#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Spearphishing - это высоконаправленная и изощренная форма фишинговой атаки, которая фокусируется на конкретных лицах или организациях с целью доставки вредоносной информации или достижения различных целей. В тексте освещаются основные цели Spearphishing, распространенные методы, используемые злоумышленниками, вероятные цели, такие как предприятия среднего размера и уязвимые лица в организациях, потенциальное расширение круга целей с развитием технологий, а также способы защиты организаций отSpearphishing с помощью таких инструментов, как изолированная от вредоносных программ среда. Также приводится пример реальной атаки с помощью Spearphishing, связанной с использованием подозрительного электронного письма, содержащего вредоносное ПО.
-----

Spearphishing - это целенаправленная форма фишинговой атаки, которая нацелена на конкретных лиц или организации с целью доставки вредоносной информации или достижения различных целей. В отличие от обычного фишинга, Spearphishing является более изощренным и персонализированным, что усложняет защиту от него. Основные цели Spearphishing включают распространение вредоносного ПО, сбор конфиденциальной информации и выдачу себя за доверенных лиц для обмана жертв.

Наиболее вероятными целями Spearphishing являются предприятия среднего размера, поскольку подготовка к таким атакам требует значительных усилий, что побуждает злоумышленников сосредоточиться на целях с высокой степенью риска и высокой прибылью. Уязвимыми лицами в организациях часто являются те, кто имеет доступ к важной информации, но может не иметь подготовки или осведомленности о кибербезопасности. По мере развития технологий существует вероятность того, что злоумышленники расширят круг своих целей за пределы предприятий, используя инструменты искусственного интеллекта, которые облегчают атаки с помощью Spearphishing.

Распространенные методы Spearphishing включают персонализированные электронные письма, созданные с использованием информации о жертвах, компрометацию законных учетных записей для отправки ложных электронных писем, создание поддельных веб-сайтов для получения учетных данных для входа в систему, использование тактик социальной инженерии для манипулирования людьми и нацеливание мобильных устройств на установку вредоносного программного обеспечения или прямой сбор данных.

Для защиты от Spearphishing организации могут использовать такие инструменты, как изолированная от вредоносных программ среда ANY.RUN, которая обеспечивает безопасную среду для изучения вредоносных программ и фишинговых атак. Интерактивный характер "песочницы" позволяет аналитикам анализировать всю цепочку атак, от первоначального электронного письма или URL-адреса до конечного вредоносного кода. Анализируя реальные примеры атак с помощью Spearphishing в "песочнице" с вредоносным ПО, организации могут получать полезную информацию и совершенствовать свои стратегии кибербезопасности.

В ходе реальной атаки с помощью Spearphishing, проанализированной в программной среде ANY.RUN, подозрительное электронное письмо было отправлено конкретному лицу. В электронном письме содержался файл с именем "ВЫПИСКА ПО СЧЕТУ" - обычная тактика, используемая киберпреступниками для маскировки вредоносных файлов. После запуска файла "песочница" обнаружила вредоносную активность и определила присутствие Agent Tesla, семейства вредоносных программ, используемых для кражи конфиденциальной информации и слежки.

#ParsedReport #CompletenessLow
19-09-2024

New Unicorn Spy Scripts Steal Data from Russian Organizations

https://securelist.ru/unicorn-data-stealing-scripts/110606

Report completeness: Low

Threats:
Unicorn

Victims:
Energy companies, Factories, Electronic component suppliers, Developers

Industry:
Energy

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1204.002, T1218.005, T1059.005, T1112, T1083, T1020, T1567.002

IOCs:
File: 6
Registry: 2
Path: 2
Hash: 5
Url: 2

Soft:
task scheduler

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная кампания, нацеленная на российские энергетические компании, заводы и поставщиков, направлена на кражу конфиденциальных данных. Вредоносное программное обеспечение, распространяемое через вложения электронной почты или Яндекс Диск, использует сложный процесс, включающий скрипты VBS, для копирования и отправки файлов на серверы злоумышленников, что способствует постоянной краже данных. Кампания, идентифицированная как Trojan-Spy.VBS.Unicorn, не имеет никакого отношения к известным хакерским группировкам. "Лаборатория Касперского" активно следит за ситуацией.
-----

