#cyberthreattech #llm
Мы продолжаем наши опыты по определению номера TTP по фрагменту текста из TI-отчета.

Итоги на текущий момент:

1. Использование ChatGPT.
ChatGPT 4 выделяет их лучше чем ChatGPT 3,5. По замерам на процентов 15%, но эти +15% кардинально ситуацию не меняют.

2. Стало понятно почему так сильно косячит TRAM.
В их датасете вагон мусора

3. SecureBERT+ дает точность в 70% также из-за мусора в датасете

4. Есть ряд Тактик, текстовка описания которых оооцень похожи и даже эксперт иногда теряется при принятии решения (многие схожие работы также отмечают этот нюанс)

К чему мы пришли:
1. Мы делаем классификацию в 2 этапа: определение Тактики, определение Техники
2. Выделили устойчивую комбинацию Тактик, в которой больше всего ошибок модели и только для них будем применять грязные хаки (какие - не скажу, приходите на наш CTI-митап в сентябре, расскажу голосом) + волевое решение
3. Выхлоп классификатор будет отдаваться на анализ в RAG, где LLM будет принимать окончательное решение (пока этот шаг в бою не тестили, но потестим).

#ParsedReport #CompletenessLow
30-08-2024

Exploring AsyncRAT and Infostealer Plugin Delivery Through Phishing Emails

https://www.esentire.com/blog/exploring-asyncrat-and-infostealer-plugin-delivery-through-phishing-emails

Report completeness: Low

Threats:
Asyncrat
Process_hollowing_technique
Process_injection_technique

ChatGPT TTPs:
do not use without manual check
T1203, T1193, T1059.003, T1059.001, T1053.005, T1055.012, T1119

IOCs:
Hash: 9
Url: 2
Path: 2
File: 3

Soft:
Task Scheduler, Opera, OperaGX, Firefox, Chrome

Wallets:
metamask, tronlink, bitget_wallet, coinbase, ronin_wallet, bitpay, rabby

Crypto:
binance

Algorithms:
zip, md5

Languages:
powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/AsyncRAT/AsyncRAT\_8-7-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается конкретный инцидент, связанный с вредоносным ПО AsyncRAT, подчеркивается использование фишинговых электронных писем для распространения вредоносного по и необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

В августе 2024 года был обнаружен инцидент с заражением, связанный с AsyncRAT, который был инициирован выполнением файла сценария Windows, отправленного по электронной почте. Хотя исходное электронное письмо невозможно было получить, оценка с высокой степенью достоверности указывает на то, что к нему была прикреплена вредоносная полезная нагрузка. Сценарий VBS с именем IRUAHCKDFAFDCHUV.vbs (MD5: 1eefdb23f7c63922756eafb532127b8e) выполнил пакетный файл CEIULUDEZFCEVSMM.bat (MD5: ac0f2aa2c5caf791f0310c2c07a1e1c3) вместе со сценарием PowerShell по адресу "C:\Users\Public\YXRPNPSMGCOBEURV.ps1 ." Сценарий PowerShell (MD5: 315bc30cd580b750b4afc294fa38a8bc) впоследствии создал в системе запланированную задачу для запуска сценария VBS каждые 2 минуты, что привело к запуску командного файла WJVIQQFZMZLSZTJJ.bat (MD5: ec348cf15e839b8912862352bc916d22), который, в свою очередь, выполнил следующее задание: Скрипт PowerShell для ps1. Примечательно, что упомянутые сценарии включали в себя удаление процесса в процессе RegAsm.exe для ввода полезной нагрузки AsyncRAT через двоичный файл "NewPE2.dll" (MD5: dcce5bc3e27295a1cbe13a411244fe93). Строки ввода были запутаны с помощью сложных методов, позволяющих избежать обнаружения.

Анализ показал, что конфигурация AsyncRAT включала плагин infostealer, предназначенный для обработки данных из определенных браузеров. В этой версии AsyncRAT подчеркивалась распространенность электронной почты как способа доставки вредоносных программ, а также роль фишинговых писем в распространении вредоносных программ. Возможности AsyncRAT по удаленному доступу и утечке данных, в частности, с помощью плагина infostealer, предназначенного для браузеров и расширений криптовалютных кошельков, подчеркивают угрозу, которую он представляет для организаций.

Таким образом, этот инцидент продемонстрировал неизменную эффективность фишинговых электронных писем как канала распространения вредоносного ПО. Заражение AsyncRAT с использованием электронной почты и передовых методов обфускации продемонстрировало конвергенцию функций удаленного доступа и кражи данных, подчеркнув необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам. Детальный анализ цепочки заражения и возможностей вредоносного ПО позволил получить ценную информацию для совершенствования стратегий обнаружения угроз и реагирования на них, подчеркнув важнейшую роль проактивного поиска угроз и всесторонней видимости в защите от развивающихся киберугроз.

