#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе инцидента с вредоносным ПО, нацеленного на заказчика из государственного сектора, с освещением тактики, методов и процедур, используемых участниками угроз, чтобы избежать обнаружения и внедрить несколько типов вредоносного ПО через сервер WebDAV. Этот инцидент подчеркивает важность упреждающего поиска угроз, сотрудничества между командами безопасности, надежной фильтрации электронной почты, обучения пользователей и необходимость в сложных решениях безопасности для защиты от неизвестных угроз.
-----

В ходе недавнего инцидента, произошедшего в июле 2024 года, вредоносная программа была нацелена на клиента государственного сектора и включала в себя несколько типов вредоносных программ, таких как XWorm, VenomRAT, PureLogs Stealer и AsyncRAT. В ходе атаки использовался WebDAV-сервер, размещенный на TryCloudflare, а первоначальным способом доступа было фишинговое электронное письмо, содержащее ZIP-архив, который вел на сервер через файл быстрого доступа. Злоумышленники использовали поддельные PDF-файлы, загружали дополнительную полезную информацию через PowerShell, изменяли атрибуты файлов и запускали вредоносные скрипты на Python. Эти скрипты были зашифрованы с использованием шифрования RC4 и выполнялись в памяти после расшифровки. Полезной нагрузкой в шеллкоде был загрузчик Donut, использующий для расшифровки реализацию шифра Chaskey. Были извлечены окончательные конфигурации для XWorm, VenomRAT и AsyncRAT, в которых злоумышленники использовали обфускированные пакетные файлы и зашифрованные файлы на Python для доставки троянских программ удаленного доступа (RATs) таким образом, чтобы избежать обнаружения, например, используя прямые системные вызовы и расшифровывая уровни шелл-кода.

Распространение вредоносных программ XWorm, VenomRAT, PureLogs Stealer и AsyncRAT через сервер WebDAV, проксируемый по ссылкам TryCloudflare, иллюстрирует, как злоумышленники используют законные протоколы управления файлами и веб-службы для своей вредоносной деятельности. Цепочка атак, инициированная фишинговым электронным письмом, подчеркивает устойчивость фишинга как эффективного исходного средства атаки, подчеркивая важность надежной фильтрации электронной почты и обучения пользователей. Развернув несколько сценариев для выполнения таких действий, как запуск ложных документов, загрузка дополнительной полезной нагрузки и изменение атрибутов файлов, чтобы избежать обнаружения, злоумышленники продемонстрировали многоуровневый подход к развертыванию вредоносного ПО. Более того, использование ими прямых системных вызовов для обхода систем обнаружения конечных точек и реагирования на них демонстрирует сложные методы, используемые для предотвращения обнаружения, подчеркивая необходимость решений для обеспечения безопасности, которые осуществляют мониторинг на уровне ядра или системных вызовов.

#ParsedReport #CompletenessHigh
02-08-2024

You're fighting in the wrong place: Gambling Zealot group has added an Incident Response tool to its arsenal

https://rt-solar.ru/solar-4rays/blog/4559

Report completeness: High

Actors/Campaigns:
Blackjack (motivation: hacktivism)
C0met
Shedding_zmiy

Threats:
Facefish
Lockbit
Anydesk_tool
Viper
Powerview
Adrecon
Impacket_tool
Nmap_tool
Powersploit
Xenarmor_tool
Ntdsutil_tool
Netstat_tool
Credential_dumping_technique

Victims:
Company in the resource supply sector

Industry:
Entertainment, Critical_infrastructure, Telco

Geo:
Ukraine, Russia, Russian, Ukrainian

CVEs:
CVE-2023-3278 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 8
Technics: 36

IOCs:
Path: 16
File: 15
Hash: 21
Command: 3
Url: 2
IP: 5

Soft:
Velociraptor, Telegram, task scheduler, psexec, KeePass, Sysinternals, Active Directory, Windows Service

