We present novel techniques to identify ransomware payments with low false positives, classifying nearly $700 million in previously-unreported ransomware payments. We publish the largest public dataset of over $900 million in ransomware payments -- several times larger than any existing public dataset. We then leverage this expanded dataset to present an analysis focused on understanding the activities of ransomware groups over time. This provides unique insights into ransomware behavior and a corpus for future study of ransomware cybercriminal activity.

https://arxiv.org/abs/2408.15420

#technique

GhostStrike is an advanced cybersecurity tool designed for Red Team operations, featuring sophisticated techniques to evade detection and perform process hollowing on Windows systems.

https://github.com/stivenhacker/GhostStrike

#ParsedReport #CompletenessMedium
07-09-2024

TIDRONE Targets Military and Satellite Industries in Taiwan. Summary

https://www.trendmicro.com/en_us/research/24/i/tidrone-targets-military-and-satellite-industries-in-taiwan.html

Report completeness: Medium

Actors/Campaigns:
Tidrone (motivation: cyber_espionage)

Threats:
Cxclnt
Clntend
Uac_bypass_technique
Credential_dumping_technique
Supply_chain_technique
Disabling_antivirus_technique
Junk_code_technique
Trojan.win32.dulload.ztlc
Trojan.win32.shelldebin.ztlc

Industry:
Military

Geo:
Taiwan, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1082, T1071, T1548, T1003, T1562.001, T1027, T1574.002, T1059.001

IOCs:
File: 11
Hash: 14
Domain: 8

Soft:
Winlogon

Algorithms:
sha256, xor

Win API:
GetProcAddress, RtlDecompressBuffer, CreateThread, ConvertThreadToFiber, CreateFiber, SwitchToFiber, SetEvent

Links:
https://github.com/MaorSabag/TrueSightKiller
https://gist.github.com/netbiosX/a114f8822eb20b115e33db55deee6692

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3, code: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе кластера угроз TIDRONE, связанного с китайскоязычными группами, с акцентом на военные отрасли, в частности на производителей беспилотных летательных аппаратов на Тайване. TIDRONE использует передовые наборы вредоносных программ, такие как CXCLNT и CLNTEND, демонстрируя шпионские мотивы посредством целенаправленных атак и постоянного совершенствования тактики. Злоумышленники используют в своих операциях методы антианализа, бэкдоры и методы обфускации, что указывает на высокий уровень изощренности.
-----

В тексте описывается неопознанный кластер угроз под названием TIDRONE, который связан с китайскоязычными группами и проявляет значительный интерес к промышленным цепочкам, связанным с военной деятельностью, в частности к производителям беспилотных летательных аппаратов на Тайване. В TIDRONE используются передовые наборы вредоносных программ, такие как CXCLNT и CLNTEND, для развертывания которых используется программное обеспечение для планирования ресурсов предприятия или удаленные рабочие столы. Вредоносные программы обладают функциями загрузки файлов, сбора информации о жертвах и запуска дополнительных переносимых исполняемых файлов. CLNTEND, недавно открытый инструмент удаленного доступа, поддерживает различные сетевые протоколы для связи.

С начала 2024 года на Тайване участились случаи реагирования на инциденты, связанные с TIDRONE, что свидетельствует о том, что злоумышленник сосредоточил свое внимание на военных секторах. В отчете, основанном на данных телеметрии VirusTotal, освещаются различные страны-мишени, что подчеркивает необходимость бдительности. TIDRONE постоянно совершенствует свои тактики, методы и процедуры (TTP), о чем свидетельствует эволюция таких инструментов, как CXCLNT и CLNTEND. Злоумышленники используют методы антианализа в своих загрузчиках, чтобы препятствовать обнаружению, и используют такие методы, как обход контроля учетных данных, сброс учетных данных и использование хакерских инструментов во время постэксплуатационных действий.

Деятельность TIDRONE предполагает наличие шпионских мотивов, учитывая, что ее целью являются предприятия военной промышленности, в частности производители беспилотных летательных аппаратов. Время сбора файлов совпадает с кампаниями, связанными со шпионажем в Китае, что указывает на причастность группы, владеющей китайским языком. Целенаправленность и ограниченный масштаб инцидентов еще больше подтверждают оценку деятельности TIDRONE, связанной со шпионажем.