В начале сентября была обнаружена новая вредоносная кампания, нацеленная на российские энергетические компании, заводы, поставщиков электронных компонентов и разработчиков с целью кражи конфиденциальных данных. Вредоносное ПО, использованное в этой атаке, не самоуничтожилось после кражи информации, что является обычной тактикой в подобных кампаниях. Вредоносное программное обеспечение распространяется через вложения электронной почты или файлы на Яндекс Диске, причем в электронном письме содержатся ссылки на архив RAR. В архиве находится файл с двойным расширением PDF + LNK. Файл LNK содержит команду для запуска приложения mshta, которое затем загружает и выполняет файл HTML-приложения (HTA). Чтобы избежать обнаружения, URL-адрес, на котором размещен вредоносный HTA-файл, заканчивается расширением .pdf.

После выполнения HTA-файла запускается вредоносный скрипт VBS, который создает на диске два дополнительных скрипта. Эти скрипты работают для копирования файлов из домашнего каталога пользователя в определенную папку, созданную в каталоге %USERPROFILE%\AppData\Local\ReaItek. Вредоносная программа особенно заинтересована в файлах размером менее 50 МБ с различными распространенными расширениями, такими как .txt, .pdf, .doc, .xls, .png и .zip. Кроме того, данные из папки %USERPROFILE%\AppData\Roaming\Telegram Desktop\tdata также копируются в созданную папку, где информация о скопированных файлах сохраняется в текстовом файле с именем iids.txt.

Расшифрованное содержимое реестра используется скриптом update.vbs для отправки скопированных файлов на сервер злоумышленников. Чтобы избежать дублирования, информация об отправленных файлах хранится в файле oids.txt, который постоянно отслеживается. Скрипты update.vbs и upgrade.vbs сохраняются в системе после кражи данных, постоянно сканируя и загружая новые или обновленные файлы на сервер злоумышленников. Вместо одноразовой операции по краже данных эта вредоносная программа сохраняет постоянное присутствие, похищая файлы до тех пор, пока не будет обнаружена.

На данный момент не установлено никакой связи между этими атаками и какими-либо установленными хакерскими группами. "Лаборатория Касперского" идентифицирует эти скрипты как Trojan-Spy.VBS.Unicorn и активно следит за развитием ситуации.

#ParsedReport #CompletenessLow
20-09-2024

Unmasking the Danger: Lumma Stealer Malware Exploits Fake CAPTCHA Pages

https://www.cloudsek.com/blog/unmasking-the-danger-lumma-stealer-malware-exploits-fake-captcha-pages

Report completeness: Low

Threats:
Lumma_stealer

ChatGPT TTPs:
do not use without manual check
T1059.001, T1105, T1204.002, T1132.001

IOCs:
Command: 1
File: 2
Url: 8
Hash: 3
IP: 1

Algorithms:
base64

Functions:
JavaScript

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 4, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в открытии нового метода распространения вредоносной программы Lumma Stealer, нацеленной на пользователей Windows, с помощью обманчивых страниц проверки подлинности человеком. Злоумышленники используют фишинговые сайты, поддельные страницы с капчей Google и манипуляции с командами PowerShell для распространения вредоносного ПО со скрытыми функциями и несколькими доменами, вовлеченными в сеть распространения. Этот метод направлен на то, чтобы избежать обнаружения, и может привести к установлению соединений с доменами, контролируемыми злоумышленниками, что потенциально может привести к заражению устройств жертв различными вредоносными файлами.
-----

Был обнаружен новый метод распространения вредоносного ПО Lumma Stealer, нацеленного на пользователей Windows с помощью обманчивых страниц проверки подлинности. В рамках этого метода злоумышленники создают фишинговые сайты у различных провайдеров, часто используя сети доставки контента (CDN), предоставляя пользователям поддельные страницы с капчей Google. Незаметно для пользователя нажатие на кнопку "Я не робот" запускает скрытую функцию JavaScript, которая копирует команду PowerShell в кодировке base64 в буфер обмена. Когда эта команда PowerShell вводится в диалоговое окно "Выполнить" и выполняется, она загружает вредоносную программу Lumma Stealer с удаленного сервера.

