#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пропалестинская хакерская группа Handala Hacking Team активно атакует израильские организации, применяя сложные тактики и методы, включая кражу данных, фишинг, вымогательство и внедрение пользовательских вредоносных программ wiper для нанесения значительного ущерба. Обнаружение этих угроз и реагирование на них включает в себя моделирование тактики противников, усиление защиты и внедрение специализированных средств обнаружения и аналитики для повышения общей защищенности от развивающихся киберугроз.
-----

Пропалестинская хакерская группа Handala Hacking Team активно атакует израильские организации как минимум с 18 декабря 2023 года. Эта группа была вовлечена в различные вредоносные действия, включая кражу данных, фишинг, вымогательство, повреждение веб-сайтов и развертывание пользовательских вредоносных программ wiper, предназначенных для нанесения значительного ущерба средам Windows и Linux. Хакерская команда Handala использует сложные тактики и методы, такие как фишинговые кампании, которые маскируются под законные организации, предлагающие поддержку или решения, используя методы социальной инженерии для использования крупных событий и раскрытых уязвимостей.

Одна конкретная кампания хакерской команды Handala включала в себя развертывание вредоносных программ wiper на целевых хостах и сетевых системах 20 июля 2024 года. Исследователи в области безопасности приписали эту кампанию хакерской команде Handala, приведя доказательства, указывающие на использование фишинговых вложений и деструктивной полезной нагрузки wiper. Злоумышленники, стоящие за этой кампанией, использовали различные методы обфускации, включая обфускацию пакетных сценариев и нетрадиционное использование файлов без расширений в пакете Nullsoft Scriptable Install System (NSIS), чтобы избежать обнаружения.

Злоумышленники использовали компонент AutoIt для внедрения полезной нагрузки wiper в новый процесс Windows, используя каналы Telegram в качестве серверов управления для управления вредоносными действиями. Полезная нагрузка wiper собирала сетевую и системную информацию, включая IP-адреса, имена хостов, имена пользователей и информацию о домене, отправляя эти данные на сервер Telegram-бота, выполняющий функции центра управления вредоносным ПО. Сам wiper запускался с вводящего в заблуждение окна сообщений, чтобы заманить жертв на запуск вредоносного ПО, которое в конечном итоге стирало или перезаписывало файлы в скомпрометированных системах.

Кроме того, злоумышленники использовали установщик NSIS для запуска вредоносных программ, что затрудняло проведение различия между законным программным обеспечением и вредоносным ПО из-за его двойственной природы. Скрипт удалял различные файлы, содержащие фрагменты исполняемого кода, собранные как пазл, чтобы эффективно избегать обнаружения конечных точек и реагирования на них (EDR) и антивирусных продуктов. Вредоносная программа использовала простые методы обфускации, чтобы скрыть свои строки и команды, загружая шеллкод, адаптированный к архитектуре компьютера, для выполнения своей разрушительной функции.

Чтобы обнаруживать такие угрозы и реагировать на них, аналитики в области безопасности и организации могут моделировать тактику, используемую злоумышленниками в этих кампаниях, оценивать их возможности по обнаружению и реагированию и усиливать защиту от подобных сложных вредоносных программ, таких как wiper от Handala Hacking Team. Внедряя специальные средства обнаружения и аналитики, службы безопасности могут заблаговременно выявлять пробелы в своей защите и улучшать общую систему защиты от возникающих киберугроз.

#ParsedReport #CompletenessMedium
09-09-2024

ShrinkLocker Malware: Abusing BitLocker to Lock Your Data

https://www.splunk.com/en_us/blog/security/shrinklocker-malware-abusing-bitlocker-to-lock-your-data.html

Report completeness: Medium

Actors/Campaigns:
Energeticbear

Threats:
Shrinklocker
Wevtutil_tool
Sunburst
Lolbin_technique

TTPs:
Tactics: 4
Technics: 4

IOCs:
Path: 1
Registry: 10
Command: 2
File: 18
Hash: 2

Soft:
BitLocker, trycloudflare, Windows PowerShell, Slack

Algorithms:
exhibit

Win API:
DriveType

Languages:
powershell, cscript

Links:
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1053.005/T1053.005.yaml
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1137
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1163C1-L1279C29
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1070.001/T1070.001.yaml
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1562.004/T1562.004.yaml#L55
https://github.com/redcanaryco/atomic-red-team/blob/a96f4212a5dc48ae8bfb7e55ccb15ba03439f143/atomics/T1112/T1112.yaml#L1150C9-L1150C59

