#ParsedReport #CompletenessLow
21-05-2024
'The Mask' Espionage Group Resurfaces After 10-Year Hiatus
https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus
Report completeness: Low
Actors/Campaigns:
Careto (motivation: cyber_criminal, cyber_espionage)
Gelsemium
Kimsuky
Oilrig
Threats:
Fakehmp
Careto2
Victims:
Government institutions, Diplomatic offices and embassies, Energy companies, Oil and gas companies, Research institutions, Private equity firms
Industry:
Petroleum, Energy, Government
Geo:
Germany, Palestine, Africa, China, Iran, America, Tajikistan, Korea, Brazil, France, Israel, Kyrgyzstan
ChatGPT TTPs:
T1190, T1547, T1110, T1003, T1027, T1071, T1056, T1113, T1105, T1030, have more...
Soft:
Chrome, Opera, WhatsApps, WeChat, Threema
21-05-2024
'The Mask' Espionage Group Resurfaces After 10-Year Hiatus
https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus
Report completeness: Low
Actors/Campaigns:
Careto (motivation: cyber_criminal, cyber_espionage)
Gelsemium
Kimsuky
Oilrig
Threats:
Fakehmp
Careto2
Victims:
Government institutions, Diplomatic offices and embassies, Energy companies, Oil and gas companies, Research institutions, Private equity firms
Industry:
Petroleum, Energy, Government
Geo:
Germany, Palestine, Africa, China, Iran, America, Tajikistan, Korea, Brazil, France, Israel, Kyrgyzstan
ChatGPT TTPs:
do not use without manual checkT1190, T1547, T1110, T1003, T1027, T1071, T1056, T1113, T1105, T1030, have more...
Soft:
Chrome, Opera, WhatsApps, WeChat, Threema
Darkreading
'The Mask' Espionage Group Resurfaces After 10-Year Hiatus
Researchers recently spotted the Spanish-speaking threat actor —with nearly 400 previous victims under its belt — in a new campaign in Latin America and Central Africa.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 'The Mask' Espionage Group Resurfaces After 10-Year Hiatus https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вновь появилась испаноязычная группа злоумышленников, известная как "Careto" или "Маска", которая занимается кибершпионажем против организаций в Латинской Америке и Центральной Африке. Careto, действовавшая с 2007 по 2013 год, ранее занималась кибершпионажем против различных учреждений по всему миру. Недавние атаки Careto были связаны с кражей конфиденциальных данных и использованием продвинутых имплантатов для вредоносных действий, демонстрируя сложные операции группы. Касперский поделился подробной информацией о тактике Careto и выделил ее наряду с другими группами угроз в первом квартале 2024 года.
-----
Испаноязычная группа исполнителей угроз, известная как "Careto" или "The Mask", вновь появилась после более чем десятилетнего бездействия в рамках кампании кибершпионажа, нацеленной на организации в Латинской Америке и Центральной Африке. Первоначально, с 2007 по 2013 год, Careto действовала против 380 жертв в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию. Исследователи из Лаборатории Касперского, которые в прошлом отслеживали Careto, выявили, что предыдущими жертвами группы были правительственные учреждения, дипломатические представительства, посольства, энергетические компании, исследовательские институты и частные инвестиционные компании.
В ходе своих недавних атак Careto нацелилась на организации в Латинской Америке и Центральной Африке, сосредоточившись на краже конфиденциальных документов, файлов cookie, истории форм и данных для входа в систему из популярных браузеров, таких как Chrome, Edge, Firefox и Opera. Кроме того, они использовали файлы cookie из приложений для обмена сообщениями, таких как WhatsApp, WeChat и Threema. Careto использовала специальные методы для проникновения в среду жертв, поддержания постоянства и сбора информации. Злоумышленники получили первоначальный доступ к почтовому серверу MDaemon и внедрили бэкдор для управления сетью. Они также использовали уязвимость в продукте безопасности для распространения многомодульных имплантатов по сети каждой жертвы.
