#ParsedReport #ExtractedSchema

Classified images:
code: 9, chats: 1, schema: 1, windows: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos обнаружила серию вредоносных документов Microsoft Office, созданных с использованием платформы MacroPack framework, которая изначально предназначалась для учений Red Team, но теперь используется несколькими участниками угроз для развертывания вредоносной полезной нагрузки. Документы содержат запутанные макросы VBA со сходной структурой кода, позволяющие доставлять различные вредоносные программы, такие как фреймворки для последующей эксплуатации Havoc и Brute Ratel, а также новый вариант трояна для удаленного доступа PhantomCore. Анализ выявил связи между полезной нагрузкой и мотивацией, при этом документы демонстрировали согласованную структуру и содержали безопасные подпрограммы, позволяющие избежать обнаружения. Вредоносная деятельность включала в себя различные приманки и связи с конкретными странами, что указывало на уровень изощренности действий участников и потенциальный кибершпионаж, нацеленный на правительственные организации и компании.
-----

Cisco Talos выявила серию вредоносных документов Microsoft Office, сгенерированных с помощью платформы MacroPack payload framework, первоначально разработанной для учений Red Team, но перепрофилированной злоумышленниками для доставки вредоносной полезной нагрузки, такой как Havoc, Brute Ratel и PhantomCore RAT.

Вредоносные документы содержали запутанные макросы VBA с общими структурами кода, связанными с MacroPack, включая незлокачественные подпрограммы, позволяющие избежать обнаружения вредоносных программ средствами защиты от вредоносных программ.

В документах использовалась последовательная структура из нескольких этапов кода, ведущих к подключению к серверам управления, что позволяет злоумышленникам контролировать зараженные системы.

Талос сгруппировал образцы в кластеры на основе сходства приманок и полезной нагрузки, используя документы, полученные из таких стран, как Китай, Пакистан, Россия и США.

Конкретные кластеры включали в себя постэксплуатационные платформы Havoc и Brute Ratel в качестве конечной полезной нагрузки, адаптированные для различных целей, с различными серверами C2 и методами уклонения, демонстрирующими сложность эксплуатации.

Один документ, отправленный с российского IP-адреса, отличался от обычного формата Word, отличаясь уникальным оформлением в Excel и отличным методом выполнения кода на VBA. Кроме того, был обнаружен бэкдор PhantomCore на базе Golang, связанный с украинским хактивистским сайтом "Head Mare", что указывает на потенциальный кибершпионаж, нацеленный на правительственные организации и предприятия в России.

#ParsedReport #CompletenessMedium
04-09-2024

Attempted cyberattacks on military systems using mobile malware

https://cert.gov.ua/article/6280563

Report completeness: Medium

Actors/Campaigns:
Uac-0210

Threats:
Hydra

Victims:
Military personnel

Industry:
Government, Military

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1056.001, T1074.001, T1566.001

IOCs:
Hash: 8
File: 2
Email: 2
IP: 5
Domain: 6
Url: 5

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается растущее использование высоких технологий в современной войне с акцентом на кибератаки на мобильные устройства военнослужащих. В частности, в нем упоминаются кибератаки на украинские военные системы, такие как GRISELDA и система наблюдения "Eyes", целью которых была кража аутентификационных данных и GPS-координат. Украинское правительство сотрудничало с министерством обороны и вооруженными силами для расследования и предотвращения этих атак.
-----

В тексте подчеркивается растущее использование высоких технологий в современной войне для управления боевыми действиями, разведки и других военных операций. Мобильные устройства имеют решающее значение для использования специальных военных систем, что делает их главными мишенями для кибератак, стремящихся взломать смартфоны и планшеты военнослужащих. Эти злоумышленники стремятся украсть аутентификационные данные для доступа к информационным системам и получить GPS-координаты, что потенциально угрожает жизни персонала. Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) сотрудничала с Министерством обороны Украины и Вооруженными силами Украины в расследовании и предотвращении двух кибератак.