#ParsedReport #CompletenessHigh
30-08-2024

Exposed and Encrypted: Inside a Mallox Ransomware Attack

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/exposed-and-encrypted-inside-a-mallox-ransomware-attack

Report completeness: High

Threats:
Targetcompany
Shadow_copies_delete_technique
Vssadmin_tool

Industry:
Government, Transport, Retail

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1070, T1489, T1486, T1490, T1547, T1057

IOCs:
File: 7
Url: 7
IP: 3
Hash: 10

Soft:
Microsoft SQL, MS SQL, ESXi, Windows Defender, mysql, bcdedit

Algorithms:
chacha20, md5, sha256

Win API:
SeTakeOwnershipPrivilege, SeDebugPrivilege, ShellExecuteW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании, проведенном Trustwave в ответ на инцидент с несанкционированным доступом во внутренней облачной среде клиента, который привел к развертыванию злоумышленниками программы-вымогателя Mallox. В нем рассматриваются методы, используемые злоумышленниками, анализ программы-вымогателя, ее эволюция в модель "Программа-вымогатель как услуга", ориентированную на различные отрасли, тактика шифрования, методы коммуникации и роль Trustwave в обеспечении кибербезопасности.
-----

Программа-вымогатель Mallox, также известная как FARGO или TargetCompany, атакует системы Microsoft Windows через уязвимости в Microsoft SQL Server и распространилась на системы Linux и среды VMware ESXi.

Программа-вымогатель Mallox работает по модели "Программа-вымогатель как услуга" (RaaS), привлекая партнеров для увеличения масштабов атак, что приведет к значительному росту активности, связанной с Mallox, примерно к середине 2023 года.

Программа-вымогатель Mallox использует тактику двойного вымогательства, шифруя данные и угрожая утечкой украденной информации, если требования о выкупе не будут выполнены, что усиливает давление на организации с целью их выполнения.

Компрометация в расследуемом инциденте произошла из-за непреднамеренного доступа к серверу Shodan, что позволило злоумышленникам идентифицировать уязвимые системы.

Злоумышленники использовали такие инструменты, как команды Invoke-WebRequest и скрипты PowerShell, для загрузки программ-вымогателей и вспомогательных скриптов, изменения прав доступа к файлам, управления службами и сокрытия своих следов после атаки.

Программа-вымогатель Mallox использует алгоритм шифрования ChaCha20, добавляет расширение .rmallox к зашифрованным файлам, нацелена на процессы SQL Server, шифрует важные типы файлов и корректирует системные настройки, чтобы избежать сбоев в работе.

В записке с требованием выкупа содержатся инструкции по связи и оплате через TOR для обеспечения анонимности, предлагается бесплатная расшифровка ограниченного количества файлов, собирается системная информация и осуществляется связь с сервером управления для дальнейших действий.

Trustwave предлагает наступательные и оборонительные решения в области кибербезопасности для эффективного обнаружения киберугроз и реагирования на них, оптимизации инвестиций клиентов и повышения устойчивости системы безопасности.

#ParsedReport #CompletenessHigh
30-08-2024

Operation Oxidov: Sophisticated Malware Campaign Targets Czech Officials Using NATO-Themed Decoys

https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys

Report completeness: High

Actors/Campaigns:
Oxidov

Threats:
Havoc
Sliver_c2_tool
Spear-phishing_technique
Process_injection_technique

Victims:
Government and military officials

Industry:
Military, Government

Geo:
Netherlands, Bulgaria, Czech, Russia, Russian

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 7
Url: 3
Path: 5
IP: 2
Hash: 11

Soft:
outlook, Mac OS

Algorithms:
aes, base64, sha256, rc4, lzma, zip

Functions:
DemonRoutine

Win API:
WaitForSingleObjectEx

Languages:
visual_basic, rust

Platforms:
apple, x64, x86

Links:
https://github.com/optiv/Freeze.rs/blob/main/lib/src/lib.rs
https://github.com/BishopFox/sliver/wiki/Stagers/7116c1c26c5d4e783d60e4e622bd98c67b13f740
https://github.com/kunpen/Havoc-C2

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 18, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-команда Seqrite Labs обнаружила недавнюю киберкампанию, направленную против правительственных и военных чиновников в Чешской Республике. Кампания включает в себя сложную тактику, хорошо скоординированную экосистему вредоносных программ, использующую командно-управляющую платформу HavocC2, язык программирования на основе Rust и различные вредоносные файлы, такие как документы-приманки и DLL-инъекции. Анализ указывает на возможную причастность к российским угрозам на основе контекстуальной информации и инструментов, использованных в кампании.
-----

APT-команда Seqrite Labs обнаружила недавнюю киберкампанию, направленную против Чешской Республики, в частности, правительственных и военных чиновников. Эта кампания использует сложную тактику и хорошо скоординированную экосистему вредоносных программ. Он запускается с помощью загрузчика и использует командно-управляющую платформу HavocC2, а также язык программирования на основе Rust, который пользуется популярностью у злоумышленников. Кампания была начата 4 августа 2024 года после обнаружения вредоносного ZIP-файла, содержащего поддельные документы с расширениями PDF и LNK.