Algorithms:
md5, sha1, sha256

Languages:
powershell, python

Platforms:
x64

Links:
https://github.com/Velocidex/velociraptor/blob/master/config/default.yaml
https://github.com/tennc/webshell/blob/master/php/wso/wso-4.2.5.php
https://github.com/Velocidex/velociraptor
https://github.com/Velocidex/velociraptor/releases/download/v0.7.0/velociraptor-v0.7.0-2-windows-amd64.exe
https://github.com/Velocidex/velociraptor/commit/82f2cadab55376a076ecdc13a69c9e5fd83fff4a
https://github.com/Velocidex/velociraptor/blob/27740f902d0934d52cac15a14fa2940311cbb865/services/writeback/storage.go#L110
https://github.com/Velocidex/velociraptor/actions/runs/6137985901
https://github.com/Velocidex/velociraptor/blob/master/config/offline.sh
https://github.com/Velocidex/velociraptor/blob/68302bf92e38f9e5f6a6f668c1d9f0eac3d7c476/crypto/ca.go#L55

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кибератаки, проведенной проукраинской группировкой BlackJack, также известной как Gambling Zealot, с подробным описанием их тактики, инструментов, связей с другими группами и потенциальных связей с украинскими спецслужбами. Злоумышленники использовали различные методы, такие как использование уязвимостей в программном обеспечении для управления паролями, использование пользовательских скриптов для сбора данных, развертывание веб-оболочек и протокола RDP для горизонтального перемещения, а также перепрофилирование программного обеспечения для реагирования на инциденты в качестве троянца удаленного доступа для осуществления своих вредоносных действий. Группа атаковала российские объекты критической инфраструктуры, телекоммуникационные компании и оборонные предприятия, демонстрируя изощренность и адаптивность своих методов атаки.
-----

Компания Solar 4RAYS, занимающаяся кибербезопасностью, расследовала атаку проукраинской группировки BlackJack, также известной как Gambling Zealot.

Факты свидетельствуют о небольшом совпадении между Блэкджеком и хактивистской группой Twelve.

BlackJack использовал пользовательский скрипт powershell для сбора данных из мессенджера Telegram, связанного с группой Shadow/C0met.

"Лаборатория Касперского" сообщила, что BlackJack использовал руткит FaceFish и поделился методиками с Shedding Zmiy, Shadow/C0met/DARKSTAR и Twelve.

Предположение о потенциальной связи между блэкджеком и Twelve возникло из-за сходства названия с карточной игрой казино Twenty-one.

Украинские СМИ предположили о связях между Блэкджеком и украинскими спецслужбами или кибердепартаментом СБУ.

Злоумышленники взломали компьютер системного администратора с помощью уязвимого менеджера паролей KeePass, получив мастер-пароль из дампов оперативной памяти.

Злоумышленники использовали веб-оболочку, протокол RDP и программное обеспечение для реагирования на инциденты Velociraptor в качестве средства для бокового перемещения.

"Блэкджек" нацеливался на российские объекты критической инфраструктуры, телекоммуникационные компании и оборонные предприятия, проводя тщательную разведку и используя общие с другими группами инструменты.

Любители азартных игр использовали такие инструменты, как PowerView.ps1 и ADRecon, для поиска в Active Directory, а также легальные утилиты для удаленного выполнения и доступа.

#ParsedReport #CompletenessLow
02-08-2024

Grandoreiro Malware: Spear Phishing, Outlook Exploits, and More

https://flashpoint.io/blog/grandoreiro-malware-exploits

Report completeness: Low

Threats:
Spear-phishing_technique
Grandoreiro
Bloat_technique

Industry:
Education, Financial

Geo:
Brazil, America, Africa, Asia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1083, T1140, T1105, T1204.002, T1622

