#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Аналитики киберразведки выявили сложную фишинговую кампанию с использованием поддельного веб-сайта, посвященного тематике Zoom, для распространения программного обеспечения ScreenConnect, позволяющего злоумышленникам получать удаленный доступ к компьютерам жертв. Мошенники используют различные тактики, в том числе выдают себя за доверенные организации, такие как правительственные учреждения, и манипулируют жертвами, заставляя их устанавливать программное обеспечение. Взаимосвязанная инфраструктура и методы обмана подчеркивают скоординированный и изощренный характер мошеннических действий, организуемых киберпреступниками.
-----

Cyble Research and Intelligence Labs выявила фишинговую кампанию с использованием поддельного веб-сайта, посвященного тематике Zoom, для распространения программного обеспечения ScreenConnect, обеспечивающего удаленный доступ к компьютерам жертв.

IP-адрес, связанный с программным обеспечением ScreenConnect, связан с более широкими вредоносными действиями, включая мошенничество с владельцами учетных записей администрации социального обеспечения.

Злоумышленники осуществляют многочисленные мошеннические действия с использованием общей инфраструктуры, демонстрируя скоординированные усилия по максимальному увеличению масштабов мошеннических действий.

Мошенники выдают себя за доверенных лиц, чтобы обманом заставить жертв установить программное обеспечение для удаленного рабочего стола, такое как ScreenConnect, и захватить контроль над их компьютерами.

Недавно CISA опубликовала предупреждение о мошенниках, которые выдают себя за представителей Geek Squad и используют ScreenConnect для манипулирования данными о банковских счетах и обманом заставляют жертв вернуть якобы излишки средств.

Мошенники используют технику "разделки свиней", чтобы манипулировать экранами жертв и со временем выманивать у них ценные активы или валюту.

Мошенническая кампания использует двоичные файлы с цифровой подписью и законные процессы установки, чтобы скрыть цель распространения программного обеспечения ScreenConnect, повышая доверие к мошенникам.

#ParsedReport #CompletenessMedium
28-08-2024

I Spy With My Little Eye: Uncovering an Iranian Counterintelligence Operation

https://cloud.google.com/blog/topics/threat-intelligence/uncovering-iranian-counterintelligence-operation

Report completeness: Medium

Actors/Campaigns:
Apt42
Irgc

Victims:
Iranian dissidents, Activists, Human rights advocates, Farsi speakers, Employees and officers of iran's intelligence and security organizations

Industry:
Military, Education, Government

Geo:
Iranian, Iranians, Syrian, Lebanon, Israeli, Iran, Israel, Syria

ChatGPT TTPs:
do not use without manual check
T1566.001, T1588.001, T1071.001

IOCs:
Domain: 38
Url: 9
Hash: 1
Email: 1

Soft:
Google Chrome, Telegram, WordPress, outlook

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается раскрытие Мандиантом сложной контрразведывательной операции, которая, как предполагается, связана с Ираном. Целью этой операции являются иранцы и лица, сотрудничающие с иностранными разведывательными службами, в частности с Израилем, с целью выявления лиц, работающих против Ирана, что может привести к преследованию. Операция использует поддельные веб-сайты по набору персонала для сбора личной и профессиональной информации от целевых пользователей, говорящих на фарси, что демонстрирует сходство с тактикой, применяемой КСИР Ирана и APT42.
-----

"Мандиант" раскрыл сложную контрразведывательную операцию, связанную с Ираном, направленную против иранцев и лиц, сотрудничающих с иностранными спецслужбами, особенно с Израилем.

В операции задействовано более 35 поддельных веб-сайтов по подбору персонала, предназначенных для сбора личной и профессиональной информации от лиц, говорящих на фарси, используя приманки, связанные с Израилем.

Кампания началась примерно в 2017 году и продолжалась как минимум до марта 2024 года, при этом значительные совпадения между прошлыми и текущими кампаниями указывали на одного и того же участника угрозы.

