CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Mandiant отслеживает активность киберугроз, используя уязвимости Ivanti, в частности, связанные с многочисленными шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами. Анализ сосредоточен на выявлении групп злоумышленников, использующих эти уязвимости, их тактике и методах, развертывании семейств вредоносных программ и инструментов, а также на важности специализированного вредоносного ПО в киберкампаниях против передовых устройств.
-----
Mandiant активно отслеживает многочисленные группы киберугроз, использующих уязвимости Ivanti, включая CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.
Эти эксплойты связаны с предполагаемыми шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами, занимающимися крипто-майнингом.
Компания Mandiant выявила восемь различных кластеров, использующих эти уязвимости, причем пять кластеров, связанных с Китаем, совершают вторжения.
Выделены конкретные группы действующих лиц, представляющих угрозу, включая UNC5291, UNC5221, UNC5330, UNC5337 и UNC5266.
Среди известных действий - UNC5291, нацеленный на энергетический и оборонный секторы США, UNC5221, использующий CVE-2023-46805 и CVE-2024-21887, и UNC5330, использующий сложные методы, такие как WMI, для вторжений.
Семейства вредоносных программ и инструменты, такие как SPAWNSNAIL, SPAWNMOLE, SPAWNANT и SPAWNSLOTH, использовались для создания постоянных бэкдоров на взломанных устройствах Ivanti Connect Secure.
Для несанкционированного доступа и обеспечения сохраняемости были развернуты различные вредоносные программы, включая BRICKSTORM и ROOTROT.
UNC5266 развернул бэкдор под названием TERRIBLETEA, который взаимодействует по протоколу HTTP с использованием шифрования XXTEA и предлагает различные функциональные возможности.
TERRIBLETEA использует скрипт профиля Bash для сохранения и адаптирован для конкретных сред.
Особое внимание уделяется агрессивному использованию уязвимостей нулевого и нулевого дня связанными с Китаем злоумышленниками, нацеленными на передовые устройства.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Mandiant отслеживает активность киберугроз, используя уязвимости Ivanti, в частности, связанные с многочисленными шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами. Анализ сосредоточен на выявлении групп злоумышленников, использующих эти уязвимости, их тактике и методах, развертывании семейств вредоносных программ и инструментов, а также на важности специализированного вредоносного ПО в киберкампаниях против передовых устройств.
-----
Mandiant активно отслеживает многочисленные группы киберугроз, использующих уязвимости Ivanti, включая CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.
Эти эксплойты связаны с предполагаемыми шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами, занимающимися крипто-майнингом.
Компания Mandiant выявила восемь различных кластеров, использующих эти уязвимости, причем пять кластеров, связанных с Китаем, совершают вторжения.
Выделены конкретные группы действующих лиц, представляющих угрозу, включая UNC5291, UNC5221, UNC5330, UNC5337 и UNC5266.
Среди известных действий - UNC5291, нацеленный на энергетический и оборонный секторы США, UNC5221, использующий CVE-2023-46805 и CVE-2024-21887, и UNC5330, использующий сложные методы, такие как WMI, для вторжений.
Семейства вредоносных программ и инструменты, такие как SPAWNSNAIL, SPAWNMOLE, SPAWNANT и SPAWNSLOTH, использовались для создания постоянных бэкдоров на взломанных устройствах Ivanti Connect Secure.
Для несанкционированного доступа и обеспечения сохраняемости были развернуты различные вредоносные программы, включая BRICKSTORM и ROOTROT.
UNC5266 развернул бэкдор под названием TERRIBLETEA, который взаимодействует по протоколу HTTP с использованием шифрования XXTEA и предлагает различные функциональные возможности.
TERRIBLETEA использует скрипт профиля Bash для сохранения и адаптирован для конкретных сред.
Особое внимание уделяется агрессивному использованию уязвимостей нулевого и нулевого дня связанными с Китаем злоумышленниками, нацеленными на передовые устройства.
#ParsedReport #CompletenessHigh
17-05-2024
Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect
https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect
Report completeness: High
Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Dawn_calvary (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)
Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goheavy_tool
Goreverse
Netcat_tool
Fscan_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Dirbuster_tool
Metasploit_tool
Afrog_tool
Credential_dumping_technique
Victims:
U.s. defense contractors, Uk government entities, Institutions in asia, Southeast asian research and education institutions, U.s. research and education institutions, Hong kong businesses, Charities and non-governmental organizations in hong kong, U.s. government organizations, Uk government organizations, Organizations using f5 big-ip appliances, have more...
Industry:
Government, Military, Education, Ngo
Geo:
China, Asia, Chinese, Taiwan, Oceania, Canada, Asian
CVEs:
CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.19.16, 6.0.6, 6.10.1, 7.4.4, 5.3.1)
CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)
CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, 8.3.0, 8.3.1, 8.2.1, 8.3.2)
- atlassian confluence server (<8.3.3, 8.1.0, 8.1.3, 8.2.0, 8.3.1)
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.0.6, 13.1.0, 13.1.0.5, 13.1.1.1)
CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel usg flex 100w firmware (<5.30)
- zyxel usg flex 200 firmware (<5.30)
- zyxel usg flex 500 firmware (le5.30)
- zyxel usg flex 700 firmware (<5.30)
- zyxel vpn100 firmware (<5.30)
have more...
