CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Detecting the STRRAT Malware Family https://corelight.com/blog/newsroom/news/strrat-malware Report completeness: Low Threats: Strrat Credential_stealing_technique ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, особое внимание уделяется использованию инструментов сетевого анализа, таких как Wireshark, для определения методов его передачи. В нем предлагается использовать скрипты Zeek, Spicy language и правила Suricata для создания комплексных сигнатур обнаружения для STRRAT, что подчеркивает важность эффективного обнаружения сообщений C2 для снижения угрозы. Кроме того, рекомендуется использовать Corelight C2 Collection для улучшения понимания и обнаружения действий C2, связанных с STRRAT и другими угрозами.
-----
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, которое представляет собой инструмент удаленного доступа на базе Java (RAT), известный своими возможностями кражи учетных данных, ведения журнала ключей и вымогательства. Вредоносное ПО все чаще попадает в изолированные программы, что подчеркивает его значимость как угрозы. Одной из ключевых особенностей STRRAT является его метод обмена данными, который включает в себя обычный текст и командно-управляющие сообщения с разделителями каналов (C2). В тексте объясняется, как идентифицировать эти сообщения C2 с помощью инструментов сетевого анализа, таких как Wireshark.
Для эффективного обнаружения STRRAT в тексте предлагается создать сигнатуры обнаружения с использованием Zeek scripting и Spicy language. Написав Zeek protocol analyzer, аналитики могут собирать больше данных о сеансе C2 вредоносного ПО, а не просто искать определенные строки. Использование языка Spicy позволяет проводить детальный анализ сетевого трафика, связанного с STRRAT, расширяя возможности обнаружения.
Кроме того, в тексте упоминается использование правил Suricata в дополнение к обнаружению STRRAT. Эти правила могут быть использованы для идентификации определенных команд C2 в сетевом трафике, связанном с вредоносным ПО. Использование Zeek и Suricata обеспечивает комплексный подход к обнаружению и смягчению угрозы, исходящей от STRRAT.
Кроме того, в тексте подчеркивается важность эффективного обнаружения сообщений C2 даже для пользовательских протоколов, таких как STRRAT. В нем демонстрируется простота создания пользовательских анализаторов протоколов с помощью Spicy и подчеркивается доступность правил Suricata в качестве альтернативного метода обнаружения для тех, кто не использует Zeek.
В заключение в тексте рекомендуется коллекция Corelight C2, которая предлагает аналитические данные и средства обнаружения на основе метаданных Zeek для определения различных действий командования и контроля, в том числе связанных с известными наборами инструментов C2 и методами MITRE ATT и CK C2. Этот ресурс может помочь защитникам лучше понять угрозы C2 и повысить их способность эффективно обнаруживать новые атаки и реагировать на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, особое внимание уделяется использованию инструментов сетевого анализа, таких как Wireshark, для определения методов его передачи. В нем предлагается использовать скрипты Zeek, Spicy language и правила Suricata для создания комплексных сигнатур обнаружения для STRRAT, что подчеркивает важность эффективного обнаружения сообщений C2 для снижения угрозы. Кроме того, рекомендуется использовать Corelight C2 Collection для улучшения понимания и обнаружения действий C2, связанных с STRRAT и другими угрозами.
-----
В тексте обсуждается обнаружение и анализ вредоносного ПО STRRAT, которое представляет собой инструмент удаленного доступа на базе Java (RAT), известный своими возможностями кражи учетных данных, ведения журнала ключей и вымогательства. Вредоносное ПО все чаще попадает в изолированные программы, что подчеркивает его значимость как угрозы. Одной из ключевых особенностей STRRAT является его метод обмена данными, который включает в себя обычный текст и командно-управляющие сообщения с разделителями каналов (C2). В тексте объясняется, как идентифицировать эти сообщения C2 с помощью инструментов сетевого анализа, таких как Wireshark.
Для эффективного обнаружения STRRAT в тексте предлагается создать сигнатуры обнаружения с использованием Zeek scripting и Spicy language. Написав Zeek protocol analyzer, аналитики могут собирать больше данных о сеансе C2 вредоносного ПО, а не просто искать определенные строки. Использование языка Spicy позволяет проводить детальный анализ сетевого трафика, связанного с STRRAT, расширяя возможности обнаружения.
Кроме того, в тексте упоминается использование правил Suricata в дополнение к обнаружению STRRAT. Эти правила могут быть использованы для идентификации определенных команд C2 в сетевом трафике, связанном с вредоносным ПО. Использование Zeek и Suricata обеспечивает комплексный подход к обнаружению и смягчению угрозы, исходящей от STRRAT.
