#ParsedReport #CompletenessMedium
29-08-2024

Latrodectus Rapid Evolution Continues With Latest New Payload Features

https://www.netskope.com/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features

Report completeness: Medium

Actors/Campaigns:
Ta577
Ta578

Threats:
Latrodectus
Icedid
Brc4_tool
Emotet
Blackbasta
Dave_crypter

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1218.011, T1140, T1071.001, T1573.001, T1059.007, T1027

IOCs:
File: 3
Hash: 5
Url: 5

Algorithms:
base64, aes-256, aes, rc4, xor

Functions:
DllMain

Win API:
VirtualAlloc, LoadLibrary, GetProcAddress

Languages:
javascript

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Latrodectus
https://github.com/leandrofroes/malware-research/blob/main/Latrodectus/latrodectus\_static\_unpacker.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ и эволюция вредоносного ПО Latrodectus downloader, включая его сходство с IcedID, методы распространения, возможности, цепочку заражения, обновления в версии 1.4, а также постоянные усилия Threat Labs по отслеживанию и защите от этой развивающейся угрозы.
-----

Вредоносная программа-загрузчик Latrodectus, впервые обнаруженная Walmart в октябре 2023 года, привлекла к себе внимание благодаря своему сходству с печально известной вредоносной программой IcedID, включая структуру кода и инфраструктуру, схожие с теми, о которых ранее сообщали Proofpoint и Team Cymru S2. Вредоносная программа в основном распространяется посредством рассылки спама по электронной почте, организованных злоумышленниками TA577 и TA578. Среди ее возможностей - загрузка и запуск дополнительных полезных программ, сбор и передача системных сведений на сервер управления и переписки (C2), завершение процессов и многое другое. Кроме того, в июле 2024 года было также отмечено, что латродектус распространялся барсуком BRC4.

В ходе недавней разработки новая версия полезной нагрузки Latrodectus, версия 1.4, была обнаружена лабораториями угроз во время охоты. Эта обновленная версия содержит различные улучшения, в том числе другой метод деобфускации строк, новую конечную точку C2 и две новые команды бэкдора.

Цепочка заражения Latrodectus обычно начинается с запутанного файла JavaScript, в котором используется технология, включающая многочисленные комментарии, затрудняющие анализ и увеличивающие размер файла. Этот файл JavaScript обрабатывает строки, начинающиеся с определенных строк, которые выполняются как функции JavaScript для загрузки файла MSI с удаленного сервера для последующего выполнения или установки.

После установки MSI-файл использует инструмент Windows rundll32.exe для загрузки библиотеки DLL с именем "nvidia.dll" и вызова в ней функции "AnselEnableCheck". Примечательно, что вредоносная библиотека DLL встроена в CAB-файл с именем "disk1", присутствующий в пакете MSI. Чтобы скрыть основную полезную нагрузку, "nvidia.dll" использует шифровальщика по имени Дэйв, метод, ранее использовавшийся другими вредоносными программами, такими как Emotet и BlackBasta.

Вредоносная программа распаковывает, загружает и выполняет конечную загрузку, используя различные функции Windows API, после выполнения многобайтовых операций XOR с данными, хранящимися в определенных разделах. Был разработан скрипт, помогающий распаковывать и деобфускировать полезные файлы Latrodectus с помощью программы Dave crypter.

В версии 1.4 Latrodectus представлены обновленные функции, такие как пересмотренный метод генерации идентификатора кампании, взаимодействие с сервером C2, включающее сбор данных, шифрование и кодировку base64, а также две новые команды в полезной нагрузке - идентификаторы команд 22 и 25. Команда ID 22 включает загрузку шеллкода с назначенного сервера и выполнение его в новом потоке, в то время как команда ID 25 предназначена для загрузки файлов из удаленных мест и записи их содержимого в определенные пути.

Эволюция Latrodectus направлена на быструю интеграцию новых функциональных возможностей в его полезную нагрузку, что создает проблемы для защитников. Netskope Threat Labs продолжает внимательно следить за достижениями Latrodectus и ее тактики, методов и процедур (TTP) для усиления защиты и расширения возможностей поиска угроз в условиях меняющегося ландшафта угроз.