TTPs:
Tactics: 11
Technics: 42
IOCs:
IP: 3
Url: 1
Hash: 6
Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, Unix
Algorithms:
xor
Languages:
visual_basic, golang
Links:
17-05-2024
Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect
https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect
Report completeness: High
Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Dawn_calvary (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)
Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goheavy_tool
Goreverse
Netcat_tool
Fscan_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Dirbuster_tool
Metasploit_tool
Afrog_tool
Credential_dumping_technique
Victims:
U.s. defense contractors, Uk government entities, Institutions in asia, Southeast asian research and education institutions, U.s. research and education institutions, Hong kong businesses, Charities and non-governmental organizations in hong kong, U.s. government organizations, Uk government organizations, Organizations using f5 big-ip appliances, have more...
Industry:
Government, Military, Education, Ngo
Geo:
China, Asia, Chinese, Taiwan, Oceania, Canada, Asian
CVEs:
CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.19.16, 6.0.6, 6.10.1, 7.4.4, 5.3.1)
CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)
CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, 8.3.0, 8.3.1, 8.2.1, 8.3.2)
- atlassian confluence server (<8.3.3, 8.1.0, 8.1.3, 8.2.0, 8.3.1)
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.0.6, 13.1.0, 13.1.0.5, 13.1.1.1)
CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel usg flex 100w firmware (<5.30)
- zyxel usg flex 200 firmware (<5.30)
- zyxel usg flex 500 firmware (le5.30)
- zyxel usg flex 700 firmware (<5.30)
- zyxel vpn100 firmware (<5.30)
have more...
TTPs:
Tactics: 11
Technics: 42
IOCs:
IP: 3
Url: 1
Hash: 6
Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, Unix
Algorithms:
xor
Languages:
visual_basic, golang
Links:
https://github.com/Chocapikk/CVE-2023-22515https://github.com/shadow1ng/fscanGoogle Cloud Blog
Bringing Access Back — Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect | Google Cloud Blog
We observed a threat actor exploiting F5, ConnectWise, and other vulnerabilities.
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в отчете о киберугрозах, в котором подробно описывается деятельность группы злоумышленников UNC5174, предположительно базирующейся в Китае и связанной с китайским правительством. В отчете описывается использование уязвимостей группой, профиль участников, использование пользовательских инструментов и фреймворков, целевые операции, рекомендации по устранению последствий, атрибуция, посредничество в доступе и будущий ландшафт угроз.
-----
В отчете cyber threat intelligence подробно описывается серия изощренных кибервзломов и атак, проведенных группой злоумышленников, известной как UNC5174, которая, как полагают, базируется в Китае и связана с Китайской Народной Республикой (КНР). Вот ключевые моменты из отчета:.
**Используемые уязвимости**:.
В конце октября 2023 года UNC5174 воспользовался уязвимостью нулевого дня (CVE-2023-46747), затрагивающей пользовательский интерфейс управления трафиком F5 BIG-IP, что позволило получить несанкционированный доступ к скомпрометированным системам.
В феврале 2024 года UNC5174 использовал уязвимость Connectwise ScreenConnect CVE-2024-1709 для взлома сотен учреждений в США и Канаде.
**Профиль актера**:.
UNC5174, использующий псевдоним "Uteus", идентифицирован как бывший член китайских коллективов хактивистов, который в настоящее время работает подрядчиком в Министерстве государственной безопасности Китая (МГБ), занимаясь операциями доступа и, возможно, посредничеством в получении доступа к скомпрометированным средам.
**Инструменты и фреймворк**:.
В UNC5174 использовались пользовательские инструменты и платформа SUPERSHELL, демонстрирующие уникальный и целенаправленный подход, связанный с PRC threat actor, UNC5174.
Актер использовал различные инструменты, такие как SNOWLIGHT, GOHEAVY, GOREVERSE и другие, чтобы облегчить разведку сети, боковое перемещение и установление каналов связи с серверами C2.
**Цели и операции**:.
UNC5174 был агрессивно нацелен на исследовательские институты, предприятия, государственные учреждения и НПО в Юго-Восточной Азии, США, Великобритании и других регионах.
Mandiant выявил UNC5174, пытавшийся продать доступ оборонным подрядчикам США и правительственным структурам Великобритании после успешного использования уязвимостей.
**Меры по смягчению последствий и рекомендации**:.
Компания Mandiant рекомендовала применять сценарии устранения неполадок, предоставляемые поставщиками, для защиты уязвимых систем, поиска признаков компрометации и мониторинга действий по доступу, особенно связанных с выявленными уязвимостями.
В отчете подчеркивается сохраняющаяся угроза, которую представляет UNC5174 для организаций академического, неправительственного и государственного секторов в конкретных регионах.
**Методы и атрибуция**:.
Систематическое использование уязвимостей в широко распространенном оборудовании edge в документе UNC5174 подчеркивает целенаправленный подход к получению доступа к стратегическим целям, отвечающим интересам КНР.
**Посреднический доступ**:.
UNC5174 определен в качестве начального посредника доступа для MSS, сотрудничающего с другими участниками угроз, такими как UNC302, и демонстрирующего общие эксплойты и операционные приоритеты.
**Ландшафт будущих угроз**:.
Mandiant прогнозирует продолжение угроз со стороны UNC5174, нацеленных на конкретные секторы и регионы, представляющие интерес для КНР, что подчеркивает эволюционирующий и постоянный характер киберугроз, исходящих от субъектов, спонсируемых государством.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в отчете о киберугрозах, в котором подробно описывается деятельность группы злоумышленников UNC5174, предположительно базирующейся в Китае и связанной с китайским правительством. В отчете описывается использование уязвимостей группой, профиль участников, использование пользовательских инструментов и фреймворков, целевые операции, рекомендации по устранению последствий, атрибуция, посредничество в доступе и будущий ландшафт угроз.