Кроме того, в тексте подчеркивается важность эффективного обнаружения сообщений C2 даже для пользовательских протоколов, таких как STRRAT. В нем демонстрируется простота создания пользовательских анализаторов протоколов с помощью Spicy и подчеркивается доступность правил Suricata в качестве альтернативного метода обнаружения для тех, кто не использует Zeek.
В заключение в тексте рекомендуется коллекция Corelight C2, которая предлагает аналитические данные и средства обнаружения на основе метаданных Zeek для определения различных действий командования и контроля, в том числе связанных с известными наборами инструментов C2 и методами MITRE ATT и CK C2. Этот ресурс может помочь защитникам лучше понять угрозы C2 и повысить их способность эффективно обнаруживать новые атаки и реагировать на них.
#ParsedReport #CompletenessHigh
21-05-2024
UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries
https://www.ctfiot.com/182826.html
Report completeness: High
Actors/Campaigns:
Utg-q-010
Utg-q-007
Utg-q-001
Utg-q-003
Threats:
Pupy_rat
Watering_hole_technique
Ermac
Xworm_rat
Victims:
Major internet companies, Gaming companies, Pharmaceutical companies
Industry:
Government, Entertainment, Healthcare
Geo:
Asia, Chinese
ChatGPT TTPs:
T1566, T1204, T1059, T1105, T1071, T1547, T1027, T1036, T1553, T1588, have more...
IOCs:
Hash: 11
File: 3
IP: 2
Domain: 3
Url: 1
Soft:
Android, WeChat
Crypto:
bitcoin
Algorithms:
md5
Languages:
python, php, golang
21-05-2024
UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries
https://www.ctfiot.com/182826.html
Report completeness: High
Actors/Campaigns:
Utg-q-010
Utg-q-007
Utg-q-001
Utg-q-003
Threats:
Pupy_rat
Watering_hole_technique
Ermac
Xworm_rat
Victims:
Major internet companies, Gaming companies, Pharmaceutical companies
Industry:
Government, Entertainment, Healthcare
Geo:
Asia, Chinese
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1105, T1071, T1547, T1027, T1036, T1553, T1588, have more...
IOCs:
Hash: 11
File: 3
IP: 2
Domain: 3
Url: 1
Soft:
Android, WeChat
Crypto:
bitcoin
Algorithms:
md5
Languages:
python, php, golang
CTF导航
UTG-Q-010:针对AI和游戏行业的定向攻击活动 | CTF导航
概述奇安信威胁情报中心在日常运营过程中发现客户收到了定向的中文钓鱼邮件,正文中逻辑清晰,使用互联网大厂的游戏招聘、AI技术等内容诱导目标公司的HR打开包含恶意lnk的加密附件,从而在内网中立足并寻求进一步...
CTT Report Hub
#ParsedReport #CompletenessHigh 21-05-2024 UTG-Q-010: Targeted attack campaigns targeting the AI and gaming industries https://www.ctfiot.com/182826.html Report completeness: High Actors/Campaigns: Utg-q-010 Utg-q-007 Utg-q-001 Utg-q-003 Threats: Pupy_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и анализе целенаправленной китайской фишинговой кампании, проводимой группой под названием UTG-Q-010, с экономическими мотивами и использованием различных тактик и вредоносных вложений. Кроме того, в нем подчеркивается растущая тенденция проведения недорогостоящих целенаправленных кибератак и важность постоянного обновления мер безопасности, проведения обучения и повышения осведомленности о безопасности для эффективного снижения рисков в современных условиях сетевой безопасности.
-----
Центр анализа угроз Qi'anxin выявил целенаправленную китайскую фишинговую кампанию, направленную на то, чтобы побудить сотрудников отдела кадров различных компаний открывать вредоносные вложения. В результате непродолжительного расследования группа, ответственная за эти атаки, была названа UTG-Q-010 - целенаправленная террористическая группа с экономическими мотивами, базирующаяся в Восточной Азии.
Злоумышленники использовали такую тактику, как использование контента, связанного с подбором персонала в играх, и технологий искусственного интеллекта от крупных интернет-компаний, чтобы побудить получателей открыть зашифрованные вложения, содержащие вредоносные ссылки. Вредоносное вложение использовало загрузчик под названием MoinDownloader, который загружал троянскую программу с открытым исходным кодом под названием Pupy RAT в память с сервера управления, расположенного по адресу 103.79.76.40:8443.
Инфраструктура UTG-Q-010 выявила использование веб-сайтов, имитирующих сайты-убежища, для распространения вредоносных APK-файлов, нацеленных на сектор биткойнов и искусственного интеллекта, а затем злоумышленники рекламировали их на местных форумах. APK-файл содержал вариант из семейства Ermac с адресом сервера C2 по адресу conn.phmdbad.live. Кроме того, группа развернула для выполнения полезную нагрузку, размещенную на сервере springboard по адресу 94.138.192.147, которая представляла собой специальную программу, написанную на Golang и предназначенную для выполнения команд CMD на сервере C2.
