#ParsedReport #CompletenessMedium
07-09-2024

Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant

https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader

Report completeness: Medium

Threats:
Wikiloader
Dll_sideloading_technique
Emotet
Seo_poisoning_technique
Danabot
Gozi
Typosquatting_technique
Motw_bypass_technique

Industry:
Transport, Education, Iot

Geo:
Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1189, T1071.001, T1036.005, T1055.012, T1090, T1027, T1012, T1497.001, T1204.001, T1105, have more...

IOCs:
File: 10
Path: 1
Url: 8
Hash: 39

Soft:
WordPress, Chrome, Sysinternals

Algorithms:
sha256, zip

Functions:
GetBingMapsFactory

Win API:
CryptUnprotectData

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в методах, используемых WikiLeader в кампаниях, имитирующих GlobalProtect, с акцентом на антианализ и методы уклонения от защиты, которые были определены командой Unit 42 Managed Threat Hunting. В нем обсуждается эволюция вредоносного ПО, методы доставки, такие как SEO-отравление, используемые методы уклонения, такие как опечатывание и дополнительная загрузка, а также потенциальное воздействие на различные сектора. Кроме того, в нем рассказывается об уникальных приемах, используемых WikiLoader, и подчеркивается важность поиска угроз в конечных точках для обнаружения и устранения вредоносных программ, несмотря на их тактику уклонения.
-----

WikiLoader распространяется с помощью SEO-оптимизации и подмены программного обеспечения GlobalProtect VPN.

Вредоносная программа использует различные методы уклонения, такие как поиск опечаток, дополнительная загрузка законно подписанных двоичных файлов и шифрование шелл-кода.

Недавние кампании, нацеленные на высшее образование и транспортный сектор США, расширили круг жертв WikiLeaks.

WikiLoader устанавливает постоянство, вводя шелл-код в explorer.exe и создавая запланированные задачи для выполнения.

Вредоносная программа выводит поддельные сообщения об ошибках после заражения, чтобы не вызывать подозрений.

Финансово мотивированные злоумышленники, скорее всего, продолжат использовать WikiLoader для скрытных кампаний по загрузке Windows.

Организации могут использовать распространенные методы поиска угроз для конечных точек для выявления и устранения вредоносных программ.

#ParsedReport #CompletenessLow
07-09-2024

Dissecting the Cicada

https://www.truesec.com/hub/blog/dissecting-the-cicada

Report completeness: Low

Actors/Campaigns:
Blackcat

Threats:
Cicada_ransomware
Blackcat
Screenconnect_tool
Brutus

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001

IOCs:
File: 2
IP: 1

Soft:
ESXi, esxcli

Algorithms:
base64, chacha20

Languages:
rust

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в июне 2024 года появилась новая группа программ-вымогателей под названием Cicada3301, которая работает как платформа "программа-вымогатель как услуга" с возможностями двойного вымогательства. Эта группа имеет сходство с группой программ-вымогателей ALPHV и связана с ботнетом Brutus. Программа-вымогатель написана на Rust, нацелена на хосты Windows и Linux/ESXi и использует методы шифрования, такие как ChaCha20. В тексте освещаются функциональные возможности группы, направления атак и потенциальные будущие изменения в ее возможностях.
-----

Cicada3301 - это недавно появившаяся группа программ-вымогателей, которая работает как платформа "программа-вымогатель как услуга", предоставляя возможности двойного вымогательства.

Программа-вымогатель написана на Rust для хостов Windows и Linux/ESXi, с акцентом на вариант программы-вымогателя ESXi.

Анализ выявил сходство между Cicada3301 и ныне несуществующими группами программ-вымогателей Black Cat/ALPHV, например, использование Rust, шифрования ChaCha20 и аналогичных команд для выключения виртуальной машины и удаления моментальных снимков.

Расследование выявило потенциальную связь между участниками угроз, связанными с ботнетом Brutus, и Cicada3301, что позволяет предположить сотрудничество или ребрендинг программ-вымогателей.

Программа-вымогатель Cicada3301 - это двоичный код ELF, скомпилированный в Rust, использующий такие функциональные возможности, как введение задержек, визуальный вывод во время шифрования и возможность шифровать файлы на хостах ESXi без выключения виртуальных машин.

Программа-вымогатель использует шифрование ChaCha20 и шифрование с ключом RSA для шифрования файлов.