IOCs:
Path: 1

Soft:
Outlook, Microsoft Outlook

Algorithms:
rc4, zip

Languages:
delphi

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что банковский троян Grandoreiro, ранее считавшийся несуществующим, вновь появился и теперь нацелен на жертв по всему миру с целью кражи финансовой информации и осуществления несанкционированных денежных переводов. Вредоносное ПО распространяется с помощью фишинга, использует методы антианализа и позволяет злоумышленникам совершать различные вредоносные действия. Его возрождение свидетельствует о продолжающемся развитии киберпреступности, подчеркивая важность получения информации и принятия строгих мер безопасности для защиты от таких угроз.
-----

Банковский троян Grandoreiro malware, который ранее считался закрытым, вновь появился и теперь нацелен на жертв по всему миру. Эта вредоносная программа предназначена для кражи финансовой информации, учетных данных и осуществления несанкционированных денежных переводов. В основном он распространяется путем скрытого фишинга с помощью вредоносных ссылок или вложений электронной почты и использует уникальный модуль для дальнейшего распространения, используя локальные установки Microsoft Outlook.

После заражения системы Grandoreiro использует пользовательский загрузчик, написанный на Borland Delphi, размер которого превышает 100 МБ, чтобы избежать обнаружения антивирусом. Загрузчик запускает антианалитические проверки, чтобы избежать использования изолированных сред, и собирает информацию о системе жертвы, такую как IP-адрес, местоположение, установленное программное обеспечение и многое другое. Затем эти данные отправляются на сервер управления (C2) для получения дальнейших инструкций.

Основная полезная нагрузка Grandoreiro, также написанная на Borland Delphi, продолжает атаку, ища файл .cfg, содержащий включенные функции, и шифруя все собранные данные. Злоумышленники могут взаимодействовать с этим вредоносным ПО для выполнения различных вредоносных действий, включая отключение ввода с помощью мыши, установление удаленного контроля, кражу учетных данных и загрузку дополнительного вредоносного ПО.

Возрождение Grandoreiro служит напоминанием о постоянно меняющемся характере киберпреступности, когда участники угроз адаптируются и расширяют сферу своего влияния. Оставаясь в курсе событий и применяя надежные меры безопасности, организации могут лучше защитить себя от угроз, исходящих от вредоносных программ, подобных Grandoreiro.

#ParsedReport #CompletenessLow
02-08-2024

Fighting Ursa Luring Targets With Car for Sale

https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Duke

Threats:
Headlace

Victims:
Diplomats, Diplomatic missions

Geo:
America, Romania, Japanese, Emea, Japan, Apac, Russian, Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1071.001, T1070.004, T1204.002

IOCs:
Hash: 6
Domain: 1
File: 7
Url: 3

Soft:
Microsoft Edge

Algorithms:
base64, zip

Functions:
click

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании сложной кампании по борьбе с киберугрозами, проводимой российской организацией threat actor group Fighting Ursa, нацеленной на дипломатов с помощью обманных фишинговых уловок для распространения вредоносного по HeadLace backdoor. В ходе этой кампании использовались различные тактические приемы, в том числе злоупотребление законными веб-сервисами, использование ложных изображений и повторное использование успешных методов, позволяющих избежать обнаружения. В тексте подчеркивается важность упреждающих мер защиты и передовых средств обнаружения угроз для эффективного противодействия таким вредоносным действиям.
-----

Недавняя активность в киберпространстве приписывается российскому агенту по борьбе с угрозами, который борется с Ursa/APT28/Fancy Bear/Sofacy, нацеленными на дипломатов.

Фишинговая приманка, связанная с выставленным на продажу автомобилем, использовалась для распространения вредоносного по HeadLace backdoor, запущенного в марте 2024 года.

Тактика использования фишинговых приманок в виде дипломатических автомобилей для продажи, ранее наблюдавшаяся российскими агентами по борьбе с угрозами.

Злоупотребление Webhook.сервис сайта для создания вредоносной HTML-страницы, автоматизирующий атаку, перенаправляющий пользователей, не являющихся пользователями Windows, на ложное изображение.

Вредоносная деятельность включает в себя поддельную рекламу с поддельными контактными данными, использование номера телефона из Румынии и указание на Правоохранительный центр Юго-Восточной Европы для обеспечения достоверности.