Первоначально, в конце 2022 года, группа начала свою деятельность с рекламы, связанной с фармацевтической промышленностью, но в 2024 году переключила свое внимание на экономические мотивы. Большинство жертв, на которых нацелился UTG-Q-010, были домашними пользователями широкополосного доступа, особенно в сообществе криптовалют, в то время как корпоративные выделенные линии были скомпрометированы в компаниях игрового и фармацевтического секторов.
В тексте подчеркивается растущая тенденция проведения недорогостоящих целенаправленных атак, позволяющих субъектам угроз получать доступ к желаемым данным и информации с минимальными затратами. Это создает дисбаланс в сфере кибербезопасности, поскольку злоумышленники могут проводить эффективные кампании с ограниченными ресурсами, в то время как защитники сталкиваются с необходимостью значительных инвестиций в технологии, время и средства для противодействия этим угрозам.
В результате организации должны постоянно обновлять меры безопасности, проводить обучение сотрудников и повышать осведомленность о безопасности, чтобы эффективно снижать риски. Повышение возможностей защиты, оптимизация распределения ресурсов и снижение затрат на обеспечение безопасности являются важнейшими задачами в современной среде сетевой безопасности. Аналитический центр Qi'anxin Threat Intelligence Center занимается выявлением новых угроз и технологий для защиты государственных и корпоративных клиентов от развивающихся киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в выявлении и анализе целенаправленной китайской фишинговой кампании, проводимой группой под названием UTG-Q-010, с экономическими мотивами и использованием различных тактик и вредоносных вложений. Кроме того, в нем подчеркивается растущая тенденция проведения недорогостоящих целенаправленных кибератак и важность постоянного обновления мер безопасности, проведения обучения и повышения осведомленности о безопасности для эффективного снижения рисков в современных условиях сетевой безопасности.
-----
Центр анализа угроз Qi'anxin выявил целенаправленную китайскую фишинговую кампанию, направленную на то, чтобы побудить сотрудников отдела кадров различных компаний открывать вредоносные вложения. В результате непродолжительного расследования группа, ответственная за эти атаки, была названа UTG-Q-010 - целенаправленная террористическая группа с экономическими мотивами, базирующаяся в Восточной Азии.
Злоумышленники использовали такую тактику, как использование контента, связанного с подбором персонала в играх, и технологий искусственного интеллекта от крупных интернет-компаний, чтобы побудить получателей открыть зашифрованные вложения, содержащие вредоносные ссылки. Вредоносное вложение использовало загрузчик под названием MoinDownloader, который загружал троянскую программу с открытым исходным кодом под названием Pupy RAT в память с сервера управления, расположенного по адресу 103.79.76.40:8443.
Инфраструктура UTG-Q-010 выявила использование веб-сайтов, имитирующих сайты-убежища, для распространения вредоносных APK-файлов, нацеленных на сектор биткойнов и искусственного интеллекта, а затем злоумышленники рекламировали их на местных форумах. APK-файл содержал вариант из семейства Ermac с адресом сервера C2 по адресу conn.phmdbad.live. Кроме того, группа развернула для выполнения полезную нагрузку, размещенную на сервере springboard по адресу 94.138.192.147, которая представляла собой специальную программу, написанную на Golang и предназначенную для выполнения команд CMD на сервере C2.
Первоначально, в конце 2022 года, группа начала свою деятельность с рекламы, связанной с фармацевтической промышленностью, но в 2024 году переключила свое внимание на экономические мотивы. Большинство жертв, на которых нацелился UTG-Q-010, были домашними пользователями широкополосного доступа, особенно в сообществе криптовалют, в то время как корпоративные выделенные линии были скомпрометированы в компаниях игрового и фармацевтического секторов.
В тексте подчеркивается растущая тенденция проведения недорогостоящих целенаправленных атак, позволяющих субъектам угроз получать доступ к желаемым данным и информации с минимальными затратами. Это создает дисбаланс в сфере кибербезопасности, поскольку злоумышленники могут проводить эффективные кампании с ограниченными ресурсами, в то время как защитники сталкиваются с необходимостью значительных инвестиций в технологии, время и средства для противодействия этим угрозам.
В результате организации должны постоянно обновлять меры безопасности, проводить обучение сотрудников и повышать осведомленность о безопасности, чтобы эффективно снижать риски. Повышение возможностей защиты, оптимизация распределения ресурсов и снижение затрат на обеспечение безопасности являются важнейшими задачами в современной среде сетевой безопасности. Аналитический центр Qi'anxin Threat Intelligence Center занимается выявлением новых угроз и технологий для защиты государственных и корпоративных клиентов от развивающихся киберугроз.
