#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что банковский троян Grandoreiro, ранее считавшийся несуществующим, вновь появился и теперь нацелен на жертв по всему миру с целью кражи финансовой информации и осуществления несанкционированных денежных переводов. Вредоносное ПО распространяется с помощью фишинга, использует методы антианализа и позволяет злоумышленникам совершать различные вредоносные действия. Его возрождение свидетельствует о продолжающемся развитии киберпреступности, подчеркивая важность получения информации и принятия строгих мер безопасности для защиты от таких угроз.
-----

Банковский троян Grandoreiro malware, который ранее считался закрытым, вновь появился и теперь нацелен на жертв по всему миру. Эта вредоносная программа предназначена для кражи финансовой информации, учетных данных и осуществления несанкционированных денежных переводов. В основном он распространяется путем скрытого фишинга с помощью вредоносных ссылок или вложений электронной почты и использует уникальный модуль для дальнейшего распространения, используя локальные установки Microsoft Outlook.

После заражения системы Grandoreiro использует пользовательский загрузчик, написанный на Borland Delphi, размер которого превышает 100 МБ, чтобы избежать обнаружения антивирусом. Загрузчик запускает антианалитические проверки, чтобы избежать использования изолированных сред, и собирает информацию о системе жертвы, такую как IP-адрес, местоположение, установленное программное обеспечение и многое другое. Затем эти данные отправляются на сервер управления (C2) для получения дальнейших инструкций.

Основная полезная нагрузка Grandoreiro, также написанная на Borland Delphi, продолжает атаку, ища файл .cfg, содержащий включенные функции, и шифруя все собранные данные. Злоумышленники могут взаимодействовать с этим вредоносным ПО для выполнения различных вредоносных действий, включая отключение ввода с помощью мыши, установление удаленного контроля, кражу учетных данных и загрузку дополнительного вредоносного ПО.

Возрождение Grandoreiro служит напоминанием о постоянно меняющемся характере киберпреступности, когда участники угроз адаптируются и расширяют сферу своего влияния. Оставаясь в курсе событий и применяя надежные меры безопасности, организации могут лучше защитить себя от угроз, исходящих от вредоносных программ, подобных Grandoreiro.

#ParsedReport #CompletenessLow
02-08-2024

Fighting Ursa Luring Targets With Car for Sale

https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Duke

Threats:
Headlace

Victims:
Diplomats, Diplomatic missions

Geo:
America, Romania, Japanese, Emea, Japan, Apac, Russian, Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1071.001, T1070.004, T1204.002

IOCs:
Hash: 6
Domain: 1
File: 7
Url: 3

Soft:
Microsoft Edge

Algorithms:
base64, zip

Functions:
click

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании сложной кампании по борьбе с киберугрозами, проводимой российской организацией threat actor group Fighting Ursa, нацеленной на дипломатов с помощью обманных фишинговых уловок для распространения вредоносного по HeadLace backdoor. В ходе этой кампании использовались различные тактические приемы, в том числе злоупотребление законными веб-сервисами, использование ложных изображений и повторное использование успешных методов, позволяющих избежать обнаружения. В тексте подчеркивается важность упреждающих мер защиты и передовых средств обнаружения угроз для эффективного противодействия таким вредоносным действиям.
-----

Недавняя активность в киберпространстве приписывается российскому агенту по борьбе с угрозами, который борется с Ursa/APT28/Fancy Bear/Sofacy, нацеленными на дипломатов.

Фишинговая приманка, связанная с выставленным на продажу автомобилем, использовалась для распространения вредоносного по HeadLace backdoor, запущенного в марте 2024 года.

Тактика использования фишинговых приманок в виде дипломатических автомобилей для продажи, ранее наблюдавшаяся российскими агентами по борьбе с угрозами.

Злоупотребление Webhook.сервис сайта для создания вредоносной HTML-страницы, автоматизирующий атаку, перенаправляющий пользователей, не являющихся пользователями Windows, на ложное изображение.

Вредоносная деятельность включает в себя поддельную рекламу с поддельными контактными данными, использование номера телефона из Румынии и указание на Правоохранительный центр Юго-Восточной Европы для обеспечения достоверности.

Бэкдор-компонент HeadLace, замаскированный под файл калькулятора Windows calc.exe.

Борьба с Ursa group была идентифицирована со средней и высокой степенью достоверности на основе TTP, инфраструктуры атак и семейства вредоносных программ.

Группа известна тем, что широко использует общедоступные и бесплатные сервисы для размещения приманок.

Рекомендации по ограничению доступа к сервисам, используемым злоумышленниками, и тщательному изучению их использования на предмет потенциальных направлений атаки.