Атаки были связаны с рассылкой военнослужащим сообщений, содержащих ссылки на скачивание APK-файлов, связанных с военными системами, такими как GRISELDA и система наблюдения "Eyes". В случае с GRISELDA ссылка перенаправляла на поддельную версию мобильного приложения официального веб-сайта проекта. Это приложение, обозначенное как мобильная версия GRISELDA, на самом деле было вредоносной программой HYDRA, предназначенной для кражи данных сеансов, контактов и ведения кейлоггинга. С другой стороны, ссылка на систему "Eyes" вела на APK-файл, размещенный на Google Диске. Этот файл содержал сторонний код, предназначенный для кражи учетных данных пользователя и GPS-координат путем модификации законной программы с помощью стороннего JAVA-класса.

Чтобы справиться с угрозами, создаваемыми этими кибератаками, был создан идентификатор UAC-0210 для отслеживания вредоносной активности, связанной с модифицированным приложением Eyes. Конкретные файловые хэши и классы Java, выявленные при анализе вредоносных файлов, включают c27ff4f44289c5c66cac5bfdeca9a391 (вредоносная программа Griselda.apk HYDRA), d6171caf4a5e9ff657558f30b595f8b0 (1.9.4.apk), 9275cb60e85eb039c2806548381af78d (Crew.java ) и eb58e0e223c84a46b4e5ad6154e869d1 (LocationEntity.java).

#ParsedReport #CompletenessMedium
04-09-2024

Unpacking the unpleasant FIN7 gift: PackXOR

https://harfanglab.io/insidethelab/unpacking-packxor

Report completeness: Medium

Actors/Campaigns:
Carbanak

Threats:
Packxor_tool
Aukill_tool
Silentcryptominer_tool
R77rk_tool
Xmrig_miner

ChatGPT TTPs:
do not use without manual check
T1027, T1562.001, T1027.002, T1140

IOCs:
Hash: 4
Domain: 2

Algorithms:
lznt1, xor, sha256

Functions:
GetModuleHandle

Win API:
LoadLibrary, GetProcAddress

YARA: Found

Links:
https://github.com/SilentCryptoMiner/SilentCryptoMiner
https://github.com/HarfangLab/iocs/tree/main/packxor
https://github.com/xmrig/xmrig
https://github.com/HarfangLab/iocs/tree/main/packxor/unpacker\_packXOR.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении полезной нагрузки вредоносных программ, упаковщиков, используемых для их маскировки, и внедрении таких инструментов, как AvNeutralizer, предназначенных для отключения программного обеспечения обнаружения конечных точек и реагирования на них (EDR). В нем также анализируется частный упаковщик под названием PackXOR, его связь с FIN7 и использование нескольких уровней обфускации злоумышленниками. Кроме того, в тексте объясняется концепция динамического связывания во время выполнения как метода, используемого вредоносными программами для уклонения от обнаружения.
-----

В тексте содержится подробная информация о различных вредоносных программах и связанных с ними пакетах, используемых для их маскировки. В начале июля 2024 года исследователи Sentinel Labs опубликовали статью, в которой обсуждался инструментарий "FIN7 reboot", представляющий инструмент, известный как "AvNeutralizer", который действует как средство защиты от EDR. AvNeutralizer, также называемый "AuKill", предназначен для отключения программного обеспечения обнаружения конечных точек и реагирования на них (EDR) путем завершения связанных процессов с использованием уязвимых драйверов из ядра.

В тексте также упоминается частный упаковщик под названием "PackXOR", который был проанализирован исследователями. Было обнаружено, что PackXOR, первоначально связанный с FIN7, использовался для упаковки AvNeutralizer и продавался на подпольных форумах, связанных с кластером FIN7. Однако дальнейшее расследование показало, что PackXOR использовался не только FIN7, но и для защиты несвязанных полезных данных, таких как шифровальщик "XMRig" и руткит "R77", которые были дополнительно замаскированы с помощью "SilentCryptoMiner" с открытым исходным кодом..

Упаковщики вредоносных программ - это инструменты, используемые для сжатия, шифрования и обфускации вредоносной полезной нагрузки. Упакованный двоичный файл, созданный упаковщиками, требует распаковки перед выполнением полезной нагрузки, часто с использованием заглушки для расшифровки. Использование упаковщиков направлено на то, чтобы помешать аналитикам вредоносных программ и антивирусному программному обеспечению/EDR, скрывая полезную нагрузку.

