CTT Report Hub
#ParsedReport #CompletenessLow 18-05-2024 Positive Technologies experts discovered a series of attacks via Microsoft Exchange Server https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ehksperty-positive-technologies-obnaruzhili-seriyu-atak…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте рассказывается о кибератаке с использованием кейлоггера, встроенного в сервер Microsoft Exchange, жертвами которой стали более 30 человек, в основном из правительственных учреждений в Африке и на Ближнем Востоке. Хакеры использовали известные уязвимости в серверах Exchange для внедрения кейлоггера и кражи данных учетной записи. Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важную инфраструктуру и организации по всему миру, что подчеркивает важность упреждающих мер безопасности и протоколов реагирования на инциденты.
-----
Группа реагирования на инциденты Экспертного центра безопасности Positive Technologies недавно обнаружила ранее неизвестный кейлоггер, встроенный в главную страницу Microsoft Exchange Server одного из их клиентов. Этот кейлоггер собирал данные учетной записи и сохранял их в файле, доступном по определенным путям в Интернете. После этого обнаружения группа по анализу угроз в PT ESC провела тщательный анализ и выявила более 30 жертв, пострадавших от этой атаки, в основном из правительственных учреждений в разных странах. Эти атаки были совершены в 2021 году, при этом большинство жертв приходилось на регионы Африки и Ближнего Востока.
Хакеры использовали известные уязвимости в серверах Exchange, в частности эксплойт ProxyShell, для внедрения кейлоггера на главную страницу. Кроме того, они вставили код в файл logon.aspx, позволяющий передавать украденные данные учетной записи во внешний файл для удаленного доступа.
Число жертв этой атаки превысило 30 человек, включая правительственные учреждения, банки, IT-компании и образовательные учреждения. Среди пострадавших были такие страны, как Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания и Ливан. Positive Technologies оперативно уведомила всех жертв о компрометации и посоветовала необходимые меры по исправлению положения.
Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важные объекты инфраструктуры и организации в различных секторах и географических регионах. Определение причин этих атак остается сложной задачей из-за отсутствия точных данных, хотя основное внимание, по-видимому, уделяется организациям в Африке и на Ближнем Востоке. Усилия по разведке киберугроз играют решающую роль в обнаружении и смягчении таких угроз, подчеркивая важность упреждающих мер безопасности и протоколов реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте рассказывается о кибератаке с использованием кейлоггера, встроенного в сервер Microsoft Exchange, жертвами которой стали более 30 человек, в основном из правительственных учреждений в Африке и на Ближнем Востоке. Хакеры использовали известные уязвимости в серверах Exchange для внедрения кейлоггера и кражи данных учетной записи. Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важную инфраструктуру и организации по всему миру, что подчеркивает важность упреждающих мер безопасности и протоколов реагирования на инциденты.
-----
Группа реагирования на инциденты Экспертного центра безопасности Positive Technologies недавно обнаружила ранее неизвестный кейлоггер, встроенный в главную страницу Microsoft Exchange Server одного из их клиентов. Этот кейлоггер собирал данные учетной записи и сохранял их в файле, доступном по определенным путям в Интернете. После этого обнаружения группа по анализу угроз в PT ESC провела тщательный анализ и выявила более 30 жертв, пострадавших от этой атаки, в основном из правительственных учреждений в разных странах. Эти атаки были совершены в 2021 году, при этом большинство жертв приходилось на регионы Африки и Ближнего Востока.
Хакеры использовали известные уязвимости в серверах Exchange, в частности эксплойт ProxyShell, для внедрения кейлоггера на главную страницу. Кроме того, они вставили код в файл logon.aspx, позволяющий передавать украденные данные учетной записи во внешний файл для удаленного доступа.
Число жертв этой атаки превысило 30 человек, включая правительственные учреждения, банки, IT-компании и образовательные учреждения. Среди пострадавших были такие страны, как Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания и Ливан. Positive Technologies оперативно уведомила всех жертв о компрометации и посоветовала необходимые меры по исправлению положения.
Этот инцидент подчеркивает сохраняющуюся угрозу изощренных кибератак, нацеленных на критически важные объекты инфраструктуры и организации в различных секторах и географических регионах. Определение причин этих атак остается сложной задачей из-за отсутствия точных данных, хотя основное внимание, по-видимому, уделяется организациям в Африке и на Ближнем Востоке. Усилия по разведке киберугроз играют решающую роль в обнаружении и смягчении таких угроз, подчеркивая важность упреждающих мер безопасности и протоколов реагирования на инциденты.
#ParsedReport #CompletenessLow
18-05-2024
Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/182126.html
Report completeness: Low
Actors/Campaigns:
Bitter
Operation_monsoon
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Education, Military, Government
Geo:
Asia
ChatGPT TTPs:
T1566, T1547, T1552
IOCs:
File: 4
Soft:
WeChat
Languages:
php
18-05-2024
Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/182126.html
Report completeness: Low
Actors/Campaigns:
Bitter
Operation_monsoon
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Education, Military, Government
Geo:
Asia
ChatGPT TTPs:
do not use without manual checkT1566, T1547, T1552
IOCs:
File: 4
Soft:
Languages:
php
CTF导航
APT-C-08(蔓灵花)组织利用Replit平台攻击活动分析 | CTF导航
APT-C-08 蔓灵花APT-C-08(蔓灵花)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。我们监测到多起由蔓灵花组织...
CTT Report Hub
#ParsedReport #CompletenessLow 18-05-2024 Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform https://www.ctfiot.com/182126.html Report completeness: Low Actors/Campaigns: Bitter Operation_monsoon Threats: Harpoon_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста связана с APT-C-08, также известной как Manlinghua, передовой организацией по борьбе с постоянными угрозами, имеющей правительственный опыт в Южной Азии. Они активно проводят APT-атаки на соседние страны Южной Азии, главным образом посредством фишинговой деятельности, направленной на правительства, военную промышленность, университеты и зарубежные учреждения. Тактика организации эволюционировала и теперь включает в себя использование таких платформ, как Replit и netlify.app, для создания фишинговых веб-сайтов, уделяя особое внимание недорогостоящим атакам с высокой вероятностью успеха. Эксперты по безопасности предупреждают о растущем использовании общедоступных хостинговых платформ для проведения APT-атак, подчеркивая важность бдительности пользователей, чтобы не стать жертвами таких атак. Несмотря на развитие тактики, в 2023 году в действиях Manlinghua по проведению harpoon-атак существенных изменений не произошло.
