#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в июне 2024 года появилась новая группа программ-вымогателей под названием Cicada3301, которая работает как платформа "программа-вымогатель как услуга" с возможностями двойного вымогательства. Эта группа имеет сходство с группой программ-вымогателей ALPHV и связана с ботнетом Brutus. Программа-вымогатель написана на Rust, нацелена на хосты Windows и Linux/ESXi и использует методы шифрования, такие как ChaCha20. В тексте освещаются функциональные возможности группы, направления атак и потенциальные будущие изменения в ее возможностях.
-----

Cicada3301 - это недавно появившаяся группа программ-вымогателей, которая работает как платформа "программа-вымогатель как услуга", предоставляя возможности двойного вымогательства.

Программа-вымогатель написана на Rust для хостов Windows и Linux/ESXi, с акцентом на вариант программы-вымогателя ESXi.

Анализ выявил сходство между Cicada3301 и ныне несуществующими группами программ-вымогателей Black Cat/ALPHV, например, использование Rust, шифрования ChaCha20 и аналогичных команд для выключения виртуальной машины и удаления моментальных снимков.

Расследование выявило потенциальную связь между участниками угроз, связанными с ботнетом Brutus, и Cicada3301, что позволяет предположить сотрудничество или ребрендинг программ-вымогателей.

Программа-вымогатель Cicada3301 - это двоичный код ELF, скомпилированный в Rust, использующий такие функциональные возможности, как введение задержек, визуальный вывод во время шифрования и возможность шифровать файлы на хостах ESXi без выключения виртуальных машин.

Программа-вымогатель использует шифрование ChaCha20 и шифрование с ключом RSA для шифрования файлов.

Cicada3301 представляет собой серьезную угрозу в сфере программ-вымогателей как услуги, потенциально связанную с группой программ-вымогателей ALPHV, и возможности которой могут быть расширены в будущем.

С переводом спец. терминов надо что-то делать.
Будем изучать что там в платном Yandex Translate надо подкрутить :) Делать полный глоссарий лениво. Может можно как-то тегами указывать какие слова не надо переводить.

We present novel techniques to identify ransomware payments with low false positives, classifying nearly $700 million in previously-unreported ransomware payments. We publish the largest public dataset of over $900 million in ransomware payments -- several times larger than any existing public dataset. We then leverage this expanded dataset to present an analysis focused on understanding the activities of ransomware groups over time. This provides unique insights into ransomware behavior and a corpus for future study of ransomware cybercriminal activity.

https://arxiv.org/abs/2408.15420

#technique

GhostStrike is an advanced cybersecurity tool designed for Red Team operations, featuring sophisticated techniques to evade detection and perform process hollowing on Windows systems.

https://github.com/stivenhacker/GhostStrike

#ParsedReport #CompletenessMedium
07-09-2024

TIDRONE Targets Military and Satellite Industries in Taiwan. Summary

https://www.trendmicro.com/en_us/research/24/i/tidrone-targets-military-and-satellite-industries-in-taiwan.html

Report completeness: Medium

Actors/Campaigns:
Tidrone (motivation: cyber_espionage)

Threats:
Cxclnt
Clntend
Uac_bypass_technique
Credential_dumping_technique
Supply_chain_technique
Disabling_antivirus_technique
Junk_code_technique
Trojan.win32.dulload.ztlc
Trojan.win32.shelldebin.ztlc

Industry:
Military

Geo:
Taiwan, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1082, T1071, T1548, T1003, T1562.001, T1027, T1574.002, T1059.001

IOCs:
File: 11
Hash: 14
Domain: 8

Soft:
Winlogon

Algorithms:
sha256, xor

Win API:
GetProcAddress, RtlDecompressBuffer, CreateThread, ConvertThreadToFiber, CreateFiber, SwitchToFiber, SetEvent

Links:
https://github.com/MaorSabag/TrueSightKiller
https://gist.github.com/netbiosX/a114f8822eb20b115e33db55deee6692

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3, code: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе кластера угроз TIDRONE, связанного с китайскоязычными группами, с акцентом на военные отрасли, в частности на производителей беспилотных летательных аппаратов на Тайване. TIDRONE использует передовые наборы вредоносных программ, такие как CXCLNT и CLNTEND, демонстрируя шпионские мотивы посредством целенаправленных атак и постоянного совершенствования тактики. Злоумышленники используют в своих операциях методы антианализа, бэкдоры и методы обфускации, что указывает на высокий уровень изощренности.
-----

В тексте описывается неопознанный кластер угроз под названием TIDRONE, который связан с китайскоязычными группами и проявляет значительный интерес к промышленным цепочкам, связанным с военной деятельностью, в частности к производителям беспилотных летательных аппаратов на Тайване. В TIDRONE используются передовые наборы вредоносных программ, такие как CXCLNT и CLNTEND, для развертывания которых используется программное обеспечение для планирования ресурсов предприятия или удаленные рабочие столы. Вредоносные программы обладают функциями загрузки файлов, сбора информации о жертвах и запуска дополнительных переносимых исполняемых файлов. CLNTEND, недавно открытый инструмент удаленного доступа, поддерживает различные сетевые протоколы для связи.