Платформа Cortex XDR от Palo Alto Networks обнаруживает цепочку атак, а такие инструменты, как Cortex XSIAM и XSOAR, улучшены для автоматического обнаружения атакующего субъекта Ursa.

Платформа включает в себя такие средства защиты, как правила обнаружения APT28, программы поиска угроз и расширенную фильтрацию URL-адресов.

Усовершенствованные модели машинного обучения WildFire были обновлены для решения проблем, связанных с IOCs, а результаты были переданы Альянсу по борьбе с киберугрозами для быстрого развертывания защиты.

Необходимость в мерах проактивной защиты и передовых средствах обнаружения угроз для защиты от аналогичных вредоносных действий.

#ParsedReport #CompletenessLow
02-08-2024

Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption

https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption

Report completeness: Low

Actors/Campaigns:
Storm-0506
0ktapus
Evil_corp
Storm-1175

Threats:
Blackbasta
Akira_ransomware
Babuk
Lockbit
Kuiper
Qakbot
Cobalt_strike
Pypykatz_tool
Mimikatz_tool
Systembc

Victims:
Engineering firm

Geo:
America

CVEs:
CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud foundation (le4.5.2, <5.2)
- vmware esxi (7.0, 8.0)

CVE-2023-28252 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19869)
- microsoft windows 10 1607 (<10.0.14393.5850)
- microsoft windows 10 1809 (<10.0.17763.4252)
- microsoft windows 10 20h2 (<10.0.19042.2846)
- microsoft windows 10 21h2 (<10.0.19044.2846)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1490, T1003

Soft:
ESXi, Microsoft Defender for Endpoint, Microsoft Defender, Active Directory, PsExec

Win Services:
CVD

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследователи Microsoft выявили критическую уязвимость в гипервизорах ESXi, которую операторы программ-вымогателей используют для получения полных административных прав, что может привести к разрушительным последствиям для организаций. Microsoft сотрудничала с VMware для устранения этой уязвимости и подчеркивает важность постоянного сотрудничества для повышения уровня защиты. Злоумышленники все чаще атакуют гипервизоры ESXi, демонстрируя постоянные инновации в стратегиях атак. Корпорация Майкрософт рекомендует использовать обновления для системы безопасности, предоставляемые VMware, и отчеты Microsoft Defender Threat Intelligence для защиты от новых угроз, связанных с программами-вымогателями.
-----

Исследователи Microsoft обнаружили критическую уязвимость (CVE-2024-37085) в гипервизорах ESXi, используемую операторами программ-вымогателей для получения полных административных прав, что приводит к серьезным последствиям для организаций.

Сотрудничество Microsoft и VMware привело к выпуску обновления для системы безопасности, направленного на устранение этой уязвимости, что подчеркивает важность постоянного сотрудничества в повышении уровня защиты.

Операторы программ-вымогателей используют методы последующей компрометации для усиления атак на гипервизоры ESXi, такие как создание вредоносной доменной группы под названием "Администраторы ESX"..

Гипервизоры ESXi все чаще становятся мишенью программ-вымогателей из-за таких факторов, как ограниченная видимость системы безопасности, что обеспечивает быстрое массовое шифрование и горизонтальное перемещение.

Участники угроз, поддерживающие или распространяющие шифровальщики ESXi, такие как Akira, Black Basta, Babuk, Lockbit и Kuiper, внесли свой вклад в растущий уровень угроз, связанных с гипервизорами ESXi.

Реальный пример атаки программы-вымогателя Storm-0506 на инженерную фирму в Северной Америке с использованием уязвимости CVE-2024-37085, при этом злоумышленник использует различные тактические приемы, такие как использование других уязвимостей, кража учетных данных и методы уклонения.

Клиенты Microsoft могут использовать отчеты Microsoft Defender Threat Intelligence для получения обновленной информации об участниках угроз и рекомендуемых действиях для защиты от атак программ-вымогателей, нацеленных на гипервизоры ESXi.

#ParsedReport #CompletenessMedium
02-08-2024

DNS Early Detection - Breaking the Black Basta Ransomware Kill Chain

https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-black-basta-ransomware-kill-chain

Report completeness: Medium

Threats:
Blackbasta
Spear-phishing_technique
Connectwise_rat
Mimikatz_tool
Zerologon_vuln
Nopac_vuln
Printnightmare_vuln
Backstab_tool
Shadow_copies_delete_technique

Victims:
Healthcare organizations, Public health sectors, Businesses, Critical infrastructure

Industry:
Healthcare, Financial, Critical_infrastructure

Geo:
Australia, America

CVEs:
CVE-2024-1700 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 1
Domain: 37

