузчик, впервые обнаруженный исследователями Walmart в октябре 2023 года, набирающий популярность среди киберпреступников и демонстрирующий тесную связь с ICEDID из-за сходства в поведении и развитии. Этот загрузчик предоставляет участникам угроз различные возможности для развертывания дополнительных полезных нагрузок, включая базу кода с 11 обработчиками команд, ориентированными на перечисление и выполнение. LATRODECTUS является частью недавней тенденции создания облегченных и прямых загрузчиков, наблюдаемой специалистами по кибербезопасности.
В Elastic Security Labs отметили увеличение количества рассылок по электронной почте с рассылкой LATRODECTUS, начиная с начала марта 2024 года, в которых используются узнаваемые цепочки заражения, включающие файлы JavaScript большого размера, которые используют WMI для установки удаленного файла MSI. Поскольку другие загрузчики, такие как QBOT и ICEDID, столкнулись с закрытием или сокращением присутствия, в качестве потенциальных заменителей появляются новые, такие как PIKABOT и LATRODECTUS.
Образец вредоносной программы LATRODECTUS изначально содержит информацию о файле, маскирующуюся под компонент драйвера режима ядра Bitdefender. В нем используется простой алгоритм защиты строк и тактика, позволяющая скрыть импорт до времени выполнения. Россия- выполняя противоаналитические проверки, такие как обнаружение отладчиков и изолированных сред, LATRODECTUS обеспечивает защиту от заражения и сохранение работоспособности зараженных систем.
LATRODECTUS использует технологию самоудаления, позволяющую ему удалять себя во время выполнения процесса, чтобы препятствовать процессам реагирования на инциденты. Вредоносная программа шифрует свои запросы с помощью base64 и RC4 с помощью жестко заданного пароля и поддерживает постоянство при выполнении запланированных задач с использованием компонентной объектной модели Windows (COM). Кроме того, она поддерживает дрожание для передачи данных по маяку на сервер командования и управления, повышая скрытность за счет рандомизированных интервалов связи.
Между ICEDID и LATRODECTUS есть заметные сходства, такие как общие команды перечисления, экспорт библиотек DLL, указывающих на один и тот же адрес, и настройка запланированных задач на основе COM. Хотя исследователи окончательно не пришли к выводу о прямой взаимосвязи между этими двумя семействами, развитие LATRODECTUS может быть продолжающейся попыткой постепенно вытеснить ICEDID.
Чтобы помочь организациям обнаруживать LATRODECTUS и реагировать на него, Elastic Security разработала правила YARA и запросы для обнаружения. Кроме того, создав изолированную среду с сервером Flask, настроенным для имитации действий вредоносного ПО, защитники могут эффективно протестировать свои механизмы обнаружения и ведения журнала. Защитные функции Elastic Defend и сигнатуры памяти используются для выявления инфекций, вызванных LATRODECTUS, и реагирования на них.
Таким образом, LATRODECTUS представляет собой серьезную киберугрозу благодаря своим расширяющимся возможностям, подключениям к ICEDID и сложным методам обхода. Специалисты по кибербезопасности должны проявлять бдительность при обнаружении и устранении этого вредоносного ПО, чтобы защитить свои сети и системы от эксплуатации.
#ParsedReport #CompletenessMedium
16-05-2024
New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates
https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates
Report completeness: Medium
Threats:
Antidot
Brokewell
Chameleon
Ermac
Industry:
Financial
Geo:
German, Romanian, French, Portuguese, Russian, Spanish
TTPs:
Tactics: 4
Technics: 8
IOCs:
Url: 5
Hash: 4
Soft:
Android
Algorithms:
md5, base64, sha256, sha1
16-05-2024
New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates
https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates
Report completeness: Medium
Threats:
Antidot
Brokewell
Chameleon
Ermac
Industry:
Financial
Geo:
German, Romanian, French, Portuguese, Russian, Spanish
TTPs:
Tactics: 4
Technics: 8
IOCs:
Url: 5
Hash: 4
Soft:
Android
Algorithms:
md5, base64, sha256, sha1
Cyble
New Antidot Trojan Disguised As Fake Google Play Updates
Discover the 'Antidot' Android Banking Trojan: a fake Google Play update that steals credentials using overlay attacks and remote control techniques.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-05-2024 New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что банковский троянец Android "Antidot" - это сложная угроза, нацеленная на пользователей Android по всему миру, использующая такие методы, как VNC, оверлейные атаки, кейлоггинг и связь с серверами управления. Вредоносная программа использует различные вредоносные функции для получения несанкционированного доступа к конфиденциальным данным, удаленного управления функциями устройства и выполнения оверлейных атак с целью получения учетных данных. Использование в нем шифрования и обфускации, наряду с расширяющимися возможностями, подчеркивает важность бдительности пользователей и постоянного анализа для борьбы с растущей изощренностью киберугроз.
-----
Банковский троянец Android "Antidot" выдает себя за приложение для обновления Google Play, предназначенное для пользователей Android по всему миру.
Он использует методы VNC и Overlay для кражи учетных данных, а также такие вредоносные функции, как кейлоггинг и атаки overlay.
Троянец взаимодействует со своим сервером управления через WebSocket для взаимодействия в режиме реального времени и выполнения команд, включая сбор SMS-сообщений и удаленное управление функциями устройства.
Лаборатории Cyble Research и Intelligence Labs обнаружили "Антидот", который использует оверлейные атаки в качестве основного метода сбора учетных данных и пользовательское шифрование для обфускации.
