#ParsedReport #CompletenessHigh
02-08-2024

You're fighting in the wrong place: Gambling Zealot group has added an Incident Response tool to its arsenal

https://rt-solar.ru/solar-4rays/blog/4559

Report completeness: High

Actors/Campaigns:
Blackjack (motivation: hacktivism)
C0met
Shedding_zmiy

Threats:
Facefish
Lockbit
Anydesk_tool
Viper
Powerview
Adrecon
Impacket_tool
Nmap_tool
Powersploit
Xenarmor_tool
Ntdsutil_tool
Netstat_tool
Credential_dumping_technique

Victims:
Company in the resource supply sector

Industry:
Entertainment, Critical_infrastructure, Telco

Geo:
Ukraine, Russia, Russian, Ukrainian

CVEs:
CVE-2023-3278 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 8
Technics: 36

IOCs:
Path: 16
File: 15
Hash: 21
Command: 3
Url: 2
IP: 5

Soft:
Velociraptor, Telegram, task scheduler, psexec, KeePass, Sysinternals, Active Directory, Windows Service

Algorithms:
md5, sha1, sha256

Languages:
powershell, python

Platforms:
x64

Links:
https://github.com/Velocidex/velociraptor/blob/master/config/default.yaml
https://github.com/tennc/webshell/blob/master/php/wso/wso-4.2.5.php
https://github.com/Velocidex/velociraptor
https://github.com/Velocidex/velociraptor/releases/download/v0.7.0/velociraptor-v0.7.0-2-windows-amd64.exe
https://github.com/Velocidex/velociraptor/commit/82f2cadab55376a076ecdc13a69c9e5fd83fff4a
https://github.com/Velocidex/velociraptor/blob/27740f902d0934d52cac15a14fa2940311cbb865/services/writeback/storage.go#L110
https://github.com/Velocidex/velociraptor/actions/runs/6137985901
https://github.com/Velocidex/velociraptor/blob/master/config/offline.sh
https://github.com/Velocidex/velociraptor/blob/68302bf92e38f9e5f6a6f668c1d9f0eac3d7c476/crypto/ca.go#L55

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кибератаки, проведенной проукраинской группировкой BlackJack, также известной как Gambling Zealot, с подробным описанием их тактики, инструментов, связей с другими группами и потенциальных связей с украинскими спецслужбами. Злоумышленники использовали различные методы, такие как использование уязвимостей в программном обеспечении для управления паролями, использование пользовательских скриптов для сбора данных, развертывание веб-оболочек и протокола RDP для горизонтального перемещения, а также перепрофилирование программного обеспечения для реагирования на инциденты в качестве троянца удаленного доступа для осуществления своих вредоносных действий. Группа атаковала российские объекты критической инфраструктуры, телекоммуникационные компании и оборонные предприятия, демонстрируя изощренность и адаптивность своих методов атаки.
-----

Компания Solar 4RAYS, занимающаяся кибербезопасностью, расследовала атаку проукраинской группировки BlackJack, также известной как Gambling Zealot.

Факты свидетельствуют о небольшом совпадении между Блэкджеком и хактивистской группой Twelve.

BlackJack использовал пользовательский скрипт powershell для сбора данных из мессенджера Telegram, связанного с группой Shadow/C0met.

"Лаборатория Касперского" сообщила, что BlackJack использовал руткит FaceFish и поделился методиками с Shedding Zmiy, Shadow/C0met/DARKSTAR и Twelve.

Предположение о потенциальной связи между блэкджеком и Twelve возникло из-за сходства названия с карточной игрой казино Twenty-one.

Украинские СМИ предположили о связях между Блэкджеком и украинскими спецслужбами или кибердепартаментом СБУ.

Злоумышленники взломали компьютер системного администратора с помощью уязвимого менеджера паролей KeePass, получив мастер-пароль из дампов оперативной памяти.

Злоумышленники использовали веб-оболочку, протокол RDP и программное обеспечение для реагирования на инциденты Velociraptor в качестве средства для бокового перемещения.

"Блэкджек" нацеливался на российские объекты критической инфраструктуры, телекоммуникационные компании и оборонные предприятия, проводя тщательную разведку и используя общие с другими группами инструменты.