Используемые в атаках имплантаты, названные "FakeHMP", "Careto2", "Goreto" и "MDaemon implant", позволяли злоумышленникам выполнять различные вредоносные действия, включая разведку, кейлоггинг, захват скриншотов, кражу файлов и запись с микрофона. "Касперский" отметил, что недавно обнаруженные имплантаты представляют собой сложные мультимодальные системы, демонстрирующие продвинутый характер операций Careto. Охранная компания поделилась подробной информацией о тактике, методах и процедурах Careto в частном отчете APT для клиентов.
Лаборатория Касперского выделила Careto в обзоре активности APT в первом квартале 2024 года наряду с другими группами угроз, такими как Gelsemium, Kimsuky и OilRig. Компания Gelsemium использовала серверные уязвимости для развертывания веб-оболочек и пользовательских инструментов в Палестине, Таджикистане и Кыргызстане. Компания Kimsuky, связанная с Северной Кореей, проводила целенаправленные фишинговые кампании, злоупотребляя слабыми политиками DMARC. Иранская группа OilRig известна своими нападениями на важнейший сектор инфраструктуры Израиля.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вновь появилась испаноязычная группа злоумышленников, известная как "Careto" или "Маска", которая занимается кибершпионажем против организаций в Латинской Америке и Центральной Африке. Careto, действовавшая с 2007 по 2013 год, ранее занималась кибершпионажем против различных учреждений по всему миру. Недавние атаки Careto были связаны с кражей конфиденциальных данных и использованием продвинутых имплантатов для вредоносных действий, демонстрируя сложные операции группы. Касперский поделился подробной информацией о тактике Careto и выделил ее наряду с другими группами угроз в первом квартале 2024 года.
-----
Испаноязычная группа исполнителей угроз, известная как "Careto" или "The Mask", вновь появилась после более чем десятилетнего бездействия в рамках кампании кибершпионажа, нацеленной на организации в Латинской Америке и Центральной Африке. Первоначально, с 2007 по 2013 год, Careto действовала против 380 жертв в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию. Исследователи из Лаборатории Касперского, которые в прошлом отслеживали Careto, выявили, что предыдущими жертвами группы были правительственные учреждения, дипломатические представительства, посольства, энергетические компании, исследовательские институты и частные инвестиционные компании.
В ходе своих недавних атак Careto нацелилась на организации в Латинской Америке и Центральной Африке, сосредоточившись на краже конфиденциальных документов, файлов cookie, истории форм и данных для входа в систему из популярных браузеров, таких как Chrome, Edge, Firefox и Opera. Кроме того, они использовали файлы cookie из приложений для обмена сообщениями, таких как WhatsApp, WeChat и Threema. Careto использовала специальные методы для проникновения в среду жертв, поддержания постоянства и сбора информации. Злоумышленники получили первоначальный доступ к почтовому серверу MDaemon и внедрили бэкдор для управления сетью. Они также использовали уязвимость в продукте безопасности для распространения многомодульных имплантатов по сети каждой жертвы.
Используемые в атаках имплантаты, названные "FakeHMP", "Careto2", "Goreto" и "MDaemon implant", позволяли злоумышленникам выполнять различные вредоносные действия, включая разведку, кейлоггинг, захват скриншотов, кражу файлов и запись с микрофона. "Касперский" отметил, что недавно обнаруженные имплантаты представляют собой сложные мультимодальные системы, демонстрирующие продвинутый характер операций Careto. Охранная компания поделилась подробной информацией о тактике, методах и процедурах Careto в частном отчете APT для клиентов.
Лаборатория Касперского выделила Careto в обзоре активности APT в первом квартале 2024 года наряду с другими группами угроз, такими как Gelsemium, Kimsuky и OilRig. Компания Gelsemium использовала серверные уязвимости для развертывания веб-оболочек и пользовательских инструментов в Палестине, Таджикистане и Кыргызстане. Компания Kimsuky, связанная с Северной Кореей, проводила целенаправленные фишинговые кампании, злоупотребляя слабыми политиками DMARC. Иранская группа OilRig известна своими нападениями на важнейший сектор инфраструктуры Израиля.
