#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, нацеленными на Microsoft Sway, в основном использующими "квишинг" с помощью QR-кодов для обмана пользователей с целью получения доступа к вредоносным веб-сайтам и кражи учетных данных, особенно в Азии и Северной Америке, уделяя особое внимание технологиям, производству и Финансовые секторы. Злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile, чтобы обойти меры безопасности и сохранить репутацию домена. Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам и сохранять бдительность в отношении подобных фишинговых кампаний.
-----

В июле 2024 года лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, использующими Microsoft Sway, при этом трафик на фишинговые страницы увеличился в 2000 раз. В этих кампаниях в основном использовалась форма фишинга, называемая "Квишинг", которая заключалась в том, что пользователи обманом получали доступ к вредоносным веб-сайтам с помощью QR-кодов, встроенных в документы. Жертвы в основном находились в Азии и Северной Америке, особенно в таких секторах, как технологии, производство и финансы.

Злоумышленники инструктировали жертв сканировать QR-коды с помощью мобильных устройств, исходя из предположения, что личные устройства могут иметь более слабые меры безопасности по сравнению с корпоративными, что облегчает неограниченный доступ к фишинговым сайтам. Для повышения эффективности своих кампаний злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile. Благодаря прозрачному фишингу жертвы просматривали контент, идентичный легальным страницам входа в систему, что потенциально позволяло обойти такие меры безопасности, как многофакторная аутентификация. Турникет Cloudflare был использован для сокрытия фишинговой информации от сканеров статического контента, что позволило сохранить репутацию домена.

Фишинговые кампании использовали Microsoft Sway, облачное приложение, предназначенное для обмена креативным контентом, для перенаправления пользователей на фишинговые страницы с помощью QR-кодов. Эти страницы имитировали законные страницы входа в Microsoft 365 для сбора учетных данных пользователей. Используя Google Chrome и QR Code Generator PRO, злоумышленники генерировали QR-коды для перенаправления жертв на вредоносные сайты. Кроме того, в некоторых кампаниях использовался Cloudflare Turnstile для защиты фишинговых данных от онлайн-сканеров, что не позволяло службам фильтрации помечать домен.

После прохождения проверки с помощью CAPTCHA с помощью Turnstile фишинговые страницы использовали прозрачную технологию фишинга, копируя законные страницы входа в систему Microsoft 365 для сбора учетных данных. Этот метод, известный как фишинг "атакующий посередине", не только собирает учетные данные, но и пытается ввести жертвы в систему, захватывая многофакторные коды и токены, которые могут быть использованы злоумышленниками для дальнейшей эксплуатации.

Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам, связанным с влиянием Microsoft. Поскольку злоумышленники постоянно совершенствуют свои методы, защитники должны сохранять бдительность и соответствующим образом обновлять меры безопасности. Лаборатория Netskope Threat Labs взяла на себя обязательства по мониторингу вредоносных действий, направленных против Microsoft Sway, и посоветовала организациям убедиться, что они хорошо подготовлены к обнаружению и предотвращению подобных фишинговых кампаний в будущем.

#ParsedReport #CompletenessMedium
28-08-2024

Technical Analysis of Copybara

https://www.zscaler.com/blogs/security-research/technical-analysis-copybara

Report completeness: Medium

Threats:
Copybara
Credential_stealing_technique

Industry:
Iot

Geo:
Italy, Spain

ChatGPT TTPs:
do not use without manual check
T1071.001, T1202, T1546.008, T1056.001, T1113, T1123

IOCs:
File: 2
Hash: 79
IP: 14
Url: 44

Soft:
Android, Google Chrome

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе нового варианта вредоносного ПО для Android Copybara, которое в основном распространяется с помощью голосовых фишинговых атак и использует протокол MQTT для связи со своим сервером управления. Вредоносная программа способна осуществлять кейлоггинг, аудио- и видеозапись, перехват SMS-сообщений, захват экрана и кражу учетных данных, нацеливаясь на криптовалютные биржи и финансовые учреждения в Италии и Испании.
-----