Любители азартных игр использовали такие инструменты, как PowerView.ps1 и ADRecon, для поиска в Active Directory, а также легальные утилиты для удаленного выполнения и доступа.

#ParsedReport #CompletenessLow
02-08-2024

Grandoreiro Malware: Spear Phishing, Outlook Exploits, and More

https://flashpoint.io/blog/grandoreiro-malware-exploits

Report completeness: Low

Threats:
Spear-phishing_technique
Grandoreiro
Bloat_technique

Industry:
Education, Financial

Geo:
Brazil, America, Africa, Asia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1083, T1140, T1105, T1204.002, T1622

IOCs:
Path: 1

Soft:
Outlook, Microsoft Outlook

Algorithms:
rc4, zip

Languages:
delphi

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что банковский троян Grandoreiro, ранее считавшийся несуществующим, вновь появился и теперь нацелен на жертв по всему миру с целью кражи финансовой информации и осуществления несанкционированных денежных переводов. Вредоносное ПО распространяется с помощью фишинга, использует методы антианализа и позволяет злоумышленникам совершать различные вредоносные действия. Его возрождение свидетельствует о продолжающемся развитии киберпреступности, подчеркивая важность получения информации и принятия строгих мер безопасности для защиты от таких угроз.
-----

Банковский троян Grandoreiro malware, который ранее считался закрытым, вновь появился и теперь нацелен на жертв по всему миру. Эта вредоносная программа предназначена для кражи финансовой информации, учетных данных и осуществления несанкционированных денежных переводов. В основном он распространяется путем скрытого фишинга с помощью вредоносных ссылок или вложений электронной почты и использует уникальный модуль для дальнейшего распространения, используя локальные установки Microsoft Outlook.

После заражения системы Grandoreiro использует пользовательский загрузчик, написанный на Borland Delphi, размер которого превышает 100 МБ, чтобы избежать обнаружения антивирусом. Загрузчик запускает антианалитические проверки, чтобы избежать использования изолированных сред, и собирает информацию о системе жертвы, такую как IP-адрес, местоположение, установленное программное обеспечение и многое другое. Затем эти данные отправляются на сервер управления (C2) для получения дальнейших инструкций.

Основная полезная нагрузка Grandoreiro, также написанная на Borland Delphi, продолжает атаку, ища файл .cfg, содержащий включенные функции, и шифруя все собранные данные. Злоумышленники могут взаимодействовать с этим вредоносным ПО для выполнения различных вредоносных действий, включая отключение ввода с помощью мыши, установление удаленного контроля, кражу учетных данных и загрузку дополнительного вредоносного ПО.

Возрождение Grandoreiro служит напоминанием о постоянно меняющемся характере киберпреступности, когда участники угроз адаптируются и расширяют сферу своего влияния. Оставаясь в курсе событий и применяя надежные меры безопасности, организации могут лучше защитить себя от угроз, исходящих от вредоносных программ, подобных Grandoreiro.

#ParsedReport #CompletenessLow
02-08-2024

Fighting Ursa Luring Targets With Car for Sale

https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Duke

Threats:
Headlace

Victims:
Diplomats, Diplomatic missions

Geo:
America, Romania, Japanese, Emea, Japan, Apac, Russian, Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1071.001, T1070.004, T1204.002

IOCs:
Hash: 6
Domain: 1
File: 7
Url: 3

Soft:
Microsoft Edge

Algorithms:
base64, zip

Functions:
click

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании сложной кампании по борьбе с киберугрозами, проводимой российской организацией threat actor group Fighting Ursa, нацеленной на дипломатов с помощью обманных фишинговых уловок для распространения вредоносного по HeadLace backdoor. В ходе этой кампании использовались различные тактические приемы, в том числе злоупотребление законными веб-сервисами, использование ложных изображений и повторное использование успешных методов, позволяющих избежать обнаружения. В тексте подчеркивается важность упреждающих мер защиты и передовых средств обнаружения угроз для эффективного противодействия таким вредоносным действиям.
-----

Недавняя активность в киберпространстве приписывается российскому агенту по борьбе с угрозами, который борется с Ursa/APT28/Fancy Bear/Sofacy, нацеленными на дипломатов.