#ParsedReport #CompletenessMedium
21-05-2024
Analysis of APT32 commonly used bait files
https://www.ctfiot.com/182904.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Dll_hijacking_technique
Dll_injection_technique
Denserat
Process_injection_technique
Industry:
Government, Healthcare
Geo:
China, Asian
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1204, T1055, T1574, T1112, T1027, T1218, T1045, T1106, T1189, have more...
IOCs:
Hash: 3
File: 14
Coin: 1
Domain: 1
Soft:
WeChat
Algorithms:
xor, sha256
Win API:
VirtualAlloc, LoadLibraryExW, RtlMoveMemory, DllRegisterServer, DnsQueryEx, WinHttpOpen, CreateRemoteThreadEx, LoadLibrary
21-05-2024
Analysis of APT32 commonly used bait files
https://www.ctfiot.com/182904.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Dll_hijacking_technique
Dll_injection_technique
Denserat
Process_injection_technique
Industry:
Government, Healthcare
Geo:
China, Asian
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1055, T1574, T1112, T1027, T1218, T1045, T1106, T1189, have more...
IOCs:
Hash: 3
File: 14
Coin: 1
Domain: 1
Soft:
Algorithms:
xor, sha256
Win API:
VirtualAlloc, LoadLibraryExW, RtlMoveMemory, DllRegisterServer, DnsQueryEx, WinHttpOpen, CreateRemoteThreadEx, LoadLibrary
CTF导航
APT32常用诱饵文件分析 | CTF导航
1 事件概述 随着越来越多个人隐私和重要数据通过各种办公软件存储在电子文档中,针对办公软件的攻击事件不断发生,各种办公软件安全问题日趋严重!办公软件存在安全问题的根本原因在于其文档格式解析和...
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Analysis of APT32 commonly used bait files https://www.ctfiot.com/182904.html Report completeness: Medium Actors/Campaigns: Oceanlotus Threats: Dll_hijacking_technique Dll_injection_technique Denserat Proc…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении растущих угроз безопасности, нацеленных на программное обеспечение Office, с особым упором на вредоносные атаки, проводимые организацией Ocean Lotus organization (APT32) на программное обеспечение Office. В нем рассматриваются технические характеристики, методы атаки и рекомендации по защите, связанные с этими атаками, выделяются такие методы, как внедрение отражающих DLL-файлов, использование вредоносных OCX-файлов и использование RTF-файлов для выполнения вредоносного кода. В статье подчеркивается важность анализа угроз, обнаружения вторжений и их предотвращения для обеспечения цифровой безопасности, а также разработки защитных систем для защиты от возникающих угроз и кибератак.
-----
Ocean Lotus (APT32) проводит вредоносные атаки на офисное программное обеспечение, фокусируясь на уязвимостях при анализе формата документов.
Используемые методы включают "белую" эксплуатацию, захват библиотек DLL, многоступенчатую загрузку, запутанное шифрование и социальную инженерию.
Сложный метод атаки включает в себя отражающее внедрение библиотеки DLL в загрузку шеллкода, чтобы избежать систем обнаружения.
Вредоносный код, идентифицированный как троянец DenseRAT, пытается подключиться к определенным сетевым портам, контролируемым злоумышленниками.
Методы защиты от отладки, такие как функции ожидания с длительной задержкой, используются для предотвращения динамической отладки.
Для обнаружения предлагаются правила Yara, основанные на таких функциях, как технология загрузки боковой цепочки DLL, алгоритмы дешифрования XOR и технология отражающего внедрения DLL.
Атаки используют уязвимости OCX с помощью самораспаковывающихся программ, замаскированных под документы Word.
При эксплуатации файлов RTF используются уязвимости, такие как CVE_2017_11882, для выполнения вредоносных действий.
Центр сетевого анализа Shanshi Network Intelligence Center специализируется на анализе угроз, обнаружении вторжений и их предотвращении для всестороннего анализа угроз и обеспечения цифровой безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении растущих угроз безопасности, нацеленных на программное обеспечение Office, с особым упором на вредоносные атаки, проводимые организацией Ocean Lotus organization (APT32) на программное обеспечение Office. В нем рассматриваются технические характеристики, методы атаки и рекомендации по защите, связанные с этими атаками, выделяются такие методы, как внедрение отражающих DLL-файлов, использование вредоносных OCX-файлов и использование RTF-файлов для выполнения вредоносного кода. В статье подчеркивается важность анализа угроз, обнаружения вторжений и их предотвращения для обеспечения цифровой безопасности, а также разработки защитных систем для защиты от возникающих угроз и кибератак.
-----
Ocean Lotus (APT32) проводит вредоносные атаки на офисное программное обеспечение, фокусируясь на уязвимостях при анализе формата документов.