Бэкдор-компонент HeadLace, замаскированный под файл калькулятора Windows calc.exe.

Борьба с Ursa group была идентифицирована со средней и высокой степенью достоверности на основе TTP, инфраструктуры атак и семейства вредоносных программ.

Группа известна тем, что широко использует общедоступные и бесплатные сервисы для размещения приманок.

Рекомендации по ограничению доступа к сервисам, используемым злоумышленниками, и тщательному изучению их использования на предмет потенциальных направлений атаки.

Платформа Cortex XDR от Palo Alto Networks обнаруживает цепочку атак, а такие инструменты, как Cortex XSIAM и XSOAR, улучшены для автоматического обнаружения атакующего субъекта Ursa.

Платформа включает в себя такие средства защиты, как правила обнаружения APT28, программы поиска угроз и расширенную фильтрацию URL-адресов.

Усовершенствованные модели машинного обучения WildFire были обновлены для решения проблем, связанных с IOCs, а результаты были переданы Альянсу по борьбе с киберугрозами для быстрого развертывания защиты.

Необходимость в мерах проактивной защиты и передовых средствах обнаружения угроз для защиты от аналогичных вредоносных действий.

#ParsedReport #CompletenessLow
02-08-2024

Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption

https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption

Report completeness: Low

Actors/Campaigns:
Storm-0506
0ktapus
Evil_corp
Storm-1175

Threats:
Blackbasta
Akira_ransomware
Babuk
Lockbit
Kuiper
Qakbot
Cobalt_strike
Pypykatz_tool
Mimikatz_tool
Systembc

Victims:
Engineering firm

Geo:
America

CVEs:
CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud foundation (le4.5.2, <5.2)
- vmware esxi (7.0, 8.0)

CVE-2023-28252 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19869)
- microsoft windows 10 1607 (<10.0.14393.5850)
- microsoft windows 10 1809 (<10.0.17763.4252)
- microsoft windows 10 20h2 (<10.0.19042.2846)
- microsoft windows 10 21h2 (<10.0.19044.2846)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1490, T1003

Soft:
ESXi, Microsoft Defender for Endpoint, Microsoft Defender, Active Directory, PsExec

Win Services:
CVD

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследователи Microsoft выявили критическую уязвимость в гипервизорах ESXi, которую операторы программ-вымогателей используют для получения полных административных прав, что может привести к разрушительным последствиям для организаций. Microsoft сотрудничала с VMware для устранения этой уязвимости и подчеркивает важность постоянного сотрудничества для повышения уровня защиты. Злоумышленники все чаще атакуют гипервизоры ESXi, демонстрируя постоянные инновации в стратегиях атак. Корпорация Майкрософт рекомендует использовать обновления для системы безопасности, предоставляемые VMware, и отчеты Microsoft Defender Threat Intelligence для защиты от новых угроз, связанных с программами-вымогателями.
-----

Исследователи Microsoft обнаружили критическую уязвимость (CVE-2024-37085) в гипервизорах ESXi, используемую операторами программ-вымогателей для получения полных административных прав, что приводит к серьезным последствиям для организаций.

Сотрудничество Microsoft и VMware привело к выпуску обновления для системы безопасности, направленного на устранение этой уязвимости, что подчеркивает важность постоянного сотрудничества в повышении уровня защиты.

Операторы программ-вымогателей используют методы последующей компрометации для усиления атак на гипервизоры ESXi, такие как создание вредоносной доменной группы под названием "Администраторы ESX"..

Гипервизоры ESXi все чаще становятся мишенью программ-вымогателей из-за таких факторов, как ограниченная видимость системы безопасности, что обеспечивает быстрое массовое шифрование и горизонтальное перемещение.

Участники угроз, поддерживающие или распространяющие шифровальщики ESXi, такие как Akira, Black Basta, Babuk, Lockbit и Kuiper, внесли свой вклад в растущий уровень угроз, связанных с гипервизорами ESXi.

