#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Akamai Security Intelligence and Response Team выявила кампанию ботнета, использующую множество уязвимостей, включая уязвимость нулевого дня под названием CVE-2024-7029, предназначенную для камер закрытого телевидения (CCTV) AVTECH и другие уязвимости. Кампания способствует распространению вируса Mirai, аналогичного вирусу COVID-19, и подчеркивает необходимость принятия упреждающих мер безопасности для смягчения киберугроз.
-----

Команда Akamai Security Intelligence and Response Team (SIRT) выявила кампанию ботнета, использующую множество уязвимостей, включая уязвимость нулевого дня CVE-2024-7029, обнаруженную Алиной Элиович. Эта уязвимость влияет на функцию яркости камер видеонаблюдения AVTECH, позволяя выполнять удаленное выполнение кода (RCE) и способствуя распространению варианта Mirai, связанного с вирусом COVID-19. Кампания, которая началась 18 марта 2024 года, была нацелена на различные уязвимости, помимо CVE-2024-7029, такие как уязвимости AVTECH, RCE Hadoop YARN, CVE-2014-8361 и CVE-2017-17215, что указывает на тактику использования старых, не исправленных уязвимостей для вредоносных действий.

Уязвимость, связанная с внедрением команд в устройства с IP-камерами AVTECH, позволяет злоумышленникам удаленно выполнять команды с повышенными привилегиями, используя слабые места в системе. Несмотря на то, что уязвимая модель была снята с производства, устройства продолжают использоваться по всему миру, в том числе в критически важных инфраструктурных установках. Ботнет, связанный с этой кампанией, вероятно, использует вариант Corona Mirai, подключаясь к хостам через Telnet через определенные порты и отображая строку "Corona" на зараженных хостах. Кроме того, вредоносная программа нацелена на устройства Huawei, зараженные CVE-2017-17215, с помощью жестко запрограммированных IP-адресов управления.

В отчете подчеркивается важность устранения уязвимостей даже без официального назначения CVE, поскольку участники угроз все чаще используют новые или менее известные уязвимости для продвижения своей вредоносной деятельности. Akamai SIRT сохраняет бдительность в мониторинге и представлении отчетов о возникающих угрозах, таких как CVE-2024-7029, для защиты клиентов, сотрудников и всего сообщества специалистов по безопасности. Заинтересованные стороны могут быть в курсе последних обновлений, подписавшись на Akamai SIRT в социальных сетях или зайдя на их страницу исследований в области безопасности.

Таким образом, выводы Akamai SIRT свидетельствуют об использовании CVE-2024-7029 и других уязвимостей в ботнет-кампании, что подчеркивает важность упреждающих мер безопасности для смягчения киберугроз и защиты систем от злоумышленников.

#ParsedReport #CompletenessMedium
30-08-2024

Deep Analysis of Snake Keylogger s New Variant

https://www.fortinet.com/blog/threat-research/deep-analysis-of-snake-keylogger-new-variant

Report completeness: Medium

Threats:
Snake_keylogger
Kraken_keylogger
Process_hollowing_technique

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.007, T1059.005, T1059.001, T1105, T1055.012, T1140, T1113, T1056.001, have more...

IOCs:
File: 12
Url: 3
Hash: 4

Soft:
Pidgin, Discord, Net Framework, Task Scheduler, Google Chrome, Amigo, Kometa, Nichrome, CocCoc, Orbitum, have more...

Algorithms:
base64, sha256

Functions:
URLDownloadToFile, ReadOnly, ZwUnmapViewOfSection, Send

Win API:
CreateProcess, VirtualAllocEx, ReadProcessMemory, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread

Languages:
powershell, swift, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фишинговая кампания, обнаруженная FortiGuard Labs из Fortinet, направленная на распространение нового варианта кейлоггера Snake, нацеленного на жертв с помощью вредоносных документов Excel и использующего уязвимости для загрузки и запуска кейлоггера. Возможности кейлоггера Snake включают в себя сбор конфиденциальной информации, такой как учетные данные, и использование различных механизмов, позволяющих избежать обнаружения, включая запланированные задачи и блокировку процессов. Кроме того, кейлоггер может передавать украденные данные злоумышленнику по различным каналам, причем примечательной особенностью является предотвращение передачи данных, если IP-адрес жертвы совпадает с определенными жестко заданными IP-адресами.
-----