Фишинговая приманка, связанная с выставленным на продажу автомобилем, использовалась для распространения вредоносного по HeadLace backdoor, запущенного в марте 2024 года.

Тактика использования фишинговых приманок в виде дипломатических автомобилей для продажи, ранее наблюдавшаяся российскими агентами по борьбе с угрозами.

Злоупотребление Webhook.сервис сайта для создания вредоносной HTML-страницы, автоматизирующий атаку, перенаправляющий пользователей, не являющихся пользователями Windows, на ложное изображение.

Вредоносная деятельность включает в себя поддельную рекламу с поддельными контактными данными, использование номера телефона из Румынии и указание на Правоохранительный центр Юго-Восточной Европы для обеспечения достоверности.

Бэкдор-компонент HeadLace, замаскированный под файл калькулятора Windows calc.exe.

Борьба с Ursa group была идентифицирована со средней и высокой степенью достоверности на основе TTP, инфраструктуры атак и семейства вредоносных программ.

Группа известна тем, что широко использует общедоступные и бесплатные сервисы для размещения приманок.

Рекомендации по ограничению доступа к сервисам, используемым злоумышленниками, и тщательному изучению их использования на предмет потенциальных направлений атаки.

Платформа Cortex XDR от Palo Alto Networks обнаруживает цепочку атак, а такие инструменты, как Cortex XSIAM и XSOAR, улучшены для автоматического обнаружения атакующего субъекта Ursa.

Платформа включает в себя такие средства защиты, как правила обнаружения APT28, программы поиска угроз и расширенную фильтрацию URL-адресов.

Усовершенствованные модели машинного обучения WildFire были обновлены для решения проблем, связанных с IOCs, а результаты были переданы Альянсу по борьбе с киберугрозами для быстрого развертывания защиты.

Необходимость в мерах проактивной защиты и передовых средствах обнаружения угроз для защиты от аналогичных вредоносных действий.

#ParsedReport #CompletenessLow
02-08-2024

Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption

https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption

Report completeness: Low

Actors/Campaigns:
Storm-0506
0ktapus
Evil_corp
Storm-1175

Threats:
Blackbasta
Akira_ransomware
Babuk
Lockbit
Kuiper
Qakbot
Cobalt_strike
Pypykatz_tool
Mimikatz_tool
Systembc

Victims:
Engineering firm

Geo:
America

CVEs:
CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud foundation (le4.5.2, <5.2)
- vmware esxi (7.0, 8.0)

CVE-2023-28252 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19869)
- microsoft windows 10 1607 (<10.0.14393.5850)
- microsoft windows 10 1809 (<10.0.17763.4252)
- microsoft windows 10 20h2 (<10.0.19042.2846)
- microsoft windows 10 21h2 (<10.0.19044.2846)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1490, T1003

Soft:
ESXi, Microsoft Defender for Endpoint, Microsoft Defender, Active Directory, PsExec

Win Services:
CVD

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследователи Microsoft выявили критическую уязвимость в гипервизорах ESXi, которую операторы программ-вымогателей используют для получения полных административных прав, что может привести к разрушительным последствиям для организаций. Microsoft сотрудничала с VMware для устранения этой уязвимости и подчеркивает важность постоянного сотрудничества для повышения уровня защиты. Злоумышленники все чаще атакуют гипервизоры ESXi, демонстрируя постоянные инновации в стратегиях атак. Корпорация Майкрософт рекомендует использовать обновления для системы безопасности, предоставляемые VMware, и отчеты Microsoft Defender Threat Intelligence для защиты от новых угроз, связанных с программами-вымогателями.
-----

Исследователи Microsoft обнаружили критическую уязвимость (CVE-2024-37085) в гипервизорах ESXi, используемую операторами программ-вымогателей для получения полных административных прав, что приводит к серьезным последствиям для организаций.

Сотрудничество Microsoft и VMware привело к выпуску обновления для системы безопасности, направленного на устранение этой уязвимости, что подчеркивает важность постоянного сотрудничества в повышении уровня защиты.

Операторы программ-вымогателей используют методы последующей компрометации для усиления атак на гипервизоры ESXi, такие как создание вредоносной доменной группы под названием "Администраторы ESX"..

