CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
21-05-2024

XWorm v5.6 malware being distributed through web hard

https://asec.ahnlab.com/ko/65555

Report completeness: Low

Threats:
Xworm_rat
Udprat
Njrat
Trojan/win.generic.c5621458
Trojan/win.loader.c5622810

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1547.001, T1055, T1574.002, T1027

IOCs:
File: 4
Registry: 1
Path: 1
Url: 3
Hash: 2

Algorithms:
zip
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 XWorm v5.6 malware being distributed through web hard https://asec.ahnlab.com/ko/65555 Report completeness: Low Threats: Xworm_rat Udprat Njrat Trojan/win.generic.c5621458 Trojan/win.loader.c5622810 ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Аналитический центр безопасности AhnLab (ASEC) выявил распространение вредоносного ПО XWorm версии 5.6, замаскированного под игры для взрослых, через жесткие диски в Интернете, что свидетельствует о распространенной практике злоумышленников, использующих легкодоступные вредоносные коды для распространения вредоносных программ на таких платформах, как Github. Вредоносная программа использует обманный процесс, при котором пользователи неосознанно выполняют вредоносный код, что приводит к различным вредоносным действиям. Пользователям настоятельно рекомендуется соблюдать осторожность при загрузке исполняемых файлов с сайтов обмена данными и приобретать программы из официальных источников, чтобы снизить риск заражения вредоносными программами.
-----

Аналитический центр безопасности AhnLab (ASEC) выявил распространение вредоносного ПО XWorm версии 5.6 через жесткие диски в Интернете, замаскированные под игры для взрослых, в ходе мониторинга распространения вредоносного ПО в домашних условиях. Жесткие диски в Интернете и торренты часто используются в качестве платформ для распространения вредоносного ПО внутри страны. Злоумышленники обычно используют легкодоступные вредоносные коды, такие как njRAT или UDP Rat, замаскированные под обычные программы, такие как игры или контент для взрослых, для распространения вредоносных программ. Злоумышленники нацеливались на эти платформы для распространения своих вредоносных кодов. Вредоносная программа XWorm версии 5.6, в частности, легко доступна на таких платформах, как Github.

Распространение вредоносного кода, замаскированного под игру для взрослых, включает в себя обманный процесс, при котором загружается и разархивируется файл с именем Start.exe, выдающий себя за программу запуска игры. Этот файл запускает игру отдельно от другого вредоносного кода под названием SoundP2.muc, который выдает себя за файл музыкальных настроек. После запуска Start.exe вредоносная программа немедленно запускается или отображает поддельное сообщение "Game Play!", чтобы обманом заставить пользователей выполнить вредоносный код, нажав на кнопку, позволяющую обойти протоколы безопасности, такие как изолированные среды. Кроме того, вредоносная программа копирует файл SoundP2.muc в папку Windows и регистрирует его в реестре для автоматического запуска.

SoundP2.muc содержит зашифрованные версии XWorm v5.6 и загрузчик, загруженный с сервера управления (C2). После загрузки загрузчик внедряет XWorm версии 5.6 в MSBuild.exe, позволяя выполнять такие вредоносные действия, как мониторинг, кейлоггинг, перехват веб-камеры и загрузку дополнительных вредоносных программ. Это свидетельствует об активном распространении вредоносных кодов через сайты обмена данными, такие как внутренние веб-жесткие диски, и призывает пользователей проявлять осторожность. Пользователям рекомендуется проявлять бдительность при загрузке исполняемых файлов с таких сайтов и приобретать программы, такие как утилиты и игры, с официальных веб-сайтов, чтобы снизить риски, связанные с заражением вредоносными программами.
#ParsedReport #CompletenessLow
21-05-2024