#ParsedReport #CompletenessHigh
29-08-2024

A Measure of Motive: How Attackers Weaponize Digital Analytics Tools

https://cloud.google.com/blog/topics/threat-intelligence/how-attackers-weaponize-digital-analytics-tools

Report completeness: High

Actors/Campaigns:
Muddywater
Fin11

Threats:
Credential_harvesting_technique
Adwind_rat
Azorult
Dancefloor
Friendspeak
Mixlabel
Cloaking_technique

Industry:
E-commerce

Geo:
Turkey

TTPs:

ChatGPT TTPs:
do not use without manual check
T1592.003, T1202

IOCs:
File: 1
Domain: 4
Url: 4
IP: 3
Hash: 1

Soft:
cURL

Algorithms:
md5, zip

Languages:
javascript, powershell

Platforms:
intel, arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, как злоумышленники адаптируют и используют инструменты цифровой аналитики и рекламы для повышения эффективности своих вредоносных кампаний. В нем рассматриваются различные методы, используемые злоумышленниками, такие как сокращение ссылок, манипулирование геолокацией IP-адресов, технология CAPTCHA и инструменты конкурентной разведки, для обмана жертв и нацеливания на них. В тексте подчеркивается важность осторожности пользователей, проверки URL-адресов и упреждающих мер кибербезопасности для защиты от этих развивающихся киберугроз.
-----

Злоумышленники все чаще используют инструменты цифровой аналитики и рекламы для повышения эффективности своих вредоносных кампаний. Они используют такие методы, как сокращение ссылок, чтобы скрыть URL-адреса вредоносных целевых страниц и перенаправить жертв. Например, UNC1189 использовал сервис сокращения ссылок, чтобы направлять пользователей на документы-приманки для фишинга, в то время как финансово мотивированные злоумышленники использовали средства сокращения ссылок в SMS-фишинговых кампаниях для кражи информации о кредитных картах.

Кроме того, злоумышленники манипулируют данными геолокации IP-адресов, чтобы контролировать распространение вредоносных кампаний и ограничивать доступ к фишинговым страницам-приманкам на основе диапазонов IP-адресов. Они интегрируют такие инструменты, как технология CAPTCHA, чтобы избежать обнаружения средствами безопасности, а также случаи, когда группы участников угроз используют вызовы CAPTCHA для доставки вредоносных программ с помощью вредоносных ZIP-архивов.

Злоумышленники также используют инструменты конкурентной разведки для планирования и проведения вредоносных рекламных кампаний. Они проводят исследование ключевых слов, чтобы привлечь потенциальных жертв, создают убедительные целевые страницы и используют механизмы маскировки, чтобы избежать обнаружения. Стратегический процесс настройки вредоносных рекламных кампаний включает в себя настройку хостинговых доменов, создание целевых страниц и покупку рекламного пространства для размещения вредоносной рекламы.

Отдельным пользователям рекомендуется соблюдать осторожность при переходе по объявлениям или ссылкам и проверять URL-адреса веб-сайтов, чтобы не стать жертвой вредоносных схем. Пользователям важно перепроверять URL-адреса перед загрузкой файлов с доменов, спонсируемых веб-рекламой, чтобы предотвратить непреднамеренную загрузку вредоносных программ.

Конвергенция инструментов анализа данных, используемых в маркетинговых целях, с инструментами, используемыми в кампаниях по борьбе с вредоносными программами, стирает грань между законной и незаконной деятельностью. Злоумышленники используют законные инструменты в злонамеренных целях, создавая значительную опасность в цифровом пространстве. В сообщении подчеркивается, что defenders могут занять активную позицию для снижения рисков, связанных со злоупотреблением инструментами анализа данных при кибератаках. Понимая, как эти инструменты используются в качестве оружия, defenders могут усилить меры безопасности для противодействия все более изощренным киберугрозам.

В конечном счете, публикация в блоге пропагандирует стратегический и упреждающий подход к кибербезопасности, проливая свет на тактику, используемую злоумышленниками, и предоставляя информацию, полезную для защитников. В ней подчеркивается, что создание надежной защиты от киберугроз достижимо, несмотря на эволюционный характер цифровых атак. Демонстрируя способы, с помощью которых злоумышленники используют инструменты анализа данных, статья призывает к активной позиции в защите организаций и частных лиц от вредоносных действий.