#ParsedReport #CompletenessLow
21-05-2024
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised
https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised
Report completeness: Low
Actors/Campaigns:
Cyberniggers
Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company
Industry:
Military, Aerospace, Telco
Geo:
Asian, Usa
ChatGPT TTPs:
T1003, T1041, T1204, T1583, T1586, T1189, T1595
21-05-2024
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised
https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised
Report completeness: Low
Actors/Campaigns:
Cyberniggers
Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company
Industry:
Military, Aerospace, Telco
Geo:
Asian, Usa
ChatGPT TTPs:
do not use without manual checkT1003, T1041, T1204, T1583, T1586, T1189, T1595
SOCRadar® Cyber Intelligence Inc.
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised - SOCRadar® Cyber Intelligence Inc.
Recent findings from the SOCRadar Dark Web Team are of threat actors targeting telecoms, federal agencies, and military operations.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----
Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.
Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.
Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.
Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.
Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.
Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.
Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----
Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.
Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.
Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.
Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.
Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.
Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.
Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
#ParsedReport #CompletenessMedium
21-05-2024
Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign
https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign
Report completeness: Medium
Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057
Threats:
Typosquatting_technique
Victims:
News websites, Social media platforms
Industry:
Government, Healthcare, Military
Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania
ChatGPT TTPs:
T1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...
IOCs:
Domain: 27
Url: 5
File: 1
IP: 2
Soft:
Instagram, TikTok, Telegram, WordPress
Algorithms:
exhibit, base64
Languages:
javascript
Platforms:
intel
Links:
21-05-2024
Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign
https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign
Report completeness: Medium
Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057
Threats:
Typosquatting_technique
Victims:
News websites, Social media platforms
Industry:
Government, Healthcare, Military
Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania
ChatGPT TTPs:
do not use without manual checkT1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...
IOCs:
Domain: 27
Url: 5
File: 1
IP: 2
Soft:
Instagram, TikTok, Telegram, WordPress
Algorithms:
exhibit, base64
Languages:
javascript
Platforms:
intel
Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/Doppelg%C3%A4nger/DoppelG%C3%A4nger-observables.csvhttps://github.com/traefik/traefikSekoia.io Blog
Master of Puppets: Uncovering the DoppelGänger pro-Russian influence campaign
Uncover the details of the DoppelGänger campaign, a Russian influence operation aimed at undermining support for Ukraine.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании кампании "Двойник" - продолжающейся операции по кибервоздействию, приписываемой российским структурам, направленной на уменьшение поддержки Украины и посев разногласий между странами, поддерживающими Украину. Кампания использует сеть новостных веб-сайтов и недостоверных аккаунтов в социальных сетях на различных платформах для публикации и распространения дезинформационных статей, ориентированных на конкретную аудиторию в зависимости от национальности, ориентации в обществе и политических тем. В тексте подчеркивается сложный мультиплатформенный подход кампании, дизайн инфраструктуры и потенциальное долгосрочное воздействие на общественное мнение, подчеркивается необходимость постоянной бдительности и активных мер по борьбе с киберугрозами демократии.
-----
Кампания "Двойник" - это продолжающаяся операция по кибервоздействию, проводимая российскими структурами Structura National Technologies и Агентством социального проектирования.
Кампания нацелена на аудиторию по всему миру, чтобы уменьшить поддержку Украины и посеять разногласия между странами, поддерживающими Украину.
Использует сеть новостных веб-сайтов, включая законные средства массовой информации с опечатками и независимые сайты, для публикации дезинформационных статей.
Управляет трехэтапным процессом перенаправления трафика на дезинформационные статьи, отслеживаемые через Keitaro.
Адаптируется к текущим событиям в целевых странах и использует индивидуальные сюжеты, адаптированные к местным проблемам, для усиления влияния.
Создает веб-сайты и рекламные материалы, соответствующие целям российских агентств, ориентированные на конкретную аудиторию в зависимости от национальности, ориентации на сообщество, политических тем и отраслевой направленности.
Распространяет дезинформационный контент и политическую рекламу через социальные сети, включая X, Facebook, Instagram, TikTok, Youtube и Cameo, используя неаутентичные аккаунты.
Использует глубокие фейки и платформы для обмена видео для поддержки дезинформационных сообщений.
Эта кампания представляет серьезную угрозу для западных демократий, особенно в связи с приближением выборов 2024 года.
Инфраструктура, предназначенная для перенаправления пользователей через несколько уровней на пропагандистские веб-сайты, при этом домены сохраняются, несмотря на попытки удаления.