"Antidot" предлагает пользователям предоставить службе специальных возможностей разрешения на ее вредоносные действия и устанавливает связь со своим C&C-сервером через HTTP и WebSockets.
Всего он поддерживает 35 команд, начиная от базовых функций, таких как получение SMS-сообщений, и заканчивая сложными действиями, такими как инициализация активности VNC.
Вредоносная программа захватывает и передает содержимое экрана устройства с помощью функции MediaProjection и выполняет оверлейные атаки для перехвата учетных данных пользователя.
Он использует кейлоггинг для отслеживания и эксфильтрации введенных данных, кодирования и передачи их на сервер для анализа.
Эволюция банковских троянских программ для Android, таких как "Antidot", демонстрирует необходимость повышения бдительности пользователей и постоянного анализа для борьбы с растущими угрозами, связанными с вредоносными программами для мобильных устройств.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что банковский троянец Android "Antidot" - это сложная угроза, нацеленная на пользователей Android по всему миру, использующая такие методы, как VNC, оверлейные атаки, кейлоггинг и связь с серверами управления. Вредоносная программа использует различные вредоносные функции для получения несанкционированного доступа к конфиденциальным данным, удаленного управления функциями устройства и выполнения оверлейных атак с целью получения учетных данных. Использование в нем шифрования и обфускации, наряду с расширяющимися возможностями, подчеркивает важность бдительности пользователей и постоянного анализа для борьбы с растущей изощренностью киберугроз.
-----
Банковский троянец Android "Antidot" выдает себя за приложение для обновления Google Play, предназначенное для пользователей Android по всему миру.
Он использует методы VNC и Overlay для кражи учетных данных, а также такие вредоносные функции, как кейлоггинг и атаки overlay.
Троянец взаимодействует со своим сервером управления через WebSocket для взаимодействия в режиме реального времени и выполнения команд, включая сбор SMS-сообщений и удаленное управление функциями устройства.
Лаборатории Cyble Research и Intelligence Labs обнаружили "Антидот", который использует оверлейные атаки в качестве основного метода сбора учетных данных и пользовательское шифрование для обфускации.
"Antidot" предлагает пользователям предоставить службе специальных возможностей разрешения на ее вредоносные действия и устанавливает связь со своим C&C-сервером через HTTP и WebSockets.
Всего он поддерживает 35 команд, начиная от базовых функций, таких как получение SMS-сообщений, и заканчивая сложными действиями, такими как инициализация активности VNC.
Вредоносная программа захватывает и передает содержимое экрана устройства с помощью функции MediaProjection и выполняет оверлейные атаки для перехвата учетных данных пользователя.
Он использует кейлоггинг для отслеживания и эксфильтрации введенных данных, кодирования и передачи их на сервер для анализа.
Эволюция банковских троянских программ для Android, таких как "Antidot", демонстрирует необходимость повышения бдительности пользователей и постоянного анализа для борьбы с растущими угрозами, связанными с вредоносными программами для мобильных устройств.
#ParsedReport #CompletenessMedium
16-05-2024
Analysis of APT attack cases targeting domestic companies using Dora RAT (Andariel Group)
https://asec.ahnlab.com/ko/65495
Report completeness: Medium
Actors/Campaigns:
Andariel (motivation: financially_motivated)
Lazarus
Kimsuky
Threats:
Dora_rat
Nestdoor
Log4shell_vuln
Tiger_rat
Threadneedle_tool
Spear-phishing_technique
Watering_hole_technique
Trojan/win.injector.c5610655
Trojan/win.agent.c5610733
Dropper/win.agent.c5610793
Dropper/win.agent.c5610654
Trojan/win.keylogger.c5610642
Trojan/win.launcher.c5622509
Trojan/win.pws.c5068848
Malware/mdp.fraud.m800
Victims:
Domestic manufacturing companies, Construction companies, Educational institutions
Geo:
German, Korea
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
T1566, T1190, T1203, T1071, T1105, T1027, T1056, T1564, T1555, T1547, have more...
IOCs:
File: 13
Hash: 13
IP: 3
Domain: 1
Soft:
VMware Horizon, task scheduler
Algorithms:
md5
16-05-2024
Analysis of APT attack cases targeting domestic companies using Dora RAT (Andariel Group)
https://asec.ahnlab.com/ko/65495
Report completeness: Medium
Actors/Campaigns:
Andariel (motivation: financially_motivated)
Lazarus
Kimsuky
Threats:
Dora_rat
Nestdoor
Log4shell_vuln
Tiger_rat
Threadneedle_tool
Spear-phishing_technique
Watering_hole_technique
Trojan/win.injector.c5610655
Trojan/win.agent.c5610733
Dropper/win.agent.c5610793
Dropper/win.agent.c5610654
Trojan/win.keylogger.c5610642
Trojan/win.launcher.c5622509
Trojan/win.pws.c5068848
Malware/mdp.fraud.m800
Victims:
Domestic manufacturing companies, Construction companies, Educational institutions
Geo:
German, Korea
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
ChatGPT TTPs:
do not use without manual checkT1566, T1190, T1203, T1071, T1105, T1027, T1056, T1564, T1555, T1547, have more...
IOCs:
File: 13
Hash: 13
IP: 3
Domain: 1
Soft:
VMware Horizon, task scheduler
Algorithms:
md5
ASEC
Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹) - ASEC
Dora RAT을 이용한 국내 기업 대상 APT 공격 사례 분석 (Andariel 그룹) ASEC