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ShrinkLocker - это новая разновидность программ-вымогателей, которая использует BitLocker для шифрования данных, что усложняет расшифровку и демонстрирует эволюционирующую тактику, используемую разработчиками программ-вымогателей. С помощью ShrinkLocker были проведены различные анализы, посвященные его работе и влиянию, а исследовательская группа Splunk Threat получила образцы для дальнейшего анализа. Вредоносная программа изменяет настройки шифрования, изменяет конфигурации системы и пытается скрыть свои следы после запуска. Для защиты от этой растущей угрозы в сфере кибербезопасности разрабатываются методы обнаружения и защиты от ShrinkLocker.
-----

ShrinkLocker - это новая разновидность программ-вымогателей, которая использует BitLocker, легальную функцию Windows, для шифрования, что усложняет расшифровку и демонстрирует эволюционирующие методы вымогателей.

Вредоносная программа нацелена на определенные операционные системы, чтобы отключить средства защиты ключей BitLocker и скомпрометировать данные.

Он изменяет записи реестра, относящиеся к системным конфигурациям, и пытается установить BitLocker с помощью определенных команд.

ShrinkLocker уничтожает и шифрует данные, изменяя размер разделов, создавая нераспределенное пространство и перенастраивая загрузочные файлы.

После запуска вредоносная программа пытается скрыть свое присутствие, удаляя такие индикаторы, как журналы аудита PowerShell и запланированные задачи.

Ключи шифрования генерируются с использованием системных параметров зараженного хоста, и вредоносная программа использует тактику уклонения от обнаружения, изменяя ключи реестра, очищая журналы событий и изменяя конфигурации брандмауэра.

Исследовательская группа Splunk Threat Research разработала инструменты и тесты, которые помогут защитникам усилить свою защиту от таких угроз, как ShrinkLocker.

Этот блог содержит ценную информацию для аналитиков и защитников безопасности о методологиях ShrinkLocker, которые помогают выявлять такие угрозы и реагировать на них.

#ParsedReport #CompletenessHigh
09-09-2024

From Cobalt Strike to Mimikatz: A Deep Dive into the SLOW#TEMPEST Campaign Targeting Chinese Users

https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest

Report completeness: High

Actors/Campaigns:
Slow_tempest

Threats:
Cobalt_strike
Mimikatz_tool
Qakbot
Dll_hijacking_technique
Dll_sideloading_technique
Credential_harvesting_technique
Credential_dumping_technique
Passthehash_technique
Crackmapexec_tool
Bloodhound_tool
Netstat_tool
Geacon
Dll_injection_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Victims:
Chinese speaking users, Business sectors, Government sectors

Industry:
Government

Geo:
China, Chinese

TTPs:
Tactics: 10
Technics: 24

IOCs:
File: 14
Path: 5
Url: 3
Command: 20
Registry: 1
IP: 3
Domain: 2
Hash: 16

Soft:
MACOS, task scheduler, MSSQL, Chrome, psexec, Windows Registry, active directory, curl, windows powershell

Algorithms:
zip

Languages:
powershell, python

Platforms:
apple

Links:
https://github.com/CCob/SharpBlock
https://github.com/Naturehi666/searchall

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа Securonix по изучению угроз раскрыла сложную скрытую кампанию под названием SLOW#TEMPEST, направленную против китайскоязычных пользователей и использующую полезные программы Cobalt Strike, распространяемые через фишинговые электронные письма. Злоумышленники успешно проникали в системы, сохраняли незамеченный доступ и нацеливались на китайских жертв, используя специфический контент на китайском языке, используя тактику, аналогичную тактике участников угроз Qakbot. Злоумышленники использовали различные методы, такие как дополнительная загрузка библиотек DLL, запланированные задачи, Mimikatz для сброса учетных данных и Cobalt Strike для установления удаленных подключений и выполнения команд по сети. Сбои в операционной безопасности, допущенные злоумышленниками, привели к непреднамеренному разглашению имен пользователей, сведений о системе и информации об инфраструктуре.
-----

Команда исследователей угроз Securonix обнаружила сложную скрытую кампанию, получившую название SLOW#TEMPEST, направленную на китайскоязычных пользователей с помощью Cobalt Strike, которая, вероятно, распространялась с помощью фишинговых электронных писем. Злоумышленники успешно проникли в системы, перемещались по сети и сохраняли незамеченный доступ более двух недель. Кампания нацелена в первую очередь на жертв из Китая и использует имена файлов и приманки, написанные на китайском языке, а также инфраструктуру C2, размещенную китайской компанией Shenzhen Tencent Computer Systems Company Limited.