Вредоносный LNK-файл внутри ZIP-файла запускает пакетный скрипт с именем "AdobeAcrobatReader.bat", который выполняет несколько действий, включая переименование файлов и подготовку к внедрению вредоносной библиотеки DLL. Первый документ-приманка, "Postup_zmeny_hesla_z_IMO.pdf", по-видимому, связан со сменой паролей в сети Министерства обороны, что потенциально может ввести в заблуждение цели и побудить их к немедленным действиям. Во втором документе-приманке "Важность и перспективы Чешской Республики в НАТО" обсуждается геополитическое значение отношений Чехии и НАТО, что соответствует теме кампании.

Кампания проходит несколько этапов. На первом этапе используются вредоносный пакет и скрипты LNK, которые подготавливают почву для внедрения полезной нагрузки. На втором этапе используется загрузчик на основе Rust, который называется "Freeze" и предназначен для обхода таких мер безопасности, как EDRs. Загрузчик содержит зашифрованный шелл-код, который расшифровывается с помощью криптоалгоритмов перед записью в память. Этот расшифрованный шелл-код обнаруживает вредоносную библиотеку DLL Havoc.

На третьем этапе анализ фокусируется на вредоносной DLL-библиотеке Havoc, известной как Demon, которая является частью платформы Havoc post-exploitation framework. Извлеченный из загрузчиков шелл-код указывает на наличие Demon.x64.dll и URL-адреса, связанного с пользовательским этапом Sliver. Идентифицирован сервер управления, используемый злоумышленником, а также связанная с ним информация об агенте пользователя. В частности, полученные данные указывают на возможную принадлежность к российским злоумышленникам, учитывая контекстную информацию и инструменты, использованные в кампании.

#ParsedReport #CompletenessLow
30-08-2024

Attack tool update impairs Windows computers

https://news.sophos.com/en-us/2024/08/27/burnt-cigar-2

Report completeness: Low

Actors/Campaigns:
Ransomhub

Threats:
Blackcat
Burntcigar_tool
Lockbit
Poortry
Stonestop
Vmprotect_tool
Themida_tool
Asmguard_tool
Cuba_ransomware
Splashtop_tool
Blackbyte

ChatGPT TTPs:
do not use without manual check
T1562.001, T1562.001, T1553.002, T1547.006, T1003

IOCs:
File: 5

Soft:
Windows kernel

Win API:
GetLocalTime, DeviceIoControl, PsSetCreateProcessNotifyRoutine, ExDesktopObj, IoDetachDevice, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, ExDesktopObject, CmRegisterCallback, CmUnregisterCallback, have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносный драйвер ядра Poortry и связанный с ним загрузчик Stonestop превратились в сложные инструменты, которые представляют значительную угрозу для организаций, ставших мишенями банд программ-вымогателей. Эти инструменты постоянно совершенствуются, чтобы избежать обнаружения, отключить EDR и программное обеспечение для защиты конечных точек, а также облегчить различные вредоносные действия, одновременно адаптируясь к таким мерам безопасности, как принудительное использование подписи кода.
-----

В тексте обсуждается программа-убийца EDR (Endpoint Detection and Response), известная как Poortry, которая отслеживалась Sophos X-Ops в течение трех лет и продолжает представлять серьезную угрозу для организаций, ставших мишенями банд программ-вымогателей. Poortry - это вредоносный драйвер ядра, который используется в сочетании с загрузчиком Stonestop, который обычно ассоциируется с крупными бандами программ-вымогателей. Впервые этот инструмент был назван Poortry компанией Mandiant и использует различные методы для обхода принудительного применения подписи драйвера. Создатели Poortry постоянно совершенствовали инструмент, позволяющий избежать обнаружения и отключить EDR и программное обеспечение для защиты конечных точек.

Изначально драйвер Poortry был подписан с помощью сертификационного процесса Microsoft, но после того, как лазейка была закрыта, разработчики адаптировались, добавив новые функции и получив подписи с помощью поддельных временных меток или утечек сертификатов. Этот инструмент был связан с атаками, в которых участвовали пять основных семейств программ-вымогателей, и его создатели часто модифицируют упаковщики, чтобы избежать обнаружения. Важно отметить, что Poortry теперь может полностью удалять критически важные компоненты EDR, а не просто прекращать их работу, демонстрируя свою эволюцию в более сложную и опасную киберугрозу.

