#ParsedReport #CompletenessMedium
28-08-2024

BlackByte blends tried-and-true tradecraft with newly disclosed vulnerabilities to support ongoing attacks

https://blog.talosintelligence.com/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks

Report completeness: Medium

Threats:
Blackbyte
Anydesk_tool
Conti
Lolbin_technique
Passthehash_technique
Exbyte_stealer
Byovd_technique
Zemana_tool
Terminator_tool
Disabling_antivirus_technique

CVEs:
CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud foundation (le5.2)
- vmware esxi (7.0, 8.0)


TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 11
Path: 1
Registry: 3
Domain: 1
IP: 1
Hash: 4

Soft:
ESXi, Active Directory, Windows Defender

Functions:
NetShareEnumAll

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей BlackByte использует передовую тактику для проведения кибератак, используя уязвимости в драйверах и самораспространяющиеся программы-шифровальщики. Они связаны с группой вымогателей Conti и постоянно совершенствуют свои операции, часто получая первоначальный доступ с помощью действительных учетных данных или аутентификации методом "грубой силы". BlackByte занимается различными вредоносными действиями, такими как использование уязвимостей, перемещение по протоколам SMB и RDP и изменение конфигурации средств защиты. Их программы-вымогатели разрабатываются на языках программирования для повышения устойчивости к обнаружению, что создает проблемы для защитников. Некоторые отрасли промышленности подвергаются более высокому риску из-за использования технологий BlackByte, что подчеркивает важность адаптивных и устойчивых средств контроля безопасности для организаций, защищающих их от новых угроз со стороны программ-вымогателей.
-----

BlackByte - это группа программ-вымогателей, которая использует уязвимости в драйверах и самораспространяющиеся программы-шифровальщики.

В своих атаках они используют CVE-2024-37085 и авторизованные механизмы удаленного доступа жертв.

BlackByte - это группа программ-вымогателей, связанная с Conti, которая постоянно совершенствует свои операции и сайт по утечке данных.

Первоначальный доступ часто получают, используя действительные учетные данные для доступа к VPN организаций-жертв, с потенциальной аутентификацией методом "грубой силы" с помощью интернет-сканирования в качестве средства доступа.

Скомпрометированные учетные записи уровня администратора домена используются для повышения привилегий, а действия включают использование уязвимостей в VMware ESXi и использование протоколов SMB и RDP для горизонтального перемещения.

Двоичный файл программы-вымогателя "host.exe" последовательно запускается из каталога "C:\Windows", включая создание раздела реестра, перечисление сетевых ресурсов и отключение средств защиты.

Компания BlackByte развивалась в области языков программирования для повышения устойчивости к вредоносным программам, перейдя с C# на Go и теперь используя C/C++ для последней версии шифровальщика BlackByteNT.

Некоторые отрасли, такие как профессиональные и технические услуги, подвергаются более высокому риску из-за уязвимостей, используемых BlackByte.

Организациям необходимо инвестировать в адаптивные и устойчивые средства контроля безопасности для борьбы с меняющимся ландшафтом угроз, создаваемых такими группами программ-вымогателей, как BlackByte.

#ParsedReport #CompletenessLow
28-08-2024

SMS scammers use toll fees as a lure

https://www.malwarebytes.com/blog/news/2024/08/sms-scammers-use-toll-fees-as-a-lure

Report completeness: Low

Industry:
Transport

Geo:
Japan, The us, Canada, Australia

ChatGPT TTPs:
do not use without manual check
T1589, T1566.002

IOCs:
Domain: 18
IP: 1

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в предупреждении ФБР о новом типе мошеннических рассылок смс-рассылок, нацеленных на отдельных лиц с помощью текстовых сообщений. Рассылка смс-рассылок предполагает, что мошенники пытаются обманом заставить пользователей перейти по ссылке, утверждая, что получатель должен небольшую сумму в качестве платы за проезд. Мошенники охотятся за людьми, которые недавно путешествовали или планируют поездки, побуждая их предоставлять личную информацию на поддельном веб-сайте. Чтобы защититься от подобных мошенничеств, частным лицам рекомендуется тщательно изучить источник сообщения, проверить домен веб-сайта, сверить информацию с официальными источниками и сообщать о подозрительных сообщениях в ФБР.
-----