Zscaler ThreatLabZ недавно проанализировал новый вариант Copybara, семейства вредоносных программ для Android, которое впервые появилось в ноябре 2021 года. Этот новый вариант Copybara, действующий с ноября 2023 года, в основном распространяется посредством голосовых фишинговых атак (вишинга), когда жертвы получают по телефону инструкции по установке вредоносного ПО для Android. Вредоносная программа использует протокол MQTT для связи со своим сервером управления (C2) и злоупотребляет функцией специальных возможностей на устройствах Android для осуществления контроля над зараженным устройством.

Вредоносная программа загружает фишинговые страницы, имитирующие популярные криптовалютные биржи и финансовые учреждения, чтобы обманом заставить жертв ввести свои учетные данные. Последняя версия Copybara включает в себя 59 поддерживаемых команд и способна осуществлять кейлоггинг, аудио- и видеозапись, перехват SMS-сообщений, захват экрана, кражу учетных данных и удаленное управление зараженным устройством. Вредоносная программа часто выдает себя за известные финансовые учреждения в Италии и Испании и использует логотипы и названия приложений этих учреждений, чтобы обмануть жертв.

Заметным дополнением в этом варианте является использование протокола MQTT для обмена данными, предназначенного для эффективной связи между устройствами с ограниченными ресурсами, что обычно используется в контексте Интернета вещей (IoT). Copybara использует платформу B4A, надежный инструмент для создания приложений для Android. После установки вредоносная программа запрашивает у пользователей разрешение службы специальных возможностей в качестве законного запроса, но это разрешение предоставляет вредоносной программе полный контроль над устройством. Если разрешение не предоставлено, вредоносная программа отображает уведомления, чтобы заставить пользователей включить его, и ограничивает доступ к настройкам, чтобы предотвратить удаление.

Сервер C2 отправляет ZIP-файлы, содержащие поддельные страницы входа в систему, для фишинговых операций, имитирующих популярные биржи и финансовые учреждения. В ходе анализа исследователи выявили два действующих сервера C2, которые активно обслуживают эти обманчивые страницы. Copybara устанавливает связь с сервером C2 через сервер MQTT на порту 52997, подписываясь на указанную очередь для получения команд. Вредоносная программа нацелена на кражу конфиденциальной информации путем обмана пользователей, которые вводят свои учетные данные на этих фишинговых страницах.

Основными целями Copybara являются криптовалютные биржи и финансовые учреждения в Италии и Испании, которые используют различные тактики для обмана пользователей и получения несанкционированного доступа к их учетным записям. Хотя основной целью является кража учетных данных, широкие возможности вредоносного ПО делают его серьезной угрозой для злоумышленников, проводящих целенаправленные атаки. Троянец может записывать аудио/ видео, захватывать экраны, перехватывать SMS-сообщения и осуществлять контроль над зараженным устройством, создавая серьезную угрозу конфиденциальности и безопасности пользователей.

#ParsedReport #CompletenessHigh
29-08-2024

The Malware That Must Not Be Named: Suspected Espionage Campaign Delivers "Voldemort"

https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort

Report completeness: High

Threats:
Voldemort
Cobalt_strike
Dll_hijacking_technique
Dumpulator_tool
Dll_sideloading_technique

Industry:
Transport, Education, Government, Financial, Aerospace

Geo:
The uk, India, Italy, France, Japan, The us, Asia, Germany

ChatGPT TTPs:
do not use without manual check
T1071.001, T1027, T1071.003, T1566.001, T1204.002, T1036.005, T1043

IOCs:
Domain: 9
File: 13
Url: 18
Path: 1
Hash: 5

Soft:
InfinityFree, Windows Explorer, TryCloudflare, Windows Search, Microsoft search, OpenWRT