В тексте рассматриваются технические детали наборов инструментов TIDRONE, описывается внедрение вредоносного ПО с помощью программного обеспечения ERP или удаленных рабочих столов, горизонтальное перемещение в системах-жертвах и наличие загрузчиков, обеспечивающих постоянную работу на компьютерах-жертвах. Действия злоумышленника связаны с родительским процессом WinWord.exe, что указывает на общность всех атак, которые организации могут отслеживать в целях защиты.

Кроме того, анализ выявил наличие множества бэкдоров в кампании TIDRONE с гибкими структурами шеллкода, способными принимать различные форматы полезной нагрузки. Результаты анализа вредоносных программ и отчеты о работе в изолированной среде дают представление о функциональности этих бэкдоров, демонстрируя такие возможности, как удаленный доступ к командной оболочке и связь с серверами управления. Злоумышленники предпочитают неправильно указывать доменные имена для серверов C&C, чтобы запутать свою сетевую инфраструктуру и ввести в заблуждение исследователей.

#ParsedReport #CompletenessLow
08-09-2024

Arctic Wolf Observes Akira Ransomware Campaign Targeting SonicWall SSLVPN Accounts

https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts

Report completeness: Low

Threats:
Akira_ransomware

Victims:
Sslvpn user accounts on sonicwall devices

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078, T1110

Soft:
Active Directory

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в SonicOS была обнаружена критическая уязвимость для удаленного выполнения кода (CVE-2024-40766), влияющая на устройства брандмауэра SonicWall. Эта уязвимость может привести к несанкционированному доступу к функциям управления и учетным записям SSLVPN, а также к сообщениям о кампаниях программ-вымогателей, нацеленных на эти устройства с использованием учетных записей пользователей SSLVPN. В тексте подчеркивается важность оперативного исправления уязвимых систем, обновления паролей, включения многофакторной аутентификации (MFA) и внедрения надежных мер безопасности для снижения риска, связанного с уязвимостью, и предотвращения потенциального использования. Организациям рекомендуется уделять приоритетное внимание обновлениям системы безопасности и методам строгой аутентификации для защиты от возникающих угроз.
-----

22 августа 2024 года в SonicOS была обнаружена критическая уязвимость для удаленного выполнения кода (CVE-2024-40766), влияющая на некоторые устройства брандмауэра SonicWall. Первоначально не было никаких свидетельств активного использования и не было доступно никаких подтверждающих концепцию уязвимостей. Однако обновление от 6 сентября 2024 года показало, что уязвимость теперь может быть активно устранена. В рекомендации по безопасности были внесены изменения, указывающие на то, что уязвимость может привести к несанкционированному доступу как к функциям управления, так и к локальным учетным записям SSLVPN.

Примечательно, что Arctic Wolf выявил тревожную тенденцию, когда филиалы Akira ransomware инициировали кампании по вымогательству, используя учетные записи пользователей SSLVPN на устройствах SonicWall. Эти скомпрометированные учетные записи были предназначены исключительно для затронутых устройств и не были связаны с централизованными службами аутентификации, такими как Microsoft Active Directory. Более того, было обнаружено, что многофакторная аутентификация (MFA) отключена для всех скомпрометированных учетных записей, что еще больше усугубляет угрозу безопасности.

Злоумышленники использовали известную уязвимость CVE-2024-40766, присутствующую в прошивке SonicOS уязвимых устройств, для получения несанкционированного доступа. Подчеркивается, что пользователи должны оперативно обновлять свои пароли в любых связанных с ними централизованных системах аутентификации, таких как Active Directory, чтобы предотвратить их потенциальное использование в будущих атаках, особенно в случае проникновения программ-вымогателей. Поддержание уникальных и регулярно обновляемых паролей на всех платформах имеет жизненно важное значение для повышения общей безопасности.

Сложившаяся ситуация подчеркивает острую необходимость для организаций оперативно исправлять уязвимые системы, особенно в свете меняющегося ландшафта угроз, когда участники угроз активно используют уязвимости в злонамеренных целях. В этом случае использование учетных записей SSLVPN на устройствах SonicWall представляет значительную угрозу безопасности, которая может привести к серьезным последствиям, если ее не устранить. Отсутствие мер по обеспечению соблюдения MFA еще раз подчеркивает важность внедрения надежных мер безопасности для защиты от несанкционированного доступа.

