#ParsedReport #CompletenessHigh
20-05-2024
Bad Karma, No Justice: Void Manticore Destructive Activities in Israel
https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel
Report completeness: High
Actors/Campaigns:
Void_manticore (motivation: hacktivism)
Scarred_manticore
Wildneutron
Threats:
Karma
Bibi-wiper
Foxshell
Liontail_tool
Lionhead_tool
Ad_explorer_tool
Zerocleare_wiper
Shadow_copies_delete_technique
Victims:
Israeli organizations, Albanian entities, Instat
Industry:
Government, Military
Geo:
Albania, Israeli, Iranian, Albanian, Israel
CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1561, T1070.004, T1496, T1485, T1105, T1555.003, T1219, T1600
IOCs:
File: 10
Command: 9
Path: 8
IP: 6
Hash: 7
Soft:
Telegram, OpenSSH, bcdedit, Windows Explorer, Windows File Explorer, SysInternals
Wallets:
harmony_wallet
Algorithms:
base64, xor
Functions:
GetString
YARA: Found
Links:
20-05-2024
Bad Karma, No Justice: Void Manticore Destructive Activities in Israel
https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel
Report completeness: High
Actors/Campaigns:
Void_manticore (motivation: hacktivism)
Scarred_manticore
Wildneutron
Threats:
Karma
Bibi-wiper
Foxshell
Liontail_tool
Lionhead_tool
Ad_explorer_tool
Zerocleare_wiper
Shadow_copies_delete_technique
Victims:
Israeli organizations, Albanian entities, Instat
Industry:
Government, Military
Geo:
Albania, Israeli, Iranian, Albanian, Israel
CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1561, T1070.004, T1496, T1485, T1105, T1555.003, T1219, T1600
IOCs:
File: 10
Command: 9
Path: 8
IP: 6
Hash: 7
Soft:
Telegram, OpenSSH, bcdedit, Windows Explorer, Windows File Explorer, SysInternals
Wallets:
harmony_wallet
Algorithms:
base64, xor
Functions:
GetString
YARA: Found
Links:
https://github.com/BeichenDream/Neo-reGeorg/tree/7cf25ae556ef5802b033e42a2d093e25e0e41c02Check Point Research
Bad Karma, No Justice: Void Manticore Destructive Activities in Israel - Check Point Research
Introduction Since October 2023, Check Point Research (CPR) has actively monitored and hunted state-sponsored threats targeting Israeli organizations with destructive attacks using wipers and ransomware. Among these threats, Void Manticore (aka Storm-842)…
CTT Report Hub
#ParsedReport #CompletenessHigh 20-05-2024 Bad Karma, No Justice: Void Manticore Destructive Activities in Israel https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте содержится информация о деятельности иранского террориста Void Manticore, связанного с MOIS, который проводит разрушительные атаки по уничтожению и сотрудничает со Scarred Manticore. В нем подробно описываются их подрывные методы, использование онлайн-персонажей, таких как Homeland Justice и Karma, а также тактика стратегической психологической войны. Сотрудничество между двумя группами обеспечивает доступ к ценным объектам, а также выделяются конкретные соглашения о конфиденциальности, включающие пользовательские средства очистки и методы ручного уничтожения данных. Кроме того, упоминаются правила обнаружения угроз, которые гарантируют клиентам Check Point защиту от атак Void Manticore.
-----
В тексте описывается деятельность иранского злоумышленника, известного как Void Manticore, связанного с Министерством разведки и безопасности (MOIS). Void Manticore проводит деструктивные атаки по уничтожению информации в рамках своих операций и связан с различными онлайн-персонажами, в частности с Homeland Justice и Karma. Группа нацелилась на организации в Албании и Израиле, причем в виктимологии у нее есть заметные совпадения с другим действующим актором, представляющим угрозу, - Scarred Manticore.
Void Manticore использует пять основных методов для предотвращения сбоев в работе, включая пользовательские очистители как для Windows, так и для Linux, ручное удаление файлов и использование общих дисков. Тактика группы включает в себя простые методы с использованием общедоступных инструментов и базовых процедур, часто с использованием протокола удаленного рабочего стола (RDP) для боковых перемещений.
Выделено сотрудничество между Мантикорой Пустоты и Мантикорой со Шрамом, демонстрирующее систематическую передачу целей между двумя группами. Эта координация позволяет Мантикоре Пустоты получать доступ к ценным целям, чему способствуют расширенные возможности Мантикоры со Шрамом. В тексте также подробно рассказывается об использовании специальных дворников, таких как BiBi wiper, названный в честь премьер-министра Израиля Биньямина Нетаньяху, в своих нападениях.
В статье подчеркивается стратегическое использование различных онлайн-персонажей Void Manticore для усиления своей тактики психологической войны путем утечки информации и фактического уничтожения данных. Операции группы направлены на эскалацию политической напряженности и рассылку политически заряженных сообщений. Деятельность Void Manticore распространяется за пределы Израиля, включая нападения в Албании, демонстрируя широкую наступательную стратегию.
Кроме того, в тексте упоминаются конкретные TTP, используемые Void Manticore, включая использование пользовательских очистителей, нацеленных на определенные файлы или таблицу разделов зараженных систем. Группа известна тем, что проводит операции по уничтожению данных вручную с использованием законных утилит, таких как Windows File Explorer, SysInternal SDelete и Windows Format Utility.
Особое внимание уделяется сотрудничеству между Void Manticore и Scarred Manticore, что подчеркивает высокий уровень координации их операций. В тексте также подробно описаны правила обнаружения угроз, направленные на выявление вредоносных программ, связанных с Void Manticore. Клиенты Check Point могут быть уверены в защите от описанных атак благодаря использованию IP-адресов, Check Point Harmony Endpoint и эмуляции угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте содержится информация о деятельности иранского террориста Void Manticore, связанного с MOIS, который проводит разрушительные атаки по уничтожению и сотрудничает со Scarred Manticore. В нем подробно описываются их подрывные методы, использование онлайн-персонажей, таких как Homeland Justice и Karma, а также тактика стратегической психологической войны. Сотрудничество между двумя группами обеспечивает доступ к ценным объектам, а также выделяются конкретные соглашения о конфиденциальности, включающие пользовательские средства очистки и методы ручного уничтожения данных. Кроме того, упоминаются правила обнаружения угроз, которые гарантируют клиентам Check Point защиту от атак Void Manticore.