Algorithms:
xor, des, rc4, sha256, zip, base64

Functions:
within

Languages:
python, javascript, powershell

Platforms:
x86, x64

Links:
https://github.com/mrexodia
https://github.com/mrexodia/dumpulator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея заключается в том, что исследователи в области кибербезопасности выявили сложную вредоносную программу под названием "Волдеморт", которая осуществляет шпионскую деятельность, выдавая себя за налоговые органы разных стран по всему миру. Злоумышленники использовали уникальную тактику, такую как использование Google Sheets для управления, нацеливание на различные организации в разных отраслях, использование уязвимостей при боковой загрузке библиотек DLL и использование туннелей Cloudflare и скриптов Python для вредоносных действий. Сложность кампании и ее специфическая направленность затрудняют отнесение атак к конкретному субъекту угрозы, что подчеркивает необходимость усиления организациями своих мер безопасности против развивающихся киберугроз.
-----

Исследователи Proofpoint обнаружили сложную вредоносную программу под названием "Voldemort", направленную на ведение шпионской деятельности путем выдачи себя за налоговые органы различных стран Европы, Азии и США. Кампания была нацелена на десятки организаций по всему миру, используя необычные тактические приемы, такие как использование Google Sheets для управления (C2) и внешнего общего доступа для сохраненные файлы поиска. Злоумышленники внедрили пользовательский бэкдор под названием Voldemort, написанный на C, позволяющий собирать информацию и предоставлять дополнительные полезные данные, такие как Cobalt Strike.

Вредоносная активность началась в августе 2024 года и затронула более 70 организаций с помощью сообщений, выдававших себя за налоговые органы, такие как IRS, HM Revenue & Customs и другие. Злоумышленник адаптировал приманки к стране проживания получателей, нацеливаясь на такие вертикали, как страховые компании, аэрокосмическая отрасль, транспорт и университеты. В цепочке атак использовались новые методы для C2, в том числе использование туннелей Cloudflare и скриптов Python для сбора компьютерной информации и выполнения вредоносных действий.

Злоумышленники использовали уязвимости при загрузке библиотек DLL в исполняемых файлах, таких как CiscoCollabHost.exe и Shuaruta.exe, чтобы внедрить маяки Cobalt Strike для дальнейших вредоносных действий. Для обмена данными и эксфильтрации данных Волдеморт использовал инфраструктуру Google Sheets, считывая команды из определенных мест в Sheet и записывая обратно информацию о хосте. Детальный анализ вредоносной программы выявил ее возможности по сбору данных, загрузке полезной нагрузки и участию в шпионской деятельности.

Несмотря на то, что характеристики кампании соответствуют деятельности киберпреступников и шпионов, Proofpoint не смог отнести ее к конкретному субъекту угрозы. Уникальное сочетание интеллектуальных возможностей и базовых функциональных возможностей усложняет оценку уровня знаний субъекта угрозы и конечных целей кампании. Сложность кампании в сочетании со специфическим таргетингом указывает на необычный и потенциально меняющийся ландшафт угроз.

Рекомендации по защите от таких угроз включают ограничение доступа к внешним файлообменным сервисам, мониторинг сетевых подключений для выявления подозрительных действий и оповещение о потенциальных угрозах. Результаты исследования подчеркивают необходимость того, чтобы организации сохраняли бдительность и адаптировали меры безопасности для борьбы с изощренными киберугрозами, такими как Волдеморт.

#ParsedReport #CompletenessMedium
29-08-2024

Peach Sandstorm deploys new custom Tickler malware in long-running intelligence gathering operations

https://www.microsoft.com/en-us/security/blog/2024/08/28/peach-sandstorm-deploys-new-custom-tickler-malware-in-long-running-intelligence-gathering-operations

Report completeness: Medium

Actors/Campaigns:
Apt33
Irgc

Threats:
Tickler
Password_spray_technique
Dll_sideloading_technique
Smokeloader
Anydesk_tool
Ad_explorer_tool

Victims:
Organizations, Educational sector, Higher education sector, Defense sector, Government sector, Space sector, Communications equipment sector, Oil and gas sector, Federal government sector, State government sector, have more...