С начала 2024 года на Тайване участились случаи реагирования на инциденты, связанные с TIDRONE, что свидетельствует о том, что злоумышленник сосредоточил свое внимание на военных секторах. В отчете, основанном на данных телеметрии VirusTotal, освещаются различные страны-мишени, что подчеркивает необходимость бдительности. TIDRONE постоянно совершенствует свои тактики, методы и процедуры (TTP), о чем свидетельствует эволюция таких инструментов, как CXCLNT и CLNTEND. Злоумышленники используют методы антианализа в своих загрузчиках, чтобы препятствовать обнаружению, и используют такие методы, как обход контроля учетных данных, сброс учетных данных и использование хакерских инструментов во время постэксплуатационных действий.

Деятельность TIDRONE предполагает наличие шпионских мотивов, учитывая, что ее целью являются предприятия военной промышленности, в частности производители беспилотных летательных аппаратов. Время сбора файлов совпадает с кампаниями, связанными со шпионажем в Китае, что указывает на причастность группы, владеющей китайским языком. Целенаправленность и ограниченный масштаб инцидентов еще больше подтверждают оценку деятельности TIDRONE, связанной со шпионажем.

В тексте рассматриваются технические детали наборов инструментов TIDRONE, описывается внедрение вредоносного ПО с помощью программного обеспечения ERP или удаленных рабочих столов, горизонтальное перемещение в системах-жертвах и наличие загрузчиков, обеспечивающих постоянную работу на компьютерах-жертвах. Действия злоумышленника связаны с родительским процессом WinWord.exe, что указывает на общность всех атак, которые организации могут отслеживать в целях защиты.

Кроме того, анализ выявил наличие множества бэкдоров в кампании TIDRONE с гибкими структурами шеллкода, способными принимать различные форматы полезной нагрузки. Результаты анализа вредоносных программ и отчеты о работе в изолированной среде дают представление о функциональности этих бэкдоров, демонстрируя такие возможности, как удаленный доступ к командной оболочке и связь с серверами управления. Злоумышленники предпочитают неправильно указывать доменные имена для серверов C&C, чтобы запутать свою сетевую инфраструктуру и ввести в заблуждение исследователей.

#ParsedReport #CompletenessLow
08-09-2024

Arctic Wolf Observes Akira Ransomware Campaign Targeting SonicWall SSLVPN Accounts

https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts

Report completeness: Low

Threats:
Akira_ransomware

Victims:
Sslvpn user accounts on sonicwall devices

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078, T1110

Soft:
Active Directory

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в SonicOS была обнаружена критическая уязвимость для удаленного выполнения кода (CVE-2024-40766), влияющая на устройства брандмауэра SonicWall. Эта уязвимость может привести к несанкционированному доступу к функциям управления и учетным записям SSLVPN, а также к сообщениям о кампаниях программ-вымогателей, нацеленных на эти устройства с использованием учетных записей пользователей SSLVPN. В тексте подчеркивается важность оперативного исправления уязвимых систем, обновления паролей, включения многофакторной аутентификации (MFA) и внедрения надежных мер безопасности для снижения риска, связанного с уязвимостью, и предотвращения потенциального использования. Организациям рекомендуется уделять приоритетное внимание обновлениям системы безопасности и методам строгой аутентификации для защиты от возникающих угроз.
-----

22 августа 2024 года в SonicOS была обнаружена критическая уязвимость для удаленного выполнения кода (CVE-2024-40766), влияющая на некоторые устройства брандмауэра SonicWall. Первоначально не было никаких свидетельств активного использования и не было доступно никаких подтверждающих концепцию уязвимостей. Однако обновление от 6 сентября 2024 года показало, что уязвимость теперь может быть активно устранена. В рекомендации по безопасности были внесены изменения, указывающие на то, что уязвимость может привести к несанкционированному доступу как к функциям управления, так и к локальным учетным записям SSLVPN.

Примечательно, что Arctic Wolf выявил тревожную тенденцию, когда филиалы Akira ransomware инициировали кампании по вымогательству, используя учетные записи пользователей SSLVPN на устройствах SonicWall. Эти скомпрометированные учетные записи были предназначены исключительно для затронутых устройств и не были связаны с централизованными службами аутентификации, такими как Microsoft Active Directory. Более того, было обнаружено, что многофакторная аутентификация (MFA) отключена для всех скомпрометированных учетных записей, что еще больше усугубляет угрозу безопасности.