-----
В тексте описывается деятельность иранского злоумышленника, известного как Void Manticore, связанного с Министерством разведки и безопасности (MOIS). Void Manticore проводит деструктивные атаки по уничтожению информации в рамках своих операций и связан с различными онлайн-персонажами, в частности с Homeland Justice и Karma. Группа нацелилась на организации в Албании и Израиле, причем в виктимологии у нее есть заметные совпадения с другим действующим актором, представляющим угрозу, - Scarred Manticore.
Void Manticore использует пять основных методов для предотвращения сбоев в работе, включая пользовательские очистители как для Windows, так и для Linux, ручное удаление файлов и использование общих дисков. Тактика группы включает в себя простые методы с использованием общедоступных инструментов и базовых процедур, часто с использованием протокола удаленного рабочего стола (RDP) для боковых перемещений.
Выделено сотрудничество между Мантикорой Пустоты и Мантикорой со Шрамом, демонстрирующее систематическую передачу целей между двумя группами. Эта координация позволяет Мантикоре Пустоты получать доступ к ценным целям, чему способствуют расширенные возможности Мантикоры со Шрамом. В тексте также подробно рассказывается об использовании специальных дворников, таких как BiBi wiper, названный в честь премьер-министра Израиля Биньямина Нетаньяху, в своих нападениях.
В статье подчеркивается стратегическое использование различных онлайн-персонажей Void Manticore для усиления своей тактики психологической войны путем утечки информации и фактического уничтожения данных. Операции группы направлены на эскалацию политической напряженности и рассылку политически заряженных сообщений. Деятельность Void Manticore распространяется за пределы Израиля, включая нападения в Албании, демонстрируя широкую наступательную стратегию.
Кроме того, в тексте упоминаются конкретные TTP, используемые Void Manticore, включая использование пользовательских очистителей, нацеленных на определенные файлы или таблицу разделов зараженных систем. Группа известна тем, что проводит операции по уничтожению данных вручную с использованием законных утилит, таких как Windows File Explorer, SysInternal SDelete и Windows Format Utility.
Особое внимание уделяется сотрудничеству между Void Manticore и Scarred Manticore, что подчеркивает высокий уровень координации их операций. В тексте также подробно описаны правила обнаружения угроз, направленные на выявление вредоносных программ, связанных с Void Manticore. Клиенты Check Point могут быть уверены в защите от описанных атак благодаря использованию IP-адресов, Check Point Harmony Endpoint и эмуляции угроз.
#ParsedReport #CompletenessHigh
20-05-2024
Invisible miners: unveiling GHOSTENGINE s crypto mining operations
https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine
Report completeness: High
Actors/Campaigns:
Ref4578
Threats:
Ghostengine
Hiddenshovel
Xmrig_miner
Iobit_tool
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 13
Path: 15
IP: 3
Coin: 1
Hash: 13
Domain: 3
Soft:
Windows Defender, curl, Microsoft Windows Defender
Crypto:
monero
Algorithms:
base64, sha256
Languages:
powershell
YARA: Found
Links:
20-05-2024
Invisible miners: unveiling GHOSTENGINE s crypto mining operations
https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine
Report completeness: High
Actors/Campaigns:
Ref4578
Threats:
Ghostengine
Hiddenshovel
Xmrig_miner
Iobit_tool
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 13
Path: 15
IP: 3
Coin: 1
Hash: 13
Domain: 3
Soft:
Windows Defender, curl, Microsoft Windows Defender
Crypto:
monero
Algorithms:
base64, sha256
Languages:
powershell
YARA: Found
Links:
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_GhostEngine.yarhttps://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/defense\_evasion\_binary\_masquerading\_via\_untrusted\_path.toml#L58https://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_microsoft\_defender\_tampering.tomlhttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_clearing\_windows\_event\_logs.tomlhttps://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/yara/rules/Windows\_VulnDriver\_IoBitUnlocker.yarhttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/execution\_command\_shell\_started\_by\_svchost.toml#L41https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/execution\_suspicious\_powershell\_downloads.tomlhttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/persistence\_local\_scheduled\_task\_creation.tomlhttps://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/privilege\_escalation\_potential\_privilege\_escalation\_via\_missing\_dll.tomlhttps://github.com/elastic/labs-releases/tree/main/indicators/ghostenginehttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/privilege\_escalation\_service\_control\_spawned\_script\_int.tomlhttps://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/yara/rules/Windows\_VulnDriver\_ArPot.yarhttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_from\_unusual\_directory.tomlwww.elastic.co
Invisible miners: unveiling GHOSTENGINE’s crypto mining operations — Elastic Security Labs
Elastic Security Labs has identified REF4578, an intrusion set incorporating several malicious modules and leveraging vulnerable drivers to disable known security solutions (EDRs) for crypto mining.
CTT Report Hub
#ParsedReport #CompletenessHigh 20-05-2024 Invisible miners: unveiling GHOSTENGINE s crypto mining operations https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine Report completeness: High Actors/Campaigns: Ref4578 Threats: Ghostengine…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе набора вторжений под названием REF4578 компанией Elastic Security Labs, который включает вредоносные модули, нацеленные на уязвимости в драйверах, чтобы отключить решения endpoint security для целей криптодобычи. Основная полезная нагрузка GHOSTENGINE используется для обеспечения сохраняемости, установки бэкдоров, запуска криптомайнера и применения различных тактик для обеспечения успешной установки и работы на зараженных компьютерах. Также обсуждаются стратегии обнаружения и предотвращения, подчеркивающие важность мониторинга и устранения угроз, связанных с деятельностью по криптомайнерству.
-----
Elastic Security Labs обнаружила набор вредоносных программ под названием REF4578, который включает в себя множество вредоносных модулей, нацеленных на уязвимости в драйверах, чтобы отключить решения endpoint security solutions (EDR) для целей криптодобычи. Этот набор для взлома, называемый REF4578, включает в себя основную полезную нагрузку под названием GHOSTENGINE, которая обладает возможностями для обеспечения сохраняемости, установки недокументированного бэкдора и запуска криптомайнера. Кампания, организованная авторами вредоносного ПО, внедряющими GHOSTENGINE, показала значительный уровень сложности в обеспечении успешной установки и устойчивости майнера XMRIG.
