#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 4, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в открытии нового метода распространения вредоносной программы Lumma Stealer, нацеленной на пользователей Windows, с помощью обманчивых страниц проверки подлинности человеком. Злоумышленники используют фишинговые сайты, поддельные страницы с капчей Google и манипуляции с командами PowerShell для распространения вредоносного ПО со скрытыми функциями и несколькими доменами, вовлеченными в сеть распространения. Этот метод направлен на то, чтобы избежать обнаружения, и может привести к установлению соединений с доменами, контролируемыми злоумышленниками, что потенциально может привести к заражению устройств жертв различными вредоносными файлами.
-----

Был обнаружен новый метод распространения вредоносного ПО Lumma Stealer, нацеленного на пользователей Windows с помощью обманчивых страниц проверки подлинности. В рамках этого метода злоумышленники создают фишинговые сайты у различных провайдеров, часто используя сети доставки контента (CDN), предоставляя пользователям поддельные страницы с капчей Google. Незаметно для пользователя нажатие на кнопку "Я не робот" запускает скрытую функцию JavaScript, которая копирует команду PowerShell в кодировке base64 в буфер обмена. Когда эта команда PowerShell вводится в диалоговое окно "Выполнить" и выполняется, она загружает вредоносную программу Lumma Stealer с удаленного сервера.

Было обнаружено несколько доменов, на которых размещены эти вредоносные страницы проверки, что указывает на активную сеть распространения. Цепочка заражения обычно строится по следующей схеме: вводится вводящая в заблуждение проверка с помощью Google Captcha, копируются сценарии PowerShell в буфер обмена и выполняются для загрузки вредоносного ПО на устройства жертв. Команда PowerShell извлекает содержимое с a.txt, размещенного на удаленном сервере, который содержит дополнительные команды для загрузки и запуска программы Lumma Stealer. Если вредоносный файл (dengo.zip) извлекается и запускается на компьютере с Windows, он устанавливает соединения с доменами, контролируемыми злоумышленником.

Эти вредоносные страницы были обнаружены на различных платформах, включая Amazon S3 buckets и CDN-провайдеров. Использование кодировки base64 и манипулирования буфером обмена демонстрирует попытки злоумышленников избежать обнаружения. Исходный исполняемый файл часто загружает дополнительные компоненты, что усложняет анализ и потенциально обеспечивает модульную функциональность. Хотя эта кампания в первую очередь направлена на распространение вредоносного ПО Lumma Stealer, она потенциально может заставить пользователей загружать различные типы вредоносных файлов на свои устройства Windows обманом.

#ParsedReport #CompletenessLow
21-09-2024

Exploitation of Windows MSHTML Spoofing Vulnerability (CVE-2024-43461) by Void Banshee APT Group

https://www.secureblink.com/cyber-security-news/exploitation-of-windows-mshtml-spoofing-vulnerability-cve-2024-43461-by-void-banshee-apt-group

Report completeness: Low

Actors/Campaigns:
Void_banshee (motivation: financially_motivated, information_theft, cyber_espionage)

Threats:
Atlantida
Credential_harvesting_technique

Industry:
Financial

Geo:
America, Asia

CVEs:
CVE-2024-38112 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20710)
- microsoft windows 10 1607 (<10.0.14393.7159)
- microsoft windows 10 1809 (<10.0.17763.6054)
- microsoft windows 10 21h2 (<10.0.19044.4651)
- microsoft windows 10 22h2 (<10.0.19045.4651)
have more...
CVE-2024-43461 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20766)
- microsoft windows 10 1607 (<10.0.14393.7336)
- microsoft windows 10 1809 (<10.0.17763.6293)
- microsoft windows 10 21h2 (<10.0.19044.4894)
- microsoft windows 10 22h2 (<10.0.19045.4894)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1140, T1094

Soft:
MSHTML engine, Internet Explorer, Microsoft Office

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является срочная директива, выпущенная CISA для федеральных агентств США по устранению критической уязвимости Windows (CVE-2024-43461), используемой группой Void Banshee APT, в которой подчеркиваются потенциальные риски, связанные с этой уязвимостью, тактика обмана, используемая злоумышленниками, влияние как на общественность, так и на пользователей. организации частного сектора, а также важность оперативного внесения исправлений и надежных стратегий смягчения последствий для защиты от киберугроз.
-----

CISA выпустила директиву для федеральных агентств США относительно критической уязвимости Windows CVE-2024-43461, которая была использована группой Void Banshee APT.

