#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании BabyShark, проводимой северокорейской хакерской группой Kimsuky. Кампания включает в себя изощренную тактику борьбы с киберугрозами, включая использование различных типов файлов, команд CMD, маскировку Google Docs, подключение к C&C серверам, вредоносные программы-бэкдоры и индивидуальные атаки на конкретных жертв. Злоумышленники постоянно совершенствуют свои методы, позволяющие избежать обнаружения, подчеркивая необходимость проведения углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от подобных угроз.
-----

В тексте описывается киберугроза, связанная с кампанией BabyShark, проводимой северокорейской хакерской группой Kimsuky. Эта кампания действует с 2018 года и продолжает развиваться. Изначально в кампании использовались файлы HWP с OLE-объектами, а также файлы .BAT и .VBS. Однако недавние изменения включают использование файлов MSC, чтобы избежать обнаружения решениями безопасности, и использование VbsEdits Launcher для запуска вредоносных программ вместо программ Windows по умолчанию для выполнения VBScript.

Атака включает в себя выполнение команд CMD, которые используют команду curl для загрузки вредоносных кодов и доступа к документам Google, чтобы замаскировать их под обычные файлы. Документ Google, связанный с вредоносными действиями, сохраняется как "Joka.DOCX", название которого отличается от названия в запущенном MSC-файле. Информация о конкретном северокорейском перебежчике включена в документ как на английском, так и на корейском языках. Кроме того, выполняемые команды получают доступ к серверу C&C с помощью команды curl для прямой загрузки и выполнения файлов документа с определенного URL-адреса.

Более подробная информация показывает, что файл с именем SAM1(default1.vbs) зарегистрирован в планировщике задач и запускается через 19 минут. Этот файл пытается загрузить вредоносное ПО, сохраняя его в пути %Appdata%wadoobe.gif в случае успешной загрузки. Загруженное вредоносное ПО представляет собой вредоносную программу-бэкдор, специально предназначенную для конкретной жертвы, что затрудняет дальнейший анализ.

Более того, запущенный VBScript устанавливает соединение с C&C-сервером для загрузки вредоносного ПО в формате "shinefrom- (данные BASE64)-shineto". Данные BASE64 извлекаются, декодируются и сохраняются по пути %Appdata%\Microsoft\Wqer.bat, где они впоследствии выполняются.

В тексте также упоминается выполнение MSC-файлов, которые побуждают пользователей нажать кнопку, чтобы открыть файл документа. Нажатие кнопки "Открыть" запускает выполнение вредоносной CMD-команды. Эти команды не имеют доступа к Google Docs, но напрямую взаимодействуют с сервером C&C для загрузки и выполнения файлов документов.

Таким образом, кампания BabyShark, организованная хакерской группой Kimsuky, включает в себя сложную тактику доставки и выполнения вредоносных программ. Со временем злоумышленники адаптировали свои методы, чтобы избежать обнаружения и нацеливаться на конкретные жертвы с помощью специальных команд бэкдора. Понимание таких угроз и противодействие им требуют углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от потенциальных нарушений.

#ParsedReport #CompletenessHigh
02-09-2024

Head Mare: adventures of a unicorn in Russia and Belarus

https://securelist.com/head-mare-hacktivists/113555

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: hacktivism, financially_motivated)

Threats:
Lockbit
Babuk
Phantomdl
Phantomcore
Sliver_c2_tool
Mimikatz_tool
Garble_tool
Meterpreter_tool
Nssm_tool
Xmrig_miner
Credential_harvesting_technique
Xenarmor_tool

Industry:
Transport, Entertainment, Energy, Government

Geo:
Belarus, Russian, Belarusian, Russia

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1486, T1547.001, T1071.001, T1003.001

IOCs:
IP: 11
Command: 5
Registry: 1
File: 23
Path: 16
Url: 2
Hash: 41

Soft:
ESXi, XenAllPasswordPro, Unix, esxcli

Algorithms:
curve25519, sha256, sosemanuk

Win API:
NetGetJoinInformation

Languages:
powershell, php

Platforms:
cross-platform, x64, amd64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, table: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Head Mare - это группа хактивистов, нацеленная на компании в России и Беларуси с помощью фишинговых кампаний, семейств программ-вымогателей и пользовательских вредоносных программ, которые наносят значительный ущерб и требуют выкуп за расшифровку данных. Их тактика заключается в использовании уязвимостей, различных инструментов в своих атаках и сохранении систем с помощью тактики маскировки и обфускации. Деятельность группы подчеркивает важность усиления защиты от кибербезопасности в организациях, сталкивающихся с растущими угрозами.
-----