Поддельные сайты по подбору персонала выдают себя за израильские кадровые фирмы, используя визуальные элементы для создания иллюзии принадлежности к Израилю и запрашивая у пользователей личные данные.

Существует историческая связь между этой операцией и предыдущими кампаниями, направленными против людей, говорящих на фарси и арабском, связанных с Сирией и "Хезболлой" в рамках другой кадровой фирмы под названием "VIP Human Solutions"..

Операция направлена на поддержку усилий иранской контрразведки путем выявления лиц, сотрудничающих с иностранными агентствами или рассматриваемых Ираном как враги, представляющие угрозу для иранских диссидентов, активистов и защитников прав человека.

#ParsedReport #CompletenessLow
28-08-2024

More details on the DDoS attack on the Black Myth: Wukong distribution platform (public version)

https://blog.xlab.qianxin.com/more_ddos_details_on_steam_cn

Report completeness: Low

Threats:
Aisuru
Fodcha
Mirai

Victims:
Steam, Perfect world

Industry:
Entertainment, Healthcare, Critical_infrastructure, Government

Geo:
United kingdom, China, Austria, Australia, Chile, Chinese, Sweden, Korea, Russia, Singapore, Japan, Netherlands, Germany, Spain

ChatGPT TTPs:
do not use without manual check
T1498, T1071.002, T1568.002

IOCs:
File: 3
Hash: 2
Domain: 1

Soft:
telegram

Algorithms:
chacha20, xxtea, sha1

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание масштабной DDoS-атаки на платформу Steam, организованной ботнетом AISURU, которая была нацелена на несколько IP-адресов серверов по всему миру, в том числе во время выхода игры Black Myth: Wukong, демонстрирующей передовую тактику и представляющей значительную угрозу для онлайн-сервисов.
-----

24 августа на платформе Steam произошел серьезный сбой, первоначально предполагавшийся из-за высокой посещаемости игры Black Myth: Wukong. Однако позже выяснилось, что это стало результатом крупномасштабной DDoS-атаки, в которой участвовало около 60 главных узлов ботнета, не поддающихся стандартному контролю. Эти узлы координировали атаки на 107 IP-адресов серверов в 13 регионах, включая Китай, США и Европу. Злоумышленники были нацелены как на глобальные операции Steam, так и на китайский рынок, демонстрируя стратегическое планирование и четкие намерения.

В результате атаки было обработано 280 000 команд, что значительно больше, чем при обычных ежедневных атаках в Steam, достигнув максимума в 250 000. Атака продолжалась несколько часов в период максимальной активности игроков и затронула различные серверы Steam по всему миру, включая те, которыми управляет Perfect World в Китае. Это совпало по времени с выходом Black Myth: Wukong, намекая на целенаправленную попытку сорвать запуск популярной игры.

Основным ботнетом, ответственным за атаку, был AISURU, который насчитывал более 30 000 узлов с пропускной способностью от 1,3 до 2 Тбит/с, что представляло серьезную угрозу для онлайн-сервисов, не имеющих надежной защиты. AISURU появился из ботнета NAKOTNE в начале 2023 года, продемонстрировав передовую тактику, на которую повлиял печально известный ботнет Fodcha. Географически распределенная инфраструктура управления ботнетом затрудняет эффективную борьбу с ним.

Уникальной особенностью AISURU является усовершенствованный механизм сбора данных C2, использующий поддомены и случайное объединение для получения информации C2. Кроме того, ботнет случайным образом выбирает один из 21 порта для связи C2, что повышает его операционную безопасность. Масштаб и изощренность атаки свидетельствуют о значительном прогрессе в методах DDoS-атак, что требует применения передовых стратегий защиты.