-----
APT-C-08, также известная как Manlinghua, является передовой APT, атакующей правительства Южной Азии. В последние годы они проводят APT-атаки на соседние страны Южной Азии, нацеленные на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения. Организация активно занимается фишинговыми атаками, в частности, использует сайты для загрузки вложений электронной почты, чтобы обманом заставить пользователей раскрыть свои учетные данные.
Одним из примечательных открытий 2023 года стало использование платформы интегрированной онлайн-среды разработки (IDE) Replit by APT-C-08 для создания фишингового веб-сайта. Это знаменует собой изменение их тактики, поскольку ранее они использовали платформы, подобные GitHub-страницам на GitHub для аналогичных целей. Кроме того, на последующих этапах атак были задействованы сторонние веб-сервисы, такие как netlify.app. Было замечено, что эти фишинговые действия Manlinghua были сосредоточены в период с июля по сентябрь 2023 года.
Методы фишинга, применяемые в организации, постоянно совершенствуются и адаптируются. Похоже, что они отдают предпочтение недорогостоящим атакам с высокой вероятностью успеха с помощью фишинга, о чем свидетельствуют их постоянные усилия по совершенствованию этих методологий. Эксперты по безопасности предупреждают, что использование общедоступных хостинговых платформ, таких как Replit, для сокрытия сетевых ресурсов, становится все более распространенным явлением при атаках APT. Поэтому пользователям крайне важно сохранять бдительность при обнаружении ссылок на ресурсы с общедоступных платформ, чтобы не стать жертвами таких атак.
Несмотря на эволюцию тактики, в 2023 году в действиях Manlinghua по атакам harpoon не произошло существенных изменений. Организация использовала Replit для разработки среды PHP для своих фишинговых кампаний, создавая поддельные страницы загрузки вложений, напоминающие широко используемые почтовые платформы, такие как 163 mailbox. Предлагая пользователям ввести свои учетные данные электронной почты, злоумышленники намеревались похитить конфиденциальную информацию. Процесс фишинга состоял из нескольких этапов, включая перенаправление пользователей на разные веб-страницы для сбора данных, что выявляло незначительные ошибки в действиях злоумышленника.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста связана с APT-C-08, также известной как Manlinghua, передовой организацией по борьбе с постоянными угрозами, имеющей правительственный опыт в Южной Азии. Они активно проводят APT-атаки на соседние страны Южной Азии, главным образом посредством фишинговой деятельности, направленной на правительства, военную промышленность, университеты и зарубежные учреждения. Тактика организации эволюционировала и теперь включает в себя использование таких платформ, как Replit и netlify.app, для создания фишинговых веб-сайтов, уделяя особое внимание недорогостоящим атакам с высокой вероятностью успеха. Эксперты по безопасности предупреждают о растущем использовании общедоступных хостинговых платформ для проведения APT-атак, подчеркивая важность бдительности пользователей, чтобы не стать жертвами таких атак. Несмотря на развитие тактики, в 2023 году в действиях Manlinghua по проведению harpoon-атак существенных изменений не произошло.
-----
APT-C-08, также известная как Manlinghua, является передовой APT, атакующей правительства Южной Азии. В последние годы они проводят APT-атаки на соседние страны Южной Азии, нацеленные на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения. Организация активно занимается фишинговыми атаками, в частности, использует сайты для загрузки вложений электронной почты, чтобы обманом заставить пользователей раскрыть свои учетные данные.
Одним из примечательных открытий 2023 года стало использование платформы интегрированной онлайн-среды разработки (IDE) Replit by APT-C-08 для создания фишингового веб-сайта. Это знаменует собой изменение их тактики, поскольку ранее они использовали платформы, подобные GitHub-страницам на GitHub для аналогичных целей. Кроме того, на последующих этапах атак были задействованы сторонние веб-сервисы, такие как netlify.app. Было замечено, что эти фишинговые действия Manlinghua были сосредоточены в период с июля по сентябрь 2023 года.
Методы фишинга, применяемые в организации, постоянно совершенствуются и адаптируются. Похоже, что они отдают предпочтение недорогостоящим атакам с высокой вероятностью успеха с помощью фишинга, о чем свидетельствуют их постоянные усилия по совершенствованию этих методологий. Эксперты по безопасности предупреждают, что использование общедоступных хостинговых платформ, таких как Replit, для сокрытия сетевых ресурсов, становится все более распространенным явлением при атаках APT. Поэтому пользователям крайне важно сохранять бдительность при обнаружении ссылок на ресурсы с общедоступных платформ, чтобы не стать жертвами таких атак.
Несмотря на эволюцию тактики, в 2023 году в действиях Manlinghua по атакам harpoon не произошло существенных изменений. Организация использовала Replit для разработки среды PHP для своих фишинговых кампаний, создавая поддельные страницы загрузки вложений, напоминающие широко используемые почтовые платформы, такие как 163 mailbox. Предлагая пользователям ввести свои учетные данные электронной почты, злоумышленники намеревались похитить конфиденциальную информацию. Процесс фишинга состоял из нескольких этапов, включая перенаправление пользователей на разные веб-страницы для сбора данных, что выявляло незначительные ошибки в действиях злоумышленника.
#ParsedReport #CompletenessLow
18-05-2024
Threat actors misusing Quick Assist in social engineering attacks leading to ransomware
https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware
Report completeness: Low
Actors/Campaigns:
Storm_1811 (motivation: financially_motivated, cyber_criminal)
Shathak
Threats:
Blackbasta
Cobalt_strike
Screenconnect_tool
Netsupportmanager_rat
Qakbot
Ransom:win32/basta
Trojan:win32/basta
Turtleloader
ChatGPT TTPs:
T1566.002, T1204.002, T1059.003, T1566.001, T1071.001, T1219, T1562.001, T1021.001, T1486, T1105, have more...