Гипервизоры ESXi все чаще становятся мишенью программ-вымогателей из-за таких факторов, как ограниченная видимость системы безопасности, что обеспечивает быстрое массовое шифрование и горизонтальное перемещение.

Участники угроз, поддерживающие или распространяющие шифровальщики ESXi, такие как Akira, Black Basta, Babuk, Lockbit и Kuiper, внесли свой вклад в растущий уровень угроз, связанных с гипервизорами ESXi.

Реальный пример атаки программы-вымогателя Storm-0506 на инженерную фирму в Северной Америке с использованием уязвимости CVE-2024-37085, при этом злоумышленник использует различные тактические приемы, такие как использование других уязвимостей, кража учетных данных и методы уклонения.

Клиенты Microsoft могут использовать отчеты Microsoft Defender Threat Intelligence для получения обновленной информации об участниках угроз и рекомендуемых действиях для защиты от атак программ-вымогателей, нацеленных на гипервизоры ESXi.

#ParsedReport #CompletenessMedium
02-08-2024

DNS Early Detection - Breaking the Black Basta Ransomware Kill Chain

https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-black-basta-ransomware-kill-chain

Report completeness: Medium

Threats:
Blackbasta
Spear-phishing_technique
Connectwise_rat
Mimikatz_tool
Zerologon_vuln
Nopac_vuln
Printnightmare_vuln
Backstab_tool
Shadow_copies_delete_technique

Victims:
Healthcare organizations, Public health sectors, Businesses, Critical infrastructure

Industry:
Healthcare, Financial, Critical_infrastructure

Geo:
Australia, America

CVEs:
CVE-2024-1700 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 1
Domain: 37

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в предупреждении о кибербезопасности, выпущенном несколькими агентствами в связи с программой-вымогателем Black Basta, представляющей серьезную угрозу для критически важных секторов инфраструктуры, в частности здравоохранения. В нем рассказывается о том, как работает Black Basta, о ее влиянии на организации по всему миру, о тактике, используемой ее филиалами, и о повышенном риске, с которым сталкиваются медицинские организации. В тексте также подчеркиваются активные усилия Infoblox по выявлению и блокировке вредоносных доменов, связанных с Black Basta, а также рекомендуемые стратегии смягчения последствий, изложенные в предупреждении о кибербезопасности, для эффективного противодействия угрозе вымогательства. Кроме того, в нем подчеркивается важность раннего обнаружения угроз, использования данных WHOIS, своевременного распространения информации об угрозах и сотрудничества между подразделениями по кибербезопасности при подготовке к борьбе с угрозами вымогательства.
-----

Программа-вымогатель Black Basta представляет серьезную угрозу для критически важных секторов инфраструктуры, особенно для здравоохранения.

Black Basta работает по модели "программа-вымогатель как услуга" и затронула более 500 организаций по всему миру.

Аффилированные лица Black Basta используют уязвимости и фишинговые кампании для получения первоначального доступа, применяя стратегию двойного вымогательства.

Жертвам предлагается связаться с ними по URL-адресу .onion, доступному через браузер Tor, для получения ключей расшифровки и инструкций по оплате.

Организации здравоохранения подвергаются повышенному риску из-за своей зависимости от технологий и личных медицинских данных.

Infoblox активно выявляет и блокирует вредоносные домены, связанные с Black Basta, расширяя возможности раннего обнаружения угроз.

Анализ данных WHOIS показал, что большинство доменов-вымогателей Black Basta были заблокированы в течение 2-3 дней после регистрации домена.

Программа раннего обнаружения угроз DNS от Infoblox играет решающую роль в выявлении доменов с высокой степенью риска, опережая традиционные источники информации об угрозах.

Infoblox предоставляет клиентам информацию о доменах с высокой степенью риска, чтобы упреждающе блокировать потенциально вредоносные домены.

Сотрудничество между Infoblox, агентствами по кибербезопасности и постоянный мониторинг источников OSINT необходимы для эффективной борьбы с программами-вымогателями.