Используемые методы включают "белую" эксплуатацию, захват библиотек DLL, многоступенчатую загрузку, запутанное шифрование и социальную инженерию.
Сложный метод атаки включает в себя отражающее внедрение библиотеки DLL в загрузку шеллкода, чтобы избежать систем обнаружения.
Вредоносный код, идентифицированный как троянец DenseRAT, пытается подключиться к определенным сетевым портам, контролируемым злоумышленниками.
Методы защиты от отладки, такие как функции ожидания с длительной задержкой, используются для предотвращения динамической отладки.
Для обнаружения предлагаются правила Yara, основанные на таких функциях, как технология загрузки боковой цепочки DLL, алгоритмы дешифрования XOR и технология отражающего внедрения DLL.
Атаки используют уязвимости OCX с помощью самораспаковывающихся программ, замаскированных под документы Word.
При эксплуатации файлов RTF используются уязвимости, такие как CVE_2017_11882, для выполнения вредоносных действий.
Центр сетевого анализа Shanshi Network Intelligence Center специализируется на анализе угроз, обнаружении вторжений и их предотвращении для всестороннего анализа угроз и обеспечения цифровой безопасности.
#ParsedReport #CompletenessLow
21-05-2024
'The Mask' Espionage Group Resurfaces After 10-Year Hiatus
https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus
Report completeness: Low
Actors/Campaigns:
Careto (motivation: cyber_criminal, cyber_espionage)
Gelsemium
Kimsuky
Oilrig
Threats:
Fakehmp
Careto2
Victims:
Government institutions, Diplomatic offices and embassies, Energy companies, Oil and gas companies, Research institutions, Private equity firms
Industry:
Petroleum, Energy, Government
Geo:
Germany, Palestine, Africa, China, Iran, America, Tajikistan, Korea, Brazil, France, Israel, Kyrgyzstan
ChatGPT TTPs:
T1190, T1547, T1110, T1003, T1027, T1071, T1056, T1113, T1105, T1030, have more...
Soft:
Chrome, Opera, WhatsApps, WeChat, Threema
21-05-2024
'The Mask' Espionage Group Resurfaces After 10-Year Hiatus
https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus
Report completeness: Low
Actors/Campaigns:
Careto (motivation: cyber_criminal, cyber_espionage)
Gelsemium
Kimsuky
Oilrig
Threats:
Fakehmp
Careto2
Victims:
Government institutions, Diplomatic offices and embassies, Energy companies, Oil and gas companies, Research institutions, Private equity firms
Industry:
Petroleum, Energy, Government
Geo:
Germany, Palestine, Africa, China, Iran, America, Tajikistan, Korea, Brazil, France, Israel, Kyrgyzstan
ChatGPT TTPs:
do not use without manual checkT1190, T1547, T1110, T1003, T1027, T1071, T1056, T1113, T1105, T1030, have more...
Soft:
Chrome, Opera, WhatsApps, WeChat, Threema
Darkreading
'The Mask' Espionage Group Resurfaces After 10-Year Hiatus
Researchers recently spotted the Spanish-speaking threat actor —with nearly 400 previous victims under its belt — in a new campaign in Latin America and Central Africa.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 'The Mask' Espionage Group Resurfaces After 10-Year Hiatus https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вновь появилась испаноязычная группа злоумышленников, известная как "Careto" или "Маска", которая занимается кибершпионажем против организаций в Латинской Америке и Центральной Африке. Careto, действовавшая с 2007 по 2013 год, ранее занималась кибершпионажем против различных учреждений по всему миру. Недавние атаки Careto были связаны с кражей конфиденциальных данных и использованием продвинутых имплантатов для вредоносных действий, демонстрируя сложные операции группы. Касперский поделился подробной информацией о тактике Careto и выделил ее наряду с другими группами угроз в первом квартале 2024 года.
-----
Испаноязычная группа исполнителей угроз, известная как "Careto" или "The Mask", вновь появилась после более чем десятилетнего бездействия в рамках кампании кибершпионажа, нацеленной на организации в Латинской Америке и Центральной Африке. Первоначально, с 2007 по 2013 год, Careto действовала против 380 жертв в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию. Исследователи из Лаборатории Касперского, которые в прошлом отслеживали Careto, выявили, что предыдущими жертвами группы были правительственные учреждения, дипломатические представительства, посольства, энергетические компании, исследовательские институты и частные инвестиционные компании.
В ходе своих недавних атак Careto нацелилась на организации в Латинской Америке и Центральной Африке, сосредоточившись на краже конфиденциальных документов, файлов cookie, истории форм и данных для входа в систему из популярных браузеров, таких как Chrome, Edge, Firefox и Opera. Кроме того, они использовали файлы cookie из приложений для обмена сообщениями, таких как WhatsApp, WeChat и Threema. Careto использовала специальные методы для проникновения в среду жертв, поддержания постоянства и сбора информации. Злоумышленники получили первоначальный доступ к почтовому серверу MDaemon и внедрили бэкдор для управления сетью. Они также использовали уязвимость в продукте безопасности для распространения многомодульных имплантатов по сети каждой жертвы.