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в предупреждении о кибербезопасности, выпущенном несколькими агентствами в связи с программой-вымогателем Black Basta, представляющей серьезную угрозу для критически важных секторов инфраструктуры, в частности здравоохранения. В нем рассказывается о том, как работает Black Basta, о ее влиянии на организации по всему миру, о тактике, используемой ее филиалами, и о повышенном риске, с которым сталкиваются медицинские организации. В тексте также подчеркиваются активные усилия Infoblox по выявлению и блокировке вредоносных доменов, связанных с Black Basta, а также рекомендуемые стратегии смягчения последствий, изложенные в предупреждении о кибербезопасности, для эффективного противодействия угрозе вымогательства. Кроме того, в нем подчеркивается важность раннего обнаружения угроз, использования данных WHOIS, своевременного распространения информации об угрозах и сотрудничества между подразделениями по кибербезопасности при подготовке к борьбе с угрозами вымогательства.
-----

Программа-вымогатель Black Basta представляет серьезную угрозу для критически важных секторов инфраструктуры, особенно для здравоохранения.

Black Basta работает по модели "программа-вымогатель как услуга" и затронула более 500 организаций по всему миру.

Аффилированные лица Black Basta используют уязвимости и фишинговые кампании для получения первоначального доступа, применяя стратегию двойного вымогательства.

Жертвам предлагается связаться с ними по URL-адресу .onion, доступному через браузер Tor, для получения ключей расшифровки и инструкций по оплате.

Организации здравоохранения подвергаются повышенному риску из-за своей зависимости от технологий и личных медицинских данных.

Infoblox активно выявляет и блокирует вредоносные домены, связанные с Black Basta, расширяя возможности раннего обнаружения угроз.

Анализ данных WHOIS показал, что большинство доменов-вымогателей Black Basta были заблокированы в течение 2-3 дней после регистрации домена.

Программа раннего обнаружения угроз DNS от Infoblox играет решающую роль в выявлении доменов с высокой степенью риска, опережая традиционные источники информации об угрозах.

Infoblox предоставляет клиентам информацию о доменах с высокой степенью риска, чтобы упреждающе блокировать потенциально вредоносные домены.

Сотрудничество между Infoblox, агентствами по кибербезопасности и постоянный мониторинг источников OSINT необходимы для эффективной борьбы с программами-вымогателями.

#ParsedReport #CompletenessLow
02-08-2024

Dark Web Profile: Dark Angels

https://socradar.io/dark-web-profile-dark-angels

Report completeness: Low

Threats:
Babuk
Ragnar_locker

Victims:
Major organization, International conglomerate, Company

Industry:
Education, Government, Telco, Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1486, T1070.004, T1027

Soft:
audacity, Telegram, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Dark Angels, группа программ-вымогателей, известная как Dunghill Leak, приобрела известность благодаря своей агрессивной тактике, непомерным финансовым требованиям и целенаправленному подходу к крупным организациям в различных отраслях. Их рекордные суммы выкупа и изощренная оперативная тактика подчеркивают острую необходимость для организаций активизировать усилия по обеспечению кибербезопасности, чтобы смягчить возникающие риски, создаваемые такими продвинутыми участниками угроз.
-----

Dark Angels, также известные как Dunghill Leak, - это очень опасная и изощренная группа программ-вымогателей, которая недавно приобрела широкую известность. Их агрессивная тактика и непомерные финансовые требования попали в заголовки газет, поскольку они требовали рекордные суммы выкупа. Группа появилась примерно в мае 2022 года, управляя сайтом утечки данных Dunghill, но привлекала минимальное внимание до начала 2024 года, когда ThreatLabZ обнаружил жертву, которая заплатила Dark Angels ошеломляющий выкуп в размере 75 миллионов долларов, установив рекорд в истории атак программ-вымогателей.

В отличие от большинства программ-вымогателей, Dark Angels использует целенаправленный подход, ориентируясь на крупные организации в таких отраслях, как здравоохранение, правительство, финансы, образование, промышленность, технологии и телекоммуникации. Обычно они атакуют одну крупную компанию за раз, стремясь максимизировать воздействие и потенциальные выплаты. Принцип работы группы заключается в выборочном шифровании файлов после фильтрации огромных объемов данных объемом от 1 до 100 ТБАЙТ, что может занять от нескольких дней до нескольких недель.

В ходе громкой атаки в сентябре 2023 года Dark Angels атаковали международный конгломерат, предоставляющий решения для автоматизации зданий, и потребовали выкуп в размере 51 миллиона долларов, заявив, что похитили более 27 ТБ корпоративных данных и зашифровали виртуальные машины VMware ESXi компании. Для шифрования они использовали версию программы-вымогателя RagnarLocker, хотя конкретная связь между RagnarLocker и Dark Angels остается неясной. До этого Dark Angels использовали версию Babuk, прежде чем перейти на RagnarLocker.

