#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибер-хакерская группа Earth Baxia проводит целенаправленные атаки в Азиатско-Тихоокеанском регионе, в частности, против правительственных организаций и ключевых отраслей промышленности, используя передовые методы, такие как Spearphishing, пользовательское вредоносное ПО и используя уязвимость GeoServer. Работая в Китае, они внедрили новый бэкдор под названием EAGLEDOOR и используют различные коммуникационные протоколы для сбора информации и доставки полезной нагрузки. Чтобы избежать обнаружения, они используют такие тактические приемы, как дополнительная загрузка библиотеки DLL, и специализированную версию Cobalt Strike, известную как SWORDLDR. В отчете подчеркивается важность упреждающих мер защиты, включая обучение осведомленности о фишинге, проверку электронной почты и многоуровневые решения безопасности, для эффективной борьбы с появляющимися угрозами.
-----

Кибер-хакерская группировка Earth Baxia проводит целенаправленные атаки на страны Азиатско-Тихоокеанского региона (APAC), используя передовые методы, такие как Spearphishing и пользовательское вредоносное ПО. Данные свидетельствуют о том, что эта группа злоумышленников действует из Китая. Одна из их недавних заметных атак была направлена против правительственной организации на Тайване, что указывает на то, что другие страны Азиатско-Тихоокеанского региона, вероятно, также пострадали. Earth Baxia использовала уязвимость GeoServer CVE-2024-36401, которая используется для удаленного выполнения кода, для загрузки и запуска вредоносных компонентов, развертывая настроенные компоненты Cobalt Strike на взломанных компьютерах. Они также представили новый бэкдор под названием EAGLEDOOR, который поддерживает несколько протоколов связи для сбора информации и доставки полезной нагрузки.

В ходе расследования было установлено, что серверы, связанные с атаками, были размещены на облачных сервисах Alibaba или расположены в Гонконге, а некоторые образцы были отправлены в VirusTotal из Китая. Фишинговые электронные письма, документы-приманки и наблюдения за инцидентами показали, что Earth Baxia в первую очередь была нацелена на правительственные учреждения, телекоммуникационные компании и энергетическую отрасль в таких странах, как Филиппины, Южная Корея, Вьетнам, Тайвань и Таиланд. Интересно, что в документе-приманке на упрощенном китайском языке также указывалось на потенциальную ориентацию на предприятия в Китае, хотя конкретные затронутые сектора были неясны из-за ограниченной информации.

Поток атак на Earth Baxia включал использование эксплойта GeoServer для выполнения произвольных команд и использование таких методов, как внедрение GrimResource и AppDomainManager, для развертывания дополнительной полезной нагрузки. Фишинговые электронные письма также использовались как часть стратегии атаки, при этом жертвы получали множество специально разработанных фишинговых электронных писем, содержащих вложения, которые инициировали загрузку вредоносных компонентов из общедоступных облачных сервисов, таких как Amazon Web Services и Aliyun. Цепочка атак включала выполнение шелл-кода в памяти, сбор информации с затронутых компьютеров и связь с пользовательским доменом для запроса дополнительных полезных данных.

Чтобы избежать обнаружения, Earth Baxia использовала стороннюю загрузку библиотеки DLL для запуска специальной версии Cobalt Strike, известной как SWORDLDR, которая внедряла модифицированный шеллкод Cobalt Strike в определенные процессы. EAGLEDOOR, бэкдор, который был удален и запущен в процессе Cobalt Strike, использовал несколько протоколов связи, включая TCP, HTTP, DNS и Telegram, для взаимодействия с сервером управления. Для передачи украденных данных на указанный сервер была использована технология эксфильтрации данных curl.exe .

#ParsedReport #CompletenessMedium
21-09-2024

How Ransomhub Ransomware Uses EDRKillShifter to Disable EDR and Antivirus Protections

https://www.trendmicro.com/en_us/research/24/i/how-ransomhub-ransomware-uses-edrkillshifter-to-disable-edr-and-.html

Report completeness: Medium

Actors/Campaigns:
Ransomhub

Threats:
Ransomhub
Edrkillshifter_tool
Zerologon_vuln
Spear-phishing_technique
Password_spray_technique
Tdsskiller_tool
Uac_bypass_technique
Wevtutil_tool
Byovd_technique
Netscan_tool
Anydesk_tool
Rclone_tool
Shadow_copies_delete_technique
Credential_dumping_technique

Industry:
Transport, Critical_infrastructure, Foodtech, Healthcare, Government

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 127
Registry: 2
Hash: 14
Url: 1

Soft:
Windows Defender, Windows Registry, Windows service, Local Security Authority, Windows PowerShell

Win Services:
TMBMServer

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, schema: 5, table: 1, code: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о хакерской группе под названием RansomHub, их передовых возможностях в области вымогательства, использующих такие методы, как использование уязвимостей, фишинг-атаки и такие инструменты, как EDRKillShifter, для уклонения от обнаружения и нарушения мер безопасности. В статье рассказывается о том, что группа нацелена на различные отрасли промышленности, об их инновационных методах уклонения, влиянии на защиту от кибербезопасности и важности внедрения надежных протоколов безопасности для эффективного противодействия таким угрозам.
-----

Группа Water Bakunawa threat group стоит за программой-вымогателем RansomHub, используя передовые методы защиты от EDR.

RansomHub использует уязвимость Zerologon для получения контроля над сетями без проверки подлинности.

Программа-вымогатель нацелена на различные отрасли промышленности и критически важные секторы, требуя выплаты выкупа для предотвращения раскрытия данных.

Trend Micro обнаружила попытки скрытого фишинга, что указывает на целенаправленные атаки со стороны RansomHub.