Используемые в атаках имплантаты, названные "FakeHMP", "Careto2", "Goreto" и "MDaemon implant", позволяли злоумышленникам выполнять различные вредоносные действия, включая разведку, кейлоггинг, захват скриншотов, кражу файлов и запись с микрофона. "Касперский" отметил, что недавно обнаруженные имплантаты представляют собой сложные мультимодальные системы, демонстрирующие продвинутый характер операций Careto. Охранная компания поделилась подробной информацией о тактике, методах и процедурах Careto в частном отчете APT для клиентов.
Лаборатория Касперского выделила Careto в обзоре активности APT в первом квартале 2024 года наряду с другими группами угроз, такими как Gelsemium, Kimsuky и OilRig. Компания Gelsemium использовала серверные уязвимости для развертывания веб-оболочек и пользовательских инструментов в Палестине, Таджикистане и Кыргызстане. Компания Kimsuky, связанная с Северной Кореей, проводила целенаправленные фишинговые кампании, злоупотребляя слабыми политиками DMARC. Иранская группа OilRig известна своими нападениями на важнейший сектор инфраструктуры Израиля.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вновь появилась испаноязычная группа злоумышленников, известная как "Careto" или "Маска", которая занимается кибершпионажем против организаций в Латинской Америке и Центральной Африке. Careto, действовавшая с 2007 по 2013 год, ранее занималась кибершпионажем против различных учреждений по всему миру. Недавние атаки Careto были связаны с кражей конфиденциальных данных и использованием продвинутых имплантатов для вредоносных действий, демонстрируя сложные операции группы. Касперский поделился подробной информацией о тактике Careto и выделил ее наряду с другими группами угроз в первом квартале 2024 года.
-----
Испаноязычная группа исполнителей угроз, известная как "Careto" или "The Mask", вновь появилась после более чем десятилетнего бездействия в рамках кампании кибершпионажа, нацеленной на организации в Латинской Америке и Центральной Африке. Первоначально, с 2007 по 2013 год, Careto действовала против 380 жертв в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию. Исследователи из Лаборатории Касперского, которые в прошлом отслеживали Careto, выявили, что предыдущими жертвами группы были правительственные учреждения, дипломатические представительства, посольства, энергетические компании, исследовательские институты и частные инвестиционные компании.
В ходе своих недавних атак Careto нацелилась на организации в Латинской Америке и Центральной Африке, сосредоточившись на краже конфиденциальных документов, файлов cookie, истории форм и данных для входа в систему из популярных браузеров, таких как Chrome, Edge, Firefox и Opera. Кроме того, они использовали файлы cookie из приложений для обмена сообщениями, таких как WhatsApp, WeChat и Threema. Careto использовала специальные методы для проникновения в среду жертв, поддержания постоянства и сбора информации. Злоумышленники получили первоначальный доступ к почтовому серверу MDaemon и внедрили бэкдор для управления сетью. Они также использовали уязвимость в продукте безопасности для распространения многомодульных имплантатов по сети каждой жертвы.
Используемые в атаках имплантаты, названные "FakeHMP", "Careto2", "Goreto" и "MDaemon implant", позволяли злоумышленникам выполнять различные вредоносные действия, включая разведку, кейлоггинг, захват скриншотов, кражу файлов и запись с микрофона. "Касперский" отметил, что недавно обнаруженные имплантаты представляют собой сложные мультимодальные системы, демонстрирующие продвинутый характер операций Careto. Охранная компания поделилась подробной информацией о тактике, методах и процедурах Careto в частном отчете APT для клиентов.
Лаборатория Касперского выделила Careto в обзоре активности APT в первом квартале 2024 года наряду с другими группами угроз, такими как Gelsemium, Kimsuky и OilRig. Компания Gelsemium использовала серверные уязвимости для развертывания веб-оболочек и пользовательских инструментов в Палестине, Таджикистане и Кыргызстане. Компания Kimsuky, связанная с Северной Кореей, проводила целенаправленные фишинговые кампании, злоупотребляя слабыми политиками DMARC. Иранская группа OilRig известна своими нападениями на важнейший сектор инфраструктуры Израиля.