Head Mare - это хактивистская группа, которая появилась в 2023 году в социальной сети X (ранее Twitter). Группа атакует компании в России и Беларуси, публикуя информацию о жертвах в публичных публикациях. Они были связаны с атаками на российские организации и используют фишинговые кампании для использования уязвимостей, таких как CVE-2023-38831 в WinRAR, для получения первоначального доступа. Head Mare использует два семейства программ-вымогателей - LockBit для Windows и Babuk для Linux (ESXi) - для шифрования устройств жертв.

Эта группа хакеров стремится нанести значительный ущерб компаниям в России и Беларуси, часто требуя выкуп за расшифровку данных. Руководитель Mare использует общедоступное программное обеспечение для своих атак, а также использует пользовательские вредоносные программы, такие как PhantomDL и PhantomCore, в фишинговых электронных письмах для получения первоначального доступа. Они используют различные инструменты, такие как Mimikatz и Sliver, как часть своей инфраструктуры атак.

В ходе расследования было обнаружено, что Head Mare использует образцы PhantomDL и PhantomCore в фишинговых кампаниях. Эти образцы используют уязвимость WinRAR и после выполнения устанавливают соединения с командными серверами. Группа продолжает работать в системах, добавляя образцы в разделы реестра или создавая запланированные задачи, а также используя тактику маскировки в своих фишинговых кампаниях. Они маскируют свои образцы и используют для этой цели такие инструменты, как Garble.

Более того, злоумышленники используют платформу Sliver C2 для управления скомпрометированными системами, что позволяет им выполнять команды и собирать данные после первоначального доступа. Они часто используют серверы VPS/VDS в качестве серверов C2 и утилиту rsockstun для обеспечения безопасных подключений. Для сбора учетных данных используются такие инструменты, как mimikatz и XenArmor All-In-One Password Recovery Pro3.

Head Mare использует два семейства программ-вымогателей - Babuk для Linux (ESXi) и LockBit для Windows - со специфическими функциями и алгоритмами шифрования. Злоумышленники распространяют эти варианты программ-вымогателей под разными именами и путями, последовательно шифруя файлы с помощью версий LockBitLite и LockbitHard. Kaspersky Threat Intelligence отмечает, что все образцы Head Mare были обнаружены только в России и Беларуси.

TTP группы похожи на другие кластеры, нацеленные на организации в России и Беларуси в условиях российско-украинского конфликта. Однако глава Mare выделяется тем, что использует пользовательское вредоносное ПО и новые уязвимости, подчеркивая необходимость совершенствования мер кибербезопасности. Организации в России и Беларуси должны быть осведомлены о возникающих угрозах и укреплять свою защиту от таких группировок.

#ParsedReport #CompletenessMedium
02-09-2024

Dark Web Profile: Abyss Ransomware

https://socradar.io/dark-web-profile-abyss-ransomware

Report completeness: Medium

Threats:
Abyss_locker
Hellokitty
Shadow_copies_delete_technique

Victims:
Medical institutions, Manufacturing companies, Tech firms

Industry:
Healthcare, Financial

Geo:
Italy, Canada, Germany, United kingdom, Switzerland, Hong kong, Georgia, Sweden

TTPs:
Tactics: 11
Technics: 18

IOCs:
Command: 1
File: 1
Hash: 25

Soft:
ESXi, Microsoft Exchange, bcdedit, esxcli

Win Services:
MSSQLServer

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Abyss Locker представляет собой серьезную угрозу кибербезопасности, нацеленную как на системы Windows, так и на Linux в различных отраслях промышленности, использующую передовые методы шифрования, агрессивную тактику и стратегии множественного вымогательства. Группа программ-вымогателей ведет свое происхождение от программы-вымогателя HelloKitty и демонстрирует особое внимание к Соединенным Штатам, применяя изощренную тактику для достижения максимального эффекта. Организациям рекомендуется принимать упреждающие меры кибербезопасности для борьбы с угрозой, исходящей от программы-вымогателя Abyss Locker.
-----

Программа-вымогатель Abyss Locker - это серьезная угроза кибербезопасности, нацеленная на системы Windows и Linux в различных отраслях, таких как финансы, производство, здравоохранение и технологии.