Несмотря на многолетний опыт в мониторинге и нейтрализации угроз, связанных с ботнетами, интенсивность и организация этой атаки представляли собой серьезную проблему. Выбор времени атаки в сочетании с запуском Black Myth: Wukong указывает на потенциальные мотивы, связанные с дестабилизацией игровой индустрии Китая. Этот инцидент подчеркивает постоянную угрозу, создаваемую DDoS-атаками для онлайн-платформ, и необходимость постоянной бдительности и инноваций в мерах кибербезопасности.

#ParsedReport #CompletenessHigh
28-08-2024

Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a

Report completeness: High

Actors/Campaigns:
Fox_kitten
Ransomhouse

Threats:
Dll_sideloading_technique
Meshcentral_tool
Blackbasta
Noescape
Blackcat
Pay2key
Anydesk_tool
Ligolo
Ligolo-ng

Industry:
Government, Healthcare, E-commerce, Education, Financial

Geo:
Iranian, Israel, Azerbaijan, Arab emirates, Iran, United arab emirates

CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2019-19781 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix application delivery controller firmware (10.5, 11.1, 12.0, 12.1, 13.0)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum security gateway firmware (r80.40)


TTPs:
Tactics: 10
Technics: 18

IOCs:
File: 5
Path: 3
IP: 12
Domain: 4
Coin: 14
Hash: 7

Soft:
SysInternals, Windows service, PAN-OS, BIG-IP, PanOS, Windows PowerShell

Crypto:
bitcoin

Languages:
php, powershell

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Объединенный совет по кибербезопасности предупреждает о том, что базирующиеся в Иране кибер-субъекты, связанные с правительством Ирана, нацелены на американские и иностранные организации в различных областях кибер-деятельности, таких как эксплуатация сети, сотрудничество с программами-вымогателями и кража данных. В рекомендациях приводятся конкретные тактики и показатели, используемые этими участниками угроз, а также рекомендации по смягчению последствий, оперативному сообщению об инцидентах и отказу от выплаты выкупа для защиты от этих киберугроз.
-----

В тексте описывается совместная рекомендация по кибербезопасности, выпущенная ФБР, Агентством по кибербезопасности и инфраструктурной безопасности (CISA) и Центром по борьбе с киберпреступлениями Министерства обороны (DC3), предупреждающая о кибератаках со стороны Ирана, нацеленных на американские и иностранные организации, начиная с августа 2024 года. Эти злоумышленники связаны с правительством Ирана (GOI) и занимаются такими видами деятельности, как эксплуатация компьютерных сетей, сотрудничество с программами-вымогателями и кража конфиденциальных технических данных. В рекомендациях приводятся конкретные тактики, методы и процедуры (TTP), используемые этими субъектами угроз, а также индикаторы компрометации (IOCs).

Злоумышленники используют уязвимости в различных сетевых устройствах, включая Citrix Netscaler, чтобы получить первоначальный доступ к сетям жертв. Они используют такие методы, как развертывание веб-оболочек, для получения учетных данных для входа в систему и создания учетных записей в сетях жертв. Злоумышленники также добиваются исключений из правил безопасности при развертывании своих инструментов, размещают вредоносные файлы, создают запланированные задачи для сохранения и используют такие методы, как дополнительная загрузка библиотек DLL для загрузки вредоносного ПО. Кроме того, они используют методы повышения привилегий, сохранения и обхода защиты.

ФБР и CISA рекомендуют организациям следовать рекомендациям по смягчению последствий, приведенным в рекомендациях, для защиты от этих угроз. Они настоятельно рекомендуют незамедлительно сообщать о любых целенаправленных или скомпрометированных инцидентах в местное отделение ФБР или в форму отчета об инцидентах CISA. Напоминание о том, что выплата выкупа не гарантирует восстановления файлов жертвы, и это может подбодрить злоумышленников, побуждая организации не платить выкуп в случае инцидентов.