Было обнаружено несколько доменов, на которых размещены эти вредоносные страницы проверки, что указывает на активную сеть распространения. Цепочка заражения обычно строится по следующей схеме: вводится вводящая в заблуждение проверка с помощью Google Captcha, копируются сценарии PowerShell в буфер обмена и выполняются для загрузки вредоносного ПО на устройства жертв. Команда PowerShell извлекает содержимое с a.txt, размещенного на удаленном сервере, который содержит дополнительные команды для загрузки и запуска программы Lumma Stealer. Если вредоносный файл (dengo.zip) извлекается и запускается на компьютере с Windows, он устанавливает соединения с доменами, контролируемыми злоумышленником.

Эти вредоносные страницы были обнаружены на различных платформах, включая Amazon S3 buckets и CDN-провайдеров. Использование кодировки base64 и манипулирования буфером обмена демонстрирует попытки злоумышленников избежать обнаружения. Исходный исполняемый файл часто загружает дополнительные компоненты, что усложняет анализ и потенциально обеспечивает модульную функциональность. Хотя эта кампания в первую очередь направлена на распространение вредоносного ПО Lumma Stealer, она потенциально может заставить пользователей загружать различные типы вредоносных файлов на свои устройства Windows обманом.

#ParsedReport #CompletenessLow
21-09-2024

Exploitation of Windows MSHTML Spoofing Vulnerability (CVE-2024-43461) by Void Banshee APT Group

https://www.secureblink.com/cyber-security-news/exploitation-of-windows-mshtml-spoofing-vulnerability-cve-2024-43461-by-void-banshee-apt-group

Report completeness: Low

Actors/Campaigns:
Void_banshee (motivation: financially_motivated, information_theft, cyber_espionage)

Threats:
Atlantida
Credential_harvesting_technique

Industry:
Financial

Geo:
America, Asia

CVEs:
CVE-2024-38112 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20710)
- microsoft windows 10 1607 (<10.0.14393.7159)
- microsoft windows 10 1809 (<10.0.17763.6054)
- microsoft windows 10 21h2 (<10.0.19044.4651)
- microsoft windows 10 22h2 (<10.0.19045.4651)
have more...
CVE-2024-43461 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20766)
- microsoft windows 10 1607 (<10.0.14393.7336)
- microsoft windows 10 1809 (<10.0.17763.6293)
- microsoft windows 10 21h2 (<10.0.19044.4894)
- microsoft windows 10 22h2 (<10.0.19045.4894)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1140, T1094

Soft:
MSHTML engine, Internet Explorer, Microsoft Office

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является срочная директива, выпущенная CISA для федеральных агентств США по устранению критической уязвимости Windows (CVE-2024-43461), используемой группой Void Banshee APT, в которой подчеркиваются потенциальные риски, связанные с этой уязвимостью, тактика обмана, используемая злоумышленниками, влияние как на общественность, так и на пользователей. организации частного сектора, а также важность оперативного внесения исправлений и надежных стратегий смягчения последствий для защиты от киберугроз.
-----

CISA выпустила директиву для федеральных агентств США относительно критической уязвимости Windows CVE-2024-43461, которая была использована группой Void Banshee APT.

Уязвимость позволяет злоумышленникам выполнять произвольный код в незащищенных системах Windows с помощью вредоносных веб-страниц или файлов, воздействуя на приложения Internet Explorer и Microsoft Office.

Void Banshee использовала CVE-2024-43461 и CVE-2024-38112 для развертывания вредоносной программы Atlantida для кражи информации, нацеленной на ценные сектора с целью получения финансовой выгоды.

Использование этой уязвимости представляет значительный риск для организаций государственного и частного секторов, и корпорация Майкрософт выпустила исправления в июле и сентябре 2024 года.

CISA обязала федеральные агентства защитить системы от этой уязвимости к 7 октября 2024 года, подчеркнув важность исправления и защитных мер для всех организаций.