Detecting the STRRAT Malware Family

https://corelight.com/blog/newsroom/news/strrat-malware

Report completeness: Low

Threats:
Strrat
Credential_stealing_technique

ChatGPT TTPs:
do not use without manual check
T1071, T1056, T1552, T1486, T1041

IOCs:
File: 2
IP: 2

Languages:
java

Links:
https://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/ConnectionUtil.java#L416
https://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/ConnectionUtil.java#L213
https://github.com/corelight/zeek-strrat-detector
http://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/Main.java
http://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/Main.java#L226
https://github.com/TheEasyPeasy/STRRat/blob/987fc2bbd69b9b4987c4c5ef6c76385bbcd20064/STRRat/src/main/java/carLambo/ConnectionUtil.java#L673
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Detecting the STRRAT Malware Family https://corelight.com/blog/newsroom/news/strrat-malware Report completeness: Low Threats: Strrat Credential_stealing_technique ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, особое внимание уделяется использованию инструментов сетевого анализа, таких как Wireshark, для определения методов его передачи. В нем предлагается использовать скрипты Zeek, Spicy language и правила Suricata для создания комплексных сигнатур обнаружения для STRRAT, что подчеркивает важность эффективного обнаружения сообщений C2 для снижения угрозы. Кроме того, рекомендуется использовать Corelight C2 Collection для улучшения понимания и обнаружения действий C2, связанных с STRRAT и другими угрозами.
-----

В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, которое представляет собой инструмент удаленного доступа на базе Java (RAT), известный своими возможностями кражи учетных данных, ведения журнала ключей и вымогательства. Вредоносное ПО все чаще попадает в изолированные программы, что подчеркивает его значимость как угрозы. Одной из ключевых особенностей STRRAT является его метод обмена данными, который включает в себя обычный текст и командно-управляющие сообщения с разделителями каналов (C2). В тексте объясняется, как идентифицировать эти сообщения C2 с помощью инструментов сетевого анализа, таких как Wireshark.

Для эффективного обнаружения STRRAT в тексте предлагается создать сигнатуры обнаружения с использованием Zeek scripting и Spicy language. Написав Zeek protocol analyzer, аналитики могут собирать больше данных о сеансе C2 вредоносного ПО, а не просто искать определенные строки. Использование языка Spicy позволяет проводить детальный анализ сетевого трафика, связанного с STRRAT, расширяя возможности обнаружения.

Кроме того, в тексте упоминается использование правил Suricata в дополнение к обнаружению STRRAT. Эти правила могут быть использованы для идентификации определенных команд C2 в сетевом трафике, связанном с вредоносным ПО. Использование Zeek и Suricata обеспечивает комплексный подход к обнаружению и смягчению угрозы, исходящей от STRRAT.

Кроме того, в тексте подчеркивается важность эффективного обнаружения сообщений C2 даже для пользовательских протоколов, таких как STRRAT. В нем демонстрируется простота создания пользовательских анализаторов протоколов с помощью Spicy и подчеркивается доступность правил Suricata в качестве альтернативного метода обнаружения для тех, кто не использует Zeek.

В заключение в тексте рекомендуется коллекция Corelight C2, которая предлагает аналитические данные и средства обнаружения на основе метаданных Zeek для определения различных действий командования и контроля, в том числе связанных с известными наборами инструментов C2 и методами MITRE ATT и CK C2. Этот ресурс может помочь защитникам лучше понять угрозы C2 и повысить их способность эффективно обнаруживать новые атаки и реагировать на них.
#ParsedReport #CompletenessHigh
21-05-2024

UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries

https://www.ctfiot.com/182826.html

Report completeness: High

Actors/Campaigns:
Utg-q-010
Utg-q-007
Utg-q-001
Utg-q-003

Threats:
Pupy_rat
Watering_hole_technique
Ermac
Xworm_rat

Victims:
Major internet companies, Gaming companies, Pharmaceutical companies

Industry:
Government, Entertainment, Healthcare

Geo:
Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1071, T1547, T1027, T1036, T1553, T1588, have more...

