#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается конкретный инцидент, связанный с вредоносным ПО AsyncRAT, подчеркивается использование фишинговых электронных писем для распространения вредоносного по и необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

В августе 2024 года был обнаружен инцидент с заражением, связанный с AsyncRAT, который был инициирован выполнением файла сценария Windows, отправленного по электронной почте. Хотя исходное электронное письмо невозможно было получить, оценка с высокой степенью достоверности указывает на то, что к нему была прикреплена вредоносная полезная нагрузка. Сценарий VBS с именем IRUAHCKDFAFDCHUV.vbs (MD5: 1eefdb23f7c63922756eafb532127b8e) выполнил пакетный файл CEIULUDEZFCEVSMM.bat (MD5: ac0f2aa2c5caf791f0310c2c07a1e1c3) вместе со сценарием PowerShell по адресу "C:\Users\Public\YXRPNPSMGCOBEURV.ps1 ." Сценарий PowerShell (MD5: 315bc30cd580b750b4afc294fa38a8bc) впоследствии создал в системе запланированную задачу для запуска сценария VBS каждые 2 минуты, что привело к запуску командного файла WJVIQQFZMZLSZTJJ.bat (MD5: ec348cf15e839b8912862352bc916d22), который, в свою очередь, выполнил следующее задание: Скрипт PowerShell для ps1. Примечательно, что упомянутые сценарии включали в себя удаление процесса в процессе RegAsm.exe для ввода полезной нагрузки AsyncRAT через двоичный файл "NewPE2.dll" (MD5: dcce5bc3e27295a1cbe13a411244fe93). Строки ввода были запутаны с помощью сложных методов, позволяющих избежать обнаружения.

Анализ показал, что конфигурация AsyncRAT включала плагин infostealer, предназначенный для обработки данных из определенных браузеров. В этой версии AsyncRAT подчеркивалась распространенность электронной почты как способа доставки вредоносных программ, а также роль фишинговых писем в распространении вредоносных программ. Возможности AsyncRAT по удаленному доступу и утечке данных, в частности, с помощью плагина infostealer, предназначенного для браузеров и расширений криптовалютных кошельков, подчеркивают угрозу, которую он представляет для организаций.

Таким образом, этот инцидент продемонстрировал неизменную эффективность фишинговых электронных писем как канала распространения вредоносного ПО. Заражение AsyncRAT с использованием электронной почты и передовых методов обфускации продемонстрировало конвергенцию функций удаленного доступа и кражи данных, подчеркнув необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам. Детальный анализ цепочки заражения и возможностей вредоносного ПО позволил получить ценную информацию для совершенствования стратегий обнаружения угроз и реагирования на них, подчеркнув важнейшую роль проактивного поиска угроз и всесторонней видимости в защите от развивающихся киберугроз.

#ParsedReport #CompletenessHigh
30-08-2024

Exposed and Encrypted: Inside a Mallox Ransomware Attack

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/exposed-and-encrypted-inside-a-mallox-ransomware-attack

Report completeness: High

Threats:
Targetcompany
Shadow_copies_delete_technique
Vssadmin_tool

Industry:
Government, Transport, Retail

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1070, T1489, T1486, T1490, T1547, T1057

IOCs:
File: 7
Url: 7
IP: 3
Hash: 10

Soft:
Microsoft SQL, MS SQL, ESXi, Windows Defender, mysql, bcdedit

Algorithms:
chacha20, md5, sha256

Win API:
SeTakeOwnershipPrivilege, SeDebugPrivilege, ShellExecuteW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании, проведенном Trustwave в ответ на инцидент с несанкционированным доступом во внутренней облачной среде клиента, который привел к развертыванию злоумышленниками программы-вымогателя Mallox. В нем рассматриваются методы, используемые злоумышленниками, анализ программы-вымогателя, ее эволюция в модель "Программа-вымогатель как услуга", ориентированную на различные отрасли, тактика шифрования, методы коммуникации и роль Trustwave в обеспечении кибербезопасности.
-----

Программа-вымогатель Mallox, также известная как FARGO или TargetCompany, атакует системы Microsoft Windows через уязвимости в Microsoft SQL Server и распространилась на системы Linux и среды VMware ESXi.

Программа-вымогатель Mallox работает по модели "Программа-вымогатель как услуга" (RaaS), привлекая партнеров для увеличения масштабов атак, что приведет к значительному росту активности, связанной с Mallox, примерно к середине 2023 года.

Программа-вымогатель Mallox использует тактику двойного вымогательства, шифруя данные и угрожая утечкой украденной информации, если требования о выкупе не будут выполнены, что усиливает давление на организации с целью их выполнения.

Компрометация в расследуемом инциденте произошла из-за непреднамеренного доступа к серверу Shodan, что позволило злоумышленникам идентифицировать уязвимые системы.