Industry:
Government, Education, Healthcare, Petroleum, Telco

Geo:
Iranian, United arab emirates, Middle east, Australia, The us, Iran, Arab emirates

ChatGPT TTPs:
do not use without manual check
T1110.003, T1071.001, T1078, T1021.002, T1560

IOCs:
Hash: 9
File: 12
Domain: 16

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Active Directory, Microsoft Outlook, Microsoft Teams, Azure App Service

Algorithms:
zip, sha256

Win API:
LoadLibraryA

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft наблюдала за спонсируемым иранским государством злоумышленником Peach Sandstorm, участвующим в кибероперациях с помощью нового пользовательского многоступенчатого бэкдора под названием Tickler. "Персиковая песчаная буря" была нацелена на различные секторы, такие как спутниковая связь, оборудование для связи, нефть и газ, а также государственные учреждения в Соединенных Штатах и Объединенных Арабских Эмиратах, что соответствовало их постоянным целям сбора разведывательной информации. Корпорация Майкрософт активно отслеживает действия Peach Sandstorm, пресекает вредоносные операции и обращает внимание на эволюционирующую тактику злоумышленников, направленную на повышение осведомленности и усиление защиты от них и подобных злоумышленников.
-----

В период с апреля по июль 2024 года было замечено, что иранский государственный агент Peach Sandstorm проводит кибероперации, используя новый пользовательский многоступенчатый бэкдор под названием Tickler.

Tickler использовался для проведения атак, нацеленных на такие сектора, как спутниковая связь, оборудование связи, нефть и газ, а также федеральные учреждения и органы управления штатов в Соединенных Штатах и Объединенных Арабских Эмиратах.

Peach Sandstorm продолжала проводить атаки с использованием паролей в различных секторах, включая образование, спутниковую, правительственную и оборонную промышленность, для сбора разведданных.

Peach Sandstorm действует от имени иранского корпуса стражей исламской революции (КСИР) с целью содействия сбору разведывательных данных в поддержку государственных интересов Ирана.

Злоумышленник использовал инфраструктуру Azure для целей управления (C2), используя поддельные подписки, контролируемые злоумышленником.

Peach Sandstorm продемонстрировала отличные возможности бокового перемещения и использовала такие методы, как боковое перемещение малого и среднего бизнеса в скомпрометированных сетях.

Аналитические материалы Microsoft threat intelligence направлены на повышение осведомленности и оказание помощи организациям в усилении их защиты от Peach Sandstorm и аналогичных угроз.

#ParsedReport #CompletenessMedium
30-08-2024

State-backed attackers and commercial surveillance vendors repeatedly use the same exploits

https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: government_sponsored)

Threats:
Intellexa
Watering_hole_technique
Validvictor
Cookiesnatch
Androsnatch

Victims:
Mongolian government websites, Cabinet.gov.mn, Mfa.gov.mn

Industry:
Government

Geo:
Mongolian, Russian

CVEs:
CVE-2024-5274 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.112)

CVE-2023-41993 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<17.0.1)
- apple iphone os (<17.0.1)
- apple macos (<14.0)

CVE-2024-4671 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<124.0.6367.201)

CVE-2021-1879 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<14.4.2)
- apple iphone os (<12.5.2, <14.4.2)
- apple watchos (<7.3.3)

CVE-2021-37973 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<94.0.4606.61)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1189, T1555.003, T1574.002

IOCs:
Domain: 2
Url: 3
File: 1
Hash: 4

Soft:
Chrome, Android, Google Chrome, Gmail, outlook, Jenkins

Algorithms:
aes, ecdh

Languages:
javascript

Platforms:
apple

Links:
https://github.com/WebKit/WebKit/blob/88278b55563e5ccdc0b3419c6c391c3becc19e40/Source/WebCore/dom/Document.h#L1728