Анализ, проведенный FortiGuard Labs, подразделением Fortinet, выявил фишинговую кампанию, направленную на распространение нового варианта кейлоггера Snake, также известного как "404 кейлоггер" или "KrakenKeylogger". Snake Keylogger - это кейлоггер на основе подписки с различными возможностями, первоначально продававшийся на хакерском форуме. Фишинговое электронное письмо, связанное с этой кампанией, обманом заставляет получателей открыть вредоносный документ Excel под названием "swift copy.xls " ложно утверждая, что средства были переведены на их счет. Однако сервис FortiGuard распознает эту попытку фишинга как вирус, подчеркивая вредоносный характер электронного письма.

При проверке файла Excel было обнаружено, что он содержит встроенный объект link, использующий уязвимость CVE-2017-0199 для загрузки вредоносного файла с "hxxp://urlty.co/byPCO". Загруженный файл 107.hta содержит запутанный код JavaScript, который при расшифровке обнаруживает код VBScript, выполняющий команды PowerShell для загрузки и запуска исполняемого файла (sahost.exe) с определенного URL-адреса. Этот исполняемый файл оказался модулем загрузки, содержащим новый вариант кейлоггера Snake.

Чтобы избежать обнаружения, sahost.exe использует многоуровневые механизмы защиты, такие как преобразование и шифрование именованных ресурсов. Он извлекает различные модули (библиотеки dll) в память, чтобы обеспечить проникновение и развертывание основного модуля Snake Keylogger. Модуль развертывания внутри sahost.exe выполняет удаление процесса, что позволяет скрыть его присутствие, и создает запланированную задачу для запуска Snake Keylogger при запуске системы. Он расшифровывает и развертывает основной модуль Snake Keylogger, используя определенный строковый ключ.

Основной модуль Snake Keylogger предназначен для сбора конфиденциальной информации с устройства жертвы, включая основную информацию об устройстве, сохраненные учетные данные, нажатия клавиш, скриншоты и данные буфера обмена. Этот вариант кейлоггера Snake в первую очередь ориентирован на сбор учетных данных, извлечение их из более чем 50 популярных программ, классифицированных по веб-браузерам, почтовым клиентам, IM-клиентам и FTP-клиентам.

Важной особенностью этого варианта является включение нескольких жестко закодированных IP-адресов, которые при совпадении с IP-адресом жертвы предотвращают отправку собранных учетных данных злоумышленнику. Собранные учетные данные могут быть переданы злоумышленнику по различным каналам, таким как загрузка на FTP-сервер, отправка по электронной почте или отправка через бота Telegram с помощью метода HTTP Post. В этом случае для отправки украденных данных злоумышленнику используется протокол SMTP.

#ParsedReport #CompletenessMedium
29-08-2024

Latrodectus Rapid Evolution Continues With Latest New Payload Features

https://www.netskope.com/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features

Report completeness: Medium

Actors/Campaigns:
Ta577
Ta578

Threats:
Latrodectus
Icedid
Brc4_tool
Emotet
Blackbasta
Dave_crypter

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1218.011, T1140, T1071.001, T1573.001, T1059.007, T1027

IOCs:
File: 3
Hash: 5
Url: 5

Algorithms:
base64, aes-256, aes, rc4, xor

Functions:
DllMain

Win API:
VirtualAlloc, LoadLibrary, GetProcAddress

Languages:
javascript

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Latrodectus
https://github.com/leandrofroes/malware-research/blob/main/Latrodectus/latrodectus\_static\_unpacker.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ и эволюция вредоносного ПО Latrodectus downloader, включая его сходство с IcedID, методы распространения, возможности, цепочку заражения, обновления в версии 1.4, а также постоянные усилия Threat Labs по отслеживанию и защите от этой развивающейся угрозы.
-----