#ParsedReport #CompletenessLow
21-05-2024
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised
https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised
Report completeness: Low
Actors/Campaigns:
Cyberniggers
Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company
Industry:
Military, Aerospace, Telco
Geo:
Asian, Usa
ChatGPT TTPs:
T1003, T1041, T1204, T1583, T1586, T1189, T1595
21-05-2024
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised
https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised
Report completeness: Low
Actors/Campaigns:
Cyberniggers
Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company
Industry:
Military, Aerospace, Telco
Geo:
Asian, Usa
ChatGPT TTPs:
do not use without manual checkT1003, T1041, T1204, T1583, T1586, T1189, T1595
SOCRadar® Cyber Intelligence Inc.
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised - SOCRadar® Cyber Intelligence Inc.
Recent findings from the SOCRadar Dark Web Team are of threat actors targeting telecoms, federal agencies, and military operations.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----
Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.
Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.
Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.
Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.
Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.
Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.
Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----
Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.
Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.
Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.
Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.
Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.
Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.
Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
#ParsedReport #CompletenessMedium
21-05-2024
Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign
https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign
Report completeness: Medium
Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057
Threats:
Typosquatting_technique
Victims:
News websites, Social media platforms
Industry:
Government, Healthcare, Military
Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania
ChatGPT TTPs:
T1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...
IOCs:
Domain: 27
Url: 5
File: 1
IP: 2
Soft:
Instagram, TikTok, Telegram, WordPress
Algorithms:
exhibit, base64
Languages:
javascript
Platforms:
intel
Links:
21-05-2024
Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign
https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign
Report completeness: Medium
Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057
Threats:
Typosquatting_technique
Victims:
News websites, Social media platforms
Industry:
Government, Healthcare, Military
Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania
ChatGPT TTPs:
do not use without manual checkT1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...
IOCs:
Domain: 27
Url: 5
File: 1
IP: 2
Soft:
Instagram, TikTok, Telegram, WordPress
Algorithms:
exhibit, base64
Languages:
javascript
Platforms:
intel
Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/Doppelg%C3%A4nger/DoppelG%C3%A4nger-observables.csvhttps://github.com/traefik/traefikSekoia.io Blog
Master of Puppets: Uncovering the DoppelGänger pro-Russian influence campaign
Uncover the details of the DoppelGänger campaign, a Russian influence operation aimed at undermining support for Ukraine.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании кампании "Двойник" - продолжающейся операции по кибервоздействию, приписываемой российским структурам, направленной на уменьшение поддержки Украины и посев разногласий между странами, поддерживающими Украину. Кампания использует сеть новостных веб-сайтов и недостоверных аккаунтов в социальных сетях на различных платформах для публикации и распространения дезинформационных статей, ориентированных на конкретную аудиторию в зависимости от национальности, ориентации в обществе и политических тем. В тексте подчеркивается сложный мультиплатформенный подход кампании, дизайн инфраструктуры и потенциальное долгосрочное воздействие на общественное мнение, подчеркивается необходимость постоянной бдительности и активных мер по борьбе с киберугрозами демократии.
-----
Кампания "Двойник" - это продолжающаяся операция по кибервоздействию, проводимая российскими структурами Structura National Technologies и Агентством социального проектирования.
Кампания нацелена на аудиторию по всему миру, чтобы уменьшить поддержку Украины и посеять разногласия между странами, поддерживающими Украину.
Использует сеть новостных веб-сайтов, включая законные средства массовой информации с опечатками и независимые сайты, для публикации дезинформационных статей.
Управляет трехэтапным процессом перенаправления трафика на дезинформационные статьи, отслеживаемые через Keitaro.
Адаптируется к текущим событиям в целевых странах и использует индивидуальные сюжеты, адаптированные к местным проблемам, для усиления влияния.
Создает веб-сайты и рекламные материалы, соответствующие целям российских агентств, ориентированные на конкретную аудиторию в зависимости от национальности, ориентации на сообщество, политических тем и отраслевой направленности.
Распространяет дезинформационный контент и политическую рекламу через социальные сети, включая X, Facebook, Instagram, TikTok, Youtube и Cameo, используя неаутентичные аккаунты.
Использует глубокие фейки и платформы для обмена видео для поддержки дезинформационных сообщений.
Эта кампания представляет серьезную угрозу для западных демократий, особенно в связи с приближением выборов 2024 года.
Инфраструктура, предназначенная для перенаправления пользователей через несколько уровней на пропагандистские веб-сайты, при этом домены сохраняются, несмотря на попытки удаления.
Маскирует активность сервера с помощью сетей распространения контента, таких как Cloudflare и интерфейс Traefik.
Закон о цифровых услугах и руководящие принципы Комиссии направлены на борьбу с дезинформацией и защиту демократии от кампаний, подобных "Двойнику".