-----
В отчете cyber threat intelligence подробно описывается серия изощренных кибервзломов и атак, проведенных группой злоумышленников, известной как UNC5174, которая, как полагают, базируется в Китае и связана с Китайской Народной Республикой (КНР). Вот ключевые моменты из отчета:.
**Используемые уязвимости**:.
В конце октября 2023 года UNC5174 воспользовался уязвимостью нулевого дня (CVE-2023-46747), затрагивающей пользовательский интерфейс управления трафиком F5 BIG-IP, что позволило получить несанкционированный доступ к скомпрометированным системам.
В феврале 2024 года UNC5174 использовал уязвимость Connectwise ScreenConnect CVE-2024-1709 для взлома сотен учреждений в США и Канаде.
**Профиль актера**:.
UNC5174, использующий псевдоним "Uteus", идентифицирован как бывший член китайских коллективов хактивистов, который в настоящее время работает подрядчиком в Министерстве государственной безопасности Китая (МГБ), занимаясь операциями доступа и, возможно, посредничеством в получении доступа к скомпрометированным средам.
**Инструменты и фреймворк**:.
В UNC5174 использовались пользовательские инструменты и платформа SUPERSHELL, демонстрирующие уникальный и целенаправленный подход, связанный с PRC threat actor, UNC5174.
Актер использовал различные инструменты, такие как SNOWLIGHT, GOHEAVY, GOREVERSE и другие, чтобы облегчить разведку сети, боковое перемещение и установление каналов связи с серверами C2.
**Цели и операции**:.
UNC5174 был агрессивно нацелен на исследовательские институты, предприятия, государственные учреждения и НПО в Юго-Восточной Азии, США, Великобритании и других регионах.
Mandiant выявил UNC5174, пытавшийся продать доступ оборонным подрядчикам США и правительственным структурам Великобритании после успешного использования уязвимостей.
**Меры по смягчению последствий и рекомендации**:.
Компания Mandiant рекомендовала применять сценарии устранения неполадок, предоставляемые поставщиками, для защиты уязвимых систем, поиска признаков компрометации и мониторинга действий по доступу, особенно связанных с выявленными уязвимостями.
В отчете подчеркивается сохраняющаяся угроза, которую представляет UNC5174 для организаций академического, неправительственного и государственного секторов в конкретных регионах.
**Методы и атрибуция**:.
Систематическое использование уязвимостей в широко распространенном оборудовании edge в документе UNC5174 подчеркивает целенаправленный подход к получению доступа к стратегическим целям, отвечающим интересам КНР.
**Посреднический доступ**:.
UNC5174 определен в качестве начального посредника доступа для MSS, сотрудничающего с другими участниками угроз, такими как UNC302, и демонстрирующего общие эксплойты и операционные приоритеты.
**Ландшафт будущих угроз**:.
Mandiant прогнозирует продолжение угроз со стороны UNC5174, нацеленных на конкретные секторы и регионы, представляющие интерес для КНР, что подчеркивает эволюционирующий и постоянный характер киберугроз, исходящих от субъектов, спонсируемых государством.
#ParsedReport #CompletenessHigh
17-05-2024
APT29 Uses WINELOADER to Target German Political Parties
https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties
Report completeness: High
Actors/Campaigns:
Duke (motivation: cyber_espionage)
Threats:
Wineloader
Envyscout
Burntbatter
Muskybeat
Beatdrop_loader
Password_spray_technique
Donut
Daveshell
Dll_sideloading_technique
Process_injection_technique
Victims:
German political parties
Industry:
Government
Geo:
Russian, Russia, German, Peru, Moscow, Czechia, India, Italy, Ukraine, Germany, Latvia
TTPs:
Tactics: 2
Technics: 10
IOCs:
Url: 3
File: 7
Hash: 8
Soft:
Jenkins, WordPress, outlook, LibreOffice, Windows Service
Algorithms:
md5, rc4, zip
Languages:
javascript, php
Links:
17-05-2024
APT29 Uses WINELOADER to Target German Political Parties
https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties
Report completeness: High
Actors/Campaigns:
Duke (motivation: cyber_espionage)
Threats:
Wineloader
Envyscout
Burntbatter
Muskybeat
Beatdrop_loader
Password_spray_technique
Donut
Daveshell
Dll_sideloading_technique
Process_injection_technique
Victims:
German political parties
Industry:
Government
Geo:
Russian, Russia, German, Peru, Moscow, Czechia, India, Italy, Ukraine, Germany, Latvia
TTPs:
Tactics: 2
Technics: 10
IOCs:
Url: 3
File: 7
Hash: 8
Soft:
Jenkins, WordPress, outlook, LibreOffice, Windows Service
Algorithms:
md5, rc4, zip
Languages:
javascript, php
Links:
https://github.com/javascript-obfuscator/javascript-obfuscatorGoogle Cloud Blog
APT29 Uses WINELOADER to Target German Political Parties | Google Cloud Blog
APT29 used a new backdoor variant publicly tracked as WINELOADER to target German political parties.
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 APT29 Uses WINELOADER to Target German Political Parties https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties Report completeness: High Actors/Campaigns: Duke (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в конце февраля 2024 года группа APT29, связанная с российской службой внешней разведки, атаковала немецкие политические партии, используя новый вариант бэкдора под названием WINELOADER. Это свидетельствует о смещении акцента APT29 в сторону политических партий и отходе от дипломатических миссий, а также свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. В тексте также подчеркивается, что в будущем операции APT29 могут распространиться на западные политические образования за пределами Германии.