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке на правительственные веб-сайты Монголии, приписываемой поддерживаемой Россией группе APT29, с использованием эксплойтов, нацеленных на уязвимости iOS WebKit и Chrome. Эти атаки были связаны с использованием уязвимостей, схожих с эксплойтами, используемыми Intellexa и NSO, и продемонстрировали высокий уровень координации и технического мастерства. Для защиты от подобных угроз необходимы эффективные стратегии противодействия, такие как оперативное внесение исправлений и усиленные меры безопасности.
-----

В последнем отчете об эксплойтах за последний день сообщается о кибератаке на правительственные веб-сайты Монголии, которую приписывают поддерживаемой Россией APT29, и которая имеет сходство с эксплойтами, используемыми Intellexa и NSO. Группа анализа угроз Google (TAG) в период с ноября 2023 по июль 2024 года выявила многочисленные кампании по использованию уязвимостей, которые были связаны с хакерской атакой на правительственные веб-сайты Монголии. Целью атак были уязвимости iOS WebKit и Chrome, которые использовались для использования устройств с устаревшими версиями программного обеспечения. Несмотря на наличие исправлений, незащищенные устройства оставались уязвимыми. С умеренной степенью уверенности можно предположить, что эти кампании связаны с APT29, и злоумышленники использовали эксплойты, аналогичные тем, которые используются коммерческими поставщиками систем видеонаблюдения.

Атака watering hole затронула такие веб-сайты, как cabinet.gov.mn и mfa.gov.mn, загрузив скрытые iframe-файлы с доменов, контролируемых злоумышленниками, таких как track-adv.com. Уязвимости были нацелены на пользователей iPhone с версиями iOS старше 16.6.1 и пользователей Android с определенными версиями Chrome. Злоумышленники использовали фреймворк для кражи файлов cookie для извлечения данных из браузера и использовали разведывательную полезную нагрузку для точной идентификации целевых устройств.

Эксплойты для iOS, обнаруженные APT29, напоминали предыдущие атаки, которые были зафиксированы Google TAG, что указывает на постоянную угрозу, использующую известные уязвимости для вредоносных действий. Злоумышленники использовали сложные методы для сбора информации об устройстве и утечки конфиденциальных данных. Кампании продемонстрировали высокий уровень координации и технического мастерства, продемонстрировав эволюционирующую тактику участников угроз по использованию уязвимостей нулевого дня.

Хотя точный источник этих эксплойтов остается неясным, использование известных уязвимостей, первоначально обнаруженных коммерческими поставщиками систем видеонаблюдения, подчеркивает риски, связанные с распространением продвинутых эксплойтов для злоумышленников. Атаки, подобные тем, что наблюдались в этом инциденте, подчеркивают постоянную угрозу, исходящую от изощренных киберкампаний, нацеленных на государственные учреждения и другие важные объекты. Эффективные стратегии смягчения последствий, включая оперативное исправление и усиленные меры безопасности, имеют решающее значение для защиты от таких угроз.

#ParsedReport #CompletenessHigh
30-08-2024

Stone Wolf Attacks Russian Companies with Meduza Stealer

https://bi.zone/expertise/blog/stone-wolf-atakuet-rossiyskie-kompanii-stilerom-meduza

Report completeness: High

Actors/Campaigns:
Stone_wolf (motivation: cyber_criminal)

Threats:
Meduza
In2al5d_p3in4er
Spear-phishing_technique

Geo:
Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
Registry: 1
File: 4
Url: 2
Hash: 36
IP: 2

Soft:
Outlook, Chrome, Telegram, Discord, 1Password, SMB server

Wallets:
coinomi, exodus_wallet

Crypto:
ethereum

Algorithms:
aes

Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении новой киберпреступной кампании под названием Stone Wolf, которая использует фишинговые электронные письма, выдавая себя за законные организации, для распространения вредоносного ПО Meduza stealer. Злоумышленники используют репутацию известных брендов, чтобы обманом заставить жертв взаимодействовать с вредоносным контентом, красть конфиденциальные данные из корпоративных сетей и расширять возможности своих вредоносных программ. В тексте подчеркивается важность анализа угроз, упреждающего мониторинга и обучения персонала для защиты организаций от подобных киберугроз.
-----