В апреле 2024 года ФБР выпустило предупреждение о новом типе мошеннических рассылок, нацеленных на отдельных лиц с помощью текстовых сообщений. Смишинг - термин, используемый для обозначения фишинговых атак, проводимых с помощью SMS, - подразумевает, что мошенники пытаются обманом заставить пользователей перейти по ссылке, ложно заявляя, что получатель задолжал незначительную сумму в виде платы за проезд. Мошеннический текст предназначен для людей, которые, возможно, недавно совершали летние поездки или планируют навестить родственников во время отпусков, что повышает вероятность того, что они попадутся на уловку. Сообщения должны выглядеть правдоподобно, побуждая пользователей посещать поддельный веб-сайт, который полностью имитирует оригинальную платформу для оплаты проезда.

При посещении поддельного веб-сайта получателям предлагается предоставить личные данные, такие как номера телефонов, адреса электронной почты, полные имена, адреса электронной почты и данные кредитной карты. Эти конфиденциальные данные могут быть использованы мошенниками в таких неблаговидных целях, как кража личных данных и финансовое мошенничество. В то время как в Соединенных Штатах число подобных мошеннических атак растет, они также нацелены на отдельных лиц в таких странах, как Австралия, Канада и Япония.

Чтобы не стать жертвой подобных мошенничеств, людям рекомендуется внимательно следить за номером телефона, с которого приходит текстовое сообщение. Некоторые мошеннические сообщения можно легко идентифицировать по их иностранному происхождению. Кроме того, получателям следует внимательно изучить доменное имя веб-сайта, на котором указаны предполагаемые сборы за проезд, поскольку мошенники могут создать убедительные копии с незначительными отличиями. В случае принятия решения о внесении платежа получателям следует ожидать последующего подтверждения, поскольку законные агентства по взиманию платы за проезд обычно выдают подтверждения после оплаты. Неполучение такого подтверждения должно повлечь за собой немедленное расследование и, возможно, замораживание средств на использованной кредитной карте.

Крайне важно никоим образом не вступать в контакт с мошенником, поскольку любая форма ответа предоставляет ему ценную информацию, включая подтверждение того, что номер телефона активен. Если плата за проезд кажется приемлемой в связи с недавними поездками в указанный район, физическим лицам рекомендуется проверить информацию на официальном веб-сайте платной службы или обратиться на горячую линию службы поддержки клиентов. ФБР настоятельно рекомендует получателям подозрительных сообщений сообщать о них в Центр жалоб на интернет-преступления ФБР по адресу ic3.gov, указав такие детали, как исходящий номер телефона и веб-сайт, упомянутый в текстовом сообщении. Сохраняя бдительность и соблюдая эти меры предосторожности, частные лица могут снизить риск стать жертвами мошеннических действий и защитить свою личную информацию от использования.

#ParsedReport #CompletenessMedium
28-08-2024

From 12 to 21: How We Discovered Twelve and BlackJack Gang Links

https://securelist.ru/blackjack-hacktivists-connection-with-twelve/110326

Report completeness: Medium

Actors/Campaigns:
Blackjack (motivation: hacktivism, financially_motivated)
C0met (motivation: hacktivism)
Lockbit

Threats:
Putty_tool
Disttrack
Lockbit
Radmin_tool
Anydesk_tool
Twelve_ransomware
Chaos_ransomware
Wevtutil_tool
Mimikatz_tool
Chisel_tool
Bloodhound_tool
Powerview_tool
Remcom_tool
Crackmapexec_tool
Wmiexec_tool

Victims:
Companies located in russia, Russian organizations, Government agencies

Industry:
Telco, Government

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1059.001, T1077, T1219, T1021.004, T1486, T1561.001

IOCs:
Hash: 7
File: 4
Path: 7
Command: 1
IP: 1

Soft:
Telegram, PsExec, XenAllPasswordPro, WinSCP, Windows Defender

Algorithms:
zip

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается расследование кибератак на российские организации, совершенных двумя группами хактивистов BlackJack и Twelve, выявляющее потенциальные связи между ними с помощью совпадающих тактик, инструментов и процедур. Эти группы используют аналогичные вредоносные программы, такие как программа-вымогатель LockBit и программы-очистители на базе Shamoon, и нацелены на различные сектора в России, что указывает на скоординированную деятельность хакеров, направленную на причинение ущерба, а не на получение финансовой выгоды.
-----