Злоумышленники использовали такие инструменты, как команды Invoke-WebRequest и скрипты PowerShell, для загрузки программ-вымогателей и вспомогательных скриптов, изменения прав доступа к файлам, управления службами и сокрытия своих следов после атаки.

Программа-вымогатель Mallox использует алгоритм шифрования ChaCha20, добавляет расширение .rmallox к зашифрованным файлам, нацелена на процессы SQL Server, шифрует важные типы файлов и корректирует системные настройки, чтобы избежать сбоев в работе.

В записке с требованием выкупа содержатся инструкции по связи и оплате через TOR для обеспечения анонимности, предлагается бесплатная расшифровка ограниченного количества файлов, собирается системная информация и осуществляется связь с сервером управления для дальнейших действий.

Trustwave предлагает наступательные и оборонительные решения в области кибербезопасности для эффективного обнаружения киберугроз и реагирования на них, оптимизации инвестиций клиентов и повышения устойчивости системы безопасности.

#ParsedReport #CompletenessHigh
30-08-2024

Operation Oxidov: Sophisticated Malware Campaign Targets Czech Officials Using NATO-Themed Decoys

https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys

Report completeness: High

Actors/Campaigns:
Oxidov

Threats:
Havoc
Sliver_c2_tool
Spear-phishing_technique
Process_injection_technique

Victims:
Government and military officials

Industry:
Military, Government

Geo:
Netherlands, Bulgaria, Czech, Russia, Russian

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 7
Url: 3
Path: 5
IP: 2
Hash: 11

Soft:
outlook, Mac OS

Algorithms:
aes, base64, sha256, rc4, lzma, zip

Functions:
DemonRoutine

Win API:
WaitForSingleObjectEx

Languages:
visual_basic, rust

Platforms:
apple, x64, x86

Links:
https://github.com/optiv/Freeze.rs/blob/main/lib/src/lib.rs
https://github.com/BishopFox/sliver/wiki/Stagers/7116c1c26c5d4e783d60e4e622bd98c67b13f740
https://github.com/kunpen/Havoc-C2

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 18, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-команда Seqrite Labs обнаружила недавнюю киберкампанию, направленную против правительственных и военных чиновников в Чешской Республике. Кампания включает в себя сложную тактику, хорошо скоординированную экосистему вредоносных программ, использующую командно-управляющую платформу HavocC2, язык программирования на основе Rust и различные вредоносные файлы, такие как документы-приманки и DLL-инъекции. Анализ указывает на возможную причастность к российским угрозам на основе контекстуальной информации и инструментов, использованных в кампании.
-----

APT-команда Seqrite Labs обнаружила недавнюю киберкампанию, направленную против Чешской Республики, в частности, правительственных и военных чиновников. Эта кампания использует сложную тактику и хорошо скоординированную экосистему вредоносных программ. Он запускается с помощью загрузчика и использует командно-управляющую платформу HavocC2, а также язык программирования на основе Rust, который пользуется популярностью у злоумышленников. Кампания была начата 4 августа 2024 года после обнаружения вредоносного ZIP-файла, содержащего поддельные документы с расширениями PDF и LNK.

Вредоносный LNK-файл внутри ZIP-файла запускает пакетный скрипт с именем "AdobeAcrobatReader.bat", который выполняет несколько действий, включая переименование файлов и подготовку к внедрению вредоносной библиотеки DLL. Первый документ-приманка, "Postup_zmeny_hesla_z_IMO.pdf", по-видимому, связан со сменой паролей в сети Министерства обороны, что потенциально может ввести в заблуждение цели и побудить их к немедленным действиям. Во втором документе-приманке "Важность и перспективы Чешской Республики в НАТО" обсуждается геополитическое значение отношений Чехии и НАТО, что соответствует теме кампании.

Кампания проходит несколько этапов. На первом этапе используются вредоносный пакет и скрипты LNK, которые подготавливают почву для внедрения полезной нагрузки. На втором этапе используется загрузчик на основе Rust, который называется "Freeze" и предназначен для обхода таких мер безопасности, как EDRs. Загрузчик содержит зашифрованный шелл-код, который расшифровывается с помощью криптоалгоритмов перед записью в память. Этот расшифрованный шелл-код обнаруживает вредоносную библиотеку DLL Havoc.

На третьем этапе анализ фокусируется на вредоносной DLL-библиотеке Havoc, известной как Demon, которая является частью платформы Havoc post-exploitation framework. Извлеченный из загрузчиков шелл-код указывает на наличие Demon.x64.dll и URL-адреса, связанного с пользовательским этапом Sliver. Идентифицирован сервер управления, используемый злоумышленником, а также связанная с ним информация об агенте пользователя. В частности, полученные данные указывают на возможную принадлежность к российским злоумышленникам, учитывая контекстную информацию и инструменты, использованные в кампании.

