CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Detecting the STRRAT Malware Family https://corelight.com/blog/newsroom/news/strrat-malware Report completeness: Low Threats: Strrat Credential_stealing_technique ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, особое внимание уделяется использованию инструментов сетевого анализа, таких как Wireshark, для определения методов его передачи. В нем предлагается использовать скрипты Zeek, Spicy language и правила Suricata для создания комплексных сигнатур обнаружения для STRRAT, что подчеркивает важность эффективного обнаружения сообщений C2 для снижения угрозы. Кроме того, рекомендуется использовать Corelight C2 Collection для улучшения понимания и обнаружения действий C2, связанных с STRRAT и другими угрозами.
-----

В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, которое представляет собой инструмент удаленного доступа на базе Java (RAT), известный своими возможностями кражи учетных данных, ведения журнала ключей и вымогательства. Вредоносное ПО все чаще попадает в изолированные программы, что подчеркивает его значимость как угрозы. Одной из ключевых особенностей STRRAT является его метод обмена данными, который включает в себя обычный текст и командно-управляющие сообщения с разделителями каналов (C2). В тексте объясняется, как идентифицировать эти сообщения C2 с помощью инструментов сетевого анализа, таких как Wireshark.

Для эффективного обнаружения STRRAT в тексте предлагается создать сигнатуры обнаружения с использованием Zeek scripting и Spicy language. Написав Zeek protocol analyzer, аналитики могут собирать больше данных о сеансе C2 вредоносного ПО, а не просто искать определенные строки. Использование языка Spicy позволяет проводить детальный анализ сетевого трафика, связанного с STRRAT, расширяя возможности обнаружения.

Кроме того, в тексте упоминается использование правил Suricata в дополнение к обнаружению STRRAT. Эти правила могут быть использованы для идентификации определенных команд C2 в сетевом трафике, связанном с вредоносным ПО. Использование Zeek и Suricata обеспечивает комплексный подход к обнаружению и смягчению угрозы, исходящей от STRRAT.

Кроме того, в тексте подчеркивается важность эффективного обнаружения сообщений C2 даже для пользовательских протоколов, таких как STRRAT. В нем демонстрируется простота создания пользовательских анализаторов протоколов с помощью Spicy и подчеркивается доступность правил Suricata в качестве альтернативного метода обнаружения для тех, кто не использует Zeek.

В заключение в тексте рекомендуется коллекция Corelight C2, которая предлагает аналитические данные и средства обнаружения на основе метаданных Zeek для определения различных действий командования и контроля, в том числе связанных с известными наборами инструментов C2 и методами MITRE ATT и CK C2. Этот ресурс может помочь защитникам лучше понять угрозы C2 и повысить их способность эффективно обнаруживать новые атаки и реагировать на них.
#ParsedReport #CompletenessHigh
21-05-2024

UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries

https://www.ctfiot.com/182826.html

Report completeness: High

Actors/Campaigns:
Utg-q-010
Utg-q-007
Utg-q-001
Utg-q-003

Threats:
Pupy_rat
Watering_hole_technique
Ermac
Xworm_rat

Victims:
Major internet companies, Gaming companies, Pharmaceutical companies

Industry:
Government, Entertainment, Healthcare

Geo:
Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1071, T1547, T1027, T1036, T1553, T1588, have more...

IOCs:
Hash: 11
File: 3
IP: 2
Domain: 3
Url: 1

Soft:
Android, WeChat

Crypto:
bitcoin

Algorithms:
md5

Languages:
python, php, golang
CTT Report Hub
#ParsedReport #CompletenessHigh 21-05-2024 UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries https://www.ctfiot.com/182826.html Report completeness: High Actors/Campaigns: Utg-q-010 Utg-q-007 Utg-q-001 Utg-q-003 Threats: Pupy_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе целенаправленной китайской фишинговой кампании, проводимой группой под названием UTG-Q-010, с экономическими мотивами и использованием различных тактик и вредоносных вложений. Кроме того, в нем подчеркивается растущая тенденция проведения недорогостоящих целенаправленных кибератак и важность постоянного обновления мер безопасности, проведения обучения и повышения осведомленности о безопасности для эффективного снижения рисков в современных условиях сетевой безопасности.
-----

Центр анализа угроз Qi'anxin выявил целенаправленную китайскую фишинговую кампанию, направленную на то, чтобы побудить сотрудников отдела кадров различных компаний открывать вредоносные вложения. В результате непродолжительного расследования группа, ответственная за эти атаки, была названа UTG-Q-010 - целенаправленная террористическая группа с экономическими мотивами, базирующаяся в Восточной Азии.