#ParsedReport #CompletenessHigh
21-09-2024

Earth Baxia Uses Spear-Phishing and GeoServer Exploit to Target APAC

https://www.trendmicro.com/en_us/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html

Report completeness: High

Actors/Campaigns:
Earth_baxia

Threats:
Spear-phishing_technique
Grimresource_technique
Cobalt_strike
Eagledoor
Swordldr
Ripcoy
Dll_sideloading_technique
Dulldown

Victims:
Government organization, Telecommunication businesses, Energy industry

Industry:
Telco, Energy, Government

Geo:
Hong kong, China, Taiwan, Japan, Korea, Vietnam, Thailand, Asia-pacific, Chinese, Philippines, Apac, Singapore

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1027, T1047, T1574.002, T1105, T1036.005, T1027.002, T1071.001, T1071.004, have more...

IOCs:
Path: 2
Url: 1
Command: 2
File: 8
IP: 1
Domain: 1
Hash: 16

Soft:
curl, NET framework, Telegram

Algorithms:
zip, aes, base64

Functions:
Windows

Win API:
CreateThread, GetProcAddress, FreeLibrary, sendMessage

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3, code: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибер-хакерская группа Earth Baxia проводит целенаправленные атаки в Азиатско-Тихоокеанском регионе, в частности, против правительственных организаций и ключевых отраслей промышленности, используя передовые методы, такие как Spearphishing, пользовательское вредоносное ПО и используя уязвимость GeoServer. Работая в Китае, они внедрили новый бэкдор под названием EAGLEDOOR и используют различные коммуникационные протоколы для сбора информации и доставки полезной нагрузки. Чтобы избежать обнаружения, они используют такие тактические приемы, как дополнительная загрузка библиотеки DLL, и специализированную версию Cobalt Strike, известную как SWORDLDR. В отчете подчеркивается важность упреждающих мер защиты, включая обучение осведомленности о фишинге, проверку электронной почты и многоуровневые решения безопасности, для эффективной борьбы с появляющимися угрозами.
-----

Кибер-хакерская группировка Earth Baxia проводит целенаправленные атаки на страны Азиатско-Тихоокеанского региона (APAC), используя передовые методы, такие как Spearphishing и пользовательское вредоносное ПО. Данные свидетельствуют о том, что эта группа злоумышленников действует из Китая. Одна из их недавних заметных атак была направлена против правительственной организации на Тайване, что указывает на то, что другие страны Азиатско-Тихоокеанского региона, вероятно, также пострадали. Earth Baxia использовала уязвимость GeoServer CVE-2024-36401, которая используется для удаленного выполнения кода, для загрузки и запуска вредоносных компонентов, развертывая настроенные компоненты Cobalt Strike на взломанных компьютерах. Они также представили новый бэкдор под названием EAGLEDOOR, который поддерживает несколько протоколов связи для сбора информации и доставки полезной нагрузки.

В ходе расследования было установлено, что серверы, связанные с атаками, были размещены на облачных сервисах Alibaba или расположены в Гонконге, а некоторые образцы были отправлены в VirusTotal из Китая. Фишинговые электронные письма, документы-приманки и наблюдения за инцидентами показали, что Earth Baxia в первую очередь была нацелена на правительственные учреждения, телекоммуникационные компании и энергетическую отрасль в таких странах, как Филиппины, Южная Корея, Вьетнам, Тайвань и Таиланд. Интересно, что в документе-приманке на упрощенном китайском языке также указывалось на потенциальную ориентацию на предприятия в Китае, хотя конкретные затронутые сектора были неясны из-за ограниченной информации.

Поток атак на Earth Baxia включал использование эксплойта GeoServer для выполнения произвольных команд и использование таких методов, как внедрение GrimResource и AppDomainManager, для развертывания дополнительной полезной нагрузки. Фишинговые электронные письма также использовались как часть стратегии атаки, при этом жертвы получали множество специально разработанных фишинговых электронных писем, содержащих вложения, которые инициировали загрузку вредоносных компонентов из общедоступных облачных сервисов, таких как Amazon Web Services и Aliyun. Цепочка атак включала выполнение шелл-кода в памяти, сбор информации с затронутых компьютеров и связь с пользовательским доменом для запроса дополнительных полезных данных.