Учитывая наблюдаемую активность угроз и потенциальное влияние успешной атаки с использованием уязвимости SonicOS, организациям рекомендуется расставить приоритеты в обновлениях системы безопасности и обеспечить применение методов надежной аутентификации. Проактивный мониторинг, своевременное внесение исправлений и обучение пользователей навыкам безопасности являются важнейшими компонентами комплексной стратегии кибербезопасности, направленной на защиту от возникающих угроз и предотвращение успешного использования уязвимостей, таких как CVE-2024-40766.

#ParsedReport #CompletenessMedium
07-09-2024

Atomic macOS Stealer leads sensitive data theft on macOS. Distribution

https://news.sophos.com/en-us/2024/09/06/atomic-macos-stealer-leads-sensitive-data-theft-on-macos

Report completeness: Medium

Threats:
Amos_stealer
Meta_stealer
Keysteal
Seo_poisoning_technique
Rhadamanthys
Applescript

Victims:
Macos users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.001, T1010, T1119, T1203, T1074, T1566.002, T1070.004, T1140, T1055.001

IOCs:
Domain: 5
Hash: 10
Url: 2

Soft:
macOS, Telegram, Slack, Gatekeeper

Algorithms:
sha256

Win API:
Arc

Languages:
python

Platforms:
apple

Links:
https://github.com/sophoslabs/IoCs/blob/master/Atomic-infostealer-IOCs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Atomic macOS Stealer (AMOS) - это очень сложный инфокрад, нацеленный на пользователей macOS с целью кражи конфиденциальных данных, набирающий популярность и ценность в сфере киберпреступности благодаря развивающейся тактике уклонения от обнаружения и потенциальному распространению на пользователей iPhone.
-----

Atomic macOS Stealer (AMOS) - это распространенный инфокрад, нацеленный на пользователей macOS и предназначенный для кражи конфиденциальных данных, таких как файлы cookie, пароли, информация для автозаполнения и содержимое криптовалютных кошельков. Он работает, отправляя эту информацию обратно злоумышленникам, которые могут либо использовать ее сами, либо продавать другим злоумышленникам на криминальных рынках. AMOS приобрел значительную популярность и ценность в сфере киберпреступности, а его цена за последний год выросла втрое, что подчеркивает важность и прибыльность таргетинга на пользователей macOS.

AMOS - одно из самых известных семейств вредоносных программ, нацеленных на macOS, наряду с такими конкурентами, как MetaStealer, KeySteal и CherryPie. Он активно рекламируется и продается в общедоступных Telegram-каналах, и, как сообщается, с мая 2024 года его стоимость увеличится до 3000 долларов в месяц. Вредоносная программа нацелена на различные браузеры, криптовалютные кошельки и конфиденциальную системную информацию, включая связку ключей Apple и пароль macOS, что создает серьезную угрозу безопасности пользовательских данных.

Методы распространения AMOS включают в себя такие методы, как вредоносная реклама и SEO-отравление, когда злоумышленники используют онлайн-рекламу и алгоритмы поисковых систем, чтобы привести пользователей на вредоносные сайты, на которых размещено вредоносное ПО. AMOS часто маскируется под легальные приложения, такие как Notion, Trello, Slack и другие, обманом заставляя пользователей загружать и устанавливать вредоносное ПО на свои системы. Кроме того, было замечено, что злоумышленники размещают двоичные файлы AMOS на платформах, таких как GitHub, в рамках своих вредоносных кампаний.

AMOS постоянно совершенствуется, чтобы избежать обнаружения и анализа. В последних версиях были использованы методы обфускации имен функций и строк, а также дроппер на Python для сокрытия критически важных данных и предотвращения обнаружения решениями безопасности. Кроме того, дистрибьюторы AMOS заявили о потенциальной версии, ориентированной на пользователей iPhone, возможно, под влиянием изменений в законодательстве, которые могут способствовать распространению вредоносного ПО для iOS с помощью аналогичных вредоносных тактик.