IOCs:
Domain: 8
Hash: 5
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, macOS, cURL, OpenSSH, PsExec
Algorithms:
sha256, zip
Functions:
count
Languages:
powershell
18-05-2024
Threat actors misusing Quick Assist in social engineering attacks leading to ransomware
https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware
Report completeness: Low
Actors/Campaigns:
Storm_1811 (motivation: financially_motivated, cyber_criminal)
Shathak
Threats:
Blackbasta
Cobalt_strike
Screenconnect_tool
Netsupportmanager_rat
Qakbot
Ransom:win32/basta
Trojan:win32/basta
Turtleloader
ChatGPT TTPs:
do not use without manual checkT1566.002, T1204.002, T1059.003, T1566.001, T1071.001, T1219, T1562.001, T1021.001, T1486, T1105, have more...
IOCs:
Domain: 8
Hash: 5
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, macOS, cURL, OpenSSH, PsExec
Algorithms:
sha256, zip
Functions:
count
Languages:
powershell
Microsoft News
Threat actors misusing Quick Assist in social engineering attacks leading to ransomware
Microsoft Threat Intelligence has observed Storm-1811 misusing the client management tool Quick Assist to target users in social engineering attacks that lead to malware like Qakbot followed by Black Basta ransomware deployment.
CTT Report Hub
#ParsedReport #CompletenessLow 18-05-2024 Threat actors misusing Quick Assist in social engineering attacks leading to ransomware https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании киберугрозы, в которой злоумышленник Storm-1811 злоупотребляет тактикой социальной инженерии, в частности вишинговыми атаками, для развертывания программы-вымогателя Black Basta путем неправильного использования инструмента управления клиентами Quick Assist. Microsoft Threat Intelligence активно отслеживает эту угрозу и предоставляет информацию о том, как ее обнаружить и защититься от нее, подчеркивая важность раннего обнаружения и предотвращения развертывания программ-вымогателей.
-----
В тексте описывается киберугроза, нацеленная на пользователей посредством атак с использованием социальной инженерии, осуществляемая злоумышленником, известным как Storm-1811, который связан с развертыванием программы-вымогателя Black Basta. Злоумышленник злоупотребляет инструментом управления клиентами Quick Assist для этих атак. Наблюдаемая активность включает в себя олицетворение с помощью голосового фишинга (vishing) для обмана пользователей и предоставления вредоносных инструментов, таких как инструменты удаленного мониторинга и управления (RMM), такие как ScreenConnect и NetSupport Manager, а также вредоносных программ, таких как Qakbot и Cobalt Strike, кульминацией которых стало внедрение программы-вымогателя Black Basta.
Microsoft Threat Intelligence активно отслеживает эту угрозу и работает над защитой клиентов от подобных вредоносных действий. Они расследуют случаи неправомерного использования Quick Assist и повышают прозрачность и доверие между помощниками и пользователями. Кроме того, Microsoft Defender для конечных точек и антивирус оснащены для обнаружения компонентов, связанных с этой угрозой.
Тактика социальной инженерии, используемая злоумышленниками, включает в себя вишинг-атаки, когда они выдают себя за ИТ-специалистов, чтобы получить доступ к целевым устройствам. Они также могут инициировать атаки по электронной почте, за которыми следуют голосовые звонки с предложением помощи, в результате чего пользователи неосознанно предоставляют доступ к своим системам. Как только доступ предоставлен, злоумышленник загружает вредоносные программы, такие как Qakbot, ScreenConnect, NetSupport Manager и Cobalt Strike, с помощью скриптовых команд.
На протяжении многих лет Qakbot играл важную роль в доставке дополнительной вредоносной информации, и в данном случае он доставил ударный маяк Cobalt, приписываемый Storm-1811. ScreenConnect помогает обеспечить постоянство и обеспечивает возможность горизонтального перемещения в скомпрометированных средах, в то время как NetSupport Manager обеспечивает злоумышленникам удаленный доступ для управления скомпрометированными устройствами и выполнения произвольных команд.
После установки начальных инструментов и получения доступа Storm-1811 приступает к перечислению доменов, перемещению по горизонтали и использует PsExec для развертывания программы-вымогателя Black Basta по всей сети. Black Basta - это закрытое программное обеспечение-вымогатель, распространяемое избранной группой злоумышленников, которые используют другие вредоносные объекты для первоначального доступа. Это подчеркивает важность того, чтобы организации сосредоточились на ранних стадиях атаки, чтобы предотвратить развертывание программ-вымогателей.
Для защиты от этой угрозы Корпорация Майкрософт рекомендует рекомендации по использованию Quick Assist и предлагает меры по снижению воздействия Black Basta и других программ-вымогателей. Антивирус Microsoft Defender способен обнаруживать различные вредоносные компоненты, связанные с этой угрозой, включая компоненты Qakbot, Black Basta и Cobalt Strike. Предупреждения о подозрительном поведении, такие как возможная активность Qakbot, использование NetSupport Manager и текущая активность злоумышленников, являются важными показателями для обнаружения потенциальных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании киберугрозы, в которой злоумышленник Storm-1811 злоупотребляет тактикой социальной инженерии, в частности вишинговыми атаками, для развертывания программы-вымогателя Black Basta путем неправильного использования инструмента управления клиентами Quick Assist. Microsoft Threat Intelligence активно отслеживает эту угрозу и предоставляет информацию о том, как ее обнаружить и защититься от нее, подчеркивая важность раннего обнаружения и предотвращения развертывания программ-вымогателей.