Вторжение началось с выполнения замаскированного PE-файла с именем Tiworker.exe, который инициировал вторжение REF4578 путем развертывания известного уязвимого драйвера. Последующее выполнение сценария PowerShell с помощью Tiworker.exe организовало весь процесс выполнения вторжения, загрузив дополнительные инструменты и конфигурации с сервера командования и контроля (C2) злоумышленника.
GHOSTENGINE отвечает за извлечение и выполнение модулей на зараженном компьютере, в основном используя HTTP для загрузки файлов из настроенного домена и FTP в качестве дополнительного протокола со встроенными учетными данными. Он использует различные компоненты, такие как clearn.png, для удаления остатков предыдущих заражений и использует такие тактические приемы, как манипулирование разрешением DNS для связи C2.
Несколько модулей, развернутых GHOSTENGINE, воздействуют на средства безопасности, создают бэкдоры и облегчают обновление программного обеспечения. Вредоносная программа сканирует известные агенты EDR и отключает их, используя уязвимые драйверы, после чего развертывается XMRig для майнинга криптовалют. Он также создает служебную библиотеку DLL для сохранения системы и загружает обновления с сервера C2.
Скрипт PowerShell в вредоносной программе действует как бэкдор для удаленного выполнения команд, отправляя и получая команды в кодировке Base64 в ожидании инструкций. Авторы внедрили избыточность в работу модуля backdoor, обеспечивая непрерывное сканирование на наличие новых процессов.
Конечной целью набора для взлома REF4578 является развертывание постоянного криптомайнера Monero, XMRig. Благодаря извлечению файла конфигурации XMRig была получена ценная информация о добытой криптовалюте, идентификаторах транзакций, выводе средств и статистике пула, связанных с идентификатором платежа Monero, указанным в конфигурации.
Кроме того, Elastic Security Labs использует платформу MITRE ATT&CK для документирования тактики, методов и процедур, используемых при угрозах корпоративным сетям. Особое внимание уделяется стратегиям обнаружения и предотвращения, подчеркивающим важность мониторинга подозрительных запусков PowerShell, необычных развертываний каталогов, повышения привилегий, развертывания уязвимых драйверов и моделей сетевого трафика, связанных с деятельностью по добыче криптовалют.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе набора вторжений под названием REF4578 компанией Elastic Security Labs, который включает вредоносные модули, нацеленные на уязвимости в драйверах, чтобы отключить решения endpoint security для целей криптодобычи. Основная полезная нагрузка GHOSTENGINE используется для обеспечения сохраняемости, установки бэкдоров, запуска криптомайнера и применения различных тактик для обеспечения успешной установки и работы на зараженных компьютерах. Также обсуждаются стратегии обнаружения и предотвращения, подчеркивающие важность мониторинга и устранения угроз, связанных с деятельностью по криптомайнерству.
-----
Elastic Security Labs обнаружила набор вредоносных программ под названием REF4578, который включает в себя множество вредоносных модулей, нацеленных на уязвимости в драйверах, чтобы отключить решения endpoint security solutions (EDR) для целей криптодобычи. Этот набор для взлома, называемый REF4578, включает в себя основную полезную нагрузку под названием GHOSTENGINE, которая обладает возможностями для обеспечения сохраняемости, установки недокументированного бэкдора и запуска криптомайнера. Кампания, организованная авторами вредоносного ПО, внедряющими GHOSTENGINE, показала значительный уровень сложности в обеспечении успешной установки и устойчивости майнера XMRIG.
Вторжение началось с выполнения замаскированного PE-файла с именем Tiworker.exe, который инициировал вторжение REF4578 путем развертывания известного уязвимого драйвера. Последующее выполнение сценария PowerShell с помощью Tiworker.exe организовало весь процесс выполнения вторжения, загрузив дополнительные инструменты и конфигурации с сервера командования и контроля (C2) злоумышленника.
GHOSTENGINE отвечает за извлечение и выполнение модулей на зараженном компьютере, в основном используя HTTP для загрузки файлов из настроенного домена и FTP в качестве дополнительного протокола со встроенными учетными данными. Он использует различные компоненты, такие как clearn.png, для удаления остатков предыдущих заражений и использует такие тактические приемы, как манипулирование разрешением DNS для связи C2.
Несколько модулей, развернутых GHOSTENGINE, воздействуют на средства безопасности, создают бэкдоры и облегчают обновление программного обеспечения. Вредоносная программа сканирует известные агенты EDR и отключает их, используя уязвимые драйверы, после чего развертывается XMRig для майнинга криптовалют. Он также создает служебную библиотеку DLL для сохранения системы и загружает обновления с сервера C2.
Скрипт PowerShell в вредоносной программе действует как бэкдор для удаленного выполнения команд, отправляя и получая команды в кодировке Base64 в ожидании инструкций. Авторы внедрили избыточность в работу модуля backdoor, обеспечивая непрерывное сканирование на наличие новых процессов.
Конечной целью набора для взлома REF4578 является развертывание постоянного криптомайнера Monero, XMRig. Благодаря извлечению файла конфигурации XMRig была получена ценная информация о добытой криптовалюте, идентификаторах транзакций, выводе средств и статистике пула, связанных с идентификатором платежа Monero, указанным в конфигурации.
Кроме того, Elastic Security Labs использует платформу MITRE ATT&CK для документирования тактики, методов и процедур, используемых при угрозах корпоративным сетям. Особое внимание уделяется стратегиям обнаружения и предотвращения, подчеркивающим важность мониторинга подозрительных запусков PowerShell, необычных развертываний каталогов, повышения привилегий, развертывания уязвимых драйверов и моделей сетевого трафика, связанных с деятельностью по добыче криптовалют.