Вектор атаки, вероятно, связан с традиционной тактикой фишинга по электронной почте, когда защищенные паролем ZIP-файлы распространяются по нежелательным электронным письмам. Эта тактика повторяет тактику, используемую злоумышленниками Qakbot, которые предоставляют пароли в тексте письма, чтобы избежать обнаружения антивирусом на основе электронной почты. Использование специфического контента на китайском языке предполагает ориентацию на китайский бизнес или государственный сектор, которые придерживаются "правил использования программного обеспечения для дистанционного управления"..

Злоумышленники использовали технологию дополнительной загрузки библиотеки DLL с использованием LicensingUI.exe, исполняемого файла, подписанного Microsoft, для развертывания импланта Cobalt Strike для постоянного доступа. Имплантат подключался к определенному URL-адресу через порт 11443, вводил себя в двоичный файл Windows "runonce.exe" и создавал цепочку процессов для обеспечения скрытого доступа к скомпрометированным системам.

Чтобы сохранить постоянство, злоумышленники установили запланированную задачу, выполняющую вредоносный файл "lld.exe", способный запускать произвольный код в памяти. Они также манипулировали гостевой учетной записью, чтобы получить административный и удаленный доступ, используя сканирование сети и дополнительные инструменты, такие как BloodHound для разведки Active Directory, для выявления путей повышения привилегий и перемещения в другую сторону.

Злоумышленники использовали Mimikatz для сброса учетных данных, передавали хэш для аутентификации в качестве пользователя-администратора в различных системах и использовали Cobalt Strike для установления удаленных подключений и выполнения команд по сети. Они также собрали обширные данные о среде AD с помощью BloodHound, собрав подробную информацию в .файлы json для эксфильтрации и анализа во внешних системах.

Из-за сбоев в системе безопасности злоумышленники непреднамеренно раскрыли информацию об именах пользователей, системных деталях и инфраструктуре. Например, команды Cobalt Strike, перехваченные во время атаки, указывали на выполнение в среде macOS с использованием таких инструментов, как SharpBlock и Mimikatz, для уклонения от обнаружения и сбора конфиденциальной информации из целевых систем.

#ParsedReport #CompletenessHigh
09-09-2024

Earth Preta Evolves its Attacks with New Malware and Strategies

https://www.trendmicro.com/en_us/research/24/i/earth-preta-new-malware-and-strategies.html

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Spear-phishing_technique
Pubload
Hiupan
Ptsocket_tool
Downbait
Pullbait
Acnshell
Dll_sideloading_technique
Netstat_tool
Filesac_tool
Plugx_rat
Cbrover
Doplugs
Process_injection_technique

Victims:
Government entities

Industry:
Military, Education, Government

Geo:
Cambodia, Apac, Vietnam, Asia-pacific, Singapore, Taiwan, Myanmar, Philippines

TTPs:
Tactics: 7
Technics: 17

IOCs:
File: 35
Path: 5
Registry: 3
Command: 3
IP: 6
Hash: 39
Domain: 3

Soft:
curl, TouchSocket

Algorithms:
rc4, sha256, base64, des, xor

Links:
https://github.com/crazyHH/FileSearchAndCompress/tree/master

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 4, code: 7, dump: 4, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Earth Preta усовершенствовала свои атаки, внедрив новые инструменты, варианты вредоносного ПО и стратегии, нацеленные на конкретные страны и секторы Азиатско-Тихоокеанского региона, в основном на государственные структуры. Они используют такие инструменты, как PUBLOAD, FDMTP и PTSOCKET, для сбора и эксфильтрации данных, а в рамках фишинговых кампаний используются средства загрузки, такие как DOWNBAIT, для облегчения развертывания вредоносного ПО. Их развивающаяся тактика включает в себя специальные фишинговые электронные письма и документы-приманки, демонстрирующие их активные и целенаправленные действия.
-----

В проанализированной записи в блоге говорится, что группа Earth Preta значительно усовершенствовала свои атаки, внедрив новые инструменты, варианты вредоносного ПО и стратегии. Было замечено, что группа усовершенствовала свои атаки, внедрив PUBLICLOAD с помощью варианта червя HIUPAN, который обеспечивает возможности контроля и эксфильтрации. Кампании Earth Preta в основном нацелены на конкретные страны и секторы Азиатско-Тихоокеанского региона (APAC), уделяя особое внимание государственным структурам.