-----
В тексте описывается киберугроза, нацеленная на пользователей посредством атак с использованием социальной инженерии, осуществляемая злоумышленником, известным как Storm-1811, который связан с развертыванием программы-вымогателя Black Basta. Злоумышленник злоупотребляет инструментом управления клиентами Quick Assist для этих атак. Наблюдаемая активность включает в себя олицетворение с помощью голосового фишинга (vishing) для обмана пользователей и предоставления вредоносных инструментов, таких как инструменты удаленного мониторинга и управления (RMM), такие как ScreenConnect и NetSupport Manager, а также вредоносных программ, таких как Qakbot и Cobalt Strike, кульминацией которых стало внедрение программы-вымогателя Black Basta.
Microsoft Threat Intelligence активно отслеживает эту угрозу и работает над защитой клиентов от подобных вредоносных действий. Они расследуют случаи неправомерного использования Quick Assist и повышают прозрачность и доверие между помощниками и пользователями. Кроме того, Microsoft Defender для конечных точек и антивирус оснащены для обнаружения компонентов, связанных с этой угрозой.
Тактика социальной инженерии, используемая злоумышленниками, включает в себя вишинг-атаки, когда они выдают себя за ИТ-специалистов, чтобы получить доступ к целевым устройствам. Они также могут инициировать атаки по электронной почте, за которыми следуют голосовые звонки с предложением помощи, в результате чего пользователи неосознанно предоставляют доступ к своим системам. Как только доступ предоставлен, злоумышленник загружает вредоносные программы, такие как Qakbot, ScreenConnect, NetSupport Manager и Cobalt Strike, с помощью скриптовых команд.
На протяжении многих лет Qakbot играл важную роль в доставке дополнительной вредоносной информации, и в данном случае он доставил ударный маяк Cobalt, приписываемый Storm-1811. ScreenConnect помогает обеспечить постоянство и обеспечивает возможность горизонтального перемещения в скомпрометированных средах, в то время как NetSupport Manager обеспечивает злоумышленникам удаленный доступ для управления скомпрометированными устройствами и выполнения произвольных команд.
После установки начальных инструментов и получения доступа Storm-1811 приступает к перечислению доменов, перемещению по горизонтали и использует PsExec для развертывания программы-вымогателя Black Basta по всей сети. Black Basta - это закрытое программное обеспечение-вымогатель, распространяемое избранной группой злоумышленников, которые используют другие вредоносные объекты для первоначального доступа. Это подчеркивает важность того, чтобы организации сосредоточились на ранних стадиях атаки, чтобы предотвратить развертывание программ-вымогателей.
Для защиты от этой угрозы Корпорация Майкрософт рекомендует рекомендации по использованию Quick Assist и предлагает меры по снижению воздействия Black Basta и других программ-вымогателей. Антивирус Microsoft Defender способен обнаруживать различные вредоносные компоненты, связанные с этой угрозой, включая компоненты Qakbot, Black Basta и Cobalt Strike. Предупреждения о подозрительном поведении, такие как возможная активность Qakbot, использование NetSupport Manager и текущая активность злоумышленников, являются важными показателями для обнаружения потенциальных угроз.
#ParsedReport #CompletenessHigh
18-05-2024
To the Moon and back(doors): Lunar landing in diplomatic missions
https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-landing-diplomatic-missions
Report completeness: High
Actors/Campaigns:
Turla (motivation: cyber_espionage)
Hafnium
Threats:
Lunarweb
Lunarmail
Lunarloader
Steganography_technique
Spear-phishing_technique
Smskey
Gpg4win_tool
Reflectiveloader
Zipper
Kazuar
Lightneuron
Victims:
European ministry of foreign affairs, Diplomatic missions
Industry:
Government
Geo:
Russia, China, Asia, Ukraine, Russian
TTPs:
Tactics: 10
Technics: 46
IOCs:
File: 14
Path: 15
Command: 3
Domain: 1
IP: 12
Registry: 1
Soft:
Outlook, ASP.NET, Microsoft Exchange Server, Microsoft Exchange
Algorithms:
aes, base64, aes-256, zip, rc4, rsa-4096, md5, hmac, sha256
Win API:
ReadFile
Languages:
powershell, visual_basic, lua
Platforms:
x86, x64
Links:
18-05-2024
To the Moon and back(doors): Lunar landing in diplomatic missions
https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-landing-diplomatic-missions
Report completeness: High
Actors/Campaigns:
Turla (motivation: cyber_espionage)
Hafnium
Threats:
Lunarweb
Lunarmail
Lunarloader
Steganography_technique
Spear-phishing_technique
Smskey
Gpg4win_tool
Reflectiveloader
Zipper
Kazuar
Lightneuron
Victims:
European ministry of foreign affairs, Diplomatic missions
Industry:
Government
Geo:
Russia, China, Asia, Ukraine, Russian
TTPs:
Tactics: 10
Technics: 46
IOCs:
File: 14
Path: 15
Command: 3
Domain: 1
IP: 12
Registry: 1
Soft:
Outlook, ASP.NET, Microsoft Exchange Server, Microsoft Exchange
Algorithms:
aes, base64, aes-256, zip, rc4, rsa-4096, md5, hmac, sha256
Win API:
ReadFile
Languages:
powershell, visual_basic, lua
Platforms:
x86, x64
Links:
https://github.com/GreyCorbel/admpwdhttps://github.com/davidm/luacomhttps://github.com/sebastiandev/zipperhttps://github.com/Mbed-TLS/mbedtlshttps://github.com/eset/malware-ioc/tree/master/turla#to-the-moon-and-back-doors-lunar-landing-in-diplomatic-missions-indicators-of-compromisehttps://github.com/Mbed-TLS/mbedtls/blob/995c66f702db3a004be1e3d822ffad64b2ad125f/programs/aes/aescrypt2.chttps://github.com/eset/malware-ioc/tree/master/turla#to-the-moon-and-backdoors-lunar-landing-in-diplomatic-missionsindicators-of-compromiseWelivesecurity
To the Moon and back(doors): Lunar landing in diplomatic missions
ESET researchers provide technical analysis of the Lunar toolset, likely used by the Turla APT group, that infiltrated a European ministry of foreign affairs
CTT Report Hub
#ParsedReport #CompletenessHigh 18-05-2024 To the Moon and back(doors): Lunar landing in diplomatic missions https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-landing-diplomatic-missions Report completeness: High Actors/Campaigns: Turla…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении двух новых бэкдоров, LunarWeb и LunarMail, приписываемых связанной с Россией группе кибершпионажа Turla, которые использовались для компрометации европейского министерства иностранных дел и его дипломатических представительств за рубежом. Также обсуждается история работы группы с высокопоставленными объектами, передовые методы, используемые в наборе инструментов Lunar, методы первоначального доступа и подробные сведения о поведении и методах коммуникации бэкдоров.