В тексте описывается расследование кибератак на российские организации, в котором основное внимание уделяется двум группам хактивистов под названием BlackJack и Twelve. Исследование выявляет совпадающие тактики, методы, процедуры и инструменты, используемые этими группами, что указывает на возможную связь между ними. BlackJack, созданная в конце 2023 года, нацелена на российские компании и правительственные учреждения, утверждая, что занимается поиском уязвимостей в их сетях. Группа публично взяла на себя ответственность за многочисленные атаки и была связана с другими пользователями посредством телеметрических данных. В BlackJack используется бесплатное программное обеспечение с открытым исходным кодом, такое как PuTTY и Shamoon, что демонстрирует их хактивистский характер и нехватку ресурсов по сравнению с более крупными группами участников угроз.

Для компрометации жертв BlackJack group использует программу wiper, основанную на Shamoon, написанную на Go, а также программу-вымогатель LockBit. Вредоносная программа LockBit распространяется вместе с программой wiper в заранее определенных каталогах, чтобы облегчить выполнение в системах жертвы. Удаленный доступ к скомпрометированным системам обеспечивается с помощью таких инструментов, как AnyDesk и PuTTY. Схожесть инструментов и методов с Twelve group, которая также использует общедоступное программное обеспечение, предполагает потенциальную группировку этих действий.

Сравнение образцов программ-вымогателей и wiper, используемых BlackJack и Twelve, показывает значительное сходство, что указывает на потенциальный обмен вредоносными инструментами между группами. Обе группы используют программы-вымогатели LockBit и wiper на базе Shamoon с идентичными конфигурациями и путями развертывания. Анализ также выявил наличие схожих команд, утилит и процедур атаки, используемых обеими группами для взлома систем. Кроме того, была выявлена новая активность, напоминающая тактику исследованного кластера, что подтверждает предположение о взаимосвязанных действиях хактивистов, направленных против российских организаций.

Выявленные вредоносные инструменты и действия происходят в инфраструктурах государственных, телекоммуникационных и промышленных предприятий России. Хотя окончательно не подтверждено, стоят ли за обеими группами одни и те же злоумышленники, имеющиеся данные свидетельствуют о том, что BlackJack и Twelve, скорее всего, являются частью объединенной группировки, проводящей хактивистские операции с целью нанесения значительного ущерба своим целям, а не получения финансовой выгоды.

Минутка саморекламы

Минутка самоиронии.
Ну наконец-таки можно уйти в отпуск... оно как-то и без меня будет работать ))))

#ParsedReport #CompletenessHigh
28-08-2024

Advanced Persistent Threat Targeting Vietnamese Human Rights Defenders

https://www.huntress.com/blog/advanced-persistent-threat-targeting-vietnamese-human-rights-defenders

Report completeness: High

Actors/Campaigns:
Oceanlotus

Threats:
Cobalt_strike
Metasploit_tool
Dll_sideloading_technique
Bloat_technique
Steganography_technique
Junk_code_technique
Procmon_tool
Nltest_tool
Netstat_tool
Process_injection_technique

Victims:
Vietnamese human rights defender, Non-profit supporting vietnamese human rights, Journalists, Bloggers, Dissidents, Vietnamese human rights advocates

Geo:
Vietnamese

TTPs:
Tactics: 1
Technics: 38

IOCs:
File: 27
Path: 30
Command: 8
Domain: 33
IP: 7
Hash: 25

Soft:
Google Chrome, Windows Defender, Kitty, Component Object Model, Windows Service