Вредоносная программа-загрузчик Latrodectus, впервые обнаруженная Walmart в октябре 2023 года, привлекла к себе внимание благодаря своему сходству с печально известной вредоносной программой IcedID, включая структуру кода и инфраструктуру, схожие с теми, о которых ранее сообщали Proofpoint и Team Cymru S2. Вредоносная программа в основном распространяется посредством рассылки спама по электронной почте, организованных злоумышленниками TA577 и TA578. Среди ее возможностей - загрузка и запуск дополнительных полезных программ, сбор и передача системных сведений на сервер управления и переписки (C2), завершение процессов и многое другое. Кроме того, в июле 2024 года было также отмечено, что латродектус распространялся барсуком BRC4.

В ходе недавней разработки новая версия полезной нагрузки Latrodectus, версия 1.4, была обнаружена лабораториями угроз во время охоты. Эта обновленная версия содержит различные улучшения, в том числе другой метод деобфускации строк, новую конечную точку C2 и две новые команды бэкдора.

Цепочка заражения Latrodectus обычно начинается с запутанного файла JavaScript, в котором используется технология, включающая многочисленные комментарии, затрудняющие анализ и увеличивающие размер файла. Этот файл JavaScript обрабатывает строки, начинающиеся с определенных строк, которые выполняются как функции JavaScript для загрузки файла MSI с удаленного сервера для последующего выполнения или установки.

После установки MSI-файл использует инструмент Windows rundll32.exe для загрузки библиотеки DLL с именем "nvidia.dll" и вызова в ней функции "AnselEnableCheck". Примечательно, что вредоносная библиотека DLL встроена в CAB-файл с именем "disk1", присутствующий в пакете MSI. Чтобы скрыть основную полезную нагрузку, "nvidia.dll" использует шифровальщика по имени Дэйв, метод, ранее использовавшийся другими вредоносными программами, такими как Emotet и BlackBasta.

Вредоносная программа распаковывает, загружает и выполняет конечную загрузку, используя различные функции Windows API, после выполнения многобайтовых операций XOR с данными, хранящимися в определенных разделах. Был разработан скрипт, помогающий распаковывать и деобфускировать полезные файлы Latrodectus с помощью программы Dave crypter.

В версии 1.4 Latrodectus представлены обновленные функции, такие как пересмотренный метод генерации идентификатора кампании, взаимодействие с сервером C2, включающее сбор данных, шифрование и кодировку base64, а также две новые команды в полезной нагрузке - идентификаторы команд 22 и 25. Команда ID 22 включает загрузку шеллкода с назначенного сервера и выполнение его в новом потоке, в то время как команда ID 25 предназначена для загрузки файлов из удаленных мест и записи их содержимого в определенные пути.

Эволюция Latrodectus направлена на быструю интеграцию новых функциональных возможностей в его полезную нагрузку, что создает проблемы для защитников. Netskope Threat Labs продолжает внимательно следить за достижениями Latrodectus и ее тактики, методов и процедур (TTP) для усиления защиты и расширения возможностей поиска угроз в условиях меняющегося ландшафта угроз.

#ParsedReport #CompletenessHigh
29-08-2024

A Measure of Motive: How Attackers Weaponize Digital Analytics Tools

https://cloud.google.com/blog/topics/threat-intelligence/how-attackers-weaponize-digital-analytics-tools

Report completeness: High

Actors/Campaigns:
Muddywater
Fin11

Threats:
Credential_harvesting_technique
Adwind_rat
Azorult
Dancefloor
Friendspeak
Mixlabel
Cloaking_technique

Industry:
E-commerce

Geo:
Turkey

TTPs:

ChatGPT TTPs:
do not use without manual check
T1592.003, T1202

IOCs:
File: 1
Domain: 4
Url: 4
IP: 3
Hash: 1

Soft:
cURL

Algorithms:
md5, zip

Languages:
javascript, powershell

Platforms:
intel, arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, как злоумышленники адаптируют и используют инструменты цифровой аналитики и рекламы для повышения эффективности своих вредоносных кампаний. В нем рассматриваются различные методы, используемые злоумышленниками, такие как сокращение ссылок, манипулирование геолокацией IP-адресов, технология CAPTCHA и инструменты конкурентной разведки, для обмана жертв и нацеливания на них. В тексте подчеркивается важность осторожности пользователей, проверки URL-адресов и упреждающих мер кибербезопасности для защиты от этих развивающихся киберугроз.
-----