IOCs:
Hash: 11
File: 3
IP: 2
Domain: 3
Url: 1

Soft:
Android, WeChat

Crypto:
bitcoin

Algorithms:
md5

Languages:
python, php, golang
CTT Report Hub
#ParsedReport #CompletenessHigh 21-05-2024 UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries https://www.ctfiot.com/182826.html Report completeness: High Actors/Campaigns: Utg-q-010 Utg-q-007 Utg-q-001 Utg-q-003 Threats: Pupy_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе целенаправленной китайской фишинговой кампании, проводимой группой под названием UTG-Q-010, с экономическими мотивами и использованием различных тактик и вредоносных вложений. Кроме того, в нем подчеркивается растущая тенденция проведения недорогостоящих целенаправленных кибератак и важность постоянного обновления мер безопасности, проведения обучения и повышения осведомленности о безопасности для эффективного снижения рисков в современных условиях сетевой безопасности.
-----

Центр анализа угроз Qi'anxin выявил целенаправленную китайскую фишинговую кампанию, направленную на то, чтобы побудить сотрудников отдела кадров различных компаний открывать вредоносные вложения. В результате непродолжительного расследования группа, ответственная за эти атаки, была названа UTG-Q-010 - целенаправленная террористическая группа с экономическими мотивами, базирующаяся в Восточной Азии.

Злоумышленники использовали такую тактику, как использование контента, связанного с подбором персонала в играх, и технологий искусственного интеллекта от крупных интернет-компаний, чтобы побудить получателей открыть зашифрованные вложения, содержащие вредоносные ссылки. Вредоносное вложение использовало загрузчик под названием MoinDownloader, который загружал троянскую программу с открытым исходным кодом под названием Pupy RAT в память с сервера управления, расположенного по адресу 103.79.76.40:8443.

Инфраструктура UTG-Q-010 выявила использование веб-сайтов, имитирующих сайты-убежища, для распространения вредоносных APK-файлов, нацеленных на сектор биткойнов и искусственного интеллекта, а затем злоумышленники рекламировали их на местных форумах. APK-файл содержал вариант из семейства Ermac с адресом сервера C2 по адресу conn.phmdbad.live. Кроме того, группа развернула для выполнения полезную нагрузку, размещенную на сервере springboard по адресу 94.138.192.147, которая представляла собой специальную программу, написанную на Golang и предназначенную для выполнения команд CMD на сервере C2.

Первоначально, в конце 2022 года, группа начала свою деятельность с рекламы, связанной с фармацевтической промышленностью, но в 2024 году переключила свое внимание на экономические мотивы. Большинство жертв, на которых нацелился UTG-Q-010, были домашними пользователями широкополосного доступа, особенно в сообществе криптовалют, в то время как корпоративные выделенные линии были скомпрометированы в компаниях игрового и фармацевтического секторов.

В тексте подчеркивается растущая тенденция проведения недорогостоящих целенаправленных атак, позволяющих субъектам угроз получать доступ к желаемым данным и информации с минимальными затратами. Это создает дисбаланс в сфере кибербезопасности, поскольку злоумышленники могут проводить эффективные кампании с ограниченными ресурсами, в то время как защитники сталкиваются с необходимостью значительных инвестиций в технологии, время и средства для противодействия этим угрозам.

В результате организации должны постоянно обновлять меры безопасности, проводить обучение сотрудников и повышать осведомленность о безопасности, чтобы эффективно снижать риски. Повышение возможностей защиты, оптимизация распределения ресурсов и снижение затрат на обеспечение безопасности являются важнейшими задачами в современной среде сетевой безопасности. Аналитический центр Qi'anxin Threat Intelligence Center занимается выявлением новых угроз и технологий для защиты государственных и корпоративных клиентов от развивающихся киберугроз.
#ParsedReport #CompletenessMedium
21-05-2024

Analysis of APT32 commonly used bait files

https://www.ctfiot.com/182904.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus

Threats:
Dll_hijacking_technique
Dll_injection_technique
Denserat
Process_injection_technique

Industry:
Government, Healthcare

Geo:
China, Asian

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1055, T1574, T1112, T1027, T1218, T1045, T1106, T1189, have more...