-----
Исследователи ESET выявили два новых бэкдора, LunarWeb и LunarMail, которые использовались для взлома европейского министерства иностранных дел и его дипломатических представительств и которые приписываются связанной с Россией группе кибершпионажа Turla.
Turla, также известная как Snake, нацелена на высокопоставленные организации в Европе, Центральной Азии и на Ближнем Востоке, имеющие опыт взлома таких крупных организаций, как Министерство обороны США и швейцарская оборонная компания RUAG.
Набор лунных инструментов, который будет введен в эксплуатацию как минимум с 2020 года, включает в себя передовые технологии, такие как стеганография и уникальные методы коммуникации.
Первоначальная тактика доступа включает в себя скрытый поиск и использование неправильно настроенного программного обеспечения для мониторинга сети и приложений, такого как Zabbix.
LunarMail устанавливается как надстройка Outlook, обменивается данными с помощью сообщений электронной почты и выполняет Lua-скрипты, в то время как LunarWeb работает на серверах, использующих HTTP (ы) для связи C&C и стеганографии, чтобы скрывать команды в изображениях.
LunarLoader действует как начальный загрузчик для бэкдоров, расшифровывает полезную нагрузку и использует MD5-хэш DNS-доменного имени компьютера в качестве ключа расшифровки.
Ссылка IoC "system_web.aspx", обычно ассоциируемая с ориентированным на Китай APT Hafnium в соответствующем сценарии, считается либо совпадением, либо ложным сигналом.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении двух новых бэкдоров, LunarWeb и LunarMail, приписываемых связанной с Россией группе кибершпионажа Turla, которые использовались для компрометации европейского министерства иностранных дел и его дипломатических представительств за рубежом. Также обсуждается история работы группы с высокопоставленными объектами, передовые методы, используемые в наборе инструментов Lunar, методы первоначального доступа и подробные сведения о поведении и методах коммуникации бэкдоров.
-----
Исследователи ESET выявили два новых бэкдора, LunarWeb и LunarMail, которые использовались для взлома европейского министерства иностранных дел и его дипломатических представительств и которые приписываются связанной с Россией группе кибершпионажа Turla.
Turla, также известная как Snake, нацелена на высокопоставленные организации в Европе, Центральной Азии и на Ближнем Востоке, имеющие опыт взлома таких крупных организаций, как Министерство обороны США и швейцарская оборонная компания RUAG.
Набор лунных инструментов, который будет введен в эксплуатацию как минимум с 2020 года, включает в себя передовые технологии, такие как стеганография и уникальные методы коммуникации.
Первоначальная тактика доступа включает в себя скрытый поиск и использование неправильно настроенного программного обеспечения для мониторинга сети и приложений, такого как Zabbix.
LunarMail устанавливается как надстройка Outlook, обменивается данными с помощью сообщений электронной почты и выполняет Lua-скрипты, в то время как LunarWeb работает на серверах, использующих HTTP (ы) для связи C&C и стеганографии, чтобы скрывать команды в изображениях.
LunarLoader действует как начальный загрузчик для бэкдоров, расшифровывает полезную нагрузку и использует MD5-хэш DNS-доменного имени компьютера в качестве ключа расшифровки.
Ссылка IoC "system_web.aspx", обычно ассоциируемая с ориентированным на Китай APT Hafnium в соответствующем сценарии, считается либо совпадением, либо ложным сигналом.
#ParsedReport #CompletenessLow
19-05-2024
Payload Trends in Malicious OneNote Samples
https://unit42.paloaltonetworks.com/payloads-in-malicious-onenote-samples
Report completeness: Low
Geo:
Japanese
ChatGPT TTPs:
T1566, T1204, T1559, T1105
IOCs:
Hash: 2
File: 1
Soft:
OneNote, Microsoft OneNote, Microsoft Office
Algorithms:
sha256
Win API:
WSAStringToAddressA, WSASocketW
Languages:
javascript, powershell, python
Links:
19-05-2024
Payload Trends in Malicious OneNote Samples
https://unit42.paloaltonetworks.com/payloads-in-malicious-onenote-samples
Report completeness: Low
Geo:
Japanese
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1559, T1105
IOCs:
Hash: 2
File: 1
Soft:
OneNote, Microsoft OneNote, Microsoft Office
Algorithms:
sha256
Win API:
WSAStringToAddressA, WSASocketW
Languages:
javascript, powershell, python
Links:
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/Payload\_Trends\_in\_Malcious\_OneNote\_Samples-SHA256-hashes.txthttps://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/Payload\_Trends\_in\_Malcious\_OneNote\_Samples-OneNote\_To\_Payload\_Mapping.csvUnit 42
Payload Trends in Malicious OneNote Samples
This article examines the distribution of malicious payloads embedded in Microsoft OneNote files by type, a first in our research to do so at such a scale.
CTT Report Hub
#ParsedReport #CompletenessLow 19-05-2024 Payload Trends in Malicious OneNote Samples https://unit42.paloaltonetworks.com/payloads-in-malicious-onenote-samples Report completeness: Low Geo: Japanese ChatGPT TTPs: do not use without manual check T1566…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе образцов вредоносного по OneNote, используемых злоумышленниками для внедрения различных типов полезных программ, таких как PowerShell, VBScript, EXE-файлы и JavaScript, для выполнения вредоносных действий. Злоумышленники используют изображения и кнопки в файлах OneNote, чтобы заманить ничего не подозревающих пользователей к взаимодействию с файлами, что приводит к внедрению вредоносных программ. Организациям рекомендуется принимать превентивные меры, такие как блокирование опасной встроенной полезной нагрузки и рекомендация пользователям проверять имена файлов и расширения перед взаимодействием с ними, чтобы снизить риски, связанные с вредоносными файлами OneNote.