Злоумышленники все чаще используют инструменты цифровой аналитики и рекламы для повышения эффективности своих вредоносных кампаний. Они используют такие методы, как сокращение ссылок, чтобы скрыть URL-адреса вредоносных целевых страниц и перенаправить жертв. Например, UNC1189 использовал сервис сокращения ссылок, чтобы направлять пользователей на документы-приманки для фишинга, в то время как финансово мотивированные злоумышленники использовали средства сокращения ссылок в SMS-фишинговых кампаниях для кражи информации о кредитных картах.

Кроме того, злоумышленники манипулируют данными геолокации IP-адресов, чтобы контролировать распространение вредоносных кампаний и ограничивать доступ к фишинговым страницам-приманкам на основе диапазонов IP-адресов. Они интегрируют такие инструменты, как технология CAPTCHA, чтобы избежать обнаружения средствами безопасности, а также случаи, когда группы участников угроз используют вызовы CAPTCHA для доставки вредоносных программ с помощью вредоносных ZIP-архивов.

Злоумышленники также используют инструменты конкурентной разведки для планирования и проведения вредоносных рекламных кампаний. Они проводят исследование ключевых слов, чтобы привлечь потенциальных жертв, создают убедительные целевые страницы и используют механизмы маскировки, чтобы избежать обнаружения. Стратегический процесс настройки вредоносных рекламных кампаний включает в себя настройку хостинговых доменов, создание целевых страниц и покупку рекламного пространства для размещения вредоносной рекламы.

Отдельным пользователям рекомендуется соблюдать осторожность при переходе по объявлениям или ссылкам и проверять URL-адреса веб-сайтов, чтобы не стать жертвой вредоносных схем. Пользователям важно перепроверять URL-адреса перед загрузкой файлов с доменов, спонсируемых веб-рекламой, чтобы предотвратить непреднамеренную загрузку вредоносных программ.

Конвергенция инструментов анализа данных, используемых в маркетинговых целях, с инструментами, используемыми в кампаниях по борьбе с вредоносными программами, стирает грань между законной и незаконной деятельностью. Злоумышленники используют законные инструменты в злонамеренных целях, создавая значительную опасность в цифровом пространстве. В сообщении подчеркивается, что defenders могут занять активную позицию для снижения рисков, связанных со злоупотреблением инструментами анализа данных при кибератаках. Понимая, как эти инструменты используются в качестве оружия, defenders могут усилить меры безопасности для противодействия все более изощренным киберугрозам.

В конечном счете, публикация в блоге пропагандирует стратегический и упреждающий подход к кибербезопасности, проливая свет на тактику, используемую злоумышленниками, и предоставляя информацию, полезную для защитников. В ней подчеркивается, что создание надежной защиты от киберугроз достижимо, несмотря на эволюционный характер цифровых атак. Демонстрируя способы, с помощью которых злоумышленники используют инструменты анализа данных, статья призывает к активной позиции в защите организаций и частных лиц от вредоносных действий.

#cyberthreattech #llm
Мы продолжаем наши опыты по определению номера TTP по фрагменту текста из TI-отчета.

Итоги на текущий момент:

1. Использование ChatGPT.
ChatGPT 4 выделяет их лучше чем ChatGPT 3,5. По замерам на процентов 15%, но эти +15% кардинально ситуацию не меняют.

2. Стало понятно почему так сильно косячит TRAM.
В их датасете вагон мусора

3. SecureBERT+ дает точность в 70% также из-за мусора в датасете

4. Есть ряд Тактик, текстовка описания которых оооцень похожи и даже эксперт иногда теряется при принятии решения (многие схожие работы также отмечают этот нюанс)

К чему мы пришли:
1. Мы делаем классификацию в 2 этапа: определение Тактики, определение Техники
2. Выделили устойчивую комбинацию Тактик, в которой больше всего ошибок модели и только для них будем применять грязные хаки (какие - не скажу, приходите на наш CTI-митап в сентябре, расскажу голосом) + волевое решение
3. Выхлоп классификатор будет отдаваться на анализ в RAG, где LLM будет принимать окончательное решение (пока этот шаг в бою не тестили, но потестим).