Злоумышленники используют различные инструменты и методы для несанкционированного доступа, повышения привилегий и утечки конфиденциальных данных. Они сотрудничают с аффилированными лицами программ-вымогателей для внедрения программ-вымогателей и выработки стратегии действий по вымогательству. Группа также причастна к краже конфиденциальных данных, вероятно, в интересах GOI. Кроме того, участники используют ресурсы облачных вычислений для проведения киберопераций, нацеленных на облачные сервисы, связанные с организациями-жертвами.

В рекомендациях указаны идентификаторы участников угроз и биткоин-адреса, связанные с иранской кибергруппировкой и ее филиалами-вымогателями. Рекомендуется сообщать соответствующим органам о любой подозрительной или преступной деятельности, связанной с информацией, содержащейся в рекомендациях. В тексте подчеркивается необходимость сохранения бдительности, оперативного представления отчетов и воздержания от выплаты выкупа для снижения рисков, связанных с такими киберугрозами.

#ParsedReport #CompletenessMedium
28-08-2024

BlackByte blends tried-and-true tradecraft with newly disclosed vulnerabilities to support ongoing attacks

https://blog.talosintelligence.com/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks

Report completeness: Medium

Threats:
Blackbyte
Anydesk_tool
Conti
Lolbin_technique
Passthehash_technique
Exbyte_stealer
Byovd_technique
Zemana_tool
Terminator_tool
Disabling_antivirus_technique

CVEs:
CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud foundation (le5.2)
- vmware esxi (7.0, 8.0)


TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 11
Path: 1
Registry: 3
Domain: 1
IP: 1
Hash: 4

Soft:
ESXi, Active Directory, Windows Defender

Functions:
NetShareEnumAll

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей BlackByte использует передовую тактику для проведения кибератак, используя уязвимости в драйверах и самораспространяющиеся программы-шифровальщики. Они связаны с группой вымогателей Conti и постоянно совершенствуют свои операции, часто получая первоначальный доступ с помощью действительных учетных данных или аутентификации методом "грубой силы". BlackByte занимается различными вредоносными действиями, такими как использование уязвимостей, перемещение по протоколам SMB и RDP и изменение конфигурации средств защиты. Их программы-вымогатели разрабатываются на языках программирования для повышения устойчивости к обнаружению, что создает проблемы для защитников. Некоторые отрасли промышленности подвергаются более высокому риску из-за использования технологий BlackByte, что подчеркивает важность адаптивных и устойчивых средств контроля безопасности для организаций, защищающих их от новых угроз со стороны программ-вымогателей.
-----

BlackByte - это группа программ-вымогателей, которая использует уязвимости в драйверах и самораспространяющиеся программы-шифровальщики.

В своих атаках они используют CVE-2024-37085 и авторизованные механизмы удаленного доступа жертв.

BlackByte - это группа программ-вымогателей, связанная с Conti, которая постоянно совершенствует свои операции и сайт по утечке данных.

Первоначальный доступ часто получают, используя действительные учетные данные для доступа к VPN организаций-жертв, с потенциальной аутентификацией методом "грубой силы" с помощью интернет-сканирования в качестве средства доступа.

Скомпрометированные учетные записи уровня администратора домена используются для повышения привилегий, а действия включают использование уязвимостей в VMware ESXi и использование протоколов SMB и RDP для горизонтального перемещения.

Двоичный файл программы-вымогателя "host.exe" последовательно запускается из каталога "C:\Windows", включая создание раздела реестра, перечисление сетевых ресурсов и отключение средств защиты.

Компания BlackByte развивалась в области языков программирования для повышения устойчивости к вредоносным программам, перейдя с C# на Go и теперь используя C/C++ для последней версии шифровальщика BlackByteNT.

Некоторые отрасли, такие как профессиональные и технические услуги, подвергаются более высокому риску из-за уязвимостей, используемых BlackByte.

Организациям необходимо инвестировать в адаптивные и устойчивые средства контроля безопасности для борьбы с меняющимся ландшафтом угроз, создаваемых такими группами программ-вымогателей, как BlackByte.