#ParsedReport #CompletenessMedium
07-09-2024

Earth Lusca Uses KTLVdoor Backdoor for Multiplatform Intrusion

https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html

Report completeness: Medium

Actors/Campaigns:
Earth_lusca
Emissary_panda
Void_arachne

Threats:
Ktlvdoor
Netstat_tool
Portscan_tool
Timestomp_technique

Victims:
Trading company

Geo:
Chinese, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1565.001, T1071.001, T1071.002, T1070.004

IOCs:
Registry: 1
Hash: 27
IP: 81

Algorithms:
md5, base64, xor, gzip, aes-gcm

Languages:
java, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте сообщается об обнаружении нового мультиплатформенного бэкдора под названием KTLVdoor, который использовался Earth Lusca threat group в масштабной кампании по атаке на китайскую торговую компанию. Бэкдор, написанный на Golang, маскируется под системные утилиты и позволяет злоумышленникам манипулировать файлами, выполнять команды и проводить удаленное сканирование портов. Вредоносная программа использует сложные методы шифрования и обфускации, чтобы избежать анализа. Связь между агентом и сервером управления зашифрована и сжата. Весьма вероятно, что связь с Earth Lusca существует, но могут быть задействованы и другие участники угроз, говорящие на китайском языке, что указывает на скоординированные усилия в области киберугроз в Китае. Организациям рекомендуется использовать надежные решения безопасности, такие как Trend Vision One, для эффективной защиты от подобных атак.
-----

Был обнаружен новый мультиплатформенный бэкдор под названием KTLVdoor, который использовался террористической группой Earth Lusca в крупномасштабной атакующей кампании.

Бэкдор написан на Golang и имеет версии как для Microsoft Windows, так и для Linux; он маскируется под системные утилиты и позволяет злоумышленникам манипулировать файлами, выполнять команды и проводить удаленное сканирование портов.

Вредоносная программа использует сложные методы шифрования и обфускации, чтобы избежать анализа и взаимодействовать с более чем 50 серверами управления (C&C), размещенными китайской компанией.

Распространение вредоносного ПО в виде динамической библиотеки дает злоумышленникам полный контроль над скомпрометированной средой, уделяя особое внимание китайским организациям, таким как торговые компании.

Связь между агентом и серверами C&C шифруется с использованием AES-GCM, а сообщения отправляются в формате, сжатом с помощью GZIP, в симплексном или дуплексном режиме.

Несмотря на то, что связь между KTLVdoor и Earth Lusca установлена, не все образцы могут быть однозначно отнесены к субъекту угрозы, что предполагает потенциальный обмен информацией между другими китайскоязычными субъектами угрозы.

Для защиты от подобных атак организациям рекомендуется внедрять надежные технологии безопасности, такие как Trend Vision One, для постоянного выявления объектов атаки и защиты от вредоносных инструментов.

#ParsedReport #CompletenessMedium
08-09-2024

Konni Threat Worldview Expansion Analysis Report

https://www.genians.co.kr/blog/threat_intelligence/konni_universe

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Agent_tesla
Cloud_reverser
Asyncrat

Victims:
Korean government agencies, Russian government agencies, Individuals in north korea, Experts in north korean affairs, Individuals involved in virtual asset transactions

Industry:
Government, Financial

Geo:
Dprk, Gyeonggi-do, Korea, North korean, Russian, Usa, Korean, Russia, North korea, Chinese, Germany, Moscow, The us, German

ChatGPT TTPs:
do not use without manual check
T1566.001, T1202, T1059.001, T1059.005, T1071.002, T1070.004, T1059.003, T1140

IOCs:
Domain: 34
File: 19
IP: 8
Hash: 37
Path: 2
Command: 1

Soft:
Slack, Instagram, task scheduler, Microsoft Excel

Crypto:
bitcoin

Algorithms:
zip, aes-256-ctr, base64, sha256, xor, md5, aes

Functions:
CreateObject, GetFolder, ReadLine, GetSpecialFolder

Win API:
CopyFile

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 3, code: 2, dump: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания Konni threat campaign и связанная с ней группа Kimsuky проводят кибератаки на правительственные учреждения в Корее и России. В рамках кампании используются различные методы, такие как скрытый фишинг, облачные сервисы и FTP-сервисы, а также распространение вредоносных программ для проникновения в системы, уклонения от обнаружения антивирусом и сохранения устойчивости. Злоумышленники постоянно адаптируют свою тактику, чтобы избежать обнаружения, подчеркивая важность упреждающего мониторинга и анализа угроз для повышения уровня кибербезопасности.
-----