Cicada3301 представляет собой серьезную угрозу в сфере программ-вымогателей как услуги, потенциально связанную с группой программ-вымогателей ALPHV, и возможности которой могут быть расширены в будущем.

С переводом спец. терминов надо что-то делать.
Будем изучать что там в платном Yandex Translate надо подкрутить :) Делать полный глоссарий лениво. Может можно как-то тегами указывать какие слова не надо переводить.

We present novel techniques to identify ransomware payments with low false positives, classifying nearly $700 million in previously-unreported ransomware payments. We publish the largest public dataset of over $900 million in ransomware payments -- several times larger than any existing public dataset. We then leverage this expanded dataset to present an analysis focused on understanding the activities of ransomware groups over time. This provides unique insights into ransomware behavior and a corpus for future study of ransomware cybercriminal activity.

https://arxiv.org/abs/2408.15420

#technique

GhostStrike is an advanced cybersecurity tool designed for Red Team operations, featuring sophisticated techniques to evade detection and perform process hollowing on Windows systems.

https://github.com/stivenhacker/GhostStrike

#ParsedReport #CompletenessMedium
07-09-2024

TIDRONE Targets Military and Satellite Industries in Taiwan. Summary

https://www.trendmicro.com/en_us/research/24/i/tidrone-targets-military-and-satellite-industries-in-taiwan.html

Report completeness: Medium

Actors/Campaigns:
Tidrone (motivation: cyber_espionage)

Threats:
Cxclnt
Clntend
Uac_bypass_technique
Credential_dumping_technique
Supply_chain_technique
Disabling_antivirus_technique
Junk_code_technique
Trojan.win32.dulload.ztlc
Trojan.win32.shelldebin.ztlc

Industry:
Military

Geo:
Taiwan, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1082, T1071, T1548, T1003, T1562.001, T1027, T1574.002, T1059.001

IOCs:
File: 11
Hash: 14
Domain: 8

Soft:
Winlogon

Algorithms:
sha256, xor

Win API:
GetProcAddress, RtlDecompressBuffer, CreateThread, ConvertThreadToFiber, CreateFiber, SwitchToFiber, SetEvent

Links:
https://github.com/MaorSabag/TrueSightKiller
https://gist.github.com/netbiosX/a114f8822eb20b115e33db55deee6692

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3, code: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе кластера угроз TIDRONE, связанного с китайскоязычными группами, с акцентом на военные отрасли, в частности на производителей беспилотных летательных аппаратов на Тайване. TIDRONE использует передовые наборы вредоносных программ, такие как CXCLNT и CLNTEND, демонстрируя шпионские мотивы посредством целенаправленных атак и постоянного совершенствования тактики. Злоумышленники используют в своих операциях методы антианализа, бэкдоры и методы обфускации, что указывает на высокий уровень изощренности.
-----

В тексте описывается неопознанный кластер угроз под названием TIDRONE, который связан с китайскоязычными группами и проявляет значительный интерес к промышленным цепочкам, связанным с военной деятельностью, в частности к производителям беспилотных летательных аппаратов на Тайване. В TIDRONE используются передовые наборы вредоносных программ, такие как CXCLNT и CLNTEND, для развертывания которых используется программное обеспечение для планирования ресурсов предприятия или удаленные рабочие столы. Вредоносные программы обладают функциями загрузки файлов, сбора информации о жертвах и запуска дополнительных переносимых исполняемых файлов. CLNTEND, недавно открытый инструмент удаленного доступа, поддерживает различные сетевые протоколы для связи.

С начала 2024 года на Тайване участились случаи реагирования на инциденты, связанные с TIDRONE, что свидетельствует о том, что злоумышленник сосредоточил свое внимание на военных секторах. В отчете, основанном на данных телеметрии VirusTotal, освещаются различные страны-мишени, что подчеркивает необходимость бдительности. TIDRONE постоянно совершенствует свои тактики, методы и процедуры (TTP), о чем свидетельствует эволюция таких инструментов, как CXCLNT и CLNTEND. Злоумышленники используют методы антианализа в своих загрузчиках, чтобы препятствовать обнаружению, и используют такие методы, как обход контроля учетных данных, сброс учетных данных и использование хакерских инструментов во время постэксплуатационных действий.