Маскирует активность сервера с помощью сетей распространения контента, таких как Cloudflare и интерфейс Traefik.
Закон о цифровых услугах и руководящие принципы Комиссии направлены на борьбу с дезинформацией и защиту демократии от кампаний, подобных "Двойнику".
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании кампании "Двойник" - продолжающейся операции по кибервоздействию, приписываемой российским структурам, направленной на уменьшение поддержки Украины и посев разногласий между странами, поддерживающими Украину. Кампания использует сеть новостных веб-сайтов и недостоверных аккаунтов в социальных сетях на различных платформах для публикации и распространения дезинформационных статей, ориентированных на конкретную аудиторию в зависимости от национальности, ориентации в обществе и политических тем. В тексте подчеркивается сложный мультиплатформенный подход кампании, дизайн инфраструктуры и потенциальное долгосрочное воздействие на общественное мнение, подчеркивается необходимость постоянной бдительности и активных мер по борьбе с киберугрозами демократии.
-----
Кампания "Двойник" - это продолжающаяся операция по кибервоздействию, проводимая российскими структурами Structura National Technologies и Агентством социального проектирования.
Кампания нацелена на аудиторию по всему миру, чтобы уменьшить поддержку Украины и посеять разногласия между странами, поддерживающими Украину.
Использует сеть новостных веб-сайтов, включая законные средства массовой информации с опечатками и независимые сайты, для публикации дезинформационных статей.
Управляет трехэтапным процессом перенаправления трафика на дезинформационные статьи, отслеживаемые через Keitaro.
Адаптируется к текущим событиям в целевых странах и использует индивидуальные сюжеты, адаптированные к местным проблемам, для усиления влияния.
Создает веб-сайты и рекламные материалы, соответствующие целям российских агентств, ориентированные на конкретную аудиторию в зависимости от национальности, ориентации на сообщество, политических тем и отраслевой направленности.
Распространяет дезинформационный контент и политическую рекламу через социальные сети, включая X, Facebook, Instagram, TikTok, Youtube и Cameo, используя неаутентичные аккаунты.
Использует глубокие фейки и платформы для обмена видео для поддержки дезинформационных сообщений.
Эта кампания представляет серьезную угрозу для западных демократий, особенно в связи с приближением выборов 2024 года.
Инфраструктура, предназначенная для перенаправления пользователей через несколько уровней на пропагандистские веб-сайты, при этом домены сохраняются, несмотря на попытки удаления.
Маскирует активность сервера с помощью сетей распространения контента, таких как Cloudflare и интерфейс Traefik.
Закон о цифровых услугах и руководящие принципы Комиссии направлены на борьбу с дезинформацией и защиту демократии от кампаний, подобных "Двойнику".
#ParsedReport #CompletenessLow
21-05-2024
Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit
https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit
Report completeness: Low
Actors/Campaigns:
Ikaruz_red_team (motivation: hacktivism)
Vice_society
Bianlian
Threats:
Lockbit
Medusalocker
Blackcat
8base
Clop
Underground_team_ransomware
Victims:
Department of science and technology, Yakult philippines incorporated, Various philippine entities
Industry:
Government, Education
Geo:
Palestinian, Philippines, China, Indo-pacific, Philippine, Dutch, Turkish, Netherlands
ChatGPT TTPs:
T1486, T1491, T1565, T1583
IOCs:
File: 3
Hash: 10
Soft:
Jabber, Telegram
Wallets:
exodus_wallet
Languages:
php
21-05-2024
Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit
https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit
Report completeness: Low
Actors/Campaigns:
Ikaruz_red_team (motivation: hacktivism)
Vice_society
Bianlian
Threats:
Lockbit
Medusalocker
Blackcat
8base
Clop
Underground_team_ransomware
Victims:
Department of science and technology, Yakult philippines incorporated, Various philippine entities
Industry:
Government, Education
Geo:
Palestinian, Philippines, China, Indo-pacific, Philippine, Dutch, Turkish, Netherlands
ChatGPT TTPs:
do not use without manual checkT1486, T1491, T1565, T1583
IOCs:
File: 3
Hash: 10
Soft:
Jabber, Telegram
Wallets:
exodus_wallet
Languages:
php
SentinelOne
Ikarus Red Team | Hacktivist Group Leverage Ransomware for Attention Not Profit
Politically-motivated attacks involving ransomware are on the rise as hacktivists aim to increase their impact through easily available tools.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----
В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.