В тексте подчеркивается, что данные, полученные с помощью PackXOR, структурированы в два раздела и определены несколько дополнительных полезных функций, включая криптоминер XMRig и руткит R77, поставляемые с PackXOR. Кроме того, в некоторых случаях были обнаружены многочисленные уровни обфускации, указывающие на сложные механизмы защиты, используемые участниками угроз.

Кроме того, в тексте объясняется концепция динамического связывания во время выполнения - метод, используемый вредоносными программами для загрузки библиотек DLL и импорта функций только при необходимости, что позволяет избежать обнаружения средствами статического анализа. Этот метод предполагает расшифровку строк перед использованием в таких функциях, как GetModuleHandle, LoadLibrary и GetProcAddress.

#ParsedReport #CompletenessLow
04-09-2024

CERT-In Advisory and WikiLoader Campaign: Comprehensive Overview of Recent Security Threats

https://cyble.com/blog/cert-in-advisory-and-wikiloader-campaign-comprehensive-overview-of-recent-security-threats

Report completeness: Low

Threats:
Wikiloader
Seo_poisoning_technique

CVEs:
CVE-2024-5916 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.8, <11.0.4)

CVE-2024-5915 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks globalprotect (le5.1.9, le6.0.6, <6.1.5, <6.2.4, 6.3.0)

CVE-2024-5914 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks cortex xsoar commonscripts (<1.12.33)


ChatGPT TTPs:
do not use without manual check
T1068, T1202, T1036.005, T1574.002, T1027, T1497.001

IOCs:
Domain: 1

Soft:
PAN-OS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в различных приложениях Palo Alto Networks существуют критические уязвимости, которые используются злоумышленниками с помощью нового метода распространения вредоносных программ с использованием WikiLoader. В рекомендациях подчеркивается необходимость немедленных действий, включая обновление программного обеспечения, ограничения доступа, средства обнаружения угроз и меры предосторожности в отношении продвинутых вредоносных кампаний. Превентивные меры, такие как своевременные обновления, ограничения доступа и надежные механизмы защиты, жизненно важны для организаций, чтобы снизить риски и повысить уровень их безопасности перед лицом новых киберугроз.
-----

CERT-In выпустила критическое заключение, в котором указываются уязвимости в нескольких приложениях Palo Alto Networks, включая GlobalProtect, Cloud NGFW, PAN-OS и Cortex XSOAR. Наряду с этим был выявлен новый метод распространения вредоносного ПО с использованием WikiLoader, при котором злоумышленники распространяли вредоносное ПО через поддельные установщики GlobalProtect. Уязвимости в приложениях Palo Alto Networks связаны с повышением привилегий, раскрытием информации и внедрением команд, которые были идентифицированы как CVE-2024-5915, CVE-2024-5916 и CVE-2024-5914 соответственно.

WikiLoader, сложный загрузчик, использует передовые методы уклонения, такие как SEO-отравление, для распространения своей полезной информации. Злоумышленники используют поддельные установщики GlobalProtect для распространения вредоносного ПО, пользуясь доверием к законным источникам программного обеспечения. После заражения WikiLoader использует методы обфускации, легитимные двоичные файлы для дополнительной загрузки и меры защиты от анализа, чтобы избежать обнаружения и анализа средствами безопасности.

В рекомендациях подчеркивается важность немедленных действий, включая обновление уязвимого программного обеспечения, ограничение доступа, использование средств обнаружения угроз и сохранение бдительности в отношении сложных вредоносных кампаний, таких как WikiLeader. В них подчеркивается острая необходимость в своевременных обновлениях и надежных механизмах защиты для снижения рисков, связанных с этими уязвимостями и развитием киберугроз.

Решение этих проблем безопасности с помощью упреждающих мер, таких как своевременное обновление, ограничение доступа и надежные механизмы защиты, имеет решающее значение для снижения риска использования. Постоянное информирование о сложных кампаниях вредоносного ПО и постоянное совершенствование методов обеспечения безопасности являются жизненно важными шагами в защите систем и конфиденциальных данных. Выполняя рекомендуемые действия, изложенные в рекомендациях, организации могут повысить свою общую безопасность и лучше защититься от этих рисков.