#ParsedReport #CompletenessLow
21-05-2024
New Hijack Loader Variant: Uses Process Hollowing, Has Enhanced Anti-Evasion Capabilities
https://any.run/cybersecurity-blog/new-hijackloader-version
Report completeness: Low
Threats:
Hijackloader
Process_hollowing_technique
Amadey
Lumma_stealer
Meta_stealer
Raccoon_stealer
Remcos_rat
Rhadamanthys
ChatGPT TTPs:
T1140, T1497, T1562, T1548, T1055
IOCs:
IP: 3
Hash: 3
Domain: 3
Soft:
Windows Defender
21-05-2024
New Hijack Loader Variant: Uses Process Hollowing, Has Enhanced Anti-Evasion Capabilities
https://any.run/cybersecurity-blog/new-hijackloader-version
Report completeness: Low
Threats:
Hijackloader
Process_hollowing_technique
Amadey
Lumma_stealer
Meta_stealer
Raccoon_stealer
Remcos_rat
Rhadamanthys
ChatGPT TTPs:
do not use without manual checkT1140, T1497, T1562, T1548, T1055
IOCs:
IP: 3
Hash: 3
Domain: 3
Soft:
Windows Defender
ANY.RUN's Cybersecurity Blog
New HijackLoader: Process Hollowing & Anti-Evasion Capabilities
Learn more about a new version of HijackLoader and its updated capabilities, including process hollowing, UAC bypass, and more.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 New Hijack Loader Variant: Uses Process Hollowing, Has Enhanced Anti-Evasion Capabilities https://any.run/cybersecurity-blog/new-hijackloader-version Report completeness: Low Threats: Hijackloader Process_hollowing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте рассказывается об обнаружении новой версии вредоносного по Hijack Loader исследователями безопасности на платформе ANY.RUN. В этой обновленной версии используются сложные методы обхода программного обеспечения безопасности, включая расшифровку изображения в формате PNG для загрузки его полезной информации, обход контроля учетных записей, использование "пустого процесса" и обхода защитника Windows. Вредоносная программа, также известная как IDAT Loader, становится все более распространенной и занимает 6-е место среди наиболее часто обнаруживаемых на платформе. Программная среда ANY.RUN позволяет идентифицировать вредоносное ПО с помощью правил YARA, а ее продукты threat intelligence помогают реагировать на инциденты, предоставляя IOCs и улучшая понимание угроз. Особое внимание уделяется возможностям быстрого обнаружения ANY.RUN, а также глобальному влиянию вредоносного ПО Hijack Loader на специалистов по кибербезопасности.
-----
В тексте описывается обнаружение исследователями безопасности новой версии Hijack Loader на платформе ANY.RUN. В этой обновленной версии загрузчика используются передовые технологии, позволяющие избежать обнаружения программным обеспечением безопасности. Он расшифровывает и анализирует изображение в формате PNG для загрузки полезной нагрузки второго этапа, обходит систему контроля учетных записей пользователей (UAC), использует удаление процессов и исключает антивирус Windows Defender. Вредоносная программа, также известная как IDAT Loader, впервые появилась в сентябре 2023 года и становится все более популярной, занимая в настоящее время 6-е место среди наиболее обнаруживаемых вредоносных программ в ANY.RUN Trends Tracker.
Программа ANY.RUN sandbox способна обнаруживать взломанный загрузчик с помощью правил YARA. Проанализировав содержимое статического файла, было обнаружено, что вредоносная программа нацелена как на 32-, так и на 64-разрядные версии Windows. Однако в ходе конкретного сеанса анализа полезная нагрузка второго этапа не была загружена из-за неработающего сервера управления (C2). Исследователи собрали последние показатели компрометации (IOCs), связанные с Hijack Loader, из трекера тенденций вредоносных программ, которые динамически обновляются по мере проведения новых сеансов анализа на платформе.
ANY.RUN обслуживает более 400 000 специалистов по кибербезопасности по всему миру, предоставляя интерактивную "песочницу" для анализа вредоносных программ, нацеленных на системы Windows и Linux. Кроме того, их продукты для анализа угроз, включая TI Lookup, Yara Search и Feeds, помогают находить IOCS и файлы, улучшая понимание угроз и возможности реагирования на инциденты. Платформа помогает в быстром анализе и обнаружении угроз, используя правила YARA и Suricata для идентификации распространенных семейств вредоносных программ и поведенческие сигнатуры для обнаружения вредоносных действий. ANY.RUN способен обнаруживать вредоносное ПО в течение 40 секунд после загрузки файла, записывать и анализировать различные аспекты поведения вредоносного ПО, такие как сетевой трафик, системные вызовы и изменения файловой системы.
Таким образом, в тексте освещается эволюционирующая природа вредоносного по Hijack Loader, его передовые методы обхода, возможности обнаружения на платформе ANY.RUN, глобальное влияние на специалистов по кибербезопасности и важность быстрого анализа вредоносного ПО и обнаружения угроз для эффективного реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте рассказывается об обнаружении новой версии вредоносного по Hijack Loader исследователями безопасности на платформе ANY.RUN. В этой обновленной версии используются сложные методы обхода программного обеспечения безопасности, включая расшифровку изображения в формате PNG для загрузки его полезной информации, обход контроля учетных записей, использование "пустого процесса" и обхода защитника Windows. Вредоносная программа, также известная как IDAT Loader, становится все более распространенной и занимает 6-е место среди наиболее часто обнаруживаемых на платформе. Программная среда ANY.RUN позволяет идентифицировать вредоносное ПО с помощью правил YARA, а ее продукты threat intelligence помогают реагировать на инциденты, предоставляя IOCs и улучшая понимание угроз. Особое внимание уделяется возможностям быстрого обнаружения ANY.RUN, а также глобальному влиянию вредоносного ПО Hijack Loader на специалистов по кибербезопасности.
-----
В тексте описывается обнаружение исследователями безопасности новой версии Hijack Loader на платформе ANY.RUN. В этой обновленной версии загрузчика используются передовые технологии, позволяющие избежать обнаружения программным обеспечением безопасности. Он расшифровывает и анализирует изображение в формате PNG для загрузки полезной нагрузки второго этапа, обходит систему контроля учетных записей пользователей (UAC), использует удаление процессов и исключает антивирус Windows Defender. Вредоносная программа, также известная как IDAT Loader, впервые появилась в сентябре 2023 года и становится все более популярной, занимая в настоящее время 6-е место среди наиболее обнаруживаемых вредоносных программ в ANY.RUN Trends Tracker.
Программа ANY.RUN sandbox способна обнаруживать взломанный загрузчик с помощью правил YARA. Проанализировав содержимое статического файла, было обнаружено, что вредоносная программа нацелена как на 32-, так и на 64-разрядные версии Windows. Однако в ходе конкретного сеанса анализа полезная нагрузка второго этапа не была загружена из-за неработающего сервера управления (C2). Исследователи собрали последние показатели компрометации (IOCs), связанные с Hijack Loader, из трекера тенденций вредоносных программ, которые динамически обновляются по мере проведения новых сеансов анализа на платформе.