#ParsedReport #CompletenessLow
30-08-2024

Exploring AsyncRAT and Infostealer Plugin Delivery Through Phishing Emails

https://www.esentire.com/blog/exploring-asyncrat-and-infostealer-plugin-delivery-through-phishing-emails

Report completeness: Low

Threats:
Asyncrat
Process_hollowing_technique
Process_injection_technique

ChatGPT TTPs:
do not use without manual check
T1203, T1193, T1059.003, T1059.001, T1053.005, T1055.012, T1119

IOCs:
Hash: 9
Url: 2
Path: 2
File: 3

Soft:
Task Scheduler, Opera, OperaGX, Firefox, Chrome

Wallets:
metamask, tronlink, bitget_wallet, coinbase, ronin_wallet, bitpay, rabby

Crypto:
binance

Algorithms:
zip, md5

Languages:
powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/AsyncRAT/AsyncRAT\_8-7-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается конкретный инцидент, связанный с вредоносным ПО AsyncRAT, подчеркивается использование фишинговых электронных писем для распространения вредоносного по и необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

В августе 2024 года был обнаружен инцидент с заражением, связанный с AsyncRAT, который был инициирован выполнением файла сценария Windows, отправленного по электронной почте. Хотя исходное электронное письмо невозможно было получить, оценка с высокой степенью достоверности указывает на то, что к нему была прикреплена вредоносная полезная нагрузка. Сценарий VBS с именем IRUAHCKDFAFDCHUV.vbs (MD5: 1eefdb23f7c63922756eafb532127b8e) выполнил пакетный файл CEIULUDEZFCEVSMM.bat (MD5: ac0f2aa2c5caf791f0310c2c07a1e1c3) вместе со сценарием PowerShell по адресу "C:\Users\Public\YXRPNPSMGCOBEURV.ps1 ." Сценарий PowerShell (MD5: 315bc30cd580b750b4afc294fa38a8bc) впоследствии создал в системе запланированную задачу для запуска сценария VBS каждые 2 минуты, что привело к запуску командного файла WJVIQQFZMZLSZTJJ.bat (MD5: ec348cf15e839b8912862352bc916d22), который, в свою очередь, выполнил следующее задание: Скрипт PowerShell для ps1. Примечательно, что упомянутые сценарии включали в себя удаление процесса в процессе RegAsm.exe для ввода полезной нагрузки AsyncRAT через двоичный файл "NewPE2.dll" (MD5: dcce5bc3e27295a1cbe13a411244fe93). Строки ввода были запутаны с помощью сложных методов, позволяющих избежать обнаружения.

Анализ показал, что конфигурация AsyncRAT включала плагин infostealer, предназначенный для обработки данных из определенных браузеров. В этой версии AsyncRAT подчеркивалась распространенность электронной почты как способа доставки вредоносных программ, а также роль фишинговых писем в распространении вредоносных программ. Возможности AsyncRAT по удаленному доступу и утечке данных, в частности, с помощью плагина infostealer, предназначенного для браузеров и расширений криптовалютных кошельков, подчеркивают угрозу, которую он представляет для организаций.

Таким образом, этот инцидент продемонстрировал неизменную эффективность фишинговых электронных писем как канала распространения вредоносного ПО. Заражение AsyncRAT с использованием электронной почты и передовых методов обфускации продемонстрировало конвергенцию функций удаленного доступа и кражи данных, подчеркнув необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам. Детальный анализ цепочки заражения и возможностей вредоносного ПО позволил получить ценную информацию для совершенствования стратегий обнаружения угроз и реагирования на них, подчеркнув важнейшую роль проактивного поиска угроз и всесторонней видимости в защите от развивающихся киберугроз.