В тексте описывается новый вид киберпреступной деятельности, направленный на фишинговые кампании с использованием бренда законной организации для привлечения жертв к переходу по вредоносным ссылкам и загрузке вредоносного ПО. Эта конкретная кампания, известная как Stone Wolf, включает рассылку фишинговых электронных писем от имени организации, занимающейся промышленной автоматизацией, для распространения программы Meduza stealer в корпоративных сетях. Злоумышленники используют репутацию и узнаваемость брендов известных организаций, чтобы повысить вероятность взаимодействия жертв с вредоносным контентом.

Злоумышленники используют различные тактики для обмана пользователей, такие как использование узнаваемых логотипов и элементов фирменного стиля, чтобы завоевать доверие и побудить жертв открывать электронные письма и вложения. Смешивая вредоносные файлы с законными документами, злоумышленники стремятся отвлечь жертв и увеличить шансы на успешное проникновение. Кроме того, киберпреступники расширяют возможности своего вредоносного ПО, приобретая такие инструменты, как Meduza stealer, на теневых ресурсах, где они доступны по цене от ежемесячной подписки до бессрочных лицензий.

Программа Meduza stealer, представленная в июне 2023 года, собирает обширную системную информацию, включая сведения об операционной системе, технические характеристики устройств, информацию о процессоре и графическом адаптере, разрешение экрана, скриншоты и внешние IP-адреса. Вредоносная программа передает эти конфиденциальные данные на удаленный сетевой ресурс, что облегчает несанкционированный доступ и потенциальную кражу данных. Кроме того, в тексте приведены технические подробности о том, как работает вредоносная программа, включая загрузку файлов с удаленных серверов, выполнение команд и шифрование полезной нагрузки, чтобы избежать обнаружения.

Для обнаружения и устранения таких угроз специалисты BI.ZONE Threat Intelligence подчеркивают важность получения информации о развивающихся киберугрозах и тактиках, используемых злоумышленниками. Они рекомендуют использовать порталы threat intelligence для доступа к актуальной информации о кибератаках, субъектах угроз, тактике, методах и инструментах. Благодаря активному мониторингу и пониманию ситуации с киберугрозами организации могут усилить свою защиту от кибербезопасности, ускорить реагирование на инциденты и защититься от сложных угроз, таких как кампания Meduza stealer.

В тексте излагаются основные выводы, связанные с кампанией Stone Wolf, приводятся подробные сведения о показателях компрометации, содержатся ссылки на систему обнаружения угроз MITRE ATT&CK и рекомендации по защите организаций от аналогичных фишинговых атак и проникновения вредоносных программ. Это подчеркивает острую необходимость постоянного обучения персонала передовым методам обеспечения кибербезопасности, чтобы не стать жертвой фишинговых атак и тактики распространения вредоносных программ, применяемой киберпреступниками.

#ParsedReport #CompletenessMedium
29-08-2024

#StopRansomware: RansomHub Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a

Report completeness: Medium

Actors/Campaigns:
Ransomhub (motivation: financially_motivated)

Threats:
Cyclops_ransomware
Lockbit
Blackcat
Password_spray_technique
Zerologon_vuln
Angryipscanner_tool
Nmap_tool
Mimikatz_tool
Cobalt_strike
Anydesk_tool
Connectwise_rat
Metasploit_tool
Plink_tool
Shadow_copies_delete_technique
Bitsadmin_tool
Sliver_c2_tool
Smbexec_tool
Crackmapexec_tool
Kerberoasting_technique
Qakbot
Spear-phishing_technique
Credential_dumping_technique

Industry:
Transport, Critical_infrastructure, Healthcare, Software_development, Government, Foodtech

CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1709 (-)
- microsoft windows 10 1803 (-)
- microsoft windows 10 1809 (-)
have more...
CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2023-22515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, <8.4.3, <8.5.2)
- atlassian confluence server (<8.3.3, <8.4.3, <8.5.2)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