IOCs:
Hash: 3
File: 14
Coin: 1
Domain: 1

Soft:
WeChat

Algorithms:
xor, sha256

Win API:
VirtualAlloc, LoadLibraryExW, RtlMoveMemory, DllRegisterServer, DnsQueryEx, WinHttpOpen, CreateRemoteThreadEx, LoadLibrary
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Analysis of APT32 commonly used bait files https://www.ctfiot.com/182904.html Report completeness: Medium Actors/Campaigns: Oceanlotus Threats: Dll_hijacking_technique Dll_injection_technique Denserat Proc…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении растущих угроз безопасности, нацеленных на программное обеспечение Office, с особым упором на вредоносные атаки, проводимые организацией Ocean Lotus organization (APT32) на программное обеспечение Office. В нем рассматриваются технические характеристики, методы атаки и рекомендации по защите, связанные с этими атаками, выделяются такие методы, как внедрение отражающих DLL-файлов, использование вредоносных OCX-файлов и использование RTF-файлов для выполнения вредоносного кода. В статье подчеркивается важность анализа угроз, обнаружения вторжений и их предотвращения для обеспечения цифровой безопасности, а также разработки защитных систем для защиты от возникающих угроз и кибератак.
-----

Ocean Lotus (APT32) проводит вредоносные атаки на офисное программное обеспечение, фокусируясь на уязвимостях при анализе формата документов.

Используемые методы включают "белую" эксплуатацию, захват библиотек DLL, многоступенчатую загрузку, запутанное шифрование и социальную инженерию.

Сложный метод атаки включает в себя отражающее внедрение библиотеки DLL в загрузку шеллкода, чтобы избежать систем обнаружения.

Вредоносный код, идентифицированный как троянец DenseRAT, пытается подключиться к определенным сетевым портам, контролируемым злоумышленниками.

Методы защиты от отладки, такие как функции ожидания с длительной задержкой, используются для предотвращения динамической отладки.

Для обнаружения предлагаются правила Yara, основанные на таких функциях, как технология загрузки боковой цепочки DLL, алгоритмы дешифрования XOR и технология отражающего внедрения DLL.

Атаки используют уязвимости OCX с помощью самораспаковывающихся программ, замаскированных под документы Word.

При эксплуатации файлов RTF используются уязвимости, такие как CVE_2017_11882, для выполнения вредоносных действий.

Центр сетевого анализа Shanshi Network Intelligence Center специализируется на анализе угроз, обнаружении вторжений и их предотвращении для всестороннего анализа угроз и обеспечения цифровой безопасности.
#ParsedReport #CompletenessLow
21-05-2024

'The Mask' Espionage Group Resurfaces After 10-Year Hiatus

https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus

Report completeness: Low

Actors/Campaigns:
Careto (motivation: cyber_criminal, cyber_espionage)
Gelsemium
Kimsuky
Oilrig

Threats:
Fakehmp
Careto2

Victims:
Government institutions, Diplomatic offices and embassies, Energy companies, Oil and gas companies, Research institutions, Private equity firms

Industry:
Petroleum, Energy, Government

Geo:
Germany, Palestine, Africa, China, Iran, America, Tajikistan, Korea, Brazil, France, Israel, Kyrgyzstan

ChatGPT TTPs:
do not use without manual check
T1190, T1547, T1110, T1003, T1027, T1071, T1056, T1113, T1105, T1030, have more...