Уязвимость позволяет злоумышленникам выполнять произвольный код в незащищенных системах Windows с помощью вредоносных веб-страниц или файлов, воздействуя на приложения Internet Explorer и Microsoft Office.

Void Banshee использовала CVE-2024-43461 и CVE-2024-38112 для развертывания вредоносной программы Atlantida для кражи информации, нацеленной на ценные сектора с целью получения финансовой выгоды.

Использование этой уязвимости представляет значительный риск для организаций государственного и частного секторов, и корпорация Майкрософт выпустила исправления в июле и сентябре 2024 года.

CISA обязала федеральные агентства защитить системы от этой уязвимости к 7 октября 2024 года, подчеркнув важность исправления и защитных мер для всех организаций.

#ParsedReport #CompletenessHigh
21-09-2024

Earth Baxia Uses Spear-Phishing and GeoServer Exploit to Target APAC

https://www.trendmicro.com/en_us/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html

Report completeness: High

Actors/Campaigns:
Earth_baxia

Threats:
Spear-phishing_technique
Grimresource_technique
Cobalt_strike
Eagledoor
Swordldr
Ripcoy
Dll_sideloading_technique
Dulldown

Victims:
Government organization, Telecommunication businesses, Energy industry

Industry:
Telco, Energy, Government

Geo:
Hong kong, China, Taiwan, Japan, Korea, Vietnam, Thailand, Asia-pacific, Chinese, Philippines, Apac, Singapore

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1027, T1047, T1574.002, T1105, T1036.005, T1027.002, T1071.001, T1071.004, have more...

IOCs:
Path: 2
Url: 1
Command: 2
File: 8
IP: 1
Domain: 1
Hash: 16

Soft:
curl, NET framework, Telegram

Algorithms:
zip, aes, base64

Functions:
Windows

Win API:
CreateThread, GetProcAddress, FreeLibrary, sendMessage

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3, code: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибер-хакерская группа Earth Baxia проводит целенаправленные атаки в Азиатско-Тихоокеанском регионе, в частности, против правительственных организаций и ключевых отраслей промышленности, используя передовые методы, такие как Spearphishing, пользовательское вредоносное ПО и используя уязвимость GeoServer. Работая в Китае, они внедрили новый бэкдор под названием EAGLEDOOR и используют различные коммуникационные протоколы для сбора информации и доставки полезной нагрузки. Чтобы избежать обнаружения, они используют такие тактические приемы, как дополнительная загрузка библиотеки DLL, и специализированную версию Cobalt Strike, известную как SWORDLDR. В отчете подчеркивается важность упреждающих мер защиты, включая обучение осведомленности о фишинге, проверку электронной почты и многоуровневые решения безопасности, для эффективной борьбы с появляющимися угрозами.
-----

Кибер-хакерская группировка Earth Baxia проводит целенаправленные атаки на страны Азиатско-Тихоокеанского региона (APAC), используя передовые методы, такие как Spearphishing и пользовательское вредоносное ПО. Данные свидетельствуют о том, что эта группа злоумышленников действует из Китая. Одна из их недавних заметных атак была направлена против правительственной организации на Тайване, что указывает на то, что другие страны Азиатско-Тихоокеанского региона, вероятно, также пострадали. Earth Baxia использовала уязвимость GeoServer CVE-2024-36401, которая используется для удаленного выполнения кода, для загрузки и запуска вредоносных компонентов, развертывая настроенные компоненты Cobalt Strike на взломанных компьютерах. Они также представили новый бэкдор под названием EAGLEDOOR, который поддерживает несколько протоколов связи для сбора информации и доставки полезной нагрузки.