TTPs:
Tactics: 12
Technics: 23

IOCs:
File: 18
Path: 8
IP: 8
Url: 91
Email: 1

Soft:
ActiveMQ, Confluence, BIG-IP, Windows SMB, PsExec, WinSCP, macOS, Active Directory

Crypto:
bitcoin

Win Services:
ocautoupds, ocomm, ocssd, synctime, xfssvccon, agntsvc, dbeng50, BITS

Languages:
java, powershell

Platforms:
cross-platform, x86

Links:
https://github.com/cisagov/cset/releases/tag/v10.3.0.0
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от программы-вымогателя RansomHub, варианта программы-вымогателя как услуги, предназначенного для критически важных секторов инфраструктуры. В нем подробно описывается тактика, используемая аффилированными лицами RansomHub, включая модель двойного вымогательства, методы компрометации, методы утечки данных, алгоритмы шифрования и инструменты, используемые для вредоносных действий. Также обсуждаются меры по снижению рисков для организаций, а также важность внедрения средств защиты в программное обеспечение и многофакторной аутентификации. Кроме того, в тексте упоминается инициатива #StopRansomware и важность оперативного сообщения в случае инцидента с программой-вымогателем.
-----

В тексте обсуждается угроза, исходящая от программы-вымогателя RansomHub, разновидности программы-вымогателя как услуги, которая с февраля 2024 года нацелена на различные сектора критически важной инфраструктуры. Филиалы RansomHub используют модель двойного вымогательства, шифруя системы и выводя данные для вымогательства у жертв. Как правило, они предоставляют жертвам инструкции связаться с ними через уникальный URL-адрес .onion в браузере Tor и указывают крайний срок для выплаты выкупа, прежде чем данные будут опубликованы на сайте утечки данных RansomHub Tor.

Аффилированные лица RansomHub используют различные методы, такие как фишинговые письма, использование известных уязвимостей и разбазаривание паролей, для взлома систем и конечных точек. Они используют такие инструменты, как AngryIPScanner, Nmap и PowerShell, для сканирования сети и использования автономных технологий. Кроме того, они используют такие инструменты, как Mimikatz, для сбора учетных данных и горизонтального перемещения с помощью таких методов, как протокол удаленного рабочего стола и PsExec.

Методы фильтрации данных зависят от партнера и могут включать такие инструменты, как PuTTY, Amazon AWS S3 buckets, HTTP POST-запросы, WinSCP, Rclone, Cobalt Strike и Metasploit. Программа-вымогатель RansomHub обычно использует алгоритм шифрования по эллиптической кривой для периодического шифрования доступных пользователю файлов по частям, добавляя дополнительные данные в конце файлов.

Аффилированные лица используют законные инструменты, предназначенные для вредоносных действий, включая BITSAdmin, Cobalt Strike, Mimikatz, PsExec, PowerShell, RClone, AngryIPScanner и другие. Меры по снижению рисков, рекомендуемые организациям, включают внедрение более длинных паролей, своевременное исправление уязвимостей, сегментацию сети, средства обнаружения конечных точек и реагирования на них, безопасное ведение журнала и автономное резервное копирование с использованием шифрования.

В тексте подчеркивается важность того, чтобы производители программного обеспечения внедряли безопасность в архитектуру своих продуктов на протяжении всего жизненного цикла разработки программного обеспечения и требовали многофакторной аутентификации (MFA), особенно защищенной от фишинга, для привилегированных пользователей.

В нем также упоминается общегосударственный подход под названием #StopRansomware, который предоставляет ресурсы и оповещения для снижения риска атак программ-вымогателей. Хотя это и не рекомендуется, в случае инцидента с программой-вымогателем настоятельно рекомендуется незамедлительно сообщить об этом в ФБР, CISA или другие соответствующие органы, чтобы снизить дальнейшие риски, связанные с выплатой выкупа.