Злоумышленники использовали такую тактику, как использование контента, связанного с подбором персонала в играх, и технологий искусственного интеллекта от крупных интернет-компаний, чтобы побудить получателей открыть зашифрованные вложения, содержащие вредоносные ссылки. Вредоносное вложение использовало загрузчик под названием MoinDownloader, который загружал троянскую программу с открытым исходным кодом под названием Pupy RAT в память с сервера управления, расположенного по адресу 103.79.76.40:8443.

Инфраструктура UTG-Q-010 выявила использование веб-сайтов, имитирующих сайты-убежища, для распространения вредоносных APK-файлов, нацеленных на сектор биткойнов и искусственного интеллекта, а затем злоумышленники рекламировали их на местных форумах. APK-файл содержал вариант из семейства Ermac с адресом сервера C2 по адресу conn.phmdbad.live. Кроме того, группа развернула для выполнения полезную нагрузку, размещенную на сервере springboard по адресу 94.138.192.147, которая представляла собой специальную программу, написанную на Golang и предназначенную для выполнения команд CMD на сервере C2.

Первоначально, в конце 2022 года, группа начала свою деятельность с рекламы, связанной с фармацевтической промышленностью, но в 2024 году переключила свое внимание на экономические мотивы. Большинство жертв, на которых нацелился UTG-Q-010, были домашними пользователями широкополосного доступа, особенно в сообществе криптовалют, в то время как корпоративные выделенные линии были скомпрометированы в компаниях игрового и фармацевтического секторов.

В тексте подчеркивается растущая тенденция проведения недорогостоящих целенаправленных атак, позволяющих субъектам угроз получать доступ к желаемым данным и информации с минимальными затратами. Это создает дисбаланс в сфере кибербезопасности, поскольку злоумышленники могут проводить эффективные кампании с ограниченными ресурсами, в то время как защитники сталкиваются с необходимостью значительных инвестиций в технологии, время и средства для противодействия этим угрозам.

В результате организации должны постоянно обновлять меры безопасности, проводить обучение сотрудников и повышать осведомленность о безопасности, чтобы эффективно снижать риски. Повышение возможностей защиты, оптимизация распределения ресурсов и снижение затрат на обеспечение безопасности являются важнейшими задачами в современной среде сетевой безопасности. Аналитический центр Qi'anxin Threat Intelligence Center занимается выявлением новых угроз и технологий для защиты государственных и корпоративных клиентов от развивающихся киберугроз.
#ParsedReport #CompletenessMedium
21-05-2024

Analysis of APT32 commonly used bait files

https://www.ctfiot.com/182904.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus

Threats:
Dll_hijacking_technique
Dll_injection_technique
Denserat
Process_injection_technique

Industry:
Government, Healthcare

Geo:
China, Asian

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1055, T1574, T1112, T1027, T1218, T1045, T1106, T1189, have more...

IOCs:
Hash: 3
File: 14
Coin: 1
Domain: 1

Soft:
WeChat

Algorithms:
xor, sha256

Win API:
VirtualAlloc, LoadLibraryExW, RtlMoveMemory, DllRegisterServer, DnsQueryEx, WinHttpOpen, CreateRemoteThreadEx, LoadLibrary
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Analysis of APT32 commonly used bait files https://www.ctfiot.com/182904.html Report completeness: Medium Actors/Campaigns: Oceanlotus Threats: Dll_hijacking_technique Dll_injection_technique Denserat Proc…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении растущих угроз безопасности, нацеленных на программное обеспечение Office, с особым упором на вредоносные атаки, проводимые организацией Ocean Lotus organization (APT32) на программное обеспечение Office. В нем рассматриваются технические характеристики, методы атаки и рекомендации по защите, связанные с этими атаками, выделяются такие методы, как внедрение отражающих DLL-файлов, использование вредоносных OCX-файлов и использование RTF-файлов для выполнения вредоносного кода. В статье подчеркивается важность анализа угроз, обнаружения вторжений и их предотвращения для обеспечения цифровой безопасности, а также разработки защитных систем для защиты от возникающих угроз и кибератак.
-----

Ocean Lotus (APT32) проводит вредоносные атаки на офисное программное обеспечение, фокусируясь на уязвимостях при анализе формата документов.

Используемые методы включают "белую" эксплуатацию, захват библиотек DLL, многоступенчатую загрузку, запутанное шифрование и социальную инженерию.

Сложный метод атаки включает в себя отражающее внедрение библиотеки DLL в загрузку шеллкода, чтобы избежать систем обнаружения.