#ParsedReport #CompletenessMedium
04-09-2024

Mallox ransomware: in-depth analysis and evolution

https://securelist.com/mallox-ransomware/113529

Report completeness: Medium

Threats:
Targetcompany
Bozon
Xollam
Remcos_rat
Shadow_copies_delete_technique
Sandbox_evasion_technique

Industry:
Healthcare

Geo:
Brazil, China, Belarusian, Ukrainian, Russian, Vietnam

CVEs:
CVE-2020-0618 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2012, 2014, 2016)

CVE-2019-1068 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2014, 2016, 2017)


ChatGPT TTPs:
do not use without manual check
T1583.001, T1190, T1486, T1041, T1069.002

IOCs:
Path: 1
File: 7
Hash: 15
Url: 2

Soft:
Jabber, MS SQL, PostgreSQL, MySQL, remote desktop services

Crypto:
tether

Algorithms:
aes-128-ctr, aes, ecdh, chacha20, ecc, sha256, aes-256, xor, prng, curve25519, md5, aes-128, aes-256-gcm

Win API:
SeTakeOwnershipPrivilege, SeDebugPrivilege, SHDeleteKeyW, TerminateProcess, ControlService, ShutdownBlockReasonCreate, GetSystemInfo, CryptGenRandom, QueryPerformanceCounter, GetTickCount, have more...

Win Services:
WebClient

Languages:
powershell, php

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2, code: 8, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Mallox - это изощренное и опасное семейство программ-вымогателей, которое эволюционировало с момента своего появления в 2021 году, насчитывая более 700 идентифицированных образцов и активную партнерскую программу поиска партнеров в даркнете. Программа-вымогатель нацелена на состоятельные компании по всему миру, использует различные методы для взлома сетей жертв, использует сложные схемы шифрования и взаимодействует с злоумышленниками через специальный сайт TOR. Организациям рекомендуется применять надежные меры безопасности для защиты от Mallox и подобных угроз.
-----

Mallox - это изощренное и опасное семейство программ-вымогателей, наносящее значительный ущерб по всему миру. В период с 2023 по первую половину 2024 года было обнаружено более 700 образцов.

Вредоносная программа постоянно развивается, ежемесячно выпускаются новые версии, а на форумах темного интернета действует партнерская программа Mallox RaaS.

Первоначально появившийся в первой половине 2021 года, Mallox в основном использовался для целенаправленных атак на компании, управляемых людьми.

Mallox RaaS сотрудничает с опытными партнерами, ориентируясь на состоятельные компании и избегая образовательных, правительственных и медицинских организаций.

Аффилированные лица используют множество методов для компрометации сетей жертв, таких как спам-кампании и использование уязвимостей в серверах, таких как MS SQL или PostgreSQL.

Mallox использует сложную схему шифрования, включающую криптографические алгоритмы и многопоточность для процессов шифрования.

Было идентифицировано более 700 образцов Mallox, которые были классифицированы по 12 версиям в зависимости от функциональности или изменений в криптографии.

В последних версиях были внесены существенные изменения для устранения уязвимостей, включая усовершенствованные технические структуры буферов в зашифрованных файлах.

Программа-вымогатель отправляет информацию об устройстве на сервер злоумышленника по протоколу HTTP, собирая данные об идентификаторах жертв, именах компьютеров и DNS-доменах.

В записке о выкупе содержатся инструкции о том, как жертвы могут договориться о выплате, направляя их на указанный сайт TOR, указывая цену выкупа в долларах США и BTC, платежные адреса и виджет чата.

Филиалы Mallox ransomware нацелены на компании по всему миру, уделяя особое внимание таким регионам, как Бразилия, Вьетнам и Китай.

Для защиты от Mallox организациям рекомендуется усилить меры безопасности, в том числе избегать доступа к службам удаленного рабочего стола, использовать надежные пароли, регулярно обновлять программное обеспечение, создавать резервные копии данных, отслеживать несанкционированный доступ, обучать сотрудников передовым методам кибербезопасности и внедрять передовые решения для обеспечения безопасности.