ANY.RUN обслуживает более 400 000 специалистов по кибербезопасности по всему миру, предоставляя интерактивную "песочницу" для анализа вредоносных программ, нацеленных на системы Windows и Linux. Кроме того, их продукты для анализа угроз, включая TI Lookup, Yara Search и Feeds, помогают находить IOCS и файлы, улучшая понимание угроз и возможности реагирования на инциденты. Платформа помогает в быстром анализе и обнаружении угроз, используя правила YARA и Suricata для идентификации распространенных семейств вредоносных программ и поведенческие сигнатуры для обнаружения вредоносных действий. ANY.RUN способен обнаруживать вредоносное ПО в течение 40 секунд после загрузки файла, записывать и анализировать различные аспекты поведения вредоносного ПО, такие как сетевой трафик, системные вызовы и изменения файловой системы.
Таким образом, в тексте освещается эволюционирующая природа вредоносного по Hijack Loader, его передовые методы обхода, возможности обнаружения на платформе ANY.RUN, глобальное влияние на специалистов по кибербезопасности и важность быстрого анализа вредоносного ПО и обнаружения угроз для эффективного реагирования на инциденты.
#ParsedReport #CompletenessLow
21-05-2024
XWorm v5.6 malware being distributed through web hard
https://asec.ahnlab.com/ko/65555
Report completeness: Low
Threats:
Xworm_rat
Udprat
Njrat
Trojan/win.generic.c5621458
Trojan/win.loader.c5622810
ChatGPT TTPs:
T1566.001, T1204.002, T1547.001, T1055, T1574.002, T1027
IOCs:
File: 4
Registry: 1
Path: 1
Url: 3
Hash: 2
Algorithms:
zip
21-05-2024
XWorm v5.6 malware being distributed through web hard
https://asec.ahnlab.com/ko/65555
Report completeness: Low
Threats:
Xworm_rat
Udprat
Njrat
Trojan/win.generic.c5621458
Trojan/win.loader.c5622810
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1547.001, T1055, T1574.002, T1027
IOCs:
File: 4
Registry: 1
Path: 1
Url: 3
Hash: 2
Algorithms:
zip
ASEC
웹하드를 통해 유포 중인 XWorm v5.6 악성코드 - ASEC
웹하드를 통해 유포 중인 XWorm v5.6 악성코드 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 XWorm v5.6 malware being distributed through web hard https://asec.ahnlab.com/ko/65555 Report completeness: Low Threats: Xworm_rat Udprat Njrat Trojan/win.generic.c5621458 Trojan/win.loader.c5622810 ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
Аналитический центр безопасности AhnLab (ASEC) выявил распространение вредоносного ПО XWorm версии 5.6, замаскированного под игры для взрослых, через жесткие диски в Интернете, что свидетельствует о распространенной практике злоумышленников, использующих легкодоступные вредоносные коды для распространения вредоносных программ на таких платформах, как Github. Вредоносная программа использует обманный процесс, при котором пользователи неосознанно выполняют вредоносный код, что приводит к различным вредоносным действиям. Пользователям настоятельно рекомендуется соблюдать осторожность при загрузке исполняемых файлов с сайтов обмена данными и приобретать программы из официальных источников, чтобы снизить риск заражения вредоносными программами.
-----
Аналитический центр безопасности AhnLab (ASEC) выявил распространение вредоносного ПО XWorm версии 5.6 через жесткие диски в Интернете, замаскированные под игры для взрослых, в ходе мониторинга распространения вредоносного ПО в домашних условиях. Жесткие диски в Интернете и торренты часто используются в качестве платформ для распространения вредоносного ПО внутри страны. Злоумышленники обычно используют легкодоступные вредоносные коды, такие как njRAT или UDP Rat, замаскированные под обычные программы, такие как игры или контент для взрослых, для распространения вредоносных программ. Злоумышленники нацеливались на эти платформы для распространения своих вредоносных кодов. Вредоносная программа XWorm версии 5.6, в частности, легко доступна на таких платформах, как Github.
Распространение вредоносного кода, замаскированного под игру для взрослых, включает в себя обманный процесс, при котором загружается и разархивируется файл с именем Start.exe, выдающий себя за программу запуска игры. Этот файл запускает игру отдельно от другого вредоносного кода под названием SoundP2.muc, который выдает себя за файл музыкальных настроек. После запуска Start.exe вредоносная программа немедленно запускается или отображает поддельное сообщение "Game Play!", чтобы обманом заставить пользователей выполнить вредоносный код, нажав на кнопку, позволяющую обойти протоколы безопасности, такие как изолированные среды. Кроме того, вредоносная программа копирует файл SoundP2.muc в папку Windows и регистрирует его в реестре для автоматического запуска.
SoundP2.muc содержит зашифрованные версии XWorm v5.6 и загрузчик, загруженный с сервера управления (C2). После загрузки загрузчик внедряет XWorm версии 5.6 в MSBuild.exe, позволяя выполнять такие вредоносные действия, как мониторинг, кейлоггинг, перехват веб-камеры и загрузку дополнительных вредоносных программ. Это свидетельствует об активном распространении вредоносных кодов через сайты обмена данными, такие как внутренние веб-жесткие диски, и призывает пользователей проявлять осторожность. Пользователям рекомендуется проявлять бдительность при загрузке исполняемых файлов с таких сайтов и приобретать программы, такие как утилиты и игры, с официальных веб-сайтов, чтобы снизить риски, связанные с заражением вредоносными программами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
Аналитический центр безопасности AhnLab (ASEC) выявил распространение вредоносного ПО XWorm версии 5.6, замаскированного под игры для взрослых, через жесткие диски в Интернете, что свидетельствует о распространенной практике злоумышленников, использующих легкодоступные вредоносные коды для распространения вредоносных программ на таких платформах, как Github. Вредоносная программа использует обманный процесс, при котором пользователи неосознанно выполняют вредоносный код, что приводит к различным вредоносным действиям. Пользователям настоятельно рекомендуется соблюдать осторожность при загрузке исполняемых файлов с сайтов обмена данными и приобретать программы из официальных источников, чтобы снизить риск заражения вредоносными программами.