-----
В статье рассматривается анализ образцов вредоносных программ OneNote, используемых злоумышленниками для внедрения полезных данных и выполнения вредоносных действий. Злоумышленники используют изображения и кнопки в файлах OneNote, чтобы заманить ничего не подозревающих пользователей к взаимодействию с файлами, что приводит к внедрению вредоносных данных. Эти вредоносные файлы OneNote часто маскируются под законные заметки и используют доверие пользователей к таким приложениям для доставки полезной информации. В статье рассматриваются типы встроенных полезных данных, которые обычно встречаются во вредоносных файлах OneNote, включая PowerShell, VBScript, пакетные, HTA, файлы Office 97-2003, EXE-файлы и JavaScript.
Основной метод, используемый злоумышленниками, заключается в использовании изображений, напоминающих кнопки, чтобы побудить пользователей нажимать на них, запуская выполнение встроенной полезной нагрузки. В статье приведены примеры различных вредоносных программ OneNote со встроенными изображениями и кнопками, побуждающими пользователей запускать различные типы полезных приложений, таких как файлы VBScript, EXE и Office 97-2003. Кроме того, в сообщении подчеркивается, что злоумышленники предпочитают файлы меньшего размера для встроенной полезной нагрузки, поскольку они с меньшей вероятностью вызовут подозрения при использовании распространенных методов распространения вредоносного ПО, таких как вложения в электронную почту.
Кроме того, анализ показывает, что почти все вредоносные файлы OneNote содержат по крайней мере одно изображение, что подтверждает фишинговую природу этих файлов. В статье также рассматриваются конкретные технические детали примера OneNote со встроенной полезной нагрузкой EXE, демонстрирующего использование динамического разрешения адресов и создания сетевых сокетов в шеллкоде для потенциальных вредоносных действий. Показано, что злоумышленники в основном используют JavaScript, PowerShell, Batch и VBScript для встраивания полезных данных, иногда используя бинарные полезные данные для достижения своих вредоносных целей.
Для борьбы с угрозами, связанными с вредоносными файлами OneNote, организациям рекомендуется рассмотреть возможность блокировки встроенных полезных файлов с опасными расширениями и рекомендовать пользователям проверять имена файлов и расширения встроенных полезных файлов, прежде чем взаимодействовать с ними. Кроме того, использование брандмауэров нового поколения, облачных служб безопасности и передовых решений для защиты конечных точек может усилить механизмы защиты от действий после эксплуатации и свести к минимуму риск компрометации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе образцов вредоносного по OneNote, используемых злоумышленниками для внедрения различных типов полезных программ, таких как PowerShell, VBScript, EXE-файлы и JavaScript, для выполнения вредоносных действий. Злоумышленники используют изображения и кнопки в файлах OneNote, чтобы заманить ничего не подозревающих пользователей к взаимодействию с файлами, что приводит к внедрению вредоносных программ. Организациям рекомендуется принимать превентивные меры, такие как блокирование опасной встроенной полезной нагрузки и рекомендация пользователям проверять имена файлов и расширения перед взаимодействием с ними, чтобы снизить риски, связанные с вредоносными файлами OneNote.
-----
В статье рассматривается анализ образцов вредоносных программ OneNote, используемых злоумышленниками для внедрения полезных данных и выполнения вредоносных действий. Злоумышленники используют изображения и кнопки в файлах OneNote, чтобы заманить ничего не подозревающих пользователей к взаимодействию с файлами, что приводит к внедрению вредоносных данных. Эти вредоносные файлы OneNote часто маскируются под законные заметки и используют доверие пользователей к таким приложениям для доставки полезной информации. В статье рассматриваются типы встроенных полезных данных, которые обычно встречаются во вредоносных файлах OneNote, включая PowerShell, VBScript, пакетные, HTA, файлы Office 97-2003, EXE-файлы и JavaScript.
Основной метод, используемый злоумышленниками, заключается в использовании изображений, напоминающих кнопки, чтобы побудить пользователей нажимать на них, запуская выполнение встроенной полезной нагрузки. В статье приведены примеры различных вредоносных программ OneNote со встроенными изображениями и кнопками, побуждающими пользователей запускать различные типы полезных приложений, таких как файлы VBScript, EXE и Office 97-2003. Кроме того, в сообщении подчеркивается, что злоумышленники предпочитают файлы меньшего размера для встроенной полезной нагрузки, поскольку они с меньшей вероятностью вызовут подозрения при использовании распространенных методов распространения вредоносного ПО, таких как вложения в электронную почту.
Кроме того, анализ показывает, что почти все вредоносные файлы OneNote содержат по крайней мере одно изображение, что подтверждает фишинговую природу этих файлов. В статье также рассматриваются конкретные технические детали примера OneNote со встроенной полезной нагрузкой EXE, демонстрирующего использование динамического разрешения адресов и создания сетевых сокетов в шеллкоде для потенциальных вредоносных действий. Показано, что злоумышленники в основном используют JavaScript, PowerShell, Batch и VBScript для встраивания полезных данных, иногда используя бинарные полезные данные для достижения своих вредоносных целей.
Для борьбы с угрозами, связанными с вредоносными файлами OneNote, организациям рекомендуется рассмотреть возможность блокировки встроенных полезных файлов с опасными расширениями и рекомендовать пользователям проверять имена файлов и расширения встроенных полезных файлов, прежде чем взаимодействовать с ними. Кроме того, использование брандмауэров нового поколения, облачных служб безопасности и передовых решений для защиты конечных точек может усилить механизмы защиты от действий после эксплуатации и свести к минимуму риск компрометации.