#cyberthreattech #llm
Мы продолжаем наши опыты по определению номера TTP по фрагменту текста из TI-отчета.

Итоги на текущий момент:

1. Использование ChatGPT.
ChatGPT 4 выделяет их лучше чем ChatGPT 3,5. По замерам на процентов 15%, но эти +15% кардинально ситуацию не меняют.

2. Стало понятно почему так сильно косячит TRAM.
В их датасете вагон мусора

3. SecureBERT+ дает точность в 70% также из-за мусора в датасете

4. Есть ряд Тактик, текстовка описания которых оооцень похожи и даже эксперт иногда теряется при принятии решения (многие схожие работы также отмечают этот нюанс)

К чему мы пришли:
1. Мы делаем классификацию в 2 этапа: определение Тактики, определение Техники
2. Выделили устойчивую комбинацию Тактик, в которой больше всего ошибок модели и только для них будем применять грязные хаки (какие - не скажу, приходите на наш CTI-митап в сентябре, расскажу голосом) + волевое решение
3. Выхлоп классификатор будет отдаваться на анализ в RAG, где LLM будет принимать окончательное решение (пока этот шаг в бою не тестили, но потестим).

#ParsedReport #CompletenessLow
30-08-2024

Exploring AsyncRAT and Infostealer Plugin Delivery Through Phishing Emails

https://www.esentire.com/blog/exploring-asyncrat-and-infostealer-plugin-delivery-through-phishing-emails

Report completeness: Low

Threats:
Asyncrat
Process_hollowing_technique
Process_injection_technique

ChatGPT TTPs:
do not use without manual check
T1203, T1193, T1059.003, T1059.001, T1053.005, T1055.012, T1119

IOCs:
Hash: 9
Url: 2
Path: 2
File: 3

Soft:
Task Scheduler, Opera, OperaGX, Firefox, Chrome

Wallets:
metamask, tronlink, bitget_wallet, coinbase, ronin_wallet, bitpay, rabby

Crypto:
binance

Algorithms:
zip, md5

Languages:
powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/AsyncRAT/AsyncRAT\_8-7-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается конкретный инцидент, связанный с вредоносным ПО AsyncRAT, подчеркивается использование фишинговых электронных писем для распространения вредоносного по и необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

В августе 2024 года был обнаружен инцидент с заражением, связанный с AsyncRAT, который был инициирован выполнением файла сценария Windows, отправленного по электронной почте. Хотя исходное электронное письмо невозможно было получить, оценка с высокой степенью достоверности указывает на то, что к нему была прикреплена вредоносная полезная нагрузка. Сценарий VBS с именем IRUAHCKDFAFDCHUV.vbs (MD5: 1eefdb23f7c63922756eafb532127b8e) выполнил пакетный файл CEIULUDEZFCEVSMM.bat (MD5: ac0f2aa2c5caf791f0310c2c07a1e1c3) вместе со сценарием PowerShell по адресу "C:\Users\Public\YXRPNPSMGCOBEURV.ps1 ." Сценарий PowerShell (MD5: 315bc30cd580b750b4afc294fa38a8bc) впоследствии создал в системе запланированную задачу для запуска сценария VBS каждые 2 минуты, что привело к запуску командного файла WJVIQQFZMZLSZTJJ.bat (MD5: ec348cf15e839b8912862352bc916d22), который, в свою очередь, выполнил следующее задание: Скрипт PowerShell для ps1. Примечательно, что упомянутые сценарии включали в себя удаление процесса в процессе RegAsm.exe для ввода полезной нагрузки AsyncRAT через двоичный файл "NewPE2.dll" (MD5: dcce5bc3e27295a1cbe13a411244fe93). Строки ввода были запутаны с помощью сложных методов, позволяющих избежать обнаружения.

Анализ показал, что конфигурация AsyncRAT включала плагин infostealer, предназначенный для обработки данных из определенных браузеров. В этой версии AsyncRAT подчеркивалась распространенность электронной почты как способа доставки вредоносных программ, а также роль фишинговых писем в распространении вредоносных программ. Возможности AsyncRAT по удаленному доступу и утечке данных, в частности, с помощью плагина infostealer, предназначенного для браузеров и расширений криптовалютных кошельков, подчеркивают угрозу, которую он представляет для организаций.