-----
Аналитический центр безопасности AhnLab (ASEC) выявил распространение вредоносного ПО XWorm версии 5.6 через жесткие диски в Интернете, замаскированные под игры для взрослых, в ходе мониторинга распространения вредоносного ПО в домашних условиях. Жесткие диски в Интернете и торренты часто используются в качестве платформ для распространения вредоносного ПО внутри страны. Злоумышленники обычно используют легкодоступные вредоносные коды, такие как njRAT или UDP Rat, замаскированные под обычные программы, такие как игры или контент для взрослых, для распространения вредоносных программ. Злоумышленники нацеливались на эти платформы для распространения своих вредоносных кодов. Вредоносная программа XWorm версии 5.6, в частности, легко доступна на таких платформах, как Github.
Распространение вредоносного кода, замаскированного под игру для взрослых, включает в себя обманный процесс, при котором загружается и разархивируется файл с именем Start.exe, выдающий себя за программу запуска игры. Этот файл запускает игру отдельно от другого вредоносного кода под названием SoundP2.muc, который выдает себя за файл музыкальных настроек. После запуска Start.exe вредоносная программа немедленно запускается или отображает поддельное сообщение "Game Play!", чтобы обманом заставить пользователей выполнить вредоносный код, нажав на кнопку, позволяющую обойти протоколы безопасности, такие как изолированные среды. Кроме того, вредоносная программа копирует файл SoundP2.muc в папку Windows и регистрирует его в реестре для автоматического запуска.
SoundP2.muc содержит зашифрованные версии XWorm v5.6 и загрузчик, загруженный с сервера управления (C2). После загрузки загрузчик внедряет XWorm версии 5.6 в MSBuild.exe, позволяя выполнять такие вредоносные действия, как мониторинг, кейлоггинг, перехват веб-камеры и загрузку дополнительных вредоносных программ. Это свидетельствует об активном распространении вредоносных кодов через сайты обмена данными, такие как внутренние веб-жесткие диски, и призывает пользователей проявлять осторожность. Пользователям рекомендуется проявлять бдительность при загрузке исполняемых файлов с таких сайтов и приобретать программы, такие как утилиты и игры, с официальных веб-сайтов, чтобы снизить риски, связанные с заражением вредоносными программами.
#ParsedReport #CompletenessLow
21-05-2024
Detecting the STRRAT Malware Family
https://corelight.com/blog/newsroom/news/strrat-malware
Report completeness: Low
Threats:
Strrat
Credential_stealing_technique
ChatGPT TTPs:
T1071, T1056, T1552, T1486, T1041
IOCs:
File: 2
IP: 2
Languages:
java
Links:
21-05-2024
Detecting the STRRAT Malware Family
https://corelight.com/blog/newsroom/news/strrat-malware
Report completeness: Low
Threats:
Strrat
Credential_stealing_technique
ChatGPT TTPs:
do not use without manual checkT1071, T1056, T1552, T1486, T1041
IOCs:
File: 2
IP: 2
Languages:
java
Links:
https://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/ConnectionUtil.java#L416https://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/ConnectionUtil.java#L213https://github.com/corelight/zeek-strrat-detectorhttp://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/Main.javahttp://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/Main.java#L226https://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/ConnectionUtil.java#L673Corelight
Detecting the STRRAT Malware Family | Corelight
In recent months STRRAT has become one of the top malware families submitted to Any.Run. Here's how to detect it.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Detecting the STRRAT Malware Family https://corelight.com/blog/newsroom/news/strrat-malware Report completeness: Low Threats: Strrat Credential_stealing_technique ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, особое внимание уделяется использованию инструментов сетевого анализа, таких как Wireshark, для определения методов его передачи. В нем предлагается использовать скрипты Zeek, Spicy language и правила Suricata для создания комплексных сигнатур обнаружения для STRRAT, что подчеркивает важность эффективного обнаружения сообщений C2 для снижения угрозы. Кроме того, рекомендуется использовать Corelight C2 Collection для улучшения понимания и обнаружения действий C2, связанных с STRRAT и другими угрозами.
-----
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, которое представляет собой инструмент удаленного доступа на базе Java (RAT), известный своими возможностями кражи учетных данных, ведения журнала ключей и вымогательства. Вредоносное ПО все чаще попадает в изолированные программы, что подчеркивает его значимость как угрозы. Одной из ключевых особенностей STRRAT является его метод обмена данными, который включает в себя обычный текст и командно-управляющие сообщения с разделителями каналов (C2). В тексте объясняется, как идентифицировать эти сообщения C2 с помощью инструментов сетевого анализа, таких как Wireshark.
Для эффективного обнаружения STRRAT в тексте предлагается создать сигнатуры обнаружения с использованием Zeek scripting и Spicy language. Написав Zeek protocol analyzer, аналитики могут собирать больше данных о сеансе C2 вредоносного ПО, а не просто искать определенные строки. Использование языка Spicy позволяет проводить детальный анализ сетевого трафика, связанного с STRRAT, расширяя возможности обнаружения.
Кроме того, в тексте упоминается использование правил Suricata в дополнение к обнаружению STRRAT. Эти правила могут быть использованы для идентификации определенных команд C2 в сетевом трафике, связанном с вредоносным ПО. Использование Zeek и Suricata обеспечивает комплексный подход к обнаружению и смягчению угрозы, исходящей от STRRAT.
Кроме того, в тексте подчеркивается важность эффективного обнаружения сообщений C2 даже для пользовательских протоколов, таких как STRRAT. В нем демонстрируется простота создания пользовательских анализаторов протоколов с помощью Spicy и подчеркивается доступность правил Suricata в качестве альтернативного метода обнаружения для тех, кто не использует Zeek.
В заключение в тексте рекомендуется коллекция Corelight C2, которая предлагает аналитические данные и средства обнаружения на основе метаданных Zeek для определения различных действий командования и контроля, в том числе связанных с известными наборами инструментов C2 и методами MITRE ATT и CK C2. Этот ресурс может помочь защитникам лучше понять угрозы C2 и повысить их способность эффективно обнаруживать новые атаки и реагировать на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, особое внимание уделяется использованию инструментов сетевого анализа, таких как Wireshark, для определения методов его передачи. В нем предлагается использовать скрипты Zeek, Spicy language и правила Suricata для создания комплексных сигнатур обнаружения для STRRAT, что подчеркивает важность эффективного обнаружения сообщений C2 для снижения угрозы. Кроме того, рекомендуется использовать Corelight C2 Collection для улучшения понимания и обнаружения действий C2, связанных с STRRAT и другими угрозами.