-----
В конце февраля 2024 года APT29, террористическая группа, связанная со Службой внешней разведки России (СВР), атаковала немецкие политические партии с помощью нового бэкдора под названием WINELOADER. Это знаменует собой смещение акцента APT29 в сторону политических партий, отказ от типичной для него ориентации на дипломатические миссии. В ходе фишинговой кампании были отправлены электронные письма, выдаваемые за приглашения на мероприятие Христианско-демократического союза (ХДС), содержащие вредоносные вложения, которые привели к развертыванию WINELOADER через взломанный веб-сайт.
Вредоносная программа ROOTSAW, использовавшаяся в качестве начальной точки доступа, была постоянным инструментом в операциях APT29, направленных на сбор внешнеполитической разведданных. Ее использование в качестве мишени для политических партий Германии свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. Перевод документов на немецкий язык, что является отличием от предыдущих операций, предполагает переход к внутриполитическим структурам.
WINELOADER, который используется с января 2024 года, обладает общими функциями с другими семействами вредоносных программ APT29, такими как BURNTBATTER и MUSKYBEAT, что указывает на общего разработчика. Вредоносная программа использует уникальные методы взаимодействия со своим сервером управления (C2), используя такие методы, как расшифровка RC4, проверка процессов и загрузка DLL на стороне пользователя. ZScaler получил инструкции по поддержанию работоспособности WINELOADER путем настройки ключа запуска.
В дальнейшем интерес APT29 к политическим партиям выходит за пределы Германии, и западные политические организации из различных слоев общества могут стать потенциальными мишенями для будущих действий в области кибершпионажа. Ожидается, что деятельность группы будет развиваться в соответствии с геополитическими интересами России, потенциально фокусируясь на понимании динамики, связанной с Украиной, и других ключевых внешнеполитических вопросах. Как показала тактика фишинга, APT29 может использовать альтернативные методы, такие как облачная аутентификация subversion, для получения первоначального доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в конце февраля 2024 года группа APT29, связанная с российской службой внешней разведки, атаковала немецкие политические партии, используя новый вариант бэкдора под названием WINELOADER. Это свидетельствует о смещении акцента APT29 в сторону политических партий и отходе от дипломатических миссий, а также свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. В тексте также подчеркивается, что в будущем операции APT29 могут распространиться на западные политические образования за пределами Германии.
-----
В конце февраля 2024 года APT29, террористическая группа, связанная со Службой внешней разведки России (СВР), атаковала немецкие политические партии с помощью нового бэкдора под названием WINELOADER. Это знаменует собой смещение акцента APT29 в сторону политических партий, отказ от типичной для него ориентации на дипломатические миссии. В ходе фишинговой кампании были отправлены электронные письма, выдаваемые за приглашения на мероприятие Христианско-демократического союза (ХДС), содержащие вредоносные вложения, которые привели к развертыванию WINELOADER через взломанный веб-сайт.
Вредоносная программа ROOTSAW, использовавшаяся в качестве начальной точки доступа, была постоянным инструментом в операциях APT29, направленных на сбор внешнеполитической разведданных. Ее использование в качестве мишени для политических партий Германии свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. Перевод документов на немецкий язык, что является отличием от предыдущих операций, предполагает переход к внутриполитическим структурам.
WINELOADER, который используется с января 2024 года, обладает общими функциями с другими семействами вредоносных программ APT29, такими как BURNTBATTER и MUSKYBEAT, что указывает на общего разработчика. Вредоносная программа использует уникальные методы взаимодействия со своим сервером управления (C2), используя такие методы, как расшифровка RC4, проверка процессов и загрузка DLL на стороне пользователя. ZScaler получил инструкции по поддержанию работоспособности WINELOADER путем настройки ключа запуска.
В дальнейшем интерес APT29 к политическим партиям выходит за пределы Германии, и западные политические организации из различных слоев общества могут стать потенциальными мишенями для будущих действий в области кибершпионажа. Ожидается, что деятельность группы будет развиваться в соответствии с геополитическими интересами России, потенциально фокусируясь на понимании динамики, связанной с Украиной, и других ключевых внешнеполитических вопросах. Как показала тактика фишинга, APT29 может использовать альтернативные методы, такие как облачная аутентификация subversion, для получения первоначального доступа.
#ParsedReport #CompletenessMedium
18-05-2024
Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation
https://www.ctfiot.com/182141.html
Report completeness: Medium
Actors/Campaigns:
Lazarus
Contagious_interview
Threats:
Anydesk_tool
Beavertail
Invisibleferret
Victims:
Developers in the blockchain industry
Industry:
Financial, Government
Geo:
Asian
ChatGPT TTPs:
T1566, T1566.002, T1059, T1557, T1553, T1105, T1110
IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4
Soft:
macOS, Chrome, Opera, , Android, WeChat
Algorithms:
md5, zip, base64
Languages:
python, javascript
18-05-2024
Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation
https://www.ctfiot.com/182141.html
Report completeness: Medium
Actors/Campaigns:
Lazarus
Contagious_interview
Threats:
Anydesk_tool
Beavertail
Invisibleferret
Victims:
Developers in the blockchain industry
Industry:
Financial, Government
Geo:
Asian
ChatGPT TTPs:
do not use without manual checkT1566, T1566.002, T1059, T1557, T1553, T1105, T1110
IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4
Soft:
macOS, Chrome, Opera, , Android, WeChat
Algorithms:
md5, zip, base64
Languages:
python, javascript
CTF导航
针对区块链从业者的招聘陷阱:疑似Lazarus(APT-Q-1)窃密行动分析 | CTF导航
团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的...