Таким образом, этот инцидент продемонстрировал неизменную эффективность фишинговых электронных писем как канала распространения вредоносного ПО. Заражение AsyncRAT с использованием электронной почты и передовых методов обфускации продемонстрировало конвергенцию функций удаленного доступа и кражи данных, подчеркнув необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам. Детальный анализ цепочки заражения и возможностей вредоносного ПО позволил получить ценную информацию для совершенствования стратегий обнаружения угроз и реагирования на них, подчеркнув важнейшую роль проактивного поиска угроз и всесторонней видимости в защите от развивающихся киберугроз.

#ParsedReport #CompletenessHigh
30-08-2024

Exposed and Encrypted: Inside a Mallox Ransomware Attack

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/exposed-and-encrypted-inside-a-mallox-ransomware-attack

Report completeness: High

Threats:
Targetcompany
Shadow_copies_delete_technique
Vssadmin_tool

Industry:
Government, Transport, Retail

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1070, T1489, T1486, T1490, T1547, T1057

IOCs:
File: 7
Url: 7
IP: 3
Hash: 10

Soft:
Microsoft SQL, MS SQL, ESXi, Windows Defender, mysql, bcdedit

Algorithms:
chacha20, md5, sha256

Win API:
SeTakeOwnershipPrivilege, SeDebugPrivilege, ShellExecuteW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании, проведенном Trustwave в ответ на инцидент с несанкционированным доступом во внутренней облачной среде клиента, который привел к развертыванию злоумышленниками программы-вымогателя Mallox. В нем рассматриваются методы, используемые злоумышленниками, анализ программы-вымогателя, ее эволюция в модель "Программа-вымогатель как услуга", ориентированную на различные отрасли, тактика шифрования, методы коммуникации и роль Trustwave в обеспечении кибербезопасности.
-----

Программа-вымогатель Mallox, также известная как FARGO или TargetCompany, атакует системы Microsoft Windows через уязвимости в Microsoft SQL Server и распространилась на системы Linux и среды VMware ESXi.

Программа-вымогатель Mallox работает по модели "Программа-вымогатель как услуга" (RaaS), привлекая партнеров для увеличения масштабов атак, что приведет к значительному росту активности, связанной с Mallox, примерно к середине 2023 года.

Программа-вымогатель Mallox использует тактику двойного вымогательства, шифруя данные и угрожая утечкой украденной информации, если требования о выкупе не будут выполнены, что усиливает давление на организации с целью их выполнения.

Компрометация в расследуемом инциденте произошла из-за непреднамеренного доступа к серверу Shodan, что позволило злоумышленникам идентифицировать уязвимые системы.

Злоумышленники использовали такие инструменты, как команды Invoke-WebRequest и скрипты PowerShell, для загрузки программ-вымогателей и вспомогательных скриптов, изменения прав доступа к файлам, управления службами и сокрытия своих следов после атаки.

Программа-вымогатель Mallox использует алгоритм шифрования ChaCha20, добавляет расширение .rmallox к зашифрованным файлам, нацелена на процессы SQL Server, шифрует важные типы файлов и корректирует системные настройки, чтобы избежать сбоев в работе.

В записке с требованием выкупа содержатся инструкции по связи и оплате через TOR для обеспечения анонимности, предлагается бесплатная расшифровка ограниченного количества файлов, собирается системная информация и осуществляется связь с сервером управления для дальнейших действий.

Trustwave предлагает наступательные и оборонительные решения в области кибербезопасности для эффективного обнаружения киберугроз и реагирования на них, оптимизации инвестиций клиентов и повышения устойчивости системы безопасности.