-----
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, которое представляет собой инструмент удаленного доступа на базе Java (RAT), известный своими возможностями кражи учетных данных, ведения журнала ключей и вымогательства. Вредоносное ПО все чаще попадает в изолированные программы, что подчеркивает его значимость как угрозы. Одной из ключевых особенностей STRRAT является его метод обмена данными, который включает в себя обычный текст и командно-управляющие сообщения с разделителями каналов (C2). В тексте объясняется, как идентифицировать эти сообщения C2 с помощью инструментов сетевого анализа, таких как Wireshark.
Для эффективного обнаружения STRRAT в тексте предлагается создать сигнатуры обнаружения с использованием Zeek scripting и Spicy language. Написав Zeek protocol analyzer, аналитики могут собирать больше данных о сеансе C2 вредоносного ПО, а не просто искать определенные строки. Использование языка Spicy позволяет проводить детальный анализ сетевого трафика, связанного с STRRAT, расширяя возможности обнаружения.
Кроме того, в тексте упоминается использование правил Suricata в дополнение к обнаружению STRRAT. Эти правила могут быть использованы для идентификации определенных команд C2 в сетевом трафике, связанном с вредоносным ПО. Использование Zeek и Suricata обеспечивает комплексный подход к обнаружению и смягчению угрозы, исходящей от STRRAT.
Кроме того, в тексте подчеркивается важность эффективного обнаружения сообщений C2 даже для пользовательских протоколов, таких как STRRAT. В нем демонстрируется простота создания пользовательских анализаторов протоколов с помощью Spicy и подчеркивается доступность правил Suricata в качестве альтернативного метода обнаружения для тех, кто не использует Zeek.
В заключение в тексте рекомендуется коллекция Corelight C2, которая предлагает аналитические данные и средства обнаружения на основе метаданных Zeek для определения различных действий командования и контроля, в том числе связанных с известными наборами инструментов C2 и методами MITRE ATT и CK C2. Этот ресурс может помочь защитникам лучше понять угрозы C2 и повысить их способность эффективно обнаруживать новые атаки и реагировать на них.
#ParsedReport #CompletenessHigh
21-05-2024
UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries
https://www.ctfiot.com/182826.html
Report completeness: High
Actors/Campaigns:
Utg-q-010
Utg-q-007
Utg-q-001
Utg-q-003
Threats:
Pupy_rat
Watering_hole_technique
Ermac
Xworm_rat
Victims:
Major internet companies, Gaming companies, Pharmaceutical companies
Industry:
Government, Entertainment, Healthcare
Geo:
Asia, Chinese
ChatGPT TTPs:
T1566, T1204, T1059, T1105, T1071, T1547, T1027, T1036, T1553, T1588, have more...
IOCs:
Hash: 11
File: 3
IP: 2
Domain: 3
Url: 1
Soft:
Android, WeChat
Crypto:
bitcoin
Algorithms:
md5
Languages:
python, php, golang
21-05-2024
UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries
https://www.ctfiot.com/182826.html
Report completeness: High
Actors/Campaigns:
Utg-q-010
Utg-q-007
Utg-q-001
Utg-q-003
Threats:
Pupy_rat
Watering_hole_technique
Ermac
Xworm_rat
Victims:
Major internet companies, Gaming companies, Pharmaceutical companies
Industry:
Government, Entertainment, Healthcare
Geo:
Asia, Chinese
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1105, T1071, T1547, T1027, T1036, T1553, T1588, have more...
IOCs:
Hash: 11
File: 3
IP: 2
Domain: 3
Url: 1
Soft:
Android, WeChat
Crypto:
bitcoin
Algorithms:
md5
Languages:
python, php, golang
CTF导航
UTG-Q-010:针对AI和游戏行业的定向攻击活动 | CTF导航
概述奇安信威胁情报中心在日常运营过程中发现客户收到了定向的中文钓鱼邮件,正文中逻辑清晰,使用互联网大厂的游戏招聘、AI技术等内容诱导目标公司的HR打开包含恶意lnk的加密附件,从而在内网中立足并寻求进一步...
CTT Report Hub
#ParsedReport #CompletenessHigh 21-05-2024 UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries https://www.ctfiot.com/182826.html Report completeness: High Actors/Campaigns: Utg-q-010 Utg-q-007 Utg-q-001 Utg-q-003 Threats: Pupy_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и анализе целенаправленной китайской фишинговой кампании, проводимой группой под названием UTG-Q-010, с экономическими мотивами и использованием различных тактик и вредоносных вложений. Кроме того, в нем подчеркивается растущая тенденция проведения недорогостоящих целенаправленных кибератак и важность постоянного обновления мер безопасности, проведения обучения и повышения осведомленности о безопасности для эффективного снижения рисков в современных условиях сетевой безопасности.
-----
Центр анализа угроз Qi'anxin выявил целенаправленную китайскую фишинговую кампанию, направленную на то, чтобы побудить сотрудников отдела кадров различных компаний открывать вредоносные вложения. В результате непродолжительного расследования группа, ответственная за эти атаки, была названа UTG-Q-010 - целенаправленная террористическая группа с экономическими мотивами, базирующаяся в Восточной Азии.
Злоумышленники использовали такую тактику, как использование контента, связанного с подбором персонала в играх, и технологий искусственного интеллекта от крупных интернет-компаний, чтобы побудить получателей открыть зашифрованные вложения, содержащие вредоносные ссылки. Вредоносное вложение использовало загрузчик под названием MoinDownloader, который загружал троянскую программу с открытым исходным кодом под названием Pupy RAT в память с сервера управления, расположенного по адресу 103.79.76.40:8443.
Инфраструктура UTG-Q-010 выявила использование веб-сайтов, имитирующих сайты-убежища, для распространения вредоносных APK-файлов, нацеленных на сектор биткойнов и искусственного интеллекта, а затем злоумышленники рекламировали их на местных форумах. APK-файл содержал вариант из семейства Ermac с адресом сервера C2 по адресу conn.phmdbad.live. Кроме того, группа развернула для выполнения полезную нагрузку, размещенную на сервере springboard по адресу 94.138.192.147, которая представляла собой специальную программу, написанную на Golang и предназначенную для выполнения команд CMD на сервере C2.