#ParsedReport #CompletenessHigh
30-08-2024

Exposed and Encrypted: Inside a Mallox Ransomware Attack

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/exposed-and-encrypted-inside-a-mallox-ransomware-attack

Report completeness: High

Threats:
Targetcompany
Shadow_copies_delete_technique
Vssadmin_tool

Industry:
Government, Transport, Retail

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1070, T1489, T1486, T1490, T1547, T1057

IOCs:
File: 7
Url: 7
IP: 3
Hash: 10

Soft:
Microsoft SQL, MS SQL, ESXi, Windows Defender, mysql, bcdedit

Algorithms:
chacha20, md5, sha256

Win API:
SeTakeOwnershipPrivilege, SeDebugPrivilege, ShellExecuteW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании, проведенном Trustwave в ответ на инцидент с несанкционированным доступом во внутренней облачной среде клиента, который привел к развертыванию злоумышленниками программы-вымогателя Mallox. В нем рассматриваются методы, используемые злоумышленниками, анализ программы-вымогателя, ее эволюция в модель "Программа-вымогатель как услуга", ориентированную на различные отрасли, тактика шифрования, методы коммуникации и роль Trustwave в обеспечении кибербезопасности.
-----

Программа-вымогатель Mallox, также известная как FARGO или TargetCompany, атакует системы Microsoft Windows через уязвимости в Microsoft SQL Server и распространилась на системы Linux и среды VMware ESXi.

Программа-вымогатель Mallox работает по модели "Программа-вымогатель как услуга" (RaaS), привлекая партнеров для увеличения масштабов атак, что приведет к значительному росту активности, связанной с Mallox, примерно к середине 2023 года.

Программа-вымогатель Mallox использует тактику двойного вымогательства, шифруя данные и угрожая утечкой украденной информации, если требования о выкупе не будут выполнены, что усиливает давление на организации с целью их выполнения.

Компрометация в расследуемом инциденте произошла из-за непреднамеренного доступа к серверу Shodan, что позволило злоумышленникам идентифицировать уязвимые системы.

Злоумышленники использовали такие инструменты, как команды Invoke-WebRequest и скрипты PowerShell, для загрузки программ-вымогателей и вспомогательных скриптов, изменения прав доступа к файлам, управления службами и сокрытия своих следов после атаки.

Программа-вымогатель Mallox использует алгоритм шифрования ChaCha20, добавляет расширение .rmallox к зашифрованным файлам, нацелена на процессы SQL Server, шифрует важные типы файлов и корректирует системные настройки, чтобы избежать сбоев в работе.

В записке с требованием выкупа содержатся инструкции по связи и оплате через TOR для обеспечения анонимности, предлагается бесплатная расшифровка ограниченного количества файлов, собирается системная информация и осуществляется связь с сервером управления для дальнейших действий.

Trustwave предлагает наступательные и оборонительные решения в области кибербезопасности для эффективного обнаружения киберугроз и реагирования на них, оптимизации инвестиций клиентов и повышения устойчивости системы безопасности.

#ParsedReport #CompletenessHigh
30-08-2024

Operation Oxidov: Sophisticated Malware Campaign Targets Czech Officials Using NATO-Themed Decoys

https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys

Report completeness: High

Actors/Campaigns:
Oxidov

Threats:
Havoc
Sliver_c2_tool
Spear-phishing_technique
Process_injection_technique

Victims:
Government and military officials

Industry:
Military, Government

Geo:
Netherlands, Bulgaria, Czech, Russia, Russian

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 7
Url: 3
Path: 5
IP: 2
Hash: 11

Soft:
outlook, Mac OS

Algorithms:
aes, base64, sha256, rc4, lzma, zip

Functions:
DemonRoutine

Win API:
WaitForSingleObjectEx

Languages:
visual_basic, rust

Platforms:
apple, x64, x86

Links:
https://github.com/optiv/Freeze.rs/blob/main/lib/src/lib.rs
https://github.com/BishopFox/sliver/wiki/Stagers/7116c1c26c5d4e783d60e4e622bd98c67b13f740
https://github.com/kunpen/Havoc-C2

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 18, dump: 1