Кампания Konni threat, которая, как полагают, связана с группой Kimsuky, расширяет свою деятельность, в частности, за счет использования облачных сервисов и FTP-сервисов в рамках поэтапной цепочки заражения. Кампания была нацелена на правительственные учреждения в Корее и России, и было замечено, что для проведения атак использовались зарубежные веб-хостинговые и доменные сервисы. Центр безопасности Genians (GSC) определил тактику, методы и процедуры Konni group (TTP), включая меры по предотвращению обнаружения антивирусом на начальном этапе проникновения.

В августе 2022 года произошел примечательный инцидент, связанный с фишинговой атакой с использованием документа-приманки под названием "Пхеньян ведет переговоры с Москвой о доступе к Донбассу" и вредоносного файла с расширением ppam. Последующие атаки, совершенные в ноябре 2023 года и феврале 2024 года, выдавали себя за полицейских следователей и налоговую юридическую фирму, соответственно, используя фишинг для распространения вредоносных файлов. Целью этих атак были эксперты по делам Северной Кореи, политике и операциям с виртуальными активами. Вредоносные программы, участвовавшие в этих атаках, были в основном представлены в форматах исполняемых файлов, причем некоторые из них использовали расширение ppam.

Группа Cony threat, являющаяся частью кампании Konni, использует фишинг-атаки, нацеленные на отдельных лиц в Северной Корее, финансы и виртуальные активы. В своих атаках они используют различные темы, например, выдают себя за Национальную налоговую службу или предлагают стипендии северокорейским перебежчикам. Вредоносные файлы, связанные с Cony, подключаются к серверу управления (C2) в Германии, используя различные варианты вредоносного ПО AsyncRAT. Злоумышленники постоянно адаптируют свою тактику, чтобы избежать обнаружения, что требует активного мониторинга и анализа угроз.

Кампания также включает распространение вредоносных файлов, при этом особое внимание уделяется тем, которые были собраны в период с мая по июль 2024 года. Эти файлы содержат запутанные скрипты и используют различные расширения файлов для проведения атак. Тактика включает в себя использование скриптов VBS, команд PowerShell для обмена данными и потенциальную установку троянских программ удаленного доступа (RAT) по каналам FTP. Злоумышленники демонстрируют высокий уровень технического мастерства в использовании алгоритмов шифрования и методов написания сценариев для проникновения в системы и поддержания их работоспособности.

Более того, вредоносные действия, связанные с группой Cony threat group, демонстрируют опыт обхода антивирусного обнаружения с помощью атак без использования файлов, обфускации и шифрования. Центр безопасности Genians использовал свои возможности обнаружения конечных точек и реагирования на них (EDR) для отслеживания угроз Cony и реагирования на них, подчеркивая важность раннего обнаружения и активных стратегий смягчения последствий. Коммуникации и схемы атак C2 в рамках кампании указывают на скоординированные усилия, направленные на широкий круг жертв, что требует постоянного мониторинга и интеграции информации об угрозах для повышения уровня кибербезопасности.

#ParsedReport #CompletenessHigh
08-09-2024

APT \| Patchwork. APT \| Analysis of recent attack activities of Patchwork organization

https://www.ctfiot.com/204087.html

Report completeness: High

Actors/Campaigns:
Dropping_elephant (motivation: information_theft)

Threats:
Spear-phishing_technique
Remcos_rat
Badnews_rat
Quasar_rat
Asyncrat
Northstar_tool

Victims:
Military, Diplomatic, Educational, Scientific research institutions

Industry:
Military

Geo:
Bangladesh, Pakistan, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1105, T1059.001, T1071.001, T1055.004, T1555.001

IOCs:
Domain: 5
Url: 4
File: 3
Hash: 7
IP: 4

Soft:
WeChat

Algorithms:
aes-256-cbc, aes-128-cbc, md5, base64

Languages:
powershell, golang, rust