Группа программ-вымогателей, известная как Abyss Ransomware, приобрела дурную славу благодаря своей агрессивной тактике, передовым методам шифрования и стратегиям множественного вымогательства.

Программа-вымогатель Abyss произошла от программы-вымогателя HelloKitty, использующей ее исходный код для улучшения работы.

Группа расширила свою деятельность, ориентируясь на среды Linux, особенно на виртуализированные платформы VMware ESXi, со специализированным Linux-шифровальщиком, разработанным для критически важных виртуальных сред.

Тактика включает в себя горизонтальное перемещение внутри сетей, прекращение работы критически важных служб/процессов и передовые методы шифрования.

Программа-вымогатель Abyss работает как многопрофильная группа вымогателей, шифрующая файлы и извлекающая конфиденциальные данные для использования в переговорах о выкупе.

Программа-вымогатель использует алгоритм шифрования salsa_20 и занимается утечкой данных, чтобы оказать давление на жертв.

Основными направлениями деятельности группы являются Соединенные Штаты, где она ориентируется на медицинские учреждения, производственные компании и технологические фирмы.

Первоначальный доступ осуществляется с помощью фишинговых писем, слабых конфигураций SSH или известных уязвимостей в незащищенных серверах.

Упреждающие меры, такие как обновление системы, надежная аутентификация, планирование резервного копирования и непрерывный мониторинг, имеют решающее значение в борьбе с программами-вымогателями Abyss Locker.

Понимание тактики, методов и процедур, связанных с программой-вымогателем Abyss Locker, необходимо для разработки эффективных стратегий защиты, согласованных с платформой MITRE ATT&CK.

#ParsedReport #CompletenessMedium
02-09-2024

Iranian State-Sponsored Hackers Have Become Access Brokers for Ransomware Gangsca

https://cyble.com/blog/iranian-state-sponsored-hackers-have-become-access-brokers-for-ransomware-gangsca

Report completeness: Medium

Actors/Campaigns:
Fox_kitten

Threats:
Blackcat
Noescape
Pay2key
Ligolo
Dll_sideloading_technique
Anydesk_tool
Meshcentral_tool
Ligolo-ng

Industry:
E-commerce, Government, Healthcare, Education, Critical_infrastructure, Financial

Geo:
Iranian, Iran, Israel, Israeli, Azerbaijan

CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum security gateway firmware (r80.40)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...

TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 1
IP: 12
Domain: 5
Coin: 14

Soft:
gatekeepers, PAN-OS, BIG-IP, PanOS, Windows service, Windows PowerShell

Crypto:
bitcoin

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участники киберугроз из Ирана, действующие под различными псевдонимами, все больше внимания уделяют критически важной инфраструктуре, выступая в качестве посредников для филиалов программ-вымогателей и занимаясь шпионажем в интересах иранского правительства. Группа угроз демонстрирует адаптивность, использует известные уязвимости и представляет постоянную и серьезную угрозу для организаций США во всех критически важных секторах. Организациям США рекомендуется усилить свою защиту от этих развивающихся угроз и сохранять бдительность в отношении несанкционированных установок и подозрительного сетевого трафика.
-----

Иранские злоумышленники, действующие под псевдонимами, такими как "Pioneer Kitten", стали выступать в качестве посредников для филиалов программ-вымогателей, нацеленных на сектора критической инфраструктуры, имеющие решающее значение для США и их союзников.

Эти злоумышленники демонстрируют высокую адаптивность, постоянно совершенствуя тактику использования уязвимостей в широко используемых сетевых устройствах и предлагая группам программ-вымогателей контроль над доменами, что сигнализирует о переходе к информационной войне.

Группа точно использует незащищенные уязвимости, создавая постоянную угрозу для организаций США в ключевых секторах, таких как образование, финансы, здравоохранение и оборона, с признаками государственного спонсорства из-за демонстрируемой сложности и целей, соответствующих национальным интересам Ирана.