Дерзость и масштаб требований Темных Ангелов о выкупе, а также их изощренная оперативная тактика делают их серьезной угрозой в сфере программ-вымогателей. Способность группы требовать беспрецедентные суммы подчеркивает острую необходимость того, чтобы организации активно наращивали свои усилия в области кибербезопасности для снижения возникающих рисков, создаваемых такими продвинутыми участниками угроз. Бдительность и готовность необходимы, поскольку Темные ангелы продолжают адаптироваться и развиваться, создавая серьезные проблемы для специалистов по кибербезопасности и организаций в целом.

#ParsedReport #CompletenessMedium
02-08-2024

StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms

https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms

Report completeness: Medium

Actors/Campaigns:
Daggerfly
Driftingbamboo

Threats:
Macma
Gimmick
Reloadext
Mgbot
Aitm_technique
Catchdns
Applescript
Libpcap_tool
Dns_hijacking_technique

Victims:
Isp, Target organizations, Multiple software vendors

Industry:
Telco

Geo:
China, Hong kong

ChatGPT TTPs:
do not use without manual check
T1027, T1567.002, T1204.002, T1071.003, T1573.001

IOCs:
IP: 2
File: 4
Hash: 2

Soft:
macOS, 5KPlayer, YoutubeDL, Google Chrome, Chrome, Internet Explorer

Algorithms:
zip, base64, aes

Functions:
CATCHDNS

Languages:
javascript

Links:
https://github.com/juj/kNet
https://github.com/volexity/threat-intel/blob/main/2024/2024-08-02%20StormBamboo/iocs.csv
https://github.com/volexity/threat-intel/blob/main/2024/2024-08-02%20StormBamboo/rules.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности группы злоумышленников StormBamboo, которая скомпрометировала интернет-провайдера (ISP) для проведения целенаправленных атак на организации путем манипулирования ответами DNS и использования небезопасных механизмов обновления программного обеспечения. Группа использовала вредоносные программы, такие как MACMA и GIMMICK, а также вредоносное расширение для браузера RELOADEXT, для извлечения данных из организаций-жертв. Сложные методы StormBamboo позволили им взломать механизмы автоматического обновления и внедрить вредоносный код без участия пользователя. Кроме того, обнаружение 32-разрядной вредоносной программы ELF, известной как CATCHDNS, которая нацелена на системы Linux и перехватывает трафик DNS и HTTP, еще раз подчеркивает техническое мастерство группы в организации сетевых атак.
-----

Группа разработчиков угроз StormBamboo скомпрометировала интернет-провайдера для проведения целенаправленных атак с использованием ошибочных ответов DNS.

Они использовали небезопасные механизмы обновления программного обеспечения для доставки вредоносных программ MACMA и GIMMICK на компьютеры macOS и Windows.

Действия после эксплуатации включали использование вредоносного расширения для браузера под названием RELOADEXT для извлечения почтовых данных жертвы.

Они изменили ответы DNS на уровне интернет-провайдера, чтобы скомпрометировать механизмы автоматического обновления, направляя трафик на серверы, контролируемые злоумышленниками.

StormBamboo нацелился на нескольких поставщиков программного обеспечения для успешного распространения вредоносного ПО на различных платформах.

Группа использовала браузерное расширение RELOADEXT для кражи файлов cookie браузера и передачи их в учетную запись Google Drive.

Volexity выявила 32-разрядную вредоносную программу ELF под названием CATCHDNS, используемую StormBamboo для атаки на системы Linux и перехвата HTTP- и DNS-трафика.

CATCHDNS расшифровывает свою зашифрованную конфигурацию во время выполнения и может манипулировать трафиком DNS и HTTP на основе предопределенных конфигураций.

Извлеченные конфигурации CATCHDNS продемонстрировали возможности злоумышленников по организации сложных сетевых атак.

#ParsedReport #CompletenessLow
02-08-2024

Campanhas personificando servio Chave Mvel Digital (CMD) em curso. Campaigns personifying the Digital Mobile Key (CMD) service in progress

https://seguranca-informatica.pt/campanhas-personificando-servico-chave-movel-digital-em-curso

Report completeness: Low

Threats:
Httrack_website_copier_tool
Httrack_tool

Victims:
Users

Industry:
Telco, Financial

Geo:
Brazil, Portuguese, Portugal

ChatGPT TTPs:
do not use without manual check
T1071.001, T1608.003, T1078.003, T1583.001, T1071.004, T1566.002

IOCs:
Domain: 45

Soft:
Telegram

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4