Деятельность TIDRONE предполагает наличие шпионских мотивов, учитывая, что ее целью являются предприятия военной промышленности, в частности производители беспилотных летательных аппаратов. Время сбора файлов совпадает с кампаниями, связанными со шпионажем в Китае, что указывает на причастность группы, владеющей китайским языком. Целенаправленность и ограниченный масштаб инцидентов еще больше подтверждают оценку деятельности TIDRONE, связанной со шпионажем.

В тексте рассматриваются технические детали наборов инструментов TIDRONE, описывается внедрение вредоносного ПО с помощью программного обеспечения ERP или удаленных рабочих столов, горизонтальное перемещение в системах-жертвах и наличие загрузчиков, обеспечивающих постоянную работу на компьютерах-жертвах. Действия злоумышленника связаны с родительским процессом WinWord.exe, что указывает на общность всех атак, которые организации могут отслеживать в целях защиты.

Кроме того, анализ выявил наличие множества бэкдоров в кампании TIDRONE с гибкими структурами шеллкода, способными принимать различные форматы полезной нагрузки. Результаты анализа вредоносных программ и отчеты о работе в изолированной среде дают представление о функциональности этих бэкдоров, демонстрируя такие возможности, как удаленный доступ к командной оболочке и связь с серверами управления. Злоумышленники предпочитают неправильно указывать доменные имена для серверов C&C, чтобы запутать свою сетевую инфраструктуру и ввести в заблуждение исследователей.

#ParsedReport #CompletenessLow
08-09-2024

Arctic Wolf Observes Akira Ransomware Campaign Targeting SonicWall SSLVPN Accounts

https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts

Report completeness: Low

Threats:
Akira_ransomware

Victims:
Sslvpn user accounts on sonicwall devices

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078, T1110

Soft:
Active Directory

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в SonicOS была обнаружена критическая уязвимость для удаленного выполнения кода (CVE-2024-40766), влияющая на устройства брандмауэра SonicWall. Эта уязвимость может привести к несанкционированному доступу к функциям управления и учетным записям SSLVPN, а также к сообщениям о кампаниях программ-вымогателей, нацеленных на эти устройства с использованием учетных записей пользователей SSLVPN. В тексте подчеркивается важность оперативного исправления уязвимых систем, обновления паролей, включения многофакторной аутентификации (MFA) и внедрения надежных мер безопасности для снижения риска, связанного с уязвимостью, и предотвращения потенциального использования. Организациям рекомендуется уделять приоритетное внимание обновлениям системы безопасности и методам строгой аутентификации для защиты от возникающих угроз.
-----

22 августа 2024 года в SonicOS была обнаружена критическая уязвимость для удаленного выполнения кода (CVE-2024-40766), влияющая на некоторые устройства брандмауэра SonicWall. Первоначально не было никаких свидетельств активного использования и не было доступно никаких подтверждающих концепцию уязвимостей. Однако обновление от 6 сентября 2024 года показало, что уязвимость теперь может быть активно устранена. В рекомендации по безопасности были внесены изменения, указывающие на то, что уязвимость может привести к несанкционированному доступу как к функциям управления, так и к локальным учетным записям SSLVPN.

Примечательно, что Arctic Wolf выявил тревожную тенденцию, когда филиалы Akira ransomware инициировали кампании по вымогательству, используя учетные записи пользователей SSLVPN на устройствах SonicWall. Эти скомпрометированные учетные записи были предназначены исключительно для затронутых устройств и не были связаны с централизованными службами аутентификации, такими как Microsoft Active Directory. Более того, было обнаружено, что многофакторная аутентификация (MFA) отключена для всех скомпрометированных учетных записей, что еще больше усугубляет угрозу безопасности.

Злоумышленники использовали известную уязвимость CVE-2024-40766, присутствующую в прошивке SonicOS уязвимых устройств, для получения несанкционированного доступа. Подчеркивается, что пользователи должны оперативно обновлять свои пароли в любых связанных с ними централизованных системах аутентификации, таких как Active Directory, чтобы предотвратить их потенциальное использование в будущих атаках, особенно в случае проникновения программ-вымогателей. Поддержание уникальных и регулярно обновляемых паролей на всех платформах имеет жизненно важное значение для повышения общей безопасности.