Algorithms:
xor, sha256, lznt1, lzma

Win API:
WdiServiceHost, decompress, CryptDecrypt

Languages:
javascript, visual_basic, java, powershell

Platforms:
apple

Links:
https://gist.github.com/craigsweeney/657413fff7a18611c4d7966f0c9d6b1d#file-1-bat
https://gist.github.com/craigsweeney/1b783fcdc8da58eaf4fdb33574287657#file-mssharepoint-vbs
https://github.com
https://gist.github.com/craigsweeney/4cbdf2d277a7d713fb17b405f287d8b8/raw/475a4426763af31506cbb65b0b8d9b76cace9aae/connection.bat
https://gist.github.com/craigsweeney/1b783fcdc8da58eaf4fdb33574287657/raw/ead07c0c577e66d346ef339661757a526da76fe6/MSSharePoint.vbs
https://gist.github.com/craigsweeney/657413fff7a18611c4d7966f0c9d6b1d/raw/b59469b0d27d1f19fb5806059a06a2a23de089a0/1.bat
https://gist.github.com/craigsweeney/4cbdf2d277a7d713fb17b405f287d8b8#file-connection-bat
https://gist.github.com/craigsweeney/75ed7375d4b699160367a4f7bd1ac099/raw/f925fcd605cddeb1e732a78344a7e45748d70ec1/cloud.bat
https://gist.github.com/craigsweeney/75ed7375d4b699160367a4f7bd1ac099#file-cloud-bat

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 1, dump: 3, code: 6, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается недавнее обнаружение охотниками за угрозами в Huntress долгосрочного взлома компьютера вьетнамского правозащитника, который, как предполагается, связан с злоумышленником APT32/OceanLotus. Вторжение продемонстрировало различные совпадения с тактикой APT32 /OceanLotus и целевой демографией, продемонстрировав изощренность и настойчивость. Злоумышленники использовали передовые методы, такие как стеганография, методы обфускации и обеспечение доступа с помощью нескольких бэкдоров. Подробный анализ подчеркивает необходимость постоянной бдительности и активного поиска угроз в отношении таких продвинутых субъектов, особенно в контексте защиты прав человека и журналистики.
-----

В тексте рассказывается о недавнем обнаружении охотниками за угрозами в Huntress долгосрочного вторжения в компьютер вьетнамского правозащитника, которое, как предполагается, связано с злоумышленником APT32/OceanLotus. Вторжение, продолжавшееся не менее четырех лет, продемонстрировало различные совпадения с тактикой APT32/OceanLotus и целевой демографией. В ходе операций по поиску угроз команда Huntress выявила постоянные точки опоры и аномалии, что позволило отследить вторжение задолго до того, как был задействован их агент.

Дальнейшее расследование выявило сложные детали атаки, включая использование вредоносного файла Java Archive (JAR), загрузку встроенных библиотек DLL и запуск запланированных задач. Злоумышленник использовал различные методы, такие как использование законных двоичных файлов, создание ключей запуска, дополнительная загрузка вредоносных библиотек DLL и попытка повышения привилегий через именованные каналы. Злоумышленники также использовали инструменты и бэкдоры, связанные с Cobalt Strike, что указывает на сложную и упорную кампанию.

Анализ образцов вредоносных программ, связанных с APT32/OceanLotus, выявил передовые методы обфускации, такие как обфускация потока управления и разрешение API для расшифровки и внедрения. Вредоносная программа использовала специальные процедуры стеганографии, чтобы скрыть вредоносный код в файлах формата PNG, и при этом использовала множество бэкдоров для обеспечения доступа. Злоумышленники использовали определенные IP-адреса, домены, маскирующиеся под законные, и задачи DropboxUpdate для обмена данными и поддержания контроля над скомпрометированными системами.

Подозрительная активность включала создание нового сервиса для запуска вредоносных двоичных файлов, попытки кражи файлов cookie Google Chrome и подключения к IP-адресам сервера Cobalt Strike Team, подписанным сертификатами Let's Encrypt. Злоумышленники манипулировали памятью процесса, использовали rundll32 для выполнения DLL-файлов и использовали законные двоичные файлы для вредоносных действий. Целевая отрасль и демографическая группа организации-жертвы соответствовали известным целям APT32/OceanLotus, что указывает на целенаправленную и хорошо спланированную кампанию.

IP-адреса серверов Cobalt Strike Team были обнаружены в системах балансировки нагрузки Cloudflare, которые отображали определенные заголовки ответов, соответствующие взаимодействию с такими серверами. Злоумышленники продемонстрировали тонкое понимание скрытности и постоянства, используя сложные методы, позволяющие избежать обнаружения и сохранять доступ в течение длительного периода времени. Это вторжение продемонстрировало высокий уровень сложности и настойчивости, подчеркнув меняющийся ландшафт киберугроз и важность упреждающего поиска и анализа угроз для обнаружения и смягчения последствий таких вторжений.