#ParsedReport #CompletenessLow
28-08-2024

SMS scammers use toll fees as a lure

https://www.malwarebytes.com/blog/news/2024/08/sms-scammers-use-toll-fees-as-a-lure

Report completeness: Low

Industry:
Transport

Geo:
Japan, The us, Canada, Australia

ChatGPT TTPs:
do not use without manual check
T1589, T1566.002

IOCs:
Domain: 18
IP: 1

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в предупреждении ФБР о новом типе мошеннических рассылок смс-рассылок, нацеленных на отдельных лиц с помощью текстовых сообщений. Рассылка смс-рассылок предполагает, что мошенники пытаются обманом заставить пользователей перейти по ссылке, утверждая, что получатель должен небольшую сумму в качестве платы за проезд. Мошенники охотятся за людьми, которые недавно путешествовали или планируют поездки, побуждая их предоставлять личную информацию на поддельном веб-сайте. Чтобы защититься от подобных мошенничеств, частным лицам рекомендуется тщательно изучить источник сообщения, проверить домен веб-сайта, сверить информацию с официальными источниками и сообщать о подозрительных сообщениях в ФБР.
-----

В апреле 2024 года ФБР выпустило предупреждение о новом типе мошеннических рассылок, нацеленных на отдельных лиц с помощью текстовых сообщений. Смишинг - термин, используемый для обозначения фишинговых атак, проводимых с помощью SMS, - подразумевает, что мошенники пытаются обманом заставить пользователей перейти по ссылке, ложно заявляя, что получатель задолжал незначительную сумму в виде платы за проезд. Мошеннический текст предназначен для людей, которые, возможно, недавно совершали летние поездки или планируют навестить родственников во время отпусков, что повышает вероятность того, что они попадутся на уловку. Сообщения должны выглядеть правдоподобно, побуждая пользователей посещать поддельный веб-сайт, который полностью имитирует оригинальную платформу для оплаты проезда.

При посещении поддельного веб-сайта получателям предлагается предоставить личные данные, такие как номера телефонов, адреса электронной почты, полные имена, адреса электронной почты и данные кредитной карты. Эти конфиденциальные данные могут быть использованы мошенниками в таких неблаговидных целях, как кража личных данных и финансовое мошенничество. В то время как в Соединенных Штатах число подобных мошеннических атак растет, они также нацелены на отдельных лиц в таких странах, как Австралия, Канада и Япония.

Чтобы не стать жертвой подобных мошенничеств, людям рекомендуется внимательно следить за номером телефона, с которого приходит текстовое сообщение. Некоторые мошеннические сообщения можно легко идентифицировать по их иностранному происхождению. Кроме того, получателям следует внимательно изучить доменное имя веб-сайта, на котором указаны предполагаемые сборы за проезд, поскольку мошенники могут создать убедительные копии с незначительными отличиями. В случае принятия решения о внесении платежа получателям следует ожидать последующего подтверждения, поскольку законные агентства по взиманию платы за проезд обычно выдают подтверждения после оплаты. Неполучение такого подтверждения должно повлечь за собой немедленное расследование и, возможно, замораживание средств на использованной кредитной карте.

Крайне важно никоим образом не вступать в контакт с мошенником, поскольку любая форма ответа предоставляет ему ценную информацию, включая подтверждение того, что номер телефона активен. Если плата за проезд кажется приемлемой в связи с недавними поездками в указанный район, физическим лицам рекомендуется проверить информацию на официальном веб-сайте платной службы или обратиться на горячую линию службы поддержки клиентов. ФБР настоятельно рекомендует получателям подозрительных сообщений сообщать о них в Центр жалоб на интернет-преступления ФБР по адресу ic3.gov, указав такие детали, как исходящий номер телефона и веб-сайт, упомянутый в текстовом сообщении. Сохраняя бдительность и соблюдая эти меры предосторожности, частные лица могут снизить риск стать жертвами мошеннических действий и защитить свою личную информацию от использования.