В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.
Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.
Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.
Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----
В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.
В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.
Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.
Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.
Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
#ParsedReport #CompletenessMedium
20-05-2024
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain
https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain
Report completeness: Medium
Threats:
Blackcat
Cobalt_strike
Evilginx_tool
Industry:
Financial, Government
Geo:
Russian
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 2
Soft:
Active Directory, Windows Task Scheduler
Languages:
powershell
Platforms:
intel
20-05-2024
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain
https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain
Report completeness: Medium
Threats:
Blackcat
Cobalt_strike
Evilginx_tool
Industry:
Financial, Government
Geo:
Russian
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 2
Soft:
Active Directory, Windows Task Scheduler
Languages:
powershell
Platforms:
intel
Infoblox Blog
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain | Infoblox
Discover the increasing danger of malicious internet domain names and how you can detect and block them sooner using Infoblox suspicious domain feeds. Learn how to protect your organization from these DNS-based threats.
CTT Report Hub
#ParsedReport #CompletenessMedium 20-05-2024 DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена атаке программы-вымогателя Blackcat и важности инструментов анализа угроз, таких как программа раннего обнаружения DNS от Infoblox, для обнаружения и устранения киберугроз, таких как программа-вымогатель Blackcat. В тексте рассказывается о тактике и действиях злоумышленников Blackcat, важнейшей роли анализа угроз в выявлении вредоносных доменов и важности упреждающих мер кибербезопасности для борьбы с возникающими угрозами.
-----
22 февраля 2025 года Агентство по критической инфраструктуре и безопасности (CISA) выпустило предупреждение об атаке программы-вымогателя Blackcat. В это предупреждение была включена информация, полученная из различных источников, включая агентства и OSINT, начиная с 2022 года. В предупреждении были представлены новые индикаторы компрометации (IoC), которые указывают на домены серверов управления (C&C), необходимые для операций цепочки уничтожения Blackcat. Программа-вымогатель Blackcat - это чрезвычайно опасная угроза, связанная с российскими субъектами и известная своей бизнес-моделью "программа-вымогатель как услуга" (RaaS).
Злоумышленники используют тактику тройного вымогательства, требуя выкуп, угрожая утечкой данных и дополнительными атаками типа "Отказ в обслуживании" (DoS). ФБР задокументировало случаи, когда жертвы платили выкуп, но не могли расшифровать свои данные с помощью предоставленного ключа. Цепочка убийств Blackcat включает использование скомпрометированных учетных данных для доступа к системам жертв, компрометацию учетных записей Active Directory и развертывание программ-вымогателей с использованием планировщика задач Windows, вредоносных объектов групповой политики (GPO), сценариев PowerShell и Cobalt Strike.
Программа раннего обнаружения DNS от Infoblox играет жизненно важную роль в выявлении вредоносных доменов и сопоставлении их с источниками OSINT. Программа помогает блокировать подозрительные домены до того, как они будут широко представлены в OSINT. Технология Infoblox Threat Intel позволяет обнаруживать подозрительные домены быстрее, чем традиционные методы, что помогает организациям снижать риски и предотвращать утечку данных. Информация о подозрительных доменах дает значительные преимущества в использовании анализа угроз DNS для эффективного противодействия новым угрозам.
Записи WHOIS предоставляют точные данные о датах регистрации вредоносных доменов, что помогает оценить эффективность систем анализа угроз. Злоумышленники, в том числе те, кто стоит за кампаниями Blackcat, постоянно создают и меняют домены, чтобы избежать обнаружения. Подразделение Infoblox по борьбе с угрозами Intel Group предоставляет своевременные и точные оповещения и отчеты об угрозах, предоставляя расширенную информацию для ранней блокировки вредоносных доменов.