#ParsedReport #CompletenessLow
02-08-2024

Dark Web Profile: Dark Angels

https://socradar.io/dark-web-profile-dark-angels

Report completeness: Low

Threats:
Babuk
Ragnar_locker

Victims:
Major organization, International conglomerate, Company

Industry:
Education, Government, Telco, Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1486, T1070.004, T1027

Soft:
audacity, Telegram, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Dark Angels, группа программ-вымогателей, известная как Dunghill Leak, приобрела известность благодаря своей агрессивной тактике, непомерным финансовым требованиям и целенаправленному подходу к крупным организациям в различных отраслях. Их рекордные суммы выкупа и изощренная оперативная тактика подчеркивают острую необходимость для организаций активизировать усилия по обеспечению кибербезопасности, чтобы смягчить возникающие риски, создаваемые такими продвинутыми участниками угроз.
-----

Dark Angels, также известные как Dunghill Leak, - это очень опасная и изощренная группа программ-вымогателей, которая недавно приобрела широкую известность. Их агрессивная тактика и непомерные финансовые требования попали в заголовки газет, поскольку они требовали рекордные суммы выкупа. Группа появилась примерно в мае 2022 года, управляя сайтом утечки данных Dunghill, но привлекала минимальное внимание до начала 2024 года, когда ThreatLabZ обнаружил жертву, которая заплатила Dark Angels ошеломляющий выкуп в размере 75 миллионов долларов, установив рекорд в истории атак программ-вымогателей.

В отличие от большинства программ-вымогателей, Dark Angels использует целенаправленный подход, ориентируясь на крупные организации в таких отраслях, как здравоохранение, правительство, финансы, образование, промышленность, технологии и телекоммуникации. Обычно они атакуют одну крупную компанию за раз, стремясь максимизировать воздействие и потенциальные выплаты. Принцип работы группы заключается в выборочном шифровании файлов после фильтрации огромных объемов данных объемом от 1 до 100 ТБАЙТ, что может занять от нескольких дней до нескольких недель.

В ходе громкой атаки в сентябре 2023 года Dark Angels атаковали международный конгломерат, предоставляющий решения для автоматизации зданий, и потребовали выкуп в размере 51 миллиона долларов, заявив, что похитили более 27 ТБ корпоративных данных и зашифровали виртуальные машины VMware ESXi компании. Для шифрования они использовали версию программы-вымогателя RagnarLocker, хотя конкретная связь между RagnarLocker и Dark Angels остается неясной. До этого Dark Angels использовали версию Babuk, прежде чем перейти на RagnarLocker.

Дерзость и масштаб требований Темных Ангелов о выкупе, а также их изощренная оперативная тактика делают их серьезной угрозой в сфере программ-вымогателей. Способность группы требовать беспрецедентные суммы подчеркивает острую необходимость того, чтобы организации активно наращивали свои усилия в области кибербезопасности для снижения возникающих рисков, создаваемых такими продвинутыми участниками угроз. Бдительность и готовность необходимы, поскольку Темные ангелы продолжают адаптироваться и развиваться, создавая серьезные проблемы для специалистов по кибербезопасности и организаций в целом.

#ParsedReport #CompletenessMedium
02-08-2024

StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms

https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms

Report completeness: Medium

Actors/Campaigns:
Daggerfly
Driftingbamboo

Threats:
Macma
Gimmick
Reloadext
Mgbot
Aitm_technique
Catchdns
Applescript
Libpcap_tool
Dns_hijacking_technique

Victims:
Isp, Target organizations, Multiple software vendors

Industry:
Telco

Geo:
China, Hong kong

ChatGPT TTPs:
do not use without manual check
T1027, T1567.002, T1204.002, T1071.003, T1573.001

IOCs:
IP: 2
File: 4
Hash: 2

Soft:
macOS, 5KPlayer, YoutubeDL, Google Chrome, Chrome, Internet Explorer

Algorithms:
zip, base64, aes

Functions:
CATCHDNS

Languages:
javascript

Links:
https://github.com/juj/kNet
https://github.com/volexity/threat-intel/blob/main/2024/2024-08-02%20StormBamboo/iocs.csv
https://github.com/volexity/threat-intel/blob/main/2024/2024-08-02%20StormBamboo/rules.yar