Группа по борьбе с угрозами сотрудничает с такими группами программ-вымогателей, как ALPHV и NoEscape, используя известные уязвимости и тактику, описанные в платформе MITRE ATT&CK, такие как использование CVE-2024-3400 в Palo Alto Networks PAN-OS, а также бэкдоры и методы маскировки для обеспечения длительного доступа.

ФБР, CISA и DC3 выпустили рекомендации, содержащие индикаторы компрометации (IOCS) и предложения по устранению последствий, подчеркивающие критическую важность исправления уязвимостей, мониторинга сетевого трафика на предмет подозрительного поведения и усиления защиты от этих развивающихся киберугроз, включая программы-вымогатели, шпионаж и информационную войну.

#ParsedReport #CompletenessLow
03-09-2024

Advanced Cyberchef Techniques - Defeating Nanocore Obfuscation With Math and Flow Control

https://www.embeeresearch.io/advanced-cyberchef-techniques-defeating-nanocore-obfuscation-with-math-and-flow-control

Report completeness: Low

Threats:
Nanocore_rat

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1036.004

IOCs:
Hash: 1

Algorithms:
sha256

Languages:
powershell, visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте объясняется использование Cyberchef, инструмента анализа, для деобфускации загрузчика .vbs, связанного с вредоносным ПО Nanocore. В нем подробно рассказывается о том, как управление потоком и математические операции в Cyberchef помогают раскрыть методы обфускации, и подчеркивается важность четкого представления логики в Python для понимания процесса деобфускации. Кроме того, в комментариях к скрипту упоминается обнаружение скрытой полезной нагрузки Nanocore и приводится подробная информация о доступности образца вредоносного ПО для дальнейшего изучения на Malware Bazaar. Для эффективного анализа особое внимание уделяется преобразованию кода Visual Basic в формат, совместимый с Cyberchef, и различению шестнадцатеричных и десятичных чисел.
-----

В тексте обсуждается использование Cyberchef, инструмента с мощными, но недокументированными функциями, для деобфускации загрузчика .vbs для вредоносного ПО Nanocore. Аналитик исследует применение управления потоком данных и математических операторов для выявления методов обфускации, использованных в образце вредоносного ПО.

В начале статьи подчеркивается важность Cyberchef в оказании помощи аналитикам в деобфускации вредоносных программ, а также упоминается, что основное внимание уделяется изучению его возможностей для преодоления обфускации недавнего загрузчика .vbs, связанного с вредоносным ПО Nanocore. В тексте подчеркивается ясность логики, представленной на языке Python, на примере выражения, соответствующего символу "D", что еще больше улучшает понимание процесса деобфускации.

Работа по деобфускации продолжается по мере того, как аналитик успешно расшифровывает строку 2 исходного сценария, который впоследствии выполняет команду PowerShell, ответственную за запуск полезной нагрузки Nanocore. Заслуживает внимания тот факт, что полезная нагрузка Nanocore скрыта в комментариях к исходному сценарию, что подчеркивает тонкость методов обфускации, используемых злоумышленниками, чтобы избежать обнаружения.

Кроме того, содержится ссылка на доступность образца вредоносного ПО на Malware Bazaar, с указанием его хэша SHA256 и ссылки для дальнейшего анализа и исследований. Подчеркивается необходимость преобразования исходного кода Visual Basic в формат, понятный для Cyberchef, при этом подчеркивается важность различения шестнадцатеричных и десятичных чисел для эффективной деобфускации.

#ParsedReport #CompletenessHigh
03-09-2024

DarkCracks, GLPI, WORDPRESS&. DarkCracks, an advanced malicious payload & upgrade framework using hacked GLPI and WORDPRESS sites as relays

https://blog.xlab.qianxin.com/uncovering_darkcracks_payload_delivery_framework_cn

Report completeness: High

Threats:
Darkcracks
Quasar_rat

Industry:
Critical_infrastructure, Government, Transport

Geo:
China, Netherlands, Germany, Korea, Korean, Finland, United kingdom, Poland, Japan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1566.001, T1027, T1090, T1573