В ходе расследования было установлено, что серверы, связанные с атаками, были размещены на облачных сервисах Alibaba или расположены в Гонконге, а некоторые образцы были отправлены в VirusTotal из Китая. Фишинговые электронные письма, документы-приманки и наблюдения за инцидентами показали, что Earth Baxia в первую очередь была нацелена на правительственные учреждения, телекоммуникационные компании и энергетическую отрасль в таких странах, как Филиппины, Южная Корея, Вьетнам, Тайвань и Таиланд. Интересно, что в документе-приманке на упрощенном китайском языке также указывалось на потенциальную ориентацию на предприятия в Китае, хотя конкретные затронутые сектора были неясны из-за ограниченной информации.

Поток атак на Earth Baxia включал использование эксплойта GeoServer для выполнения произвольных команд и использование таких методов, как внедрение GrimResource и AppDomainManager, для развертывания дополнительной полезной нагрузки. Фишинговые электронные письма также использовались как часть стратегии атаки, при этом жертвы получали множество специально разработанных фишинговых электронных писем, содержащих вложения, которые инициировали загрузку вредоносных компонентов из общедоступных облачных сервисов, таких как Amazon Web Services и Aliyun. Цепочка атак включала выполнение шелл-кода в памяти, сбор информации с затронутых компьютеров и связь с пользовательским доменом для запроса дополнительных полезных данных.

Чтобы избежать обнаружения, Earth Baxia использовала стороннюю загрузку библиотеки DLL для запуска специальной версии Cobalt Strike, известной как SWORDLDR, которая внедряла модифицированный шеллкод Cobalt Strike в определенные процессы. EAGLEDOOR, бэкдор, который был удален и запущен в процессе Cobalt Strike, использовал несколько протоколов связи, включая TCP, HTTP, DNS и Telegram, для взаимодействия с сервером управления. Для передачи украденных данных на указанный сервер была использована технология эксфильтрации данных curl.exe .

#ParsedReport #CompletenessMedium
21-09-2024

How Ransomhub Ransomware Uses EDRKillShifter to Disable EDR and Antivirus Protections

https://www.trendmicro.com/en_us/research/24/i/how-ransomhub-ransomware-uses-edrkillshifter-to-disable-edr-and-.html

Report completeness: Medium

Actors/Campaigns:
Ransomhub

Threats:
Ransomhub
Edrkillshifter_tool
Zerologon_vuln
Spear-phishing_technique
Password_spray_technique
Tdsskiller_tool
Uac_bypass_technique
Wevtutil_tool
Byovd_technique
Netscan_tool
Anydesk_tool
Rclone_tool
Shadow_copies_delete_technique
Credential_dumping_technique

Industry:
Transport, Critical_infrastructure, Foodtech, Healthcare, Government

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 127
Registry: 2
Hash: 14
Url: 1

Soft:
Windows Defender, Windows Registry, Windows service, Local Security Authority, Windows PowerShell

Win Services:
TMBMServer

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, schema: 5, table: 1, code: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о хакерской группе под названием RansomHub, их передовых возможностях в области вымогательства, использующих такие методы, как использование уязвимостей, фишинг-атаки и такие инструменты, как EDRKillShifter, для уклонения от обнаружения и нарушения мер безопасности. В статье рассказывается о том, что группа нацелена на различные отрасли промышленности, об их инновационных методах уклонения, влиянии на защиту от кибербезопасности и важности внедрения надежных протоколов безопасности для эффективного противодействия таким угрозам.
-----

Группа Water Bakunawa threat group стоит за программой-вымогателем RansomHub, используя передовые методы защиты от EDR.

RansomHub использует уязвимость Zerologon для получения контроля над сетями без проверки подлинности.

Программа-вымогатель нацелена на различные отрасли промышленности и критически важные секторы, требуя выплаты выкупа для предотвращения раскрытия данных.

Trend Micro обнаружила попытки скрытого фишинга, что указывает на целенаправленные атаки со стороны RansomHub.