#ParsedReport #CompletenessLow
19-05-2024
Dark Web Profile: Dispossessor Ransomware
https://socradar.io/dark-web-profile-dispossessor-ransomware
Report completeness: Low
Actors/Campaigns:
Dispossessor (motivation: cyber_criminal)
Lockbit
Ransomhub
Threats:
Lockbit
Clop
Snatch_ransomware
Stealbit
Industry:
Financial, Healthcare, Religion
ChatGPT TTPs:
T1583.001, T1583.002, T1583.006, T1189, T1021.001
Soft:
ESXi
Crypto:
bitcoin
Languages:
swift
19-05-2024
Dark Web Profile: Dispossessor Ransomware
https://socradar.io/dark-web-profile-dispossessor-ransomware
Report completeness: Low
Actors/Campaigns:
Dispossessor (motivation: cyber_criminal)
Lockbit
Ransomhub
Threats:
Lockbit
Clop
Snatch_ransomware
Stealbit
Industry:
Financial, Healthcare, Religion
ChatGPT TTPs:
do not use without manual checkT1583.001, T1583.002, T1583.006, T1189, T1021.001
Soft:
ESXi
Crypto:
bitcoin
Languages:
swift
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Dispossessor Ransomware - SOCRadar® Cyber Intelligence Inc.
Dispossessor has recently emerged in the ransomware landscape, and it is especially notable for its similarities to the notorious LockBit group. Following an
CTT Report Hub
#ParsedReport #CompletenessLow 19-05-2024 Dark Web Profile: Dispossessor Ransomware https://socradar.io/dark-web-profile-dispossessor-ransomware Report completeness: Low Actors/Campaigns: Dispossessor (motivation: cyber_criminal) Lockbit Ransomhub Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление новой группы программ-вымогателей под названием Dispossessor, деятельность которой очень напоминает печально известную LockBit group. Dispossessor работает в качестве брокера данных, используя модель "Программа-вымогатель как услуга", и использует аффилированных лиц для проведения атак. Группа активно участвовала в краже ценных данных и вымогательстве после того, как правоохранительные органы пресекли деятельность LockBit. В тексте подчеркивается важность внедрения надежных стратегий защиты от программ-вымогателей для защиты от таких угроз и подчеркивается важность интеграции решений для мониторинга угроз и разведки, таких как SOCRadar, в системы кибербезопасности.
-----
Dispossessor - это новая группа программ-вымогателей, которая напоминает LockBit после подавления LockBit правоохранительными органами.
Название "Обездоленный" может быть навеяно романом Урсулы К. Ле Гуин "Обездоленные"..
Dispossessor работает в качестве брокера данных по модели "Программа-вымогатель как услуга" (RaaS), полагаясь на аффилированных лиц для проведения атак.
Веб-сайт Dispossessor полностью повторяет веб-сайт LockBit, что позволяет предположить потенциальный ребрендинг или создание новой группы, использующей инфраструктуру LockBit.
Компания Dispossessor объявила о доступности утечки данных для скачивания и продажи после операции Cronos, нацеленной на различные рынки.
Ключевые стратегии защиты от программ-вымогателей включают регулярное резервное копирование данных, обучение навыкам безопасности, эффективное управление исправлениями, сегментацию сети, контроль доступа, защиту конечных точек, планирование реагирования на инциденты, аудит безопасности, проверку целостности резервных копий данных и развертывание решений для мониторинга угроз, таких как SOCRadar.
Интеграция с SOCRadar обеспечивает непрерывный мониторинг угроз, упреждающий поиск угроз, понимание действующих лиц угроз, превентивные меры безопасности и своевременное оповещение о потенциальных векторах атак для усиления защиты от кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление новой группы программ-вымогателей под названием Dispossessor, деятельность которой очень напоминает печально известную LockBit group. Dispossessor работает в качестве брокера данных, используя модель "Программа-вымогатель как услуга", и использует аффилированных лиц для проведения атак. Группа активно участвовала в краже ценных данных и вымогательстве после того, как правоохранительные органы пресекли деятельность LockBit. В тексте подчеркивается важность внедрения надежных стратегий защиты от программ-вымогателей для защиты от таких угроз и подчеркивается важность интеграции решений для мониторинга угроз и разведки, таких как SOCRadar, в системы кибербезопасности.
-----
Dispossessor - это новая группа программ-вымогателей, которая напоминает LockBit после подавления LockBit правоохранительными органами.
Название "Обездоленный" может быть навеяно романом Урсулы К. Ле Гуин "Обездоленные"..
Dispossessor работает в качестве брокера данных по модели "Программа-вымогатель как услуга" (RaaS), полагаясь на аффилированных лиц для проведения атак.
Веб-сайт Dispossessor полностью повторяет веб-сайт LockBit, что позволяет предположить потенциальный ребрендинг или создание новой группы, использующей инфраструктуру LockBit.
Компания Dispossessor объявила о доступности утечки данных для скачивания и продажи после операции Cronos, нацеленной на различные рынки.
Ключевые стратегии защиты от программ-вымогателей включают регулярное резервное копирование данных, обучение навыкам безопасности, эффективное управление исправлениями, сегментацию сети, контроль доступа, защиту конечных точек, планирование реагирования на инциденты, аудит безопасности, проверку целостности резервных копий данных и развертывание решений для мониторинга угроз, таких как SOCRadar.
Интеграция с SOCRadar обеспечивает непрерывный мониторинг угроз, упреждающий поиск угроз, понимание действующих лиц угроз, превентивные меры безопасности и своевременное оповещение о потенциальных векторах атак для усиления защиты от кибербезопасности.