#ParsedReport #CompletenessHigh
30-08-2024

Operation Oxidov: Sophisticated Malware Campaign Targets Czech Officials Using NATO-Themed Decoys

https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys

Report completeness: High

Actors/Campaigns:
Oxidov

Threats:
Havoc
Sliver_c2_tool
Spear-phishing_technique
Process_injection_technique

Victims:
Government and military officials

Industry:
Military, Government

Geo:
Netherlands, Bulgaria, Czech, Russia, Russian

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 7
Url: 3
Path: 5
IP: 2
Hash: 11

Soft:
outlook, Mac OS

Algorithms:
aes, base64, sha256, rc4, lzma, zip

Functions:
DemonRoutine

Win API:
WaitForSingleObjectEx

Languages:
visual_basic, rust

Platforms:
apple, x64, x86

Links:
https://github.com/optiv/Freeze.rs/blob/main/lib/src/lib.rs
https://github.com/BishopFox/sliver/wiki/Stagers/7116c1c26c5d4e783d60e4e622bd98c67b13f740
https://github.com/kunpen/Havoc-C2

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 18, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-команда Seqrite Labs обнаружила недавнюю киберкампанию, направленную против правительственных и военных чиновников в Чешской Республике. Кампания включает в себя сложную тактику, хорошо скоординированную экосистему вредоносных программ, использующую командно-управляющую платформу HavocC2, язык программирования на основе Rust и различные вредоносные файлы, такие как документы-приманки и DLL-инъекции. Анализ указывает на возможную причастность к российским угрозам на основе контекстуальной информации и инструментов, использованных в кампании.
-----

APT-команда Seqrite Labs обнаружила недавнюю киберкампанию, направленную против Чешской Республики, в частности, правительственных и военных чиновников. Эта кампания использует сложную тактику и хорошо скоординированную экосистему вредоносных программ. Он запускается с помощью загрузчика и использует командно-управляющую платформу HavocC2, а также язык программирования на основе Rust, который пользуется популярностью у злоумышленников. Кампания была начата 4 августа 2024 года после обнаружения вредоносного ZIP-файла, содержащего поддельные документы с расширениями PDF и LNK.

Вредоносный LNK-файл внутри ZIP-файла запускает пакетный скрипт с именем "AdobeAcrobatReader.bat", который выполняет несколько действий, включая переименование файлов и подготовку к внедрению вредоносной библиотеки DLL. Первый документ-приманка, "Postup_zmeny_hesla_z_IMO.pdf", по-видимому, связан со сменой паролей в сети Министерства обороны, что потенциально может ввести в заблуждение цели и побудить их к немедленным действиям. Во втором документе-приманке "Важность и перспективы Чешской Республики в НАТО" обсуждается геополитическое значение отношений Чехии и НАТО, что соответствует теме кампании.

Кампания проходит несколько этапов. На первом этапе используются вредоносный пакет и скрипты LNK, которые подготавливают почву для внедрения полезной нагрузки. На втором этапе используется загрузчик на основе Rust, который называется "Freeze" и предназначен для обхода таких мер безопасности, как EDRs. Загрузчик содержит зашифрованный шелл-код, который расшифровывается с помощью криптоалгоритмов перед записью в память. Этот расшифрованный шелл-код обнаруживает вредоносную библиотеку DLL Havoc.

На третьем этапе анализ фокусируется на вредоносной DLL-библиотеке Havoc, известной как Demon, которая является частью платформы Havoc post-exploitation framework. Извлеченный из загрузчиков шелл-код указывает на наличие Demon.x64.dll и URL-адреса, связанного с пользовательским этапом Sliver. Идентифицирован сервер управления, используемый злоумышленником, а также связанная с ним информация об агенте пользователя. В частности, полученные данные указывают на возможную принадлежность к российским злоумышленникам, учитывая контекстную информацию и инструменты, использованные в кампании.

#ParsedReport #CompletenessLow
30-08-2024

Attack tool update impairs Windows computers

https://news.sophos.com/en-us/2024/08/27/burnt-cigar-2

Report completeness: Low

Actors/Campaigns:
Ransomhub

Threats:
Blackcat
Burntcigar_tool
Lockbit
Poortry
Stonestop
Vmprotect_tool
Themida_tool
Asmguard_tool
Cuba_ransomware
Splashtop_tool
Blackbyte

ChatGPT TTPs:
do not use without manual check
T1562.001, T1562.001, T1553.002, T1547.006, T1003

IOCs:
File: 5

Soft:
Windows kernel

Win API:
GetLocalTime, DeviceIoControl, PsSetCreateProcessNotifyRoutine, ExDesktopObj, IoDetachDevice, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, ExDesktopObject, CmRegisterCallback, CmUnregisterCallback, have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, code: 1