Система отслеживания подозрительных доменов Infoblox, появившаяся в 2022 году, помогла тысячам клиентов своевременно блокировать потенциальные угрозы. Использование данных об угрозах Infoblox сводит к минимуму ложные срабатывания и обеспечивает единую политику безопасности в организациях. Используя систему раннего обнаружения DNS и защитные меры, организации могут повысить уровень своей кибербезопасности в отношении новых угроз, таких как программы-вымогатели Blackcat.
Для получения дополнительной информации о подозрительных доменах, раннем обнаружении DNS, расширенной защите DNS и рекомендациях таких агентств, как NSA и CISA, организации могут обратиться к соответствующим ресурсам, предоставляемым Infoblox. Командам по кибербезопасности важно сохранять бдительность, использовать инструменты анализа угроз и принимать упреждающие меры для эффективной борьбы с возникающими киберугрозами, такими как программы-вымогатели Blackcat.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена атаке программы-вымогателя Blackcat и важности инструментов анализа угроз, таких как программа раннего обнаружения DNS от Infoblox, для обнаружения и устранения киберугроз, таких как программа-вымогатель Blackcat. В тексте рассказывается о тактике и действиях злоумышленников Blackcat, важнейшей роли анализа угроз в выявлении вредоносных доменов и важности упреждающих мер кибербезопасности для борьбы с возникающими угрозами.
-----
22 февраля 2025 года Агентство по критической инфраструктуре и безопасности (CISA) выпустило предупреждение об атаке программы-вымогателя Blackcat. В это предупреждение была включена информация, полученная из различных источников, включая агентства и OSINT, начиная с 2022 года. В предупреждении были представлены новые индикаторы компрометации (IoC), которые указывают на домены серверов управления (C&C), необходимые для операций цепочки уничтожения Blackcat. Программа-вымогатель Blackcat - это чрезвычайно опасная угроза, связанная с российскими субъектами и известная своей бизнес-моделью "программа-вымогатель как услуга" (RaaS).
Злоумышленники используют тактику тройного вымогательства, требуя выкуп, угрожая утечкой данных и дополнительными атаками типа "Отказ в обслуживании" (DoS). ФБР задокументировало случаи, когда жертвы платили выкуп, но не могли расшифровать свои данные с помощью предоставленного ключа. Цепочка убийств Blackcat включает использование скомпрометированных учетных данных для доступа к системам жертв, компрометацию учетных записей Active Directory и развертывание программ-вымогателей с использованием планировщика задач Windows, вредоносных объектов групповой политики (GPO), сценариев PowerShell и Cobalt Strike.
Программа раннего обнаружения DNS от Infoblox играет жизненно важную роль в выявлении вредоносных доменов и сопоставлении их с источниками OSINT. Программа помогает блокировать подозрительные домены до того, как они будут широко представлены в OSINT. Технология Infoblox Threat Intel позволяет обнаруживать подозрительные домены быстрее, чем традиционные методы, что помогает организациям снижать риски и предотвращать утечку данных. Информация о подозрительных доменах дает значительные преимущества в использовании анализа угроз DNS для эффективного противодействия новым угрозам.
Записи WHOIS предоставляют точные данные о датах регистрации вредоносных доменов, что помогает оценить эффективность систем анализа угроз. Злоумышленники, в том числе те, кто стоит за кампаниями Blackcat, постоянно создают и меняют домены, чтобы избежать обнаружения. Подразделение Infoblox по борьбе с угрозами Intel Group предоставляет своевременные и точные оповещения и отчеты об угрозах, предоставляя расширенную информацию для ранней блокировки вредоносных доменов.
Система отслеживания подозрительных доменов Infoblox, появившаяся в 2022 году, помогла тысячам клиентов своевременно блокировать потенциальные угрозы. Использование данных об угрозах Infoblox сводит к минимуму ложные срабатывания и обеспечивает единую политику безопасности в организациях. Используя систему раннего обнаружения DNS и защитные меры, организации могут повысить уровень своей кибербезопасности в отношении новых угроз, таких как программы-вымогатели Blackcat.