Soft:
Chrome, Opera, WhatsApps, WeChat, Threema
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 'The Mask' Espionage Group Resurfaces After 10-Year Hiatus https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вновь появилась испаноязычная группа злоумышленников, известная как "Careto" или "Маска", которая занимается кибершпионажем против организаций в Латинской Америке и Центральной Африке. Careto, действовавшая с 2007 по 2013 год, ранее занималась кибершпионажем против различных учреждений по всему миру. Недавние атаки Careto были связаны с кражей конфиденциальных данных и использованием продвинутых имплантатов для вредоносных действий, демонстрируя сложные операции группы. Касперский поделился подробной информацией о тактике Careto и выделил ее наряду с другими группами угроз в первом квартале 2024 года.
-----

Испаноязычная группа исполнителей угроз, известная как "Careto" или "The Mask", вновь появилась после более чем десятилетнего бездействия в рамках кампании кибершпионажа, нацеленной на организации в Латинской Америке и Центральной Африке. Первоначально, с 2007 по 2013 год, Careto действовала против 380 жертв в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию. Исследователи из Лаборатории Касперского, которые в прошлом отслеживали Careto, выявили, что предыдущими жертвами группы были правительственные учреждения, дипломатические представительства, посольства, энергетические компании, исследовательские институты и частные инвестиционные компании.

В ходе своих недавних атак Careto нацелилась на организации в Латинской Америке и Центральной Африке, сосредоточившись на краже конфиденциальных документов, файлов cookie, истории форм и данных для входа в систему из популярных браузеров, таких как Chrome, Edge, Firefox и Opera. Кроме того, они использовали файлы cookie из приложений для обмена сообщениями, таких как WhatsApp, WeChat и Threema. Careto использовала специальные методы для проникновения в среду жертв, поддержания постоянства и сбора информации. Злоумышленники получили первоначальный доступ к почтовому серверу MDaemon и внедрили бэкдор для управления сетью. Они также использовали уязвимость в продукте безопасности для распространения многомодульных имплантатов по сети каждой жертвы.

Используемые в атаках имплантаты, названные "FakeHMP", "Careto2", "Goreto" и "MDaemon implant", позволяли злоумышленникам выполнять различные вредоносные действия, включая разведку, кейлоггинг, захват скриншотов, кражу файлов и запись с микрофона. "Касперский" отметил, что недавно обнаруженные имплантаты представляют собой сложные мультимодальные системы, демонстрирующие продвинутый характер операций Careto. Охранная компания поделилась подробной информацией о тактике, методах и процедурах Careto в частном отчете APT для клиентов.

Лаборатория Касперского выделила Careto в обзоре активности APT в первом квартале 2024 года наряду с другими группами угроз, такими как Gelsemium, Kimsuky и OilRig. Компания Gelsemium использовала серверные уязвимости для развертывания веб-оболочек и пользовательских инструментов в Палестине, Таджикистане и Кыргызстане. Компания Kimsuky, связанная с Северной Кореей, проводила целенаправленные фишинговые кампании, злоупотребляя слабыми политиками DMARC. Иранская группа OilRig известна своими нападениями на важнейший сектор инфраструктуры Израиля.
#ParsedReport #CompletenessLow
21-05-2024

U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised

https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised

Report completeness: Low

Actors/Campaigns:
Cyberniggers

Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company

Industry:
Military, Aerospace, Telco

Geo:
Asian, Usa

ChatGPT TTPs:
do not use without manual check
T1003, T1041, T1204, T1583, T1586, T1189, T1595
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----

Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.

Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.

Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.

Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.

Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.

Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.

Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
#ParsedReport #CompletenessMedium
21-05-2024

Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign

https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign

Report completeness: Medium

Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057

Threats:
Typosquatting_technique

Victims:
News websites, Social media platforms

Industry:
Government, Healthcare, Military

Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania

ChatGPT TTPs:
do not use without manual check
T1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...

IOCs:
Domain: 27
Url: 5
File: 1
IP: 2

Soft:
Instagram, TikTok, Telegram, WordPress

Algorithms:
exhibit, base64

Languages:
javascript

Platforms:
intel

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/Doppelg%C3%A4nger/DoppelG%C3%A4nger-observables.csv
https://github.com/traefik/traefik