#ParsedReport #CompletenessMedium
19-05-2024
Springtail: New Linux Backdoor Added to Toolkit
https://symantec-enterprise-blogs.security.com/threat-intelligence/springtail-kimsuky-backdoor-espionage
Report completeness: Medium
Actors/Campaigns:
Springtail (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)
Threats:
Gobear
Gomir
Spear-phishing_technique
Troll_stealer
Supply_chain_technique
Betaseed
Endoor
Victims:
Khnp, Sga solutions, Ahnlab, Organizations in south korea
Industry:
Government, Military
Geo:
Korea, Korean, Asian
ChatGPT TTPs:
T1566, T1068, T1543, T1105, T1027, T1195, T1556.003
IOCs:
File: 2
Url: 1
Hash: 18
IP: 1
Soft:
systemd, crontab, X_Trader
Algorithms:
md5, base64
Functions:
getegid32
19-05-2024
Springtail: New Linux Backdoor Added to Toolkit
https://symantec-enterprise-blogs.security.com/threat-intelligence/springtail-kimsuky-backdoor-espionage
Report completeness: Medium
Actors/Campaigns:
Springtail (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)
Threats:
Gobear
Gomir
Spear-phishing_technique
Troll_stealer
Supply_chain_technique
Betaseed
Endoor
Victims:
Khnp, Sga solutions, Ahnlab, Organizations in south korea
Industry:
Government, Military
Geo:
Korea, Korean, Asian
ChatGPT TTPs:
do not use without manual checkT1566, T1068, T1543, T1105, T1027, T1195, T1556.003
IOCs:
File: 2
Url: 1
Hash: 18
IP: 1
Soft:
systemd, crontab, X_Trader
Algorithms:
md5, base64
Functions:
getegid32
Security
Springtail: New Linux Backdoor Added to Toolkit
More than one legitimate software package was modified to deliver malware in North Korean group’s recent campaign against South Korean organizations.
CTT Report Hub
#ParsedReport #CompletenessMedium 19-05-2024 Springtail: New Linux Backdoor Added to Toolkit https://symantec-enterprise-blogs.security.com/threat-intelligence/springtail-kimsuky-backdoor-espionage Report completeness: Medium Actors/Campaigns: Springtail…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового бэкдора Linux под названием Linux.Gomir, разработанного северокорейской шпионской группой Springtail, также известной как Kimsuky. Этот бэкдор является частью недавней кампании, нацеленной на организации в Южной Корее, и имеет схожий код с ранее идентифицированным бэкдором GoBear. Кампания включает в себя распространение семейства вредоносных программ под названием Troll Stealer с помощью троянских установочных пакетов программного обеспечения с целью кражи различной информации из зараженных систем, в частности, нацеленной на сотрудников правительства Южной Кореи и государственных организаций. Злоумышленники маскируют распространение этих угроз с помощью таких методов, как троянизация законных пакетов программного обеспечения и использование украденных сертификатов.
-----
Команда Symantec Threat Hunter обнаружила новый бэкдор для Linux под названием Linux.Gomir, разработанный северокорейской шпионской группой Springtail, также известной как Kimsuky.
Gomir связан с недавней кампанией против организаций в Южной Корее и представляет собой Linux-версию бэкдора GoBear, используемого Springtail.
Springtail связана с северокорейской военной разведывательной организацией "Главное разведывательное бюро" и нацелена на организации государственного сектора в Южной Корее с помощью фишинговых кампаний.
В ходе недавней кампании Springtail распространяла вредоносное ПО под названием Troll Stealer, предназначенное для кражи различной информации из зараженных систем, включая правительственные данные.
Troll Stealer распространялся через троянские установочные пакеты для программного обеспечения TrustPKI и NX_PRNMAN, а также через Wizvera VeraPort, который ранее подвергался атаке на сеть поставок, связанную с Северной Кореей.
Troll Stealer похож на GoBear и другой бэкдор под названием BetaSeed, но оба они подписаны законным сертификатом от "D2innovation Co.,LTD.".
Gomir, версия вредоносной программы для Linux, взаимодействует со своим сервером управления с помощью HTTP POST-запросов, расшифровывает команды с помощью пользовательского алгоритма шифрования и поддерживает выполнение различных команд.
Кампания Springtail делает упор на использовании программ для установки троянского ПО в целях нацеливания на южнокорейские организации, стратегически выбранные для обеспечения максимального уровня заражения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового бэкдора Linux под названием Linux.Gomir, разработанного северокорейской шпионской группой Springtail, также известной как Kimsuky. Этот бэкдор является частью недавней кампании, нацеленной на организации в Южной Корее, и имеет схожий код с ранее идентифицированным бэкдором GoBear. Кампания включает в себя распространение семейства вредоносных программ под названием Troll Stealer с помощью троянских установочных пакетов программного обеспечения с целью кражи различной информации из зараженных систем, в частности, нацеленной на сотрудников правительства Южной Кореи и государственных организаций. Злоумышленники маскируют распространение этих угроз с помощью таких методов, как троянизация законных пакетов программного обеспечения и использование украденных сертификатов.
-----
Команда Symantec Threat Hunter обнаружила новый бэкдор для Linux под названием Linux.Gomir, разработанный северокорейской шпионской группой Springtail, также известной как Kimsuky.
Gomir связан с недавней кампанией против организаций в Южной Корее и представляет собой Linux-версию бэкдора GoBear, используемого Springtail.
Springtail связана с северокорейской военной разведывательной организацией "Главное разведывательное бюро" и нацелена на организации государственного сектора в Южной Корее с помощью фишинговых кампаний.
В ходе недавней кампании Springtail распространяла вредоносное ПО под названием Troll Stealer, предназначенное для кражи различной информации из зараженных систем, включая правительственные данные.
Troll Stealer распространялся через троянские установочные пакеты для программного обеспечения TrustPKI и NX_PRNMAN, а также через Wizvera VeraPort, который ранее подвергался атаке на сеть поставок, связанную с Северной Кореей.
Troll Stealer похож на GoBear и другой бэкдор под названием BetaSeed, но оба они подписаны законным сертификатом от "D2innovation Co.,LTD.".
Gomir, версия вредоносной программы для Linux, взаимодействует со своим сервером управления с помощью HTTP POST-запросов, расшифровывает команды с помощью пользовательского алгоритма шифрования и поддерживает выполнение различных команд.
Кампания Springtail делает упор на использовании программ для установки троянского ПО в целях нацеливания на южнокорейские организации, стратегически выбранные для обеспечения максимального уровня заражения.