Широкое совпадение с известными методами, инфраструктурой и инструментами APT32/OceanLotus подчеркивает необходимость постоянной бдительности и сбора информации об угрозах для борьбы с такими продвинутыми субъектами угроз, нацеленными на уязвимые организации и отдельных лиц, особенно в контексте защиты прав человека и журналистики.

#ParsedReport #CompletenessLow
28-08-2024

Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks

https://www.netskope.com/blog/phishing-in-style-microsoft-sway-abused-to-deliver-quishing-attacks

Report completeness: Low

Threats:
Qshing_technique
Transparent_phishing_technique

Victims:
Users of microsoft 365, Users of microsoft office credentials

Industry:
Financial

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1556.004, T1027

IOCs:
Domain: 5
Url: 15

Soft:
Google Chrome, Burpsuite

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/MicrosoftSway

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, нацеленными на Microsoft Sway, в основном использующими "квишинг" с помощью QR-кодов для обмана пользователей с целью получения доступа к вредоносным веб-сайтам и кражи учетных данных, особенно в Азии и Северной Америке, уделяя особое внимание технологиям, производству и Финансовые секторы. Злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile, чтобы обойти меры безопасности и сохранить репутацию домена. Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам и сохранять бдительность в отношении подобных фишинговых кампаний.
-----

В июле 2024 года лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, использующими Microsoft Sway, при этом трафик на фишинговые страницы увеличился в 2000 раз. В этих кампаниях в основном использовалась форма фишинга, называемая "Квишинг", которая заключалась в том, что пользователи обманом получали доступ к вредоносным веб-сайтам с помощью QR-кодов, встроенных в документы. Жертвы в основном находились в Азии и Северной Америке, особенно в таких секторах, как технологии, производство и финансы.

Злоумышленники инструктировали жертв сканировать QR-коды с помощью мобильных устройств, исходя из предположения, что личные устройства могут иметь более слабые меры безопасности по сравнению с корпоративными, что облегчает неограниченный доступ к фишинговым сайтам. Для повышения эффективности своих кампаний злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile. Благодаря прозрачному фишингу жертвы просматривали контент, идентичный легальным страницам входа в систему, что потенциально позволяло обойти такие меры безопасности, как многофакторная аутентификация. Турникет Cloudflare был использован для сокрытия фишинговой информации от сканеров статического контента, что позволило сохранить репутацию домена.

Фишинговые кампании использовали Microsoft Sway, облачное приложение, предназначенное для обмена креативным контентом, для перенаправления пользователей на фишинговые страницы с помощью QR-кодов. Эти страницы имитировали законные страницы входа в Microsoft 365 для сбора учетных данных пользователей. Используя Google Chrome и QR Code Generator PRO, злоумышленники генерировали QR-коды для перенаправления жертв на вредоносные сайты. Кроме того, в некоторых кампаниях использовался Cloudflare Turnstile для защиты фишинговых данных от онлайн-сканеров, что не позволяло службам фильтрации помечать домен.

После прохождения проверки с помощью CAPTCHA с помощью Turnstile фишинговые страницы использовали прозрачную технологию фишинга, копируя законные страницы входа в систему Microsoft 365 для сбора учетных данных. Этот метод, известный как фишинг "атакующий посередине", не только собирает учетные данные, но и пытается ввести жертвы в систему, захватывая многофакторные коды и токены, которые могут быть использованы злоумышленниками для дальнейшей эксплуатации.

Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам, связанным с влиянием Microsoft. Поскольку злоумышленники постоянно совершенствуют свои методы, защитники должны сохранять бдительность и соответствующим образом обновлять меры безопасности. Лаборатория Netskope Threat Labs взяла на себя обязательства по мониторингу вредоносных действий, направленных против Microsoft Sway, и посоветовала организациям убедиться, что они хорошо подготовлены к обнаружению и предотвращению подобных фишинговых кампаний в будущем.

#ParsedReport #CompletenessMedium
28-08-2024

Technical Analysis of Copybara

https://www.zscaler.com/blogs/security-research/technical-analysis-copybara

Report completeness: Medium

Threats:
Copybara
Credential_stealing_technique

Industry:
Iot

Geo:
Italy, Spain

ChatGPT TTPs:
do not use without manual check
T1071.001, T1202, T1546.008, T1056.001, T1113, T1123

IOCs:
File: 2
Hash: 79
IP: 14
Url: 44

Soft:
Android, Google Chrome

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4