CTT Report Hub
#ParsedReport #CompletenessMedium 18-05-2024 Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation https://www.ctfiot.com/182141.html Report completeness: Medium Actors/Campaigns: Lazarus Cont…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о группе Lazarus group, организации с развитой системой защиты от постоянных угроз (APT), происходящей из Северо-Восточной Азии, известной различными кибератаками, направленными против правительственных учреждений, финансовых институтов и частных лиц в таких отраслях, как блокчейн. Недавние действия включают использование поддельных аккаунтов в социальных сетях для фишинговых атак, использование вредоносного кода JavaScript в почтовых пакетах и поиск разработчиков с помощью поддельных вакансий для развертывания вредоносного ПО и кражи информации, особенно связанной с виртуальной валютой. В целях усиления мер безопасности пользователям рекомендуется проявлять осторожность в отношении неизвестных ссылок, вложений электронной почты и загрузок программного обеспечения из неофициальных источников, чтобы снизить риски, исходящие от таких групп, как Lazarus.
-----
Группа Lazarus, предположительно имеющая корни в Северо-Восточной Азии, является организацией с развитой системой защиты от постоянных угроз (APT), история атак которой восходит к 2007 году. В 2014 году они привлекли к себе внимание всего мира благодаря атаке Sony Pictures, и с тех пор расширили свои цели, включив в них глобальные финансовые учреждения и платформы для торговли виртуальной валютой.
Lazarus проводит фишинговые атаки через поддельные аккаунты в социальных сетях, в частности, нацеливаясь на представителей определенных отраслей, предлагая фиктивные вакансии. Они используют вредоносный JavaScript-код в ZIP-пакетах для развертывания вредоносного ПО, которое крадет конфиденциальную информацию, в основном связанную с виртуальной валютой.
Злоумышленники создают ложные идентификационные данные на таких платформах, как LinkedIn и Upwork, чтобы заманить жертв к запуску предоставленного кода, что приводит к установке вредоносного ПО. Они хранят вредоносный код на таких платформах, как GitHub, GitLab и Bitbucket, чтобы жертвы могли его загрузить.
Злоумышленники нацелились на разработчиков блокчейн-индустрии, похищая криптовалютные кошельки с помощью локальных сервисов. Внедренный вредоносный код часто скрывается, чтобы избежать обнаружения.
Вредоносный JS-код взаимодействует с сервером управления (C2), загружает скрипты на Python для кражи данных из браузеров и развертывает троянские программы для несанкционированного доступа и утечки данных.
Пользователям рекомендуется избегать открытия неизвестных ссылок, вложений электронной почты из подозрительных источников, неизвестных файлов и приложений из неофициальных источников. Они также должны обеспечивать своевременное резервное копирование важных файлов и обновлять программное обеспечение с помощью последних исправлений, чтобы снизить риски, связанные с APT-группами, такими как Lazarus.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о группе Lazarus group, организации с развитой системой защиты от постоянных угроз (APT), происходящей из Северо-Восточной Азии, известной различными кибератаками, направленными против правительственных учреждений, финансовых институтов и частных лиц в таких отраслях, как блокчейн. Недавние действия включают использование поддельных аккаунтов в социальных сетях для фишинговых атак, использование вредоносного кода JavaScript в почтовых пакетах и поиск разработчиков с помощью поддельных вакансий для развертывания вредоносного ПО и кражи информации, особенно связанной с виртуальной валютой. В целях усиления мер безопасности пользователям рекомендуется проявлять осторожность в отношении неизвестных ссылок, вложений электронной почты и загрузок программного обеспечения из неофициальных источников, чтобы снизить риски, исходящие от таких групп, как Lazarus.
-----
Группа Lazarus, предположительно имеющая корни в Северо-Восточной Азии, является организацией с развитой системой защиты от постоянных угроз (APT), история атак которой восходит к 2007 году. В 2014 году они привлекли к себе внимание всего мира благодаря атаке Sony Pictures, и с тех пор расширили свои цели, включив в них глобальные финансовые учреждения и платформы для торговли виртуальной валютой.
Lazarus проводит фишинговые атаки через поддельные аккаунты в социальных сетях, в частности, нацеливаясь на представителей определенных отраслей, предлагая фиктивные вакансии. Они используют вредоносный JavaScript-код в ZIP-пакетах для развертывания вредоносного ПО, которое крадет конфиденциальную информацию, в основном связанную с виртуальной валютой.
Злоумышленники создают ложные идентификационные данные на таких платформах, как LinkedIn и Upwork, чтобы заманить жертв к запуску предоставленного кода, что приводит к установке вредоносного ПО. Они хранят вредоносный код на таких платформах, как GitHub, GitLab и Bitbucket, чтобы жертвы могли его загрузить.
Злоумышленники нацелились на разработчиков блокчейн-индустрии, похищая криптовалютные кошельки с помощью локальных сервисов. Внедренный вредоносный код часто скрывается, чтобы избежать обнаружения.
Вредоносный JS-код взаимодействует с сервером управления (C2), загружает скрипты на Python для кражи данных из браузеров и развертывает троянские программы для несанкционированного доступа и утечки данных.
Пользователям рекомендуется избегать открытия неизвестных ссылок, вложений электронной почты из подозрительных источников, неизвестных файлов и приложений из неофициальных источников. Они также должны обеспечивать своевременное резервное копирование важных файлов и обновлять программное обеспечение с помощью последних исправлений, чтобы снизить риски, связанные с APT-группами, такими как Lazarus.
Forwarded from sasha
🎉 Долгожданное приглашение на AI CTF! 🎉
📅 Дата и время: с 12:00 (GMT+3) 24 мая до 23:59 (GMT+3) 25 мая
👤 Формат: Индивидуальное (команда из 1 человека)
🌐 Участие: Онлайн
Привет всем! Мы рады наконец-то анонсировать наше традиционное соревнование AI CTF в рамках Positive Hack Days для тех, кому интересна тема безопасности машинного обучения и его применение для информационной безопасности.