Для получения дополнительной информации о подозрительных доменах, раннем обнаружении DNS, расширенной защите DNS и рекомендациях таких агентств, как NSA и CISA, организации могут обратиться к соответствующим ресурсам, предоставляемым Infoblox. Командам по кибербезопасности важно сохранять бдительность, использовать инструменты анализа угроз и принимать упреждающие меры для эффективной борьбы с возникающими киберугрозами, такими как программы-вымогатели Blackcat.
#ParsedReport #CompletenessLow
21-05-2024
Hunting Black Bastas Cobalt Strike
https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781
Report completeness: Low
Threats:
Blackbasta
Cobalt_strike
Lockbit
Pikabot
Geo:
Chinese
ChatGPT TTPs:
T1583, T1584, T1071, T1048
IOCs:
Domain: 5
IP: 10
21-05-2024
Hunting Black Bastas Cobalt Strike
https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781
Report completeness: Low
Threats:
Blackbasta
Cobalt_strike
Lockbit
Pikabot
Geo:
Chinese
ChatGPT TTPs:
do not use without manual checkT1583, T1584, T1071, T1048
IOCs:
Domain: 5
IP: 10
Medium
Hunting Black Basta’s Cobalt Strike
Last week, the FBI and CISA released a #StopRansomware alert for the Black Basta ransomware group…
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Hunting Black Bastas Cobalt Strike https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781 Report completeness: Low Threats: Blackbasta Cobalt_strike Lockbit Pikabot Geo: Chinese ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что ФБР и CISA выпустили предупреждение в отношении группы программ-вымогателей Black Basta, подчеркнув, что они используют Cobalt Strike и конкретные детали инфраструктуры, такие как кластеризация серверов и DNS-маяки. Intel-Ops активно следит за деятельностью группы и предоставляет рекомендации о том, как отслеживать ее и защищаться от нее.
-----
ФБР и CISA недавно выпустили предупреждение #StopRansomware для группы вымогателей Black Basta, которая в 2024 году заняла третье место по общему числу жертв программ-вымогателей после LockBit и Play. В рекомендациях подчеркивается, что группа использует Cobalt Strike, а Intel-Ops активно отслеживает работу этих серверов в дикой природе. Некоторые ключевые выводы, сделанные в ходе анализа, включают выявление различных серверов Cobalt Strike, большинство из которых размещены у таких провайдеров, как Vultr, Digital Ocean и других.
Инфраструктура Black Basta разделена на отдельные кластеры, на серверах которых наблюдаются доминирующие водяные знаки. Большинство серверов Cobalt Strike используют DNS-маяки, указывающие на то, что эти серверы преимущественно размещены у определенных провайдеров. Выявлены дополнительные маяки Cobalt Strike для DNS, включая недавно обнаруженные домены, которые соответствуют соглашению об именовании известных маяков, перечисленных в рекомендациях.
Были обнаружены скопления маяков Cobalt Strike в инфраструктуре Black Basta, причем некоторые домены ранее были связаны с инцидентами Black Basta, связанными с Pikabot. Кроме того, эти серверы Cobalt Strike связаны с определенными кластерами и схемами распространения, включая китайских хостинг-провайдеров и записи DNS.
Служба Intel-Ops обнаружила несколько маяков Cobalt Strike со специфическими водяными знаками, что позволило идентифицировать IP-адреса, связанные с недавними инцидентами с Black Basta. Анализ выявил различия в схемах размещения, основанных на водяных знаках, что позволяет предположить наличие различных кластеров в инфраструктуре Black Basta.
Анализ показателей Black Basta advisory охватывает только известные факторы, что указывает на дополнительные кластеры и корреляции. Аналитики по безопасности могут усилить свою защиту от таких групп, как Black Basta, используя методы, которым обучают на соответствующих курсах. Intel-Ops активно отслеживает эти показатели и предлагает информацию об угрозах уровня C2, а также дополнительные рекомендации, доступные на их курсах для систем отслеживания, таких как Cobalt Strike, и групп угроз, таких как Black Basta.