#ParsedReport #CompletenessLow
04-09-2024

Patchwork activity in July, and Widnows' main remote control weapon BADNEWS was upgraded again.

https://www.ctfiot.com/203033.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Badnews_rat

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1027, T1071.001, T1132.001, T1573.001

IOCs:
File: 1
Domain: 8
IP: 4
Hash: 2
Url: 1

Soft:
WeChat

Algorithms:
aes-128-cbc, xor, base64, aes

Win API:
GetSystemFirmwareTable, GetAdaptersInfo, HttpOpenRequestA, InternetReadFile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание кибератаки, проведенной организацией Patchwork APT в июле 2024 года с использованием трояна BADNEWS. Атака включала в себя сложную фишинговую кампанию, замаскированную под научно-техническое мероприятие по распространению вредоносного ПО, которая включала в себя расширенные возможности, такие как шифрование, обфускация, меры защиты от обнаружения и сложную инфраструктуру связи с сервером управления (C2). Ключевые усовершенствования в выборке, представленной в июле 2024 года, включали сложный цикл обработки данных, позволяющий избежать обнаружения, и хранение ключей шифрования в сегменте шеллкодов.
-----

В тексте описывается кибератака, проведенная организацией Advanced Persistent Threat (APT), известной как Patchwork, в июле 2024 года. Злоумышленники использовали фишинговую кампанию, замаскированную под "7-ю Международную неделю инноваций в области науки и техники COMAC", для доставки вредоносной информации. Первоначальная полезная нагрузка, выполненная по ссылке, в конечном итоге привела к запуску троянца BADNEWS, который является инструментом удаленного доступа, обычно используемым компанией Patchwork.

За последние три года троянская программа BADNEWS претерпела множество изменений, постоянно обновляясь для расширения своих возможностей и предотвращения обнаружения. Разработчики сосредоточились на совершенствовании протоколов связи, алгоритмов шифрования, методов обфускации и механизмов защиты от обнаружения вредоносной программы. В образце, выпущенном в июле 2024 года, были предприняты значительные усилия для сокрытия функций хоста и связи, удаления символов и усиления мер по предотвращению уничтожения и отладки. Также были внесены изменения в цикл ожидания пакета heartbeat, чтобы сделать обнаружение более сложным на сетевом уровне по сравнению с предыдущими версиями.

Образец троянской программы BADNEWS, выпущенный в июле 2024 года, включал в себя два процесса выпуска шеллкода с размером полезной нагрузки 692 КБ для начальной полезной нагрузки и 280 КБ для полезной нагрузки BADNEWSB, которая является упрощенной версией. Вредоносная программа использовала шифрование и кодирующие режимы, такие как AES-CBC-128, XOR и BASE64, а также различные методы хэширования и проверки. В этом примере были использованы новые методы получения ключей шифрования и векторов инициализации в сегменте шеллкода, что усложнило логику взаимодействия с сервером управления (C2).

Одним из заметных улучшений в выборке за июль 2024 года стало введение более сложного цикла сердцебиений, который динамически корректировал интервалы сердцебиений в зависимости от состояния сервера, чтобы избежать обнаружения вредоносного трафика. Коммуникационное сердцебиение троянца было спроектировано таким образом, чтобы его было сложно обнаружить из-за случайности и различных типов циклов ожидания, генерируемых на основе различных состояний сервера.

Ключ алгоритма AES-CBC-128 и вектор инициализации были сохранены в виде обычного текста в сегменте шеллкода, и вредоносная программа выполнила цикл отправки пакетов с сигнальными сигналами для проверки сервера C2. Пакеты онлайн-данных, передаваемые вредоносной программой, содержали идентификационную информацию, зашифрованную с помощью UUID для уникальной идентификации каждого клиента. После успешной передачи образец ожидал инструкций от сервера C2, которые были получены с помощью API InternetReadFile.

#ParsedReport #CompletenessLow
04-09-2024

Emansrepo Stealer: Multi-Vector Attack Chains

https://www.fortinet.com/blog/threat-research/emansrepo-stealer-multi-vector-attack-chains

Report completeness: Low

Threats:
Emansrepo
Prysmax
Phantomcore
Remcos_rat
Dbatloader

IOCs:
Email: 12
File: 9
Path: 1
Hash: 21
Url: 5
IP: 2

Soft:
Chrome, opera, 360browser, UCBrowser, QQBrowser, PyInstaller, amigo, torch, kometa, orbitum, have more...

Wallets:
atomicwallet, zcash, exodus_wallet, electrum, coinomi, jaxx, metamask, coinbase, ronin_wallet, venom_wallet, have more...

Crypto:
binance, multiversx, tezos

Algorithms:
zip

Functions:
click

Languages:
javascript, autoit, python, powershell