Злоумышленники использовали известную уязвимость CVE-2024-40766, присутствующую в прошивке SonicOS уязвимых устройств, для получения несанкционированного доступа. Подчеркивается, что пользователи должны оперативно обновлять свои пароли в любых связанных с ними централизованных системах аутентификации, таких как Active Directory, чтобы предотвратить их потенциальное использование в будущих атаках, особенно в случае проникновения программ-вымогателей. Поддержание уникальных и регулярно обновляемых паролей на всех платформах имеет жизненно важное значение для повышения общей безопасности.

Сложившаяся ситуация подчеркивает острую необходимость для организаций оперативно исправлять уязвимые системы, особенно в свете меняющегося ландшафта угроз, когда участники угроз активно используют уязвимости в злонамеренных целях. В этом случае использование учетных записей SSLVPN на устройствах SonicWall представляет значительную угрозу безопасности, которая может привести к серьезным последствиям, если ее не устранить. Отсутствие мер по обеспечению соблюдения MFA еще раз подчеркивает важность внедрения надежных мер безопасности для защиты от несанкционированного доступа.

Учитывая наблюдаемую активность угроз и потенциальное влияние успешной атаки с использованием уязвимости SonicOS, организациям рекомендуется расставить приоритеты в обновлениях системы безопасности и обеспечить применение методов надежной аутентификации. Проактивный мониторинг, своевременное внесение исправлений и обучение пользователей навыкам безопасности являются важнейшими компонентами комплексной стратегии кибербезопасности, направленной на защиту от возникающих угроз и предотвращение успешного использования уязвимостей, таких как CVE-2024-40766.

#ParsedReport #CompletenessMedium
07-09-2024

Atomic macOS Stealer leads sensitive data theft on macOS. Distribution

https://news.sophos.com/en-us/2024/09/06/atomic-macos-stealer-leads-sensitive-data-theft-on-macos

Report completeness: Medium

Threats:
Amos_stealer
Meta_stealer
Keysteal
Seo_poisoning_technique
Rhadamanthys
Applescript

Victims:
Macos users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.001, T1010, T1119, T1203, T1074, T1566.002, T1070.004, T1140, T1055.001

IOCs:
Domain: 5
Hash: 10
Url: 2

Soft:
macOS, Telegram, Slack, Gatekeeper

Algorithms:
sha256

Win API:
Arc

Languages:
python

Platforms:
apple

Links:
https://github.com/sophoslabs/IoCs/blob/master/Atomic-infostealer-IOCs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Atomic macOS Stealer (AMOS) - это очень сложный инфокрад, нацеленный на пользователей macOS с целью кражи конфиденциальных данных, набирающий популярность и ценность в сфере киберпреступности благодаря развивающейся тактике уклонения от обнаружения и потенциальному распространению на пользователей iPhone.
-----

Atomic macOS Stealer (AMOS) - это распространенный инфокрад, нацеленный на пользователей macOS и предназначенный для кражи конфиденциальных данных, таких как файлы cookie, пароли, информация для автозаполнения и содержимое криптовалютных кошельков. Он работает, отправляя эту информацию обратно злоумышленникам, которые могут либо использовать ее сами, либо продавать другим злоумышленникам на криминальных рынках. AMOS приобрел значительную популярность и ценность в сфере киберпреступности, а его цена за последний год выросла втрое, что подчеркивает важность и прибыльность таргетинга на пользователей macOS.

AMOS - одно из самых известных семейств вредоносных программ, нацеленных на macOS, наряду с такими конкурентами, как MetaStealer, KeySteal и CherryPie. Он активно рекламируется и продается в общедоступных Telegram-каналах, и, как сообщается, с мая 2024 года его стоимость увеличится до 3000 долларов в месяц. Вредоносная программа нацелена на различные браузеры, криптовалютные кошельки и конфиденциальную системную информацию, включая связку ключей Apple и пароль macOS, что создает серьезную угрозу безопасности пользовательских данных.

Методы распространения AMOS включают в себя такие методы, как вредоносная реклама и SEO-отравление, когда злоумышленники используют онлайн-рекламу и алгоритмы поисковых систем, чтобы привести пользователей на вредоносные сайты, на которых размещено вредоносное ПО. AMOS часто маскируется под легальные приложения, такие как Notion, Trello, Slack и другие, обманом заставляя пользователей загружать и устанавливать вредоносное ПО на свои системы. Кроме того, было замечено, что злоумышленники размещают двоичные файлы AMOS на платформах, таких как GitHub, в рамках своих вредоносных кампаний.