Основными инструментами, используемыми в этих кампаниях, являются PUBLICLOAD, FDMTP и PTSOCKET. PUBLICLOAD развертывается через HIUPAN и служит основным средством контроля, облегчающим сбор и фильтрацию данных. FDMTP выступает в качестве дополнительного средства контроля, используя TouchSocket по протоколу Duplex Message Transport Protocol (DMTP) для загрузки вредоносных программ. PTSOCKET служит средством фильтрации для загрузки собранных данных на удаленные серверы. Кроме того, группа использует RAR для сбора данных, нацеленных на определенные типы файлов, и cURL для отправки на FTP-сайты, принадлежащие злоумышленникам.

В рамках быстро развивающейся кампании, инициированной Earth Preta, электронные письма с вложениями .url-адреса приводят к запуску таких инструментов загрузки, как DOWNBAIT, что в конечном итоге способствует внедрению вредоносных программ, таких как CBROVER и PLUGX. Эти многоэтапные загрузчики предназначены для загрузки ложных документов и запуска других компонентов вредоносного ПО. Использование инструментов с цифровой подписью, таких как DOWNBAIT, расширяет возможности обхода, в то время как CBROVER действует как черный ход для удаленного управления и выполнения файлов.

Earth Preta тщательно разрабатывает фишинговые электронные письма и документы-приманки, нацеленные на правительственные учреждения по всему Азиатско-Тихоокеанскому региону. Универсальность группы в использовании различных компонентов вредоносного ПО, таких как PLUGX и FILESAC, демонстрирует их эволюционирующую тактику сбора и утечки данных. Обнаружение webdav-сервера, на котором размещены образцы этих вредоносных программ и документы-приманки, подчеркивает проактивный подход группы к выполнению целенаправленных и срочных операций.

#ParsedReport #CompletenessLow
29-08-2024

Linux Detection Engineering - A Sequel on Persistence Mechanisms

https://www.elastic.co/security-labs/sequel-on-persistence-mechanisms

Report completeness: Low

Threats:
Panix_tool
Sedexp

Industry:
Software_development

IOCs:
File: 9

Soft:
Systemd, Debian, Ubuntu, sudo, Fedora

Languages:
perl, python

Links:
https://github.com/elastic/detection-rules/blob/main/rules/linux/persistence\_apt\_package\_manager\_netcon.toml
https://github.com/Aegrah/PANIX/blob/main/panix.sh#L2021C4-L2021C138
https://github.com/elastic/detection-rules/blob/main/rules/linux/persistence\_rc\_script\_creation.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/linux/persistence\_udev\_execution\_followed\_by\_egress\_network\_connection.toml
have more ...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изучении методов и инструментов, используемых злоумышленниками для обеспечения стойкости в системах Linux, а также стратегий обнаружения, которые организации могут внедрить для снижения этих рисков. В тексте представлен PANIX, инструмент сохранения данных для Linux, и обсуждаются различные методы, такие как настройка вредоносных скриптов, использование менеджеров пакетов, манипулирование конфигурациями Git и злоупотребление возможностями процессов для обеспечения несанкционированного доступа.
-----

В тексте рассматриваются различные методы и инструменты, связанные с установлением постоянства в системах Linux для тестирования и обнаружения потенциальных угроз. Вот подробное описание:.

В тексте представлен PANIX, инструмент сохранения данных для Linux, разработанный Рубеном Груневудом (Ruben Groenewoud) из Elastic Security, предназначенный для упрощения и настройки параметров сохранения данных для тестирования возможностей обнаружения. PANIX облегчает создание механизмов сохранения в Linux, таких как настройка вредоносных сценариев инициализации, запуск заданий и использование systemd-rc-local-generator для сохранения.

Вредоносные скрипты init.d, задания upstart и systemd-rc-local-generator позволяют выполнять полезную нагрузку для получения доступа через черный ход через обратные подключения к командной строке во время загрузки системы и сетевых операций. Манипулируя этими скриптами и конфигурациями, злоумышленники пытаются сохранить несанкционированный доступ к системам.

Кроме того, правила Udev, которые управляют подключением устройства и действиями при обнаружении, были выделены в качестве потенциального источника сохранения. Недавние исследования AON выявили вредоносную программу под названием "sedexp", которая использует правила Udev для сохранения, что встречается редко, но заслуживает внимания.