Специалисты Sophos X-Ops наблюдали, как злоумышленники внедряют варианты Poortry наряду с Stonestop, при этом злоумышленники быстро меняют сигнатуры при обнаружении. Этот инструмент использовался в различных атаках для отключения обратных вызовов ядра, изменения важных структур данных и управления низкоуровневыми функциями операционной системы. Poortry стал более универсальным и разрушительным, напоминая руткит, способный удалять программное обеспечение безопасности из системы для облегчения развертывания программ-вымогателей.

Более того, эволюция Poortry свидетельствует о переходе к использованию украденных или неправильно используемых сертификатов подписи кода для обхода механизмов безопасности. Исследователи подозревают, что функции инструмента адаптированы в зависимости от целевой среды, что демонстрирует высокий уровень адаптивности. В целом, Poortry и Stonestop превратились в сложные и многогранные инструменты, которые представляют серьезную угрозу для организаций, позволяя осуществлять различные вредоносные действия и одновременно пытаясь избежать обнаружения с помощью мер безопасности.

#ParsedReport #CompletenessLow
30-08-2024

AutoIT Bot Targets Gmail Accounts First

https://blog.sonicwall.com/en-us/2024/08/autoit-bot-targets-gmail-accounts-first

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1172, T1056.001, T1078, T1562.001, T1036.005

IOCs:
File: 2
Hash: 1

Soft:
Gmail, Google Chrome, Mozilla Firefox, Firefox

Win API:
WSAGetLastError

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз SonicWall Capture Labs обнаружила опасный автоматически скомпилированный исполняемый файл. Эта вредоносная программа нацелена на страницы входа в Gmail через популярные браузеры, обладает различными вредоносными возможностями, такими как ведение кейлогга и контроль системы, и имеет специфическое поведение, связанное с манипуляциями с браузером и сетью. SonicWall выпустила новые сигнатуры для защиты клиентов от этой угрозы.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила опасный автоматически скомпилированный исполняемый файл, демонстрирующий вредоносное поведение. Этот исполняемый файл предназначен для доступа к страницам входа в Gmail через популярные браузеры, такие как Microsoft Edge, Google Chrome и Mozilla Firefox. Вредоносная программа обладает рядом возможностей, включая чтение данных из буфера обмена, перехват нажатий клавиш, запуск от имени разных пользователей и выполнение таких действий, как перезагрузка или завершение работы системы.

Кроме того, образец может обнаруживать отладчики, блокировать ввод данных пользователем при обнаружении и управлять событиями с клавиатуры и мыши. Пользователям рекомендуется соблюдать осторожность при работе с файлами из неизвестных источников или с такими неописуемыми именами, как "File.exe". Клиенты SonicWall защищены с помощью функции "MalAgent".В их ежедневную ленту обновлений встроена подпись AutoITBot.

После анализа образца с помощью инструмента Detect-It-Easy (DIE) он отображается в виде исполняемого файла AutoIt с начальным именем "File.exe". Дальнейший статический анализ с помощью дизассемблеров не выявил каких-либо жестко закодированных вредоносных адресов. Хотя вредоносная программа инструктирует каждый браузер для доступа к аккаунтам Google, она также содержит общие ссылки для входа в различные социальные сети, такие как Facebook и Reddit.

Во время выполнения браузеры запускаются должным образом, при этом отдельная функция запускает прослушивающий сокет при условии соблюдения необходимых условий среды и подключения. В случае сбоев в настройке сокета вредоносная программа использует стандартный Windows API WSAGetLastError, как было обнаружено в ходе динамического анализа. Как только соединение установлено, вредоносная программа запускает кейлоггинг, захват экрана и дополнительные функции перечисления файлов. Однако во время тестирования такое поведение не привело к подключению к серверу управления (C2).

В качестве превентивной меры клиентам SonicWall была выдана новая подпись, чтобы защитить их от этой мощной угрозы.

#ParsedReport #CompletenessLow
30-08-2024

Iranian hackers tickle U.S. and UAE with new backdoor malware

https://fieldeffect.com/blog/iranian-hackers-tickle-u.s.-and-uae-with-new-backdoor-malware

Report completeness: Low

Actors/Campaigns:
Apt33

Threats:
Tickler
Password_spray_technique

Industry:
Petroleum, Critical_infrastructure, Government

Geo:
Arab emirates, United arab emirates, Iranian, Iran

ChatGPT TTPs:
do not use without manual check
T1071.001, T1219, T1190

#ParsedReport #GeneratedSchema
Generated with GPT-4