Реальный пример атаки программы-вымогателя Storm-0506 на инженерную фирму в Северной Америке с использованием уязвимости CVE-2024-37085, при этом злоумышленник использует различные тактические приемы, такие как использование других уязвимостей, кража учетных данных и методы уклонения.

Клиенты Microsoft могут использовать отчеты Microsoft Defender Threat Intelligence для получения обновленной информации об участниках угроз и рекомендуемых действиях для защиты от атак программ-вымогателей, нацеленных на гипервизоры ESXi.

#ParsedReport #CompletenessMedium
02-08-2024

DNS Early Detection - Breaking the Black Basta Ransomware Kill Chain

https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-black-basta-ransomware-kill-chain

Report completeness: Medium

Threats:
Blackbasta
Spear-phishing_technique
Connectwise_rat
Mimikatz_tool
Zerologon_vuln
Nopac_vuln
Printnightmare_vuln
Backstab_tool
Shadow_copies_delete_technique

Victims:
Healthcare organizations, Public health sectors, Businesses, Critical infrastructure

Industry:
Healthcare, Financial, Critical_infrastructure

Geo:
Australia, America

CVEs:
CVE-2024-1700 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 1
Domain: 37

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в предупреждении о кибербезопасности, выпущенном несколькими агентствами в связи с программой-вымогателем Black Basta, представляющей серьезную угрозу для критически важных секторов инфраструктуры, в частности здравоохранения. В нем рассказывается о том, как работает Black Basta, о ее влиянии на организации по всему миру, о тактике, используемой ее филиалами, и о повышенном риске, с которым сталкиваются медицинские организации. В тексте также подчеркиваются активные усилия Infoblox по выявлению и блокировке вредоносных доменов, связанных с Black Basta, а также рекомендуемые стратегии смягчения последствий, изложенные в предупреждении о кибербезопасности, для эффективного противодействия угрозе вымогательства. Кроме того, в нем подчеркивается важность раннего обнаружения угроз, использования данных WHOIS, своевременного распространения информации об угрозах и сотрудничества между подразделениями по кибербезопасности при подготовке к борьбе с угрозами вымогательства.
-----

Программа-вымогатель Black Basta представляет серьезную угрозу для критически важных секторов инфраструктуры, особенно для здравоохранения.

Black Basta работает по модели "программа-вымогатель как услуга" и затронула более 500 организаций по всему миру.

Аффилированные лица Black Basta используют уязвимости и фишинговые кампании для получения первоначального доступа, применяя стратегию двойного вымогательства.

Жертвам предлагается связаться с ними по URL-адресу .onion, доступному через браузер Tor, для получения ключей расшифровки и инструкций по оплате.

Организации здравоохранения подвергаются повышенному риску из-за своей зависимости от технологий и личных медицинских данных.

Infoblox активно выявляет и блокирует вредоносные домены, связанные с Black Basta, расширяя возможности раннего обнаружения угроз.

Анализ данных WHOIS показал, что большинство доменов-вымогателей Black Basta были заблокированы в течение 2-3 дней после регистрации домена.

Программа раннего обнаружения угроз DNS от Infoblox играет решающую роль в выявлении доменов с высокой степенью риска, опережая традиционные источники информации об угрозах.

Infoblox предоставляет клиентам информацию о доменах с высокой степенью риска, чтобы упреждающе блокировать потенциально вредоносные домены.

Сотрудничество между Infoblox, агентствами по кибербезопасности и постоянный мониторинг источников OSINT необходимы для эффективной борьбы с программами-вымогателями.

#ParsedReport #CompletenessLow
02-08-2024

Dark Web Profile: Dark Angels

https://socradar.io/dark-web-profile-dark-angels

Report completeness: Low

Threats:
Babuk
Ragnar_locker

Victims:
Major organization, International conglomerate, Company

Industry:
Education, Government, Telco, Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1486, T1070.004, T1027

Soft:
audacity, Telegram, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4