Сложившаяся ситуация подчеркивает острую необходимость для организаций оперативно исправлять уязвимые системы, особенно в свете меняющегося ландшафта угроз, когда участники угроз активно используют уязвимости в злонамеренных целях. В этом случае использование учетных записей SSLVPN на устройствах SonicWall представляет значительную угрозу безопасности, которая может привести к серьезным последствиям, если ее не устранить. Отсутствие мер по обеспечению соблюдения MFA еще раз подчеркивает важность внедрения надежных мер безопасности для защиты от несанкционированного доступа.

Учитывая наблюдаемую активность угроз и потенциальное влияние успешной атаки с использованием уязвимости SonicOS, организациям рекомендуется расставить приоритеты в обновлениях системы безопасности и обеспечить применение методов надежной аутентификации. Проактивный мониторинг, своевременное внесение исправлений и обучение пользователей навыкам безопасности являются важнейшими компонентами комплексной стратегии кибербезопасности, направленной на защиту от возникающих угроз и предотвращение успешного использования уязвимостей, таких как CVE-2024-40766.

#ParsedReport #CompletenessMedium
07-09-2024

Atomic macOS Stealer leads sensitive data theft on macOS. Distribution

https://news.sophos.com/en-us/2024/09/06/atomic-macos-stealer-leads-sensitive-data-theft-on-macos

Report completeness: Medium

Threats:
Amos_stealer
Meta_stealer
Keysteal
Seo_poisoning_technique
Rhadamanthys
Applescript

Victims:
Macos users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.001, T1010, T1119, T1203, T1074, T1566.002, T1070.004, T1140, T1055.001

IOCs:
Domain: 5
Hash: 10
Url: 2

Soft:
macOS, Telegram, Slack, Gatekeeper

Algorithms:
sha256

Win API:
Arc

Languages:
python

Platforms:
apple

Links:
https://github.com/sophoslabs/IoCs/blob/master/Atomic-infostealer-IOCs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Atomic macOS Stealer (AMOS) - это очень сложный инфокрад, нацеленный на пользователей macOS с целью кражи конфиденциальных данных, набирающий популярность и ценность в сфере киберпреступности благодаря развивающейся тактике уклонения от обнаружения и потенциальному распространению на пользователей iPhone.
-----

Atomic macOS Stealer (AMOS) - это распространенный инфокрад, нацеленный на пользователей macOS и предназначенный для кражи конфиденциальных данных, таких как файлы cookie, пароли, информация для автозаполнения и содержимое криптовалютных кошельков. Он работает, отправляя эту информацию обратно злоумышленникам, которые могут либо использовать ее сами, либо продавать другим злоумышленникам на криминальных рынках. AMOS приобрел значительную популярность и ценность в сфере киберпреступности, а его цена за последний год выросла втрое, что подчеркивает важность и прибыльность таргетинга на пользователей macOS.

AMOS - одно из самых известных семейств вредоносных программ, нацеленных на macOS, наряду с такими конкурентами, как MetaStealer, KeySteal и CherryPie. Он активно рекламируется и продается в общедоступных Telegram-каналах, и, как сообщается, с мая 2024 года его стоимость увеличится до 3000 долларов в месяц. Вредоносная программа нацелена на различные браузеры, криптовалютные кошельки и конфиденциальную системную информацию, включая связку ключей Apple и пароль macOS, что создает серьезную угрозу безопасности пользовательских данных.

Методы распространения AMOS включают в себя такие методы, как вредоносная реклама и SEO-отравление, когда злоумышленники используют онлайн-рекламу и алгоритмы поисковых систем, чтобы привести пользователей на вредоносные сайты, на которых размещено вредоносное ПО. AMOS часто маскируется под легальные приложения, такие как Notion, Trello, Slack и другие, обманом заставляя пользователей загружать и устанавливать вредоносное ПО на свои системы. Кроме того, было замечено, что злоумышленники размещают двоичные файлы AMOS на платформах, таких как GitHub, в рамках своих вредоносных кампаний.

AMOS постоянно совершенствуется, чтобы избежать обнаружения и анализа. В последних версиях были использованы методы обфускации имен функций и строк, а также дроппер на Python для сокрытия критически важных данных и предотвращения обнаружения решениями безопасности. Кроме того, дистрибьюторы AMOS заявили о потенциальной версии, ориентированной на пользователей iPhone, возможно, под влиянием изменений в законодательстве, которые могут способствовать распространению вредоносного ПО для iOS с помощью аналогичных вредоносных тактик.