#ParsedReport #CompletenessMedium
28-08-2024

From 12 to 21: How We Discovered Twelve and BlackJack Gang Links

https://securelist.ru/blackjack-hacktivists-connection-with-twelve/110326

Report completeness: Medium

Actors/Campaigns:
Blackjack (motivation: hacktivism, financially_motivated)
C0met (motivation: hacktivism)
Lockbit

Threats:
Putty_tool
Disttrack
Lockbit
Radmin_tool
Anydesk_tool
Twelve_ransomware
Chaos_ransomware
Wevtutil_tool
Mimikatz_tool
Chisel_tool
Bloodhound_tool
Powerview_tool
Remcom_tool
Crackmapexec_tool
Wmiexec_tool

Victims:
Companies located in russia, Russian organizations, Government agencies

Industry:
Telco, Government

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1059.001, T1077, T1219, T1021.004, T1486, T1561.001

IOCs:
Hash: 7
File: 4
Path: 7
Command: 1
IP: 1

Soft:
Telegram, PsExec, XenAllPasswordPro, WinSCP, Windows Defender

Algorithms:
zip

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается расследование кибератак на российские организации, совершенных двумя группами хактивистов BlackJack и Twelve, выявляющее потенциальные связи между ними с помощью совпадающих тактик, инструментов и процедур. Эти группы используют аналогичные вредоносные программы, такие как программа-вымогатель LockBit и программы-очистители на базе Shamoon, и нацелены на различные сектора в России, что указывает на скоординированную деятельность хакеров, направленную на причинение ущерба, а не на получение финансовой выгоды.
-----

В тексте описывается расследование кибератак на российские организации, в котором основное внимание уделяется двум группам хактивистов под названием BlackJack и Twelve. Исследование выявляет совпадающие тактики, методы, процедуры и инструменты, используемые этими группами, что указывает на возможную связь между ними. BlackJack, созданная в конце 2023 года, нацелена на российские компании и правительственные учреждения, утверждая, что занимается поиском уязвимостей в их сетях. Группа публично взяла на себя ответственность за многочисленные атаки и была связана с другими пользователями посредством телеметрических данных. В BlackJack используется бесплатное программное обеспечение с открытым исходным кодом, такое как PuTTY и Shamoon, что демонстрирует их хактивистский характер и нехватку ресурсов по сравнению с более крупными группами участников угроз.

Для компрометации жертв BlackJack group использует программу wiper, основанную на Shamoon, написанную на Go, а также программу-вымогатель LockBit. Вредоносная программа LockBit распространяется вместе с программой wiper в заранее определенных каталогах, чтобы облегчить выполнение в системах жертвы. Удаленный доступ к скомпрометированным системам обеспечивается с помощью таких инструментов, как AnyDesk и PuTTY. Схожесть инструментов и методов с Twelve group, которая также использует общедоступное программное обеспечение, предполагает потенциальную группировку этих действий.

Сравнение образцов программ-вымогателей и wiper, используемых BlackJack и Twelve, показывает значительное сходство, что указывает на потенциальный обмен вредоносными инструментами между группами. Обе группы используют программы-вымогатели LockBit и wiper на базе Shamoon с идентичными конфигурациями и путями развертывания. Анализ также выявил наличие схожих команд, утилит и процедур атаки, используемых обеими группами для взлома систем. Кроме того, была выявлена новая активность, напоминающая тактику исследованного кластера, что подтверждает предположение о взаимосвязанных действиях хактивистов, направленных против российских организаций.

Выявленные вредоносные инструменты и действия происходят в инфраструктурах государственных, телекоммуникационных и промышленных предприятий России. Хотя окончательно не подтверждено, стоят ли за обеими группами одни и те же злоумышленники, имеющиеся данные свидетельствуют о том, что BlackJack и Twelve, скорее всего, являются частью объединенной группировки, проводящей хактивистские операции с целью нанесения значительного ущерба своим целям, а не получения финансовой выгоды.

Минутка саморекламы