Вас ждут десяток заданий разного уровня сложности и 36 часов на их решение.
🎁 Призы: смарт-очки Ray-Ban Meta, VR-гарнитура Quest 3 и переносная консоль Playdate. Победитель выбирает первым!
Если будете на площадке Positive Hack Days, отметьте это в регистрации — три лучших участника получат сувениры!
🌐 Играть тут: aictf.phdays.fun
❓ Вопросы сюда: t.me/aictf1337
Какие задания были в прошлые годы: 2019, 2021, 2022
📅 Дата и время: с 12:00 (GMT+3) 24 мая до 23:59 (GMT+3) 25 мая
👤 Формат: Индивидуальное (команда из 1 человека)
🌐 Участие: Онлайн
Привет всем! Мы рады наконец-то анонсировать наше традиционное соревнование AI CTF в рамках Positive Hack Days для тех, кому интересна тема безопасности машинного обучения и его применение для информационной безопасности.
Вас ждут десяток заданий разного уровня сложности и 36 часов на их решение.
🎁 Призы: смарт-очки Ray-Ban Meta, VR-гарнитура Quest 3 и переносная консоль Playdate. Победитель выбирает первым!
Если будете на площадке Positive Hack Days, отметьте это в регистрации — три лучших участника получат сувениры!
🌐 Играть тут: aictf.phdays.fun
❓ Вопросы сюда: t.me/aictf1337
Какие задания были в прошлые годы: 2019, 2021, 2022
CTT Report Hub pinned «🎉 Долгожданное приглашение на AI CTF! 🎉 📅 Дата и время: с 12:00 (GMT+3) 24 мая до 23:59 (GMT+3) 25 мая 👤 Формат: Индивидуальное (команда из 1 человека) 🌐 Участие: Онлайн Привет всем! Мы рады наконец-то анонсировать наше традиционное соревнование AI CTF в…»
#ParsedReport #CompletenessLow
18-05-2024
Positive Technologies experts discovered a series of attacks via Microsoft Exchange Server
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ehksperty-positive-technologies-obnaruzhili-seriyu-atak-cherez-microsoft-exchange-server
Report completeness: Low
Threats:
Proxyshell_vuln
Victims:
Government agencies, Banks, It companies, Educational institutions
Industry:
Government, Financial
Geo:
Kuwait, Lebanon, Mauritius, African, Ethiopia, Niger, Oman, Jordan, Russia, Nigeria
ChatGPT TTPs:
T1566.001, T1056.001, T1560.001
IOCs:
File: 2
Soft:
Microsoft Exchange Server
Functions:
clkLgn
18-05-2024
Positive Technologies experts discovered a series of attacks via Microsoft Exchange Server
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ehksperty-positive-technologies-obnaruzhili-seriyu-atak-cherez-microsoft-exchange-server
Report completeness: Low
Threats:
Proxyshell_vuln
Victims:
Government agencies, Banks, It companies, Educational institutions
Industry:
Government, Financial
Geo:
Kuwait, Lebanon, Mauritius, African, Ethiopia, Niger, Oman, Jordan, Russia, Nigeria
ChatGPT TTPs:
do not use without manual checkT1566.001, T1056.001, T1560.001
IOCs:
File: 2
Soft:
Microsoft Exchange Server
Functions:
clkLgn
ptsecurity.com
Блог PT ESC Threat Intelligence
В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах
CTT Report Hub
#ParsedReport #CompletenessLow 18-05-2024 Positive Technologies experts discovered a series of attacks via Microsoft Exchange Server https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ehksperty-positive-technologies-obnaruzhili-seriyu-atak…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте рассказывается о кибератаке с использованием кейлоггера, встроенного в сервер Microsoft Exchange, жертвами которой стали более 30 человек, в основном из правительственных учреждений в Африке и на Ближнем Востоке. Хакеры использовали известные уязвимости в серверах Exchange для внедрения кейлоггера и кражи данных учетной записи. Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важную инфраструктуру и организации по всему миру, что подчеркивает важность упреждающих мер безопасности и протоколов реагирования на инциденты.
-----
Группа реагирования на инциденты Экспертного центра безопасности Positive Technologies недавно обнаружила ранее неизвестный кейлоггер, встроенный в главную страницу Microsoft Exchange Server одного из их клиентов. Этот кейлоггер собирал данные учетной записи и сохранял их в файле, доступном по определенным путям в Интернете. После этого обнаружения группа по анализу угроз в PT ESC провела тщательный анализ и выявила более 30 жертв, пострадавших от этой атаки, в основном из правительственных учреждений в разных странах. Эти атаки были совершены в 2021 году, при этом большинство жертв приходилось на регионы Африки и Ближнего Востока.
Хакеры использовали известные уязвимости в серверах Exchange, в частности эксплойт ProxyShell, для внедрения кейлоггера на главную страницу. Кроме того, они вставили код в файл logon.aspx, позволяющий передавать украденные данные учетной записи во внешний файл для удаленного доступа.
Число жертв этой атаки превысило 30 человек, включая правительственные учреждения, банки, IT-компании и образовательные учреждения. Среди пострадавших были такие страны, как Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания и Ливан. Positive Technologies оперативно уведомила всех жертв о компрометации и посоветовала необходимые меры по исправлению положения.
Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важные объекты инфраструктуры и организации в различных секторах и географических регионах. Определение причин этих атак остается сложной задачей из-за отсутствия точных данных, хотя основное внимание, по-видимому, уделяется организациям в Африке и на Ближнем Востоке. Усилия по разведке киберугроз играют решающую роль в обнаружении и смягчении таких угроз, подчеркивая важность упреждающих мер безопасности и протоколов реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте рассказывается о кибератаке с использованием кейлоггера, встроенного в сервер Microsoft Exchange, жертвами которой стали более 30 человек, в основном из правительственных учреждений в Африке и на Ближнем Востоке. Хакеры использовали известные уязвимости в серверах Exchange для внедрения кейлоггера и кражи данных учетной записи. Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важную инфраструктуру и организации по всему миру, что подчеркивает важность упреждающих мер безопасности и протоколов реагирования на инциденты.
-----
Группа реагирования на инциденты Экспертного центра безопасности Positive Technologies недавно обнаружила ранее неизвестный кейлоггер, встроенный в главную страницу Microsoft Exchange Server одного из их клиентов. Этот кейлоггер собирал данные учетной записи и сохранял их в файле, доступном по определенным путям в Интернете. После этого обнаружения группа по анализу угроз в PT ESC провела тщательный анализ и выявила более 30 жертв, пострадавших от этой атаки, в основном из правительственных учреждений в разных странах. Эти атаки были совершены в 2021 году, при этом большинство жертв приходилось на регионы Африки и Ближнего Востока.
Хакеры использовали известные уязвимости в серверах Exchange, в частности эксплойт ProxyShell, для внедрения кейлоггера на главную страницу. Кроме того, они вставили код в файл logon.aspx, позволяющий передавать украденные данные учетной записи во внешний файл для удаленного доступа.
Число жертв этой атаки превысило 30 человек, включая правительственные учреждения, банки, IT-компании и образовательные учреждения. Среди пострадавших были такие страны, как Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания и Ливан. Positive Technologies оперативно уведомила всех жертв о компрометации и посоветовала необходимые меры по исправлению положения.
Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важные объекты инфраструктуры и организации в различных секторах и географических регионах. Определение причин этих атак остается сложной задачей из-за отсутствия точных данных, хотя основное внимание, по-видимому, уделяется организациям в Африке и на Ближнем Востоке. Усилия по разведке киберугроз играют решающую роль в обнаружении и смягчении таких угроз, подчеркивая важность упреждающих мер безопасности и протоколов реагирования на инциденты.
#ParsedReport #CompletenessLow
18-05-2024
Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/182126.html
Report completeness: Low
Actors/Campaigns:
Bitter
Operation_monsoon
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Education, Military, Government
Geo:
Asia
ChatGPT TTPs:
T1566, T1547, T1552
IOCs:
File: 4
Soft:
WeChat
Languages:
php
18-05-2024
Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/182126.html
Report completeness: Low
Actors/Campaigns:
Bitter
Operation_monsoon
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Education, Military, Government
Geo:
Asia
ChatGPT TTPs:
do not use without manual checkT1566, T1547, T1552
IOCs:
File: 4
Soft:
Languages:
php
CTF导航
APT-C-08(蔓灵花)组织利用Replit平台攻击活动分析 | CTF导航
APT-C-08 蔓灵花APT-C-08(蔓灵花)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。我们监测到多起由蔓灵花组织...
CTT Report Hub
#ParsedReport #CompletenessLow 18-05-2024 Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform https://www.ctfiot.com/182126.html Report completeness: Low Actors/Campaigns: Bitter Operation_monsoon Threats: Harpoon_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста связана с APT-C-08, также известной как Manlinghua, передовой организацией по борьбе с постоянными угрозами, имеющей правительственный опыт в Южной Азии. Они активно проводят APT-атаки на соседние страны Южной Азии, главным образом посредством фишинговой деятельности, направленной на правительства, военную промышленность, университеты и зарубежные учреждения. Тактика организации эволюционировала и теперь включает в себя использование таких платформ, как Replit и netlify.app, для создания фишинговых веб-сайтов, уделяя особое внимание недорогостоящим атакам с высокой вероятностью успеха. Эксперты по безопасности предупреждают о растущем использовании общедоступных хостинговых платформ для проведения APT-атак, подчеркивая важность бдительности пользователей, чтобы не стать жертвами таких атак. Несмотря на развитие тактики, в 2023 году в действиях Manlinghua по проведению harpoon-атак существенных изменений не произошло.
-----
APT-C-08, также известная как Manlinghua, является передовой APT, атакующей правительства Южной Азии. В последние годы они проводят APT-атаки на соседние страны Южной Азии, нацеленные на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения. Организация активно занимается фишинговыми атаками, в частности, использует сайты для загрузки вложений электронной почты, чтобы обманом заставить пользователей раскрыть свои учетные данные.
Одним из примечательных открытий 2023 года стало использование платформы интегрированной онлайн-среды разработки (IDE) Replit by APT-C-08 для создания фишингового веб-сайта. Это знаменует собой изменение их тактики, поскольку ранее они использовали платформы, подобные GitHub-страницам на GitHub для аналогичных целей. Кроме того, на последующих этапах атак были задействованы сторонние веб-сервисы, такие как netlify.app. Было замечено, что эти фишинговые действия Manlinghua были сосредоточены в период с июля по сентябрь 2023 года.
Методы фишинга, применяемые в организации, постоянно совершенствуются и адаптируются. Похоже, что они отдают предпочтение недорогостоящим атакам с высокой вероятностью успеха с помощью фишинга, о чем свидетельствуют их постоянные усилия по совершенствованию этих методологий. Эксперты по безопасности предупреждают, что использование общедоступных хостинговых платформ, таких как Replit, для сокрытия сетевых ресурсов, становится все более распространенным явлением при атаках APT. Поэтому пользователям крайне важно сохранять бдительность при обнаружении ссылок на ресурсы с общедоступных платформ, чтобы не стать жертвами таких атак.