В тексте также обсуждается использование менеджеров пакетов, таких как APT, YUM и DNF, для обеспечения сохраняемости данных путем перехвата операций менеджера пакетов с помощью вредоносных конфигураций и плагинов. Обнаружение вредоносных действий, связанных с менеджерами пакетов, требует многоуровневого охвата и надежных методов мониторинга.

Git-перехватчики и Git-пейджер рассматриваются злоумышленниками как потенциальные возможности для выполнения произвольного кода. Манипулируя конфигурациями Git, злоумышленники могут внедрять бэкдоры в репозитории, обеспечивая постоянный доступ с помощью обычных операций Git.

Кроме того, в тексте рассказывается о том, как злоумышленники могут злоупотреблять возможностями процессов и системными двоичными файлами для обеспечения сохраняемости с помощью повышенных привилегий и замены системных двоичных файлов вредоносными аналогами. Предоставляя определенные возможности и изменяя системные двоичные файлы, злоумышленники стремятся выполнить произвольный код и обеспечить постоянный доступ.

PANIX используется на протяжении всего текста для демонстрации реализации различных методов сохранения данных в средах Linux. В нем демонстрируются такие сценарии, как настройка возможностей процесса, перехват системных двоичных файлов и создание резервных хранилищ Git, что позволяет читателям наглядно представить практический аспект этих угроз кибербезопасности и стратегии их обнаружения.

Таким образом, в тексте дается представление о различных тактиках, используемых злоумышленниками для обеспечения устойчивости систем Linux, а также о стратегиях обнаружения, которые организации могут использовать для эффективного снижения этих рисков. Ознакомившись с демонстрациями PANIX, читатели смогут лучше понять эти угрозы и соответствующим образом усилить свою защиту от кибербезопасности.

#cyberthreattech #inseca #ctimeetup

Ну а мы определились с датой нового митапа.
5 октября 2024, в этот раз с пивом :)

Мест осталось оочень мало, т.ч. регайтесь.
Записи с прошлого митапа есть на страничке регистрации.
https://inseca.tech/cti-meetup

Новость от нашего информационного партнера - CISO Club:
https://cisoclub.ru/inseka-i-tehnologii-kiberugroz-rst-cloud-russia-priglashajut-vseh-komu-blizka-tema-threat-intelligence-na-cti-meetup-2/

#ParsedReport #CompletenessMedium
10-09-2024

Crimson Palace returns: New Tools, Tactics, and Targets

https://news.sophos.com/en-us/2024/09/10/crimson-palace-new-tools-tactics-targets

Report completeness: Medium

Actors/Campaigns:
Crimson_palace (motivation: cyber_espionage)
Playful_taurus
Axiom
Ref5961
Ta428
Unfading_sea_haze
Stac1248 (motivation: cyber_espionage)
Stac1870 (motivation: cyber_espionage)
Stac1305 (motivation: cyber_espionage)

Threats:
Cobalt_strike
Hui_loader
Havoc
Bloodhound_tool
Atexec_tool
Impacket_tool
Donut
Alcatraz_locker
Realblindingedr_tool
Dll_sideloading_technique
Dll_hijacking_technique
Shadow_copies_delete_technique
Wevtutil_tool
Eagerbee
Xiebroc2_tool
Pocoproxy

Victims:
Southeast asian government agency, Various organizations including government agencies and non-governmental public service organizations

Industry:
Telco, Ngo, Government

Geo:
Asia, Cyprus, Singapore, Asian, Japan, Philippines, Chinese, Canada, Malaysia

CVEs:
CVE-2023-38817 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- echo anti cheat tool (<5.2.1.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.001, T1027, T1027.002, T1572

IOCs:
File: 45
Path: 14
Command: 5
IP: 11

Soft:
Microsoft Exchange server, Active Directory, NET framework, Internet Explorer, Windows Defender, Viber, Chromium, firefox, Local Security Authority, Chrome, have more...

Win API:
CmRegisterCallbacks

Languages:
java, powershell

Platforms:
x64

Links:
https://github.com/INotGreen/XieBroC2
https://github.com/myzxcg/RealBlindingEDR
https://github.com/cloudflare/cloudflared
https://github.com/weak1337/Alcatraz
https://github.com/TheWover/donut
https://github.com/florylsk/ExecIT
https://github.com/BloodHoundAD/SharpHound
https://github.com/INotGreen/XiebroC2
https://github.com/HavocFramework/Havoc

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 3, filemanager: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4