Вредоносный код, идентифицированный как троянец DenseRAT, пытается подключиться к определенным сетевым портам, контролируемым злоумышленниками.

Методы защиты от отладки, такие как функции ожидания с длительной задержкой, используются для предотвращения динамической отладки.

Для обнаружения предлагаются правила Yara, основанные на таких функциях, как технология загрузки боковой цепочки DLL, алгоритмы дешифрования XOR и технология отражающего внедрения DLL.

Атаки используют уязвимости OCX с помощью самораспаковывающихся программ, замаскированных под документы Word.

При эксплуатации файлов RTF используются уязвимости, такие как CVE_2017_11882, для выполнения вредоносных действий.

Центр сетевого анализа Shanshi Network Intelligence Center специализируется на анализе угроз, обнаружении вторжений и их предотвращении для всестороннего анализа угроз и обеспечения цифровой безопасности.
#ParsedReport #CompletenessLow
21-05-2024

'The Mask' Espionage Group Resurfaces After 10-Year Hiatus

https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus

Report completeness: Low

Actors/Campaigns:
Careto (motivation: cyber_criminal, cyber_espionage)
Gelsemium
Kimsuky
Oilrig

Threats:
Fakehmp
Careto2

Victims:
Government institutions, Diplomatic offices and embassies, Energy companies, Oil and gas companies, Research institutions, Private equity firms

Industry:
Petroleum, Energy, Government

Geo:
Germany, Palestine, Africa, China, Iran, America, Tajikistan, Korea, Brazil, France, Israel, Kyrgyzstan

ChatGPT TTPs:
do not use without manual check
T1190, T1547, T1110, T1003, T1027, T1071, T1056, T1113, T1105, T1030, have more...

Soft:
Chrome, Opera, WhatsApps, WeChat, Threema
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 'The Mask' Espionage Group Resurfaces After 10-Year Hiatus https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вновь появилась испаноязычная группа злоумышленников, известная как "Careto" или "Маска", которая занимается кибершпионажем против организаций в Латинской Америке и Центральной Африке. Careto, действовавшая с 2007 по 2013 год, ранее занималась кибершпионажем против различных учреждений по всему миру. Недавние атаки Careto были связаны с кражей конфиденциальных данных и использованием продвинутых имплантатов для вредоносных действий, демонстрируя сложные операции группы. Касперский поделился подробной информацией о тактике Careto и выделил ее наряду с другими группами угроз в первом квартале 2024 года.
-----

Испаноязычная группа исполнителей угроз, известная как "Careto" или "The Mask", вновь появилась после более чем десятилетнего бездействия в рамках кампании кибершпионажа, нацеленной на организации в Латинской Америке и Центральной Африке. Первоначально, с 2007 по 2013 год, Careto действовала против 380 жертв в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию. Исследователи из Лаборатории Касперского, которые в прошлом отслеживали Careto, выявили, что предыдущими жертвами группы были правительственные учреждения, дипломатические представительства, посольства, энергетические компании, исследовательские институты и частные инвестиционные компании.

В ходе своих недавних атак Careto нацелилась на организации в Латинской Америке и Центральной Африке, сосредоточившись на краже конфиденциальных документов, файлов cookie, истории форм и данных для входа в систему из популярных браузеров, таких как Chrome, Edge, Firefox и Opera. Кроме того, они использовали файлы cookie из приложений для обмена сообщениями, таких как WhatsApp, WeChat и Threema. Careto использовала специальные методы для проникновения в среду жертв, поддержания постоянства и сбора информации. Злоумышленники получили первоначальный доступ к почтовому серверу MDaemon и внедрили бэкдор для управления сетью. Они также использовали уязвимость в продукте безопасности для распространения многомодульных имплантатов по сети каждой жертвы.

Используемые в атаках имплантаты, названные "FakeHMP", "Careto2", "Goreto" и "MDaemon implant", позволяли злоумышленникам выполнять различные вредоносные действия, включая разведку, кейлоггинг, захват скриншотов, кражу файлов и запись с микрофона. "Касперский" отметил, что недавно обнаруженные имплантаты представляют собой сложные мультимодальные системы, демонстрирующие продвинутый характер операций Careto. Охранная компания поделилась подробной информацией о тактике, методах и процедурах Careto в частном отчете APT для клиентов.