Чтобы избежать обнаружения, Earth Baxia использовала стороннюю загрузку библиотеки DLL для запуска специальной версии Cobalt Strike, известной как SWORDLDR, которая внедряла модифицированный шеллкод Cobalt Strike в определенные процессы. EAGLEDOOR, бэкдор, который был удален и запущен в процессе Cobalt Strike, использовал несколько протоколов связи, включая TCP, HTTP, DNS и Telegram, для взаимодействия с сервером управления. Для передачи украденных данных на указанный сервер была использована технология эксфильтрации данных curl.exe .

#ParsedReport #CompletenessMedium
21-09-2024

How Ransomhub Ransomware Uses EDRKillShifter to Disable EDR and Antivirus Protections

https://www.trendmicro.com/en_us/research/24/i/how-ransomhub-ransomware-uses-edrkillshifter-to-disable-edr-and-.html

Report completeness: Medium

Actors/Campaigns:
Ransomhub

Threats:
Ransomhub
Edrkillshifter_tool
Zerologon_vuln
Spear-phishing_technique
Password_spray_technique
Tdsskiller_tool
Uac_bypass_technique
Wevtutil_tool
Byovd_technique
Netscan_tool
Anydesk_tool
Rclone_tool
Shadow_copies_delete_technique
Credential_dumping_technique

Industry:
Transport, Critical_infrastructure, Foodtech, Healthcare, Government

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 127
Registry: 2
Hash: 14
Url: 1

Soft:
Windows Defender, Windows Registry, Windows service, Local Security Authority, Windows PowerShell

Win Services:
TMBMServer

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, schema: 5, table: 1, code: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о хакерской группе под названием RansomHub, их передовых возможностях в области вымогательства, использующих такие методы, как использование уязвимостей, фишинг-атаки и такие инструменты, как EDRKillShifter, для уклонения от обнаружения и нарушения мер безопасности. В статье рассказывается о том, что группа нацелена на различные отрасли промышленности, об их инновационных методах уклонения, влиянии на защиту от кибербезопасности и важности внедрения надежных протоколов безопасности для эффективного противодействия таким угрозам.
-----

Группа Water Bakunawa threat group стоит за программой-вымогателем RansomHub, используя передовые методы защиты от EDR.

RansomHub использует уязвимость Zerologon для получения контроля над сетями без проверки подлинности.

Программа-вымогатель нацелена на различные отрасли промышленности и критически важные секторы, требуя выплаты выкупа для предотвращения раскрытия данных.

Trend Micro обнаружила попытки скрытого фишинга, что указывает на целенаправленные атаки со стороны RansomHub.

Интеграция EDRKillShifter в качестве нового метода уклонения от ответственности RansomHub расширяет его возможности по уклонению от обнаружения и нарушению мер безопасности.

Использование RansomHub партнерской модели и методов обхода или отключения EDR-решений продлевает их пребывание в скомпрометированных сетях.

RansomHub получает доступ с помощью фишинговых электронных писем, использования уязвимостей и атак с использованием паролей.

Конкретные тактики уклонения включают использование файлов пакетных сценариев и инструмента EDRKillShifter.

RansomHub усиливает атаки, извлекая учетные данные, проводя разведку сети и устанавливая командование и контроль через AnyDesk.

В статье приводятся конкретные показатели компрометации, связанные с RansomHub, которые помогают идентифицировать угрозы и смягчать их.

Платформа Vision One от Trend Micro сыграла решающую роль в раскрытии стратегий и временных соглашений RansomHub.

#ParsedReport #CompletenessLow
21-09-2024

ReadText34 Ransomware Incident

https://www.huntress.com/blog/readtext34-ransomware-incident

Report completeness: Low

Actors/Campaigns:
Bianlian

Threats:
Byovd_technique
Lukalocker
Shadow_copies_delete_technique
Lolbin_technique

ChatGPT TTPs:
do not use without manual check
T1490, T1547, T1486, T1068, T1562, T1059, T1489, T1490, T1071

IOCs:
File: 6
Path: 7
IP: 1
Command: 1
Email: 2
Hash: 3

Soft:
bcdedit

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4