IOCs:
Hash: 12
IP: 3
File: 10
Url: 15
Domain: 20

Soft:
WORDPRESS, crontab

Algorithms:
xor, base64, md5, aes, cbc

Languages:
javascript, php

Platforms:
x64, x86, arm, mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложного вредоносного фреймворка под названием DarkCracks, освещении его методологий работы, целевых объектов, компонентов, механизмов шифрования, стабильности архитектуры и потенциальных рисков для сетевой безопасности. Платформа использует взломанные сайты GLPI и WORDPRESS для сбора конфиденциальной информации, обеспечения доступа к скомпрометированным устройствам и управления системами в различных секторах и странах. В тексте подчеркивается необходимость постоянного сотрудничества между исследователями в области безопасности для углубления понимания темных взломов и связанных с ними угроз.
-----

В тексте описывается обнаружение сложного вредоносного фреймворка под названием DarkCracks, который обладает высокой стойкостью, скрытностью и качественными функциями обновления. Платформа использует взломанные сайты GLPI и WORDPRESS в качестве загрузчиков и C2 для сбора конфиденциальной информации, обеспечения доступа к скомпрометированным устройствам и управления другими системами с использованием сети скомпрометированной инфраструктуры. DarkCracks нацелен на такие объекты, как школьные веб-сайты, системы общественного транспорта и финансовые учреждения в разных странах.

Платформа состоит из таких компонентов, как Runners и Clients, которые были идентифицированы с нулевым уровнем обнаружения в VirusTotal. DarkCracks назначает различные роли скомпрометированным устройствам в зависимости от их производительности: мощные устройства, такие как C2 и загрузчики, выступают в качестве компонентов инфраструктуры, а более слабые - в качестве бизнес-узлов ботов. Фреймворк использует системы World Press и GLPI для своих атак, стремясь использовать их для управления ИТ-активами и сервисами в организациях.

График действий DarkCracks показывает, что для выполнения различных функций используются разные серверы и компоненты, в том числе для распространения троянской программы удаленного управления QuasarRAT. Платформа использует трехуровневый механизм опроса URL-адресов и зашифрованную доставку компонентов для повышения устойчивости и защиты основных функций. Однако некоторые уязвимости, такие как зависимость от обратимых алгоритмов защиты и потенциальное манипулирование протоколами, создают риски для безопасности сети.

Подробный анализ компонентов DarkCracks, включая средства запуска, клиентов и панель управления C2, раскрывает методологии работы платформы и механизмы шифрования. Клиент передает конфиденциальную информацию об устройстве в C2 для выполнения задач с поддержкой протоколов шифрования https и информации о платформе, встроенной в формат JSON. Осторожный подход фреймворка к обновлению функций и поддержке архитектуры указывает на методичный процесс разработки.

В тексте также упоминается об обнаружении файла панели управления C2, в котором подробно описывается ее функциональность в ответ на запросы от мастеров ботов и ботов для управления конфигурацией. Внимание DarkCracks к улучшению своих возможностей и стабильности архитектуры проявляется в разработке таких версий, как SUC 2.0, для различных архитектур. Полученные результаты подчеркивают необходимость продолжения анализа и сотрудничества между исследователями в области безопасности для улучшения понимания работы DarkCracks.

В то время как текст намекает на существование других загадок, связанных с DarkCracks, и его потенциальную ориентацию на корейскую группу пользователей, он призывает к совместным исследовательским усилиям, направленным на раскрытие новых идей. Кроме того, ссылки на другие существующие аналитические статьи, посвященные связанным угрозам, таким как троян QuasarRAT remote control, предлагают более широкий контекст для понимания меняющегося ландшафта кибербезопасности.

#ParsedReport #CompletenessMedium
04-09-2024

AZORult Malware: Technical Analysis

https://any.run/cybersecurity-blog/azorult-malware-analysis

Report completeness: Medium

Threats:
Azorult
Chthonic
Ramnit
Dll_sideloading_technique
Process_injection_technique
Timestomp_technique
Credential_dumping_technique

TTPs:
Tactics: 8
Technics: 42

IOCs:
Hash: 2
Path: 1
File: 1
Registry: 7
Domain: 6
IP: 10

Soft:
Windows registry

Algorithms:
md5, sha256

Functions:
Windows

Win API:
AdjustTokenPrivileges, GetUserDefaultUILanguage, SHGetFolderPathW, GetTempPathW, GetTickCount, CreateFileW, WriteFile, ReadFile, SeShutdownPrivilege, GetProcAddress, have more...