Интеграция EDRKillShifter в качестве нового метода уклонения от ответственности RansomHub расширяет его возможности по уклонению от обнаружения и нарушению мер безопасности.

Использование RansomHub партнерской модели и методов обхода или отключения EDR-решений продлевает их пребывание в скомпрометированных сетях.

RansomHub получает доступ с помощью фишинговых электронных писем, использования уязвимостей и атак с использованием паролей.

Конкретные тактики уклонения включают использование файлов пакетных сценариев и инструмента EDRKillShifter.

RansomHub усиливает атаки, извлекая учетные данные, проводя разведку сети и устанавливая командование и контроль через AnyDesk.

В статье приводятся конкретные показатели компрометации, связанные с RansomHub, которые помогают идентифицировать угрозы и смягчать их.

Платформа Vision One от Trend Micro сыграла решающую роль в раскрытии стратегий и временных соглашений RansomHub.

#ParsedReport #CompletenessLow
21-09-2024

ReadText34 Ransomware Incident

https://www.huntress.com/blog/readtext34-ransomware-incident

Report completeness: Low

Actors/Campaigns:
Bianlian

Threats:
Byovd_technique
Lukalocker
Shadow_copies_delete_technique
Lolbin_technique

ChatGPT TTPs:
do not use without manual check
T1490, T1547, T1486, T1068, T1562, T1059, T1489, T1490, T1071

IOCs:
File: 6
Path: 7
IP: 1
Command: 1
Email: 2
Hash: 3

Soft:
bcdedit

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики Huntress столкнулись с серией разнообразных кибератак в сентябре 2024 года, что подчеркивает эволюцию тактики злоумышленников, в частности, использование уязвимого драйвера в сочетании с программами-вымогателями для сбоя приложений безопасности. Расследование выявило критическую важность надежных мер кибербезопасности, планирования реагирования на инциденты, ведения инвентаризации активов и мониторинга конечных точек для повышения киберустойчивости и смягчения последствий кибератак, в частности инцидентов с использованием программ-вымогателей.
-----

Аналитики Huntress недавно столкнулись с серией кибератак в течение второй недели сентября 2024 года, что свидетельствует о разнообразии угроз, с которыми сталкиваются организации. Атаки варьировались от первоначальных разведывательных действий до полного внедрения программ-вымогателей, демонстрируя эволюцию тактики злоумышленников. В одном конкретном инциденте отслеживаемая конечная точка запускала оповещения, связанные с включением протокола удаленного рабочего стола (RDP), выполнением команд для отключения восстановления системы и сохранением исполняемого файла программы-вымогателя. Впоследствии, в течение короткого промежутка времени, та же конечная точка запустила оповещения о шифровании файлов, сигнализируя об успешном развертывании программы-вымогателя.

Расследование выявило использование уязвимого драйвера, известного как Truesight.sys, который был связан с атаками "принеси свой собственный уязвимый драйвер" (BYOVD). Уязвимый драйвер был использован совместно с программой-вымогателем LukaLocker, что привело к сбою приложений безопасности, таких как продукты Trend Micro, на скомпрометированной конечной точке. Дальнейший анализ записей системного журнала событий выявил подозрительные действия, включая использование команд в стиле пакетных файлов, встроенных в исполняемый файл, для остановки процессов, служб Windows, удаления теневых копий томов и инициирования шифрования файлов. Злоумышленники использовали сочетание встроенных утилит Windows и методов шифрования, таких как RSA+AES, для шифрования файлов и создания программ-вымогателей, которые запускали оповещения. В записке с требованием выкупа, оставленной злоумышленниками, содержались инструкции о том, как связаться с ними по указанным адресам электронной почты, и предупреждения о повышении цены выкупа, если связь не будет установлена в течение 72 часов.

Расследование выявило критическую важность того, чтобы организации применяли надежные меры кибербезопасности для смягчения последствий кибератак, в частности инцидентов с использованием программ-вымогателей. В нем подчеркивалась необходимость разработки и практической реализации планов реагирования на инциденты, ведения точной инвентаризации активов и активного сокращения площади атаки для повышения киберустойчивости. Ограниченная видимость в скомпрометированной инфраструктуре из-за неполного развертывания агентов мониторинга подчеркнула важность комплексного мониторинга конечных точек на всех серверах и рабочих станциях для эффективного обнаружения угроз и реагирования на них.