Лаборатория Касперского выделила Careto в обзоре активности APT в первом квартале 2024 года наряду с другими группами угроз, такими как Gelsemium, Kimsuky и OilRig. Компания Gelsemium использовала серверные уязвимости для развертывания веб-оболочек и пользовательских инструментов в Палестине, Таджикистане и Кыргызстане. Компания Kimsuky, связанная с Северной Кореей, проводила целенаправленные фишинговые кампании, злоупотребляя слабыми политиками DMARC. Иранская группа OilRig известна своими нападениями на важнейший сектор инфраструктуры Израиля.
#ParsedReport #CompletenessLow
21-05-2024

U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised

https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised

Report completeness: Low

Actors/Campaigns:
Cyberniggers

Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company

Industry:
Military, Aerospace, Telco

Geo:
Asian, Usa

ChatGPT TTPs:
do not use without manual check
T1003, T1041, T1204, T1583, T1586, T1189, T1595
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----

Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.

Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.

Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.

Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.

Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.

Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.

Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
#ParsedReport #CompletenessMedium
21-05-2024

Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign

https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign

Report completeness: Medium

Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057

Threats:
Typosquatting_technique

Victims:
News websites, Social media platforms

Industry:
Government, Healthcare, Military

Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania

ChatGPT TTPs:
do not use without manual check
T1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...

IOCs:
Domain: 27
Url: 5
File: 1
IP: 2

Soft:
Instagram, TikTok, Telegram, WordPress

Algorithms:
exhibit, base64

Languages:
javascript

Platforms:
intel

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/Doppelg%C3%A4nger/DoppelG%C3%A4nger-observables.csv
https://github.com/traefik/traefik
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании кампании "Двойник" - продолжающейся операции по кибервоздействию, приписываемой российским структурам, направленной на уменьшение поддержки Украины и посев разногласий между странами, поддерживающими Украину. Кампания использует сеть новостных веб-сайтов и недостоверных аккаунтов в социальных сетях на различных платформах для публикации и распространения дезинформационных статей, ориентированных на конкретную аудиторию в зависимости от национальности, ориентации в обществе и политических тем. В тексте подчеркивается сложный мультиплатформенный подход кампании, дизайн инфраструктуры и потенциальное долгосрочное воздействие на общественное мнение, подчеркивается необходимость постоянной бдительности и активных мер по борьбе с киберугрозами демократии.
-----

Кампания "Двойник" - это продолжающаяся операция по кибервоздействию, проводимая российскими структурами Structura National Technologies и Агентством социального проектирования.

Кампания нацелена на аудиторию по всему миру, чтобы уменьшить поддержку Украины и посеять разногласия между странами, поддерживающими Украину.

Использует сеть новостных веб-сайтов, включая законные средства массовой информации с опечатками и независимые сайты, для публикации дезинформационных статей.

Управляет трехэтапным процессом перенаправления трафика на дезинформационные статьи, отслеживаемые через Keitaro.

Адаптируется к текущим событиям в целевых странах и использует индивидуальные сюжеты, адаптированные к местным проблемам, для усиления влияния.

Создает веб-сайты и рекламные материалы, соответствующие целям российских агентств, ориентированные на конкретную аудиторию в зависимости от национальности, ориентации на сообщество, политических тем и отраслевой направленности.

Распространяет дезинформационный контент и политическую рекламу через социальные сети, включая X, Facebook, Instagram, TikTok, Youtube и Cameo, используя неаутентичные аккаунты.

Использует глубокие фейки и платформы для обмена видео для поддержки дезинформационных сообщений.

Эта кампания представляет серьезную угрозу для западных демократий, особенно в связи с приближением выборов 2024 года.

Инфраструктура, предназначенная для перенаправления пользователей через несколько уровней на пропагандистские веб-сайты, при этом домены сохраняются, несмотря на попытки удаления.

Маскирует активность сервера с помощью сетей распространения контента, таких как Cloudflare и интерфейс Traefik.

Закон о цифровых услугах и руководящие принципы Комиссии направлены на борьбу с дезинформацией и защиту демократии от кампаний, подобных "Двойнику".
#ParsedReport #CompletenessLow
21-05-2024

Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit

https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit

Report completeness: Low

Actors/Campaigns:
Ikaruz_red_team (motivation: hacktivism)
Vice_society
Bianlian

Threats:
Lockbit
Medusalocker
Blackcat
8base
Clop
Underground_team_ransomware

Victims:
Department of science and technology, Yakult philippines incorporated, Various philippine entities

Industry:
Government, Education

Geo:
Palestinian, Philippines, China, Indo-pacific, Philippine, Dutch, Turkish, Netherlands

ChatGPT TTPs:
do not use without manual check
T1486, T1491, T1565, T1583

IOCs:
File: 3
Hash: 10

Soft:
Jabber, Telegram

Wallets:
exodus_wallet

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----

В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.

В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.

Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.

Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.

Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.