#ParsedReport #CompletenessLow
30-08-2024

Attack tool update impairs Windows computers

https://news.sophos.com/en-us/2024/08/27/burnt-cigar-2

Report completeness: Low

Actors/Campaigns:
Ransomhub

Threats:
Blackcat
Burntcigar_tool
Lockbit
Poortry
Stonestop
Vmprotect_tool
Themida_tool
Asmguard_tool
Cuba_ransomware
Splashtop_tool
Blackbyte

ChatGPT TTPs:
do not use without manual check
T1562.001, T1562.001, T1553.002, T1547.006, T1003

IOCs:
File: 5

Soft:
Windows kernel

Win API:
GetLocalTime, DeviceIoControl, PsSetCreateProcessNotifyRoutine, ExDesktopObj, IoDetachDevice, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, ExDesktopObject, CmRegisterCallback, CmUnregisterCallback, have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносный драйвер ядра Poortry и связанный с ним загрузчик Stonestop превратились в сложные инструменты, которые представляют значительную угрозу для организаций, ставших мишенями банд программ-вымогателей. Эти инструменты постоянно совершенствуются, чтобы избежать обнаружения, отключить EDR и программное обеспечение для защиты конечных точек, а также облегчить различные вредоносные действия, одновременно адаптируясь к таким мерам безопасности, как принудительное использование подписи кода.
-----

В тексте обсуждается программа-убийца EDR (Endpoint Detection and Response), известная как Poortry, которая отслеживалась Sophos X-Ops в течение трех лет и продолжает представлять серьезную угрозу для организаций, ставших мишенями банд программ-вымогателей. Poortry - это вредоносный драйвер ядра, который используется в сочетании с загрузчиком Stonestop, который обычно ассоциируется с крупными бандами программ-вымогателей. Впервые этот инструмент был назван Poortry компанией Mandiant и использует различные методы для обхода принудительного применения подписи драйвера. Создатели Poortry постоянно совершенствовали инструмент, позволяющий избежать обнаружения и отключить EDR и программное обеспечение для защиты конечных точек.

Изначально драйвер Poortry был подписан с помощью сертификационного процесса Microsoft, но после того, как лазейка была закрыта, разработчики адаптировались, добавив новые функции и получив подписи с помощью поддельных временных меток или утечек сертификатов. Этот инструмент был связан с атаками, в которых участвовали пять основных семейств программ-вымогателей, и его создатели часто модифицируют упаковщики, чтобы избежать обнаружения. Важно отметить, что Poortry теперь может полностью удалять критически важные компоненты EDR, а не просто прекращать их работу, демонстрируя свою эволюцию в более сложную и опасную киберугрозу.

Специалисты Sophos X-Ops наблюдали, как злоумышленники внедряют варианты Poortry наряду с Stonestop, при этом злоумышленники быстро меняют сигнатуры при обнаружении. Этот инструмент использовался в различных атаках для отключения обратных вызовов ядра, изменения важных структур данных и управления низкоуровневыми функциями операционной системы. Poortry стал более универсальным и разрушительным, напоминая руткит, способный удалять программное обеспечение безопасности из системы для облегчения развертывания программ-вымогателей.

Более того, эволюция Poortry свидетельствует о переходе к использованию украденных или неправильно используемых сертификатов подписи кода для обхода механизмов безопасности. Исследователи подозревают, что функции инструмента адаптированы в зависимости от целевой среды, что демонстрирует высокий уровень адаптивности. В целом, Poortry и Stonestop превратились в сложные и многогранные инструменты, которые представляют серьезную угрозу для организаций, позволяя осуществлять различные вредоносные действия и одновременно пытаясь избежать обнаружения с помощью мер безопасности.

#ParsedReport #CompletenessLow
30-08-2024

AutoIT Bot Targets Gmail Accounts First

https://blog.sonicwall.com/en-us/2024/08/autoit-bot-targets-gmail-accounts-first

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1172, T1056.001, T1078, T1562.001, T1036.005

IOCs:
File: 2
Hash: 1

Soft:
Gmail, Google Chrome, Mozilla Firefox, Firefox

Win API:
WSAGetLastError

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз SonicWall Capture Labs обнаружила опасный автоматически скомпилированный исполняемый файл. Эта вредоносная программа нацелена на страницы входа в Gmail через популярные браузеры, обладает различными вредоносными возможностями, такими как ведение кейлогга и контроль системы, и имеет специфическое поведение, связанное с манипуляциями с браузером и сетью. SonicWall выпустила новые сигнатуры для защиты клиентов от этой угрозы.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила опасный автоматически скомпилированный исполняемый файл, демонстрирующий вредоносное поведение. Этот исполняемый файл предназначен для доступа к страницам входа в Gmail через популярные браузеры, такие как Microsoft Edge, Google Chrome и Mozilla Firefox. Вредоносная программа обладает рядом возможностей, включая чтение данных из буфера обмена, перехват нажатий клавиш, запуск от имени разных пользователей и выполнение таких действий, как перезагрузка или завершение работы системы.