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании кампании "Двойник" - продолжающейся операции по кибервоздействию, приписываемой российским структурам, направленной на уменьшение поддержки Украины и посев разногласий между странами, поддерживающими Украину. Кампания использует сеть новостных веб-сайтов и недостоверных аккаунтов в социальных сетях на различных платформах для публикации и распространения дезинформационных статей, ориентированных на конкретную аудиторию в зависимости от национальности, ориентации в обществе и политических тем. В тексте подчеркивается сложный мультиплатформенный подход кампании, дизайн инфраструктуры и потенциальное долгосрочное воздействие на общественное мнение, подчеркивается необходимость постоянной бдительности и активных мер по борьбе с киберугрозами демократии.
-----
Кампания "Двойник" - это продолжающаяся операция по кибервоздействию, проводимая российскими структурами Structura National Technologies и Агентством социального проектирования.
Кампания нацелена на аудиторию по всему миру, чтобы уменьшить поддержку Украины и посеять разногласия между странами, поддерживающими Украину.
Использует сеть новостных веб-сайтов, включая законные средства массовой информации с опечатками и независимые сайты, для публикации дезинформационных статей.
Управляет трехэтапным процессом перенаправления трафика на дезинформационные статьи, отслеживаемые через Keitaro.
Адаптируется к текущим событиям в целевых странах и использует индивидуальные сюжеты, адаптированные к местным проблемам, для усиления влияния.
Создает веб-сайты и рекламные материалы, соответствующие целям российских агентств, ориентированные на конкретную аудиторию в зависимости от национальности, ориентации на сообщество, политических тем и отраслевой направленности.
Распространяет дезинформационный контент и политическую рекламу через социальные сети, включая X, Facebook, Instagram, TikTok, Youtube и Cameo, используя неаутентичные аккаунты.
Использует глубокие фейки и платформы для обмена видео для поддержки дезинформационных сообщений.
Эта кампания представляет серьезную угрозу для западных демократий, особенно в связи с приближением выборов 2024 года.
Инфраструктура, предназначенная для перенаправления пользователей через несколько уровней на пропагандистские веб-сайты, при этом домены сохраняются, несмотря на попытки удаления.
Маскирует активность сервера с помощью сетей распространения контента, таких как Cloudflare и интерфейс Traefik.
Закон о цифровых услугах и руководящие принципы Комиссии направлены на борьбу с дезинформацией и защиту демократии от кампаний, подобных "Двойнику".
#ParsedReport #CompletenessLow
21-05-2024
Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit
https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit
Report completeness: Low
Actors/Campaigns:
Ikaruz_red_team (motivation: hacktivism)
Vice_society
Bianlian
Threats:
Lockbit
Medusalocker
Blackcat
8base
Clop
Underground_team_ransomware
Victims:
Department of science and technology, Yakult philippines incorporated, Various philippine entities
Industry:
Government, Education
Geo:
Palestinian, Philippines, China, Indo-pacific, Philippine, Dutch, Turkish, Netherlands
ChatGPT TTPs:
T1486, T1491, T1565, T1583
IOCs:
File: 3
Hash: 10
Soft:
Jabber, Telegram
Wallets:
exodus_wallet
Languages:
php
21-05-2024
Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit
https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit
Report completeness: Low
Actors/Campaigns:
Ikaruz_red_team (motivation: hacktivism)
Vice_society
Bianlian
Threats:
Lockbit
Medusalocker
Blackcat
8base
Clop
Underground_team_ransomware
Victims:
Department of science and technology, Yakult philippines incorporated, Various philippine entities
Industry:
Government, Education
Geo:
Palestinian, Philippines, China, Indo-pacific, Philippine, Dutch, Turkish, Netherlands
ChatGPT TTPs:
do not use without manual checkT1486, T1491, T1565, T1583
IOCs:
File: 3
Hash: 10
Soft:
Jabber, Telegram
Wallets:
exodus_wallet
Languages:
php
SentinelOne
Ikarus Red Team | Hacktivist Group Leverage Ransomware for Attention Not Profit
Politically-motivated attacks involving ransomware are on the rise as hacktivists aim to increase their impact through easily available tools.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----
В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.
В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.
Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.
Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.
Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----
В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.
В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.
Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.
Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.
Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
#ParsedReport #CompletenessMedium
20-05-2024
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain
https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain
Report completeness: Medium
Threats:
Blackcat
Cobalt_strike
Evilginx_tool
Industry:
Financial, Government
Geo:
Russian
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 2
Soft:
Active Directory, Windows Task Scheduler
Languages:
powershell
Platforms:
intel
20-05-2024
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain
https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain
Report completeness: Medium
Threats:
Blackcat
Cobalt_strike
Evilginx_tool
Industry:
Financial, Government
Geo:
Russian
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 2
Soft:
Active Directory, Windows Task Scheduler
Languages:
powershell
Platforms:
intel
Infoblox Blog
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain | Infoblox
Discover the increasing danger of malicious internet domain names and how you can detect and block them sooner using Infoblox suspicious domain feeds. Learn how to protect your organization from these DNS-based threats.