Languages:
powershell, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это углубленный анализ вредоносной программы AZORult с акцентом на ее эволюцию, поведение, возможности и тактику работы, направленный на то, чтобы дать представление об эффективных контрмерах. В нем также упоминается сотрудничество с Chthonic и внедрение Ramnit, освещаются ключевые аспекты AZORult, такие как удаление файлов, коммуникационные возможности, модификация реестра, методы защиты от отладки и настройка привилегий во избежание обнаружения. Кроме того, в нем упоминается использование ANY.RUN, платформы, помогающей специалистам по кибербезопасности в анализе вредоносных программ.
-----

Текст представляет собой подробный отчет об анализе вредоносных программ, автором которого является Мостафа Эльшейми, специалист по анализу вредоносных программ и аналитику по анализу угроз. Отчет посвящен анализу AZORult, сложного средства для кражи учетных данных и информации о платежных картах, которое также может выполнять функцию загрузчика различных семейств вредоносных программ. Рассматривается эволюция AZORult, в частности, его переход с Delphi на C++ и введение поддержки доменов .bit в версии 2, что расширило его возможности.

Было замечено, что AZORult работает параллельно с Chthonic и внедрен Ramnit. Первоначально разработанная на Delphi, вредоносная программа была портирована на C++ в 2019 году, продемонстрировав свою эволюцию и возросшую сложность. Анализ включает в себя поведение, методы уклонения и оперативную тактику AZORult, направленные на то, чтобы лучше понять его функциональность и принять эффективные контрмеры.

В отчете освещаются ключевые аспекты поведения AZORult, включая удаление файлов, связанных с семейством вредоносных программ, и использование команд PowerShell для выполнения сценариев в скрытых окнах. Обнаружен основной файл полезной нагрузки AZORult с именем Declinometer235.exe. Вредоносная программа пытается связаться с различными IP-адресами и вредоносным доменом, демонстрируя свои коммуникационные возможности.

AZORult активно изменяет реестр Windows, пытаясь удалить данные и используя методы защиты от отладки, чтобы избежать обнаружения. Он использует API GetTickCount для обнаружения попыток отладки и использует возможности защиты от отладки для выявления аномалий во времени выполнения программы, что является распространенным показателем активности отладки.

Вредоносная программа создает, записывает и считывает новые файлы, определяет языковой идентификатор пользовательского интерфейса системы для целей локализации и использует такие привилегии, как SeShutdownPrivilege, для перезагрузки системы. Используя такие функции, как GetDiskFreeSpaceExW, AZORult проверяет наличие достаточного места на диске перед установкой, чтобы избежать обнаружения в случае почти полного заполнения диска.

Кроме того, AZORult использует LookupPrivilegeValueW для настройки привилегий токена, что позволяет избежать обнаружения программ безопасности и получить доступ к конфиденциальным операциям, требующим повышенных привилегий. Адаптация поведения в зависимости от языка системы помогает вредоносному ПО избежать обнаружения и выглядеть более локализованным, повышая его скрытность.

Отчет дополняется упоминанием ANY.RUN - платформы, которая помогает специалистам по кибербезопасности в анализе вредоносных программ с помощью интерактивной "песочницы" для систем Windows и Linux. Продукты ANY.RUN для анализа угроз, такие как TI Lookup, YARA Search и Feeds, помогают пользователям эффективно идентифицировать IOCS, файлы и реагировать на инциденты безопасности.

#ParsedReport #CompletenessMedium
03-09-2024

DeFied Expectations - Examining Web3 Heists

https://cloud.google.com/blog/topics/threat-intelligence/examining-web3-heists

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Covertcatch
Rustbucket
Supply_chain_technique

Victims:
Sky mavis, Dmm bitcoin, Euler finance

Industry:
Financial, E-commerce, Healthcare

Geo:
Japanese, Dprk, North korea, Bangladesh

ChatGPT TTPs:
do not use without manual check
T1566, T1055, T1053, T1574, T1110, T1027, T1562, T1588

IOCs:
Domain: 1
Url: 1
File: 13

Soft:
macOS

Wallets:
tron

Crypto:
bitcoin, ethereum, solana, algorand

Algorithms:
zip

Functions:
Transfer, emergencyStop

Languages:
python, rust

Platforms:
apple

Links:
https://github.com/iphelix/euler-exploit-poc/blob/main/pocs/EulerHack.sol