В конце статьи пользователям предлагается обратиться в Intel-Ops за дополнительной информацией о каналах C2, возможностях зачисления на курсы, узнать, как отслеживать инфраструктуру злоумышленников, и использовать их платформу для повышения безопасности. В тексте также перечислены конкретные IP-адреса, связанные с серверами Black Basta Cobalt Strike, на которых ведется охота.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что ФБР и CISA выпустили предупреждение в отношении группы программ-вымогателей Black Basta, подчеркнув, что они используют Cobalt Strike и конкретные детали инфраструктуры, такие как кластеризация серверов и DNS-маяки. Intel-Ops активно следит за деятельностью группы и предоставляет рекомендации о том, как отслеживать ее и защищаться от нее.
-----
ФБР и CISA недавно выпустили предупреждение #StopRansomware для группы вымогателей Black Basta, которая в 2024 году заняла третье место по общему числу жертв программ-вымогателей после LockBit и Play. В рекомендациях подчеркивается, что группа использует Cobalt Strike, а Intel-Ops активно отслеживает работу этих серверов в дикой природе. Некоторые ключевые выводы, сделанные в ходе анализа, включают выявление различных серверов Cobalt Strike, большинство из которых размещены у таких провайдеров, как Vultr, Digital Ocean и других.
Инфраструктура Black Basta разделена на отдельные кластеры, на серверах которых наблюдаются доминирующие водяные знаки. Большинство серверов Cobalt Strike используют DNS-маяки, указывающие на то, что эти серверы преимущественно размещены у определенных провайдеров. Выявлены дополнительные маяки Cobalt Strike для DNS, включая недавно обнаруженные домены, которые соответствуют соглашению об именовании известных маяков, перечисленных в рекомендациях.
Были обнаружены скопления маяков Cobalt Strike в инфраструктуре Black Basta, причем некоторые домены ранее были связаны с инцидентами Black Basta, связанными с Pikabot. Кроме того, эти серверы Cobalt Strike связаны с определенными кластерами и схемами распространения, включая китайских хостинг-провайдеров и записи DNS.
Служба Intel-Ops обнаружила несколько маяков Cobalt Strike со специфическими водяными знаками, что позволило идентифицировать IP-адреса, связанные с недавними инцидентами с Black Basta. Анализ выявил различия в схемах размещения, основанных на водяных знаках, что позволяет предположить наличие различных кластеров в инфраструктуре Black Basta.
Анализ показателей Black Basta advisory охватывает только известные факторы, что указывает на дополнительные кластеры и корреляции. Аналитики по безопасности могут усилить свою защиту от таких групп, как Black Basta, используя методы, которым обучают на соответствующих курсах. Intel-Ops активно отслеживает эти показатели и предлагает информацию об угрозах уровня C2, а также дополнительные рекомендации, доступные на их курсах для систем отслеживания, таких как Cobalt Strike, и групп угроз, таких как Black Basta.
В конце статьи пользователям предлагается обратиться в Intel-Ops за дополнительной информацией о каналах C2, возможностях зачисления на курсы, узнать, как отслеживать инфраструктуру злоумышленников, и использовать их платформу для повышения безопасности. В тексте также перечислены конкретные IP-адреса, связанные с серверами Black Basta Cobalt Strike, на которых ведется охота.
#ParsedReport #CompletenessMedium
21-05-2024
Analysis of "Hidden Shovel" Mining Trojan Activity
https://www.antiy.com/response/HideShoveling.html
Report completeness: Medium
Threats:
Hiddenshovel
Dll_hijacking_technique
Xmrig_miner
Process_injection_technique
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1055, T1574, T1562, T1053, T1218, T1485, T1574.002
IOCs:
File: 28
Path: 8
IP: 6
Command: 2
Registry: 1
Url: 16
Hash: 10
Domain: 4
Soft:
curl, Windows Defender
Algorithms:
crc-64
Win Services:
bits
Languages:
powershell, golang
21-05-2024
Analysis of "Hidden Shovel" Mining Trojan Activity
https://www.antiy.com/response/HideShoveling.html
Report completeness: Medium
Threats:
Hiddenshovel
Dll_hijacking_technique
Xmrig_miner
Process_injection_technique
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1055, T1574, T1562, T1053, T1218, T1485, T1574.002
IOCs:
File: 28
Path: 8
IP: 6
Command: 2
Registry: 1
Url: 16
Hash: 10
Domain: 4
Soft:
curl, Windows Defender
Algorithms:
crc-64
Win Services:
bits
Languages:
powershell, golang