#ParsedReport #CompletenessLow
21-09-2024

Kimsuky Group Malware Disguised as a Lecture Request (MSC, HWP)

https://asec.ahnlab.com/ko/83239

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059, T1071.001, T1027

IOCs:
File: 3
Hash: 5
Url: 5

Algorithms:
md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что сложный вредоносный код, замаскированный под запрос на лекцию, нацелен на конкретных пользователей с помощью документов на языке хангыль и файлов MSC. Цель вредоносного ПО - обмануть пользователей и заставить их выполнить его, что потенциально может привести к таким вредоносным действиям, как кража информации и установка дополнительного вредоносного программного обеспечения. Структура вредоносных URL-адресов и методология работы указывают на возможную связь с известными участниками угроз. В качестве основного метода доставки этого вида вредоносных программ используется фишинг-атака.
-----

Недавно был обнаружен вредоносный код, замаскированный под запрос на лекцию и предназначенный для конкретных пользователей. Было установлено, что распространяемые файлы являются документами на языке хангыль (HWP) и файлами с расширением MSC. Кроме того, вредоносные файлы были загружены после запуска исходных файлов. Личная информация была обнаружена в файлах документов-приманках, которые выглядели как обычные, что указывает на то, что вредоносная программа ориентирована на конкретных пользователей. Конечные вредоносные действия еще предстоит определить, но потенциальные действия могут включать кражу информации и дальнейшую загрузку вредоносного кода, чему способствует скрипт, содержащий команды злоумышленника, который хранится на компьютере пользователя и постоянно выполняется.

Вредоносные URL-адреса, используемые вредоносным ПО, имеют формат, аналогичный указанному в сообщении в блоге ASEC 2023, где был распространен вредоносный пакетный файл, замаскированный под средство просмотра документов (Kimsuky). Это сходство указывает на возможную связь с одной и той же группой злоумышленников. Методология работы вредоносного ПО включает в себя использование файла вредоносного скрипта, выдающего себя за обычный исполняемый файл, а также файла манифеста исполняемого файла во время его работы. Кроме того, Google Drive используется для получения дополнительных вредоносных команд, при этом закодированные вредоносные команды вставляются в заголовок загруженного файла для выполнения вредоносных действий.

Предполагается, что распространение этого вредоносного ПО происходит преимущественно с помощью методов скрытого фишинга, при этом подтверждено, что документы Hangul (HWP) и файлы MSC являются каналами распространения вредоносного ПО. Названия подтвержденных распространяемых файлов в тексте не указаны.

По сути, обнаруженный вредоносный код, маскирующийся под запрос на лекцию, специально разработан для конкретных пользователей. Маскируясь под документы на языке хангыль и файлы MSC, вредоносная программа пытается обманом заставить пользователей выполнить ее. После активации вредоносная программа потенциально может совершать различные вредоносные действия, такие как утечка информации и установка дополнительного вредоносного программного обеспечения, используя скрипты, находящиеся на компьютерах жертв.

Соответствие структуры вредоносных URL-адресов ранее задокументированным атакам, в частности сходство с инцидентом в блоге ASEC 2023, связанным с вредоносным пакетным файлом, указывает на потенциальную связь с известными участниками угроз. Работа вредоносной программы заключается в использовании замаскированных скриптов и файлов манифеста, при этом Google Drive служит каналом для получения и выполнения закодированных вредоносных команд, встроенных в заголовки файлов.

В качестве основного метода доставки этого вида вредоносного ПО, распространяемого главным образом посредством распространения файлов в форматах Hangul documents (HWP) и MSC, используется фишинг с использованием спайринга. В тексте не указаны точные названия распространяемых файлов, однако он проливает свет на изощренную тактику, используемую злоумышленниками для нацеливания на конкретные объекты и осуществления вредоносных действий.