Кроме того, образец может обнаруживать отладчики, блокировать ввод данных пользователем при обнаружении и управлять событиями с клавиатуры и мыши. Пользователям рекомендуется соблюдать осторожность при работе с файлами из неизвестных источников или с такими неописуемыми именами, как "File.exe". Клиенты SonicWall защищены с помощью функции "MalAgent".В их ежедневную ленту обновлений встроена подпись AutoITBot.

После анализа образца с помощью инструмента Detect-It-Easy (DIE) он отображается в виде исполняемого файла AutoIt с начальным именем "File.exe". Дальнейший статический анализ с помощью дизассемблеров не выявил каких-либо жестко закодированных вредоносных адресов. Хотя вредоносная программа инструктирует каждый браузер для доступа к аккаунтам Google, она также содержит общие ссылки для входа в различные социальные сети, такие как Facebook и Reddit.

Во время выполнения браузеры запускаются должным образом, при этом отдельная функция запускает прослушивающий сокет при условии соблюдения необходимых условий среды и подключения. В случае сбоев в настройке сокета вредоносная программа использует стандартный Windows API WSAGetLastError, как было обнаружено в ходе динамического анализа. Как только соединение установлено, вредоносная программа запускает кейлоггинг, захват экрана и дополнительные функции перечисления файлов. Однако во время тестирования такое поведение не привело к подключению к серверу управления (C2).

В качестве превентивной меры клиентам SonicWall была выдана новая подпись, чтобы защитить их от этой мощной угрозы.

#ParsedReport #CompletenessLow
30-08-2024

Iranian hackers tickle U.S. and UAE with new backdoor malware

https://fieldeffect.com/blog/iranian-hackers-tickle-u.s.-and-uae-with-new-backdoor-malware

Report completeness: Low

Actors/Campaigns:
Apt33

Threats:
Tickler
Password_spray_technique

Industry:
Petroleum, Critical_infrastructure, Government

Geo:
Arab emirates, United arab emirates, Iranian, Iran

ChatGPT TTPs:
do not use without manual check
T1071.001, T1219, T1190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Иранская государственная кибератака APT33 использовала новую вредоносную программу под названием Tickler для атаки на сети критической инфраструктуры в США и ОАЭ, сосредоточив внимание на таких секторах, как правительство, оборона, спутниковая/космическая и нефтегазовая промышленность. Корпорация Microsoft вмешалась, чтобы пресечь атаку, подчеркнув необходимость принятия усиленных мер кибербезопасности, таких как многофакторная аутентификация, для защиты от подобных угроз со стороны кибератакующих государств. Агентство CISA США выпустило предупреждения о планах Ирана подорвать демократические институты США и собрать разведданные, связанные с федеральными выборами, с помощью киберопераций.
-----

Краткое содержание:.

Киберпреступник APT33, спонсируемый иранским государством, недавно использовал новую вредоносную программу под названием Tickler для проникновения в сети критически важной инфраструктуры в США и ОАЭ с апреля по июль 2024 года. Они использовали поддельные подписки Azure для управления функциями, полученные с помощью атак с использованием паролей и скомпрометированных учетных данных. Microsoft вмешалась, чтобы нарушить работу этой инфраструктуры, что сделало Tickler неэффективным. Целевыми секторами были правительственная, оборонная, спутниковая/космическая, а также нефтегазовая промышленность. В то же время иранские киберпреступники активно выполняют свои разведывательные задачи и оказывают влияние. CISA США предупредило о планах Ирана подорвать демократические институты США и собирать разведывательные данные, связанные с предстоящими федеральными выборами, с помощью киберопераций. Внимание Ирана к сетям в США и ОАЭ соответствует приоритетам разведки в жизненно важных секторах. Компаниям, работающим в этих областях, необходимо повысить свою кибербезопасность, внедряя такие меры, как многофакторная аутентификация, для предотвращения атак, подобных Tickler's. Укрепление защиты имеет решающее значение для предотвращения успешного проведения кампаний национальными кибератаками, такими как APT33.

#ParsedReport #CompletenessLow
30-08-2024

Fake Canva home page leads to browser lock

https://www.malwarebytes.com/blog/scams/2024/08/fake-canva-home-page-leads-to-browser-lock

Report completeness: Low

Victims:
Microsoft, Canva

ChatGPT TTPs:
do not use without manual check
T1204, T1078

IOCs:
Domain: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4