Первоначально, в конце 2022 года, группа начала свою деятельность с рекламы, связанной с фармацевтической промышленностью, но в 2024 году переключила свое внимание на экономические мотивы. Большинство жертв, на которых нацелился UTG-Q-010, были домашними пользователями широкополосного доступа, особенно в сообществе криптовалют, в то время как корпоративные выделенные линии были скомпрометированы в компаниях игрового и фармацевтического секторов.
В тексте подчеркивается растущая тенденция проведения недорогостоящих целенаправленных атак, позволяющих субъектам угроз получать доступ к желаемым данным и информации с минимальными затратами. Это создает дисбаланс в сфере кибербезопасности, поскольку злоумышленники могут проводить эффективные кампании с ограниченными ресурсами, в то время как защитники сталкиваются с необходимостью значительных инвестиций в технологии, время и средства для противодействия этим угрозам.
В результате организации должны постоянно обновлять меры безопасности, проводить обучение сотрудников и повышать осведомленность о безопасности, чтобы эффективно снижать риски. Повышение возможностей защиты, оптимизация распределения ресурсов и снижение затрат на обеспечение безопасности являются важнейшими задачами в современной среде сетевой безопасности. Аналитический центр Qi'anxin Threat Intelligence Center занимается выявлением новых угроз и технологий для защиты государственных и корпоративных клиентов от развивающихся киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и анализе целенаправленной китайской фишинговой кампании, проводимой группой под названием UTG-Q-010, с экономическими мотивами и использованием различных тактик и вредоносных вложений. Кроме того, в нем подчеркивается растущая тенденция проведения недорогостоящих целенаправленных кибератак и важность постоянного обновления мер безопасности, проведения обучения и повышения осведомленности о безопасности для эффективного снижения рисков в современных условиях сетевой безопасности.
-----
Центр анализа угроз Qi'anxin выявил целенаправленную китайскую фишинговую кампанию, направленную на то, чтобы побудить сотрудников отдела кадров различных компаний открывать вредоносные вложения. В результате непродолжительного расследования группа, ответственная за эти атаки, была названа UTG-Q-010 - целенаправленная террористическая группа с экономическими мотивами, базирующаяся в Восточной Азии.
Злоумышленники использовали такую тактику, как использование контента, связанного с подбором персонала в играх, и технологий искусственного интеллекта от крупных интернет-компаний, чтобы побудить получателей открыть зашифрованные вложения, содержащие вредоносные ссылки. Вредоносное вложение использовало загрузчик под названием MoinDownloader, который загружал троянскую программу с открытым исходным кодом под названием Pupy RAT в память с сервера управления, расположенного по адресу 103.79.76.40:8443.
Инфраструктура UTG-Q-010 выявила использование веб-сайтов, имитирующих сайты-убежища, для распространения вредоносных APK-файлов, нацеленных на сектор биткойнов и искусственного интеллекта, а затем злоумышленники рекламировали их на местных форумах. APK-файл содержал вариант из семейства Ermac с адресом сервера C2 по адресу conn.phmdbad.live. Кроме того, группа развернула для выполнения полезную нагрузку, размещенную на сервере springboard по адресу 94.138.192.147, которая представляла собой специальную программу, написанную на Golang и предназначенную для выполнения команд CMD на сервере C2.
Первоначально, в конце 2022 года, группа начала свою деятельность с рекламы, связанной с фармацевтической промышленностью, но в 2024 году переключила свое внимание на экономические мотивы. Большинство жертв, на которых нацелился UTG-Q-010, были домашними пользователями широкополосного доступа, особенно в сообществе криптовалют, в то время как корпоративные выделенные линии были скомпрометированы в компаниях игрового и фармацевтического секторов.
В тексте подчеркивается растущая тенденция проведения недорогостоящих целенаправленных атак, позволяющих субъектам угроз получать доступ к желаемым данным и информации с минимальными затратами. Это создает дисбаланс в сфере кибербезопасности, поскольку злоумышленники могут проводить эффективные кампании с ограниченными ресурсами, в то время как защитники сталкиваются с необходимостью значительных инвестиций в технологии, время и средства для противодействия этим угрозам.
В результате организации должны постоянно обновлять меры безопасности, проводить обучение сотрудников и повышать осведомленность о безопасности, чтобы эффективно снижать риски. Повышение возможностей защиты, оптимизация распределения ресурсов и снижение затрат на обеспечение безопасности являются важнейшими задачами в современной среде сетевой безопасности. Аналитический центр Qi'anxin Threat Intelligence Center занимается выявлением новых угроз и технологий для защиты государственных и корпоративных клиентов от развивающихся киберугроз.
#ParsedReport #CompletenessMedium
21-05-2024
Analysis of APT32 commonly used bait files
https://www.ctfiot.com/182904.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Dll_hijacking_technique
Dll_injection_technique
Denserat
Process_injection_technique
Industry:
Government, Healthcare
Geo:
China, Asian
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1204, T1055, T1574, T1112, T1027, T1218, T1045, T1106, T1189, have more...
IOCs:
Hash: 3
File: 14
Coin: 1
Domain: 1
Soft:
WeChat
Algorithms:
xor, sha256
Win API:
VirtualAlloc, LoadLibraryExW, RtlMoveMemory, DllRegisterServer, DnsQueryEx, WinHttpOpen, CreateRemoteThreadEx, LoadLibrary
21-05-2024
Analysis of APT32 commonly used bait files
https://www.ctfiot.com/182904.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Dll_hijacking_technique
Dll_injection_technique
Denserat
Process_injection_technique
Industry:
Government, Healthcare
Geo:
China, Asian
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1055, T1574, T1112, T1027, T1218, T1045, T1106, T1189, have more...
IOCs:
Hash: 3
File: 14
Coin: 1
Domain: 1
Soft:
Algorithms:
xor, sha256
Win API:
VirtualAlloc, LoadLibraryExW, RtlMoveMemory, DllRegisterServer, DnsQueryEx, WinHttpOpen, CreateRemoteThreadEx, LoadLibrary
CTF导航
APT32常用诱饵文件分析 | CTF导航
1 事件概述 随着越来越多个人隐私和重要数据通过各种办公软件存储在电子文档中,针对办公软件的攻击事件不断发生,各种办公软件安全问题日趋严重!办公软件存在安全问题的根本原因在于其文档格式解析和...