Несмотря на эволюцию тактики, в 2023 году в действиях Manlinghua по атакам harpoon не произошло существенных изменений. Организация использовала Replit для разработки среды PHP для своих фишинговых кампаний, создавая поддельные страницы загрузки вложений, напоминающие широко используемые почтовые платформы, такие как 163 mailbox. Предлагая пользователям ввести свои учетные данные электронной почты, злоумышленники намеревались похитить конфиденциальную информацию. Процесс фишинга состоял из нескольких этапов, включая перенаправление пользователей на разные веб-страницы для сбора данных, что выявляло незначительные ошибки в действиях злоумышленника.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста связана с APT-C-08, также известной как Manlinghua, передовой организацией по борьбе с постоянными угрозами, имеющей правительственный опыт в Южной Азии. Они активно проводят APT-атаки на соседние страны Южной Азии, главным образом посредством фишинговой деятельности, направленной на правительства, военную промышленность, университеты и зарубежные учреждения. Тактика организации эволюционировала и теперь включает в себя использование таких платформ, как Replit и netlify.app, для создания фишинговых веб-сайтов, уделяя особое внимание недорогостоящим атакам с высокой вероятностью успеха. Эксперты по безопасности предупреждают о растущем использовании общедоступных хостинговых платформ для проведения APT-атак, подчеркивая важность бдительности пользователей, чтобы не стать жертвами таких атак. Несмотря на развитие тактики, в 2023 году в действиях Manlinghua по проведению harpoon-атак существенных изменений не произошло.
-----
APT-C-08, также известная как Manlinghua, является передовой APT, атакующей правительства Южной Азии. В последние годы они проводят APT-атаки на соседние страны Южной Азии, нацеленные на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения. Организация активно занимается фишинговыми атаками, в частности, использует сайты для загрузки вложений электронной почты, чтобы обманом заставить пользователей раскрыть свои учетные данные.
Одним из примечательных открытий 2023 года стало использование платформы интегрированной онлайн-среды разработки (IDE) Replit by APT-C-08 для создания фишингового веб-сайта. Это знаменует собой изменение их тактики, поскольку ранее они использовали платформы, подобные GitHub-страницам на GitHub для аналогичных целей. Кроме того, на последующих этапах атак были задействованы сторонние веб-сервисы, такие как netlify.app. Было замечено, что эти фишинговые действия Manlinghua были сосредоточены в период с июля по сентябрь 2023 года.
Методы фишинга, применяемые в организации, постоянно совершенствуются и адаптируются. Похоже, что они отдают предпочтение недорогостоящим атакам с высокой вероятностью успеха с помощью фишинга, о чем свидетельствуют их постоянные усилия по совершенствованию этих методологий. Эксперты по безопасности предупреждают, что использование общедоступных хостинговых платформ, таких как Replit, для сокрытия сетевых ресурсов, становится все более распространенным явлением при атаках APT. Поэтому пользователям крайне важно сохранять бдительность при обнаружении ссылок на ресурсы с общедоступных платформ, чтобы не стать жертвами таких атак.
Несмотря на эволюцию тактики, в 2023 году в действиях Manlinghua по атакам harpoon не произошло существенных изменений. Организация использовала Replit для разработки среды PHP для своих фишинговых кампаний, создавая поддельные страницы загрузки вложений, напоминающие широко используемые почтовые платформы, такие как 163 mailbox. Предлагая пользователям ввести свои учетные данные электронной почты, злоумышленники намеревались похитить конфиденциальную информацию. Процесс фишинга состоял из нескольких этапов, включая перенаправление пользователей на разные веб-страницы для сбора данных, что выявляло незначительные ошибки в действиях злоумышленника.
#ParsedReport #CompletenessLow
18-05-2024
Threat actors misusing Quick Assist in social engineering attacks leading to ransomware
https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware
Report completeness: Low
Actors/Campaigns:
Storm_1811 (motivation: financially_motivated, cyber_criminal)
Shathak
Threats:
Blackbasta
Cobalt_strike
Screenconnect_tool
Netsupportmanager_rat
Qakbot
Ransom:win32/basta
Trojan:win32/basta
Turtleloader
ChatGPT TTPs:
T1566.002, T1204.002, T1059.003, T1566.001, T1071.001, T1219, T1562.001, T1021.001, T1486, T1105, have more...
IOCs:
Domain: 8
Hash: 5
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, macOS, cURL, OpenSSH, PsExec
Algorithms:
sha256, zip
Functions:
count
Languages:
powershell
18-05-2024
Threat actors misusing Quick Assist in social engineering attacks leading to ransomware
https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware
Report completeness: Low
Actors/Campaigns:
Storm_1811 (motivation: financially_motivated, cyber_criminal)
Shathak
Threats:
Blackbasta
Cobalt_strike
Screenconnect_tool
Netsupportmanager_rat
Qakbot
Ransom:win32/basta
Trojan:win32/basta
Turtleloader
ChatGPT TTPs:
do not use without manual checkT1566.002, T1204.002, T1059.003, T1566.001, T1071.001, T1219, T1562.001, T1021.001, T1486, T1105, have more...
IOCs:
Domain: 8
Hash: 5
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, macOS, cURL, OpenSSH, PsExec
Algorithms:
sha256, zip
Functions:
count
Languages:
powershell
Microsoft News
Threat actors misusing Quick Assist in social engineering attacks leading to ransomware
Microsoft Threat Intelligence has observed Storm-1811 misusing the client management tool Quick Assist to target users in social engineering attacks that lead to malware like Qakbot followed by Black Basta ransomware deployment.