AMOS постоянно совершенствуется, чтобы избежать обнаружения и анализа. В последних версиях были использованы методы обфускации имен функций и строк, а также дроппер на Python для сокрытия критически важных данных и предотвращения обнаружения решениями безопасности. Кроме того, дистрибьюторы AMOS заявили о потенциальной версии, ориентированной на пользователей iPhone, возможно, под влиянием изменений в законодательстве, которые могут способствовать распространению вредоносного ПО для iOS с помощью аналогичных вредоносных тактик.

#ParsedReport #CompletenessMedium
07-09-2024

Earth Lusca Uses KTLVdoor Backdoor for Multiplatform Intrusion

https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html

Report completeness: Medium

Actors/Campaigns:
Earth_lusca
Emissary_panda
Void_arachne

Threats:
Ktlvdoor
Netstat_tool
Portscan_tool
Timestomp_technique

Victims:
Trading company

Geo:
Chinese, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1565.001, T1071.001, T1071.002, T1070.004

IOCs:
Registry: 1
Hash: 27
IP: 81

Algorithms:
md5, base64, xor, gzip, aes-gcm

Languages:
java, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте сообщается об обнаружении нового мультиплатформенного бэкдора под названием KTLVdoor, который использовался Earth Lusca threat group в масштабной кампании по атаке на китайскую торговую компанию. Бэкдор, написанный на Golang, маскируется под системные утилиты и позволяет злоумышленникам манипулировать файлами, выполнять команды и проводить удаленное сканирование портов. Вредоносная программа использует сложные методы шифрования и обфускации, чтобы избежать анализа. Связь между агентом и сервером управления зашифрована и сжата. Весьма вероятно, что связь с Earth Lusca существует, но могут быть задействованы и другие участники угроз, говорящие на китайском языке, что указывает на скоординированные усилия в области киберугроз в Китае. Организациям рекомендуется использовать надежные решения безопасности, такие как Trend Vision One, для эффективной защиты от подобных атак.
-----

Был обнаружен новый мультиплатформенный бэкдор под названием KTLVdoor, который использовался террористической группой Earth Lusca в крупномасштабной атакующей кампании.

Бэкдор написан на Golang и имеет версии как для Microsoft Windows, так и для Linux; он маскируется под системные утилиты и позволяет злоумышленникам манипулировать файлами, выполнять команды и проводить удаленное сканирование портов.

Вредоносная программа использует сложные методы шифрования и обфускации, чтобы избежать анализа и взаимодействовать с более чем 50 серверами управления (C&C), размещенными китайской компанией.

Распространение вредоносного ПО в виде динамической библиотеки дает злоумышленникам полный контроль над скомпрометированной средой, уделяя особое внимание китайским организациям, таким как торговые компании.

Связь между агентом и серверами C&C шифруется с использованием AES-GCM, а сообщения отправляются в формате, сжатом с помощью GZIP, в симплексном или дуплексном режиме.

Несмотря на то, что связь между KTLVdoor и Earth Lusca установлена, не все образцы могут быть однозначно отнесены к субъекту угрозы, что предполагает потенциальный обмен информацией между другими китайскоязычными субъектами угрозы.

Для защиты от подобных атак организациям рекомендуется внедрять надежные технологии безопасности, такие как Trend Vision One, для постоянного выявления объектов атаки и защиты от вредоносных инструментов.

#ParsedReport #CompletenessMedium
08-09-2024

Konni Threat Worldview Expansion Analysis Report

https://www.genians.co.kr/blog/threat_intelligence/konni_universe

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Agent_tesla
Cloud_reverser
Asyncrat

Victims:
Korean government agencies, Russian government agencies, Individuals in north korea, Experts in north korean affairs, Individuals involved in virtual asset transactions

Industry:
Government, Financial

Geo:
Dprk, Gyeonggi-do, Korea, North korean, Russian, Usa, Korean, Russia, North korea, Chinese, Germany, Moscow, The us, German

ChatGPT TTPs:
do not use without manual check
T1566.001, T1202, T1059.001, T1059.005, T1071.002, T1070.004, T1059.003, T1140

IOCs:
Domain: 34
File: 19
IP: 8
Hash: 37
Path: 2
Command: 1

Soft:
Slack, Instagram, task scheduler, Microsoft Excel

Crypto:
bitcoin

Algorithms:
zip, aes-256-ctr, base64, sha256, xor, md5, aes

Functions:
CreateObject, GetFolder, ReadLine, GetSpecialFolder

Win API:
CopyFile

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 3, code: 2, dump: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4