Интеграция EDRKillShifter в качестве нового метода уклонения от ответственности RansomHub расширяет его возможности по уклонению от обнаружения и нарушению мер безопасности.

Использование RansomHub партнерской модели и методов обхода или отключения EDR-решений продлевает их пребывание в скомпрометированных сетях.

RansomHub получает доступ с помощью фишинговых электронных писем, использования уязвимостей и атак с использованием паролей.

Конкретные тактики уклонения включают использование файлов пакетных сценариев и инструмента EDRKillShifter.

RansomHub усиливает атаки, извлекая учетные данные, проводя разведку сети и устанавливая командование и контроль через AnyDesk.

В статье приводятся конкретные показатели компрометации, связанные с RansomHub, которые помогают идентифицировать угрозы и смягчать их.

Платформа Vision One от Trend Micro сыграла решающую роль в раскрытии стратегий и временных соглашений RansomHub.

#ParsedReport #CompletenessLow
21-09-2024

ReadText34 Ransomware Incident

https://www.huntress.com/blog/readtext34-ransomware-incident

Report completeness: Low

Actors/Campaigns:
Bianlian

Threats:
Byovd_technique
Lukalocker
Shadow_copies_delete_technique
Lolbin_technique

ChatGPT TTPs:
do not use without manual check
T1490, T1547, T1486, T1068, T1562, T1059, T1489, T1490, T1071

IOCs:
File: 6
Path: 7
IP: 1
Command: 1
Email: 2
Hash: 3

Soft:
bcdedit

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики Huntress столкнулись с серией разнообразных кибератак в сентябре 2024 года, что подчеркивает эволюцию тактики злоумышленников, в частности, использование уязвимого драйвера в сочетании с программами-вымогателями для сбоя приложений безопасности. Расследование выявило критическую важность надежных мер кибербезопасности, планирования реагирования на инциденты, ведения инвентаризации активов и мониторинга конечных точек для повышения киберустойчивости и смягчения последствий кибератак, в частности инцидентов с использованием программ-вымогателей.
-----

Аналитики Huntress недавно столкнулись с серией кибератак в течение второй недели сентября 2024 года, что свидетельствует о разнообразии угроз, с которыми сталкиваются организации. Атаки варьировались от первоначальных разведывательных действий до полного внедрения программ-вымогателей, демонстрируя эволюцию тактики злоумышленников. В одном конкретном инциденте отслеживаемая конечная точка запускала оповещения, связанные с включением протокола удаленного рабочего стола (RDP), выполнением команд для отключения восстановления системы и сохранением исполняемого файла программы-вымогателя. Впоследствии, в течение короткого промежутка времени, та же конечная точка запустила оповещения о шифровании файлов, сигнализируя об успешном развертывании программы-вымогателя.

Расследование выявило использование уязвимого драйвера, известного как Truesight.sys, который был связан с атаками "принеси свой собственный уязвимый драйвер" (BYOVD). Уязвимый драйвер был использован совместно с программой-вымогателем LukaLocker, что привело к сбою приложений безопасности, таких как продукты Trend Micro, на скомпрометированной конечной точке. Дальнейший анализ записей системного журнала событий выявил подозрительные действия, включая использование команд в стиле пакетных файлов, встроенных в исполняемый файл, для остановки процессов, служб Windows, удаления теневых копий томов и инициирования шифрования файлов. Злоумышленники использовали сочетание встроенных утилит Windows и методов шифрования, таких как RSA+AES, для шифрования файлов и создания программ-вымогателей, которые запускали оповещения. В записке с требованием выкупа, оставленной злоумышленниками, содержались инструкции о том, как связаться с ними по указанным адресам электронной почты, и предупреждения о повышении цены выкупа, если связь не будет установлена в течение 72 часов.

Расследование выявило критическую важность того, чтобы организации применяли надежные меры кибербезопасности для смягчения последствий кибератак, в частности инцидентов с использованием программ-вымогателей. В нем подчеркивалась необходимость разработки и практической реализации планов реагирования на инциденты, ведения точной инвентаризации активов и активного сокращения площади атаки для повышения киберустойчивости. Ограниченная видимость в скомпрометированной инфраструктуре из-за неполного развертывания агентов мониторинга подчеркнула важность комплексного мониторинга конечных точек на всех серверах и рабочих станциях для эффективного обнаружения угроз и реагирования на них.

#ParsedReport #CompletenessLow
21-09-2024

Kimsuky Group Malware Disguised as a Lecture Request (MSC, HWP)

https://asec.ahnlab.com/ko/83239

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059, T1071.001, T1027

IOCs:
File: 3
Hash: 5
Url: 5

Algorithms:
md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что сложный вредоносный код, замаскированный под запрос на лекцию, нацелен на конкретных пользователей с помощью документов на языке хангыль и файлов MSC. Цель вредоносного ПО - обмануть пользователей и заставить их выполнить его, что потенциально может привести к таким вредоносным действиям, как кража информации и установка дополнительного вредоносного программного обеспечения. Структура вредоносных URL-адресов и методология работы указывают на возможную связь с известными участниками угроз. В качестве основного метода доставки этого вида вредоносных программ используется фишинг-атака.
-----

Недавно был обнаружен вредоносный код, замаскированный под запрос на лекцию и предназначенный для конкретных пользователей. Было установлено, что распространяемые файлы являются документами на языке хангыль (HWP) и файлами с расширением MSC. Кроме того, вредоносные файлы были загружены после запуска исходных файлов. Личная информация была обнаружена в файлах документов-приманках, которые выглядели как обычные, что указывает на то, что вредоносная программа ориентирована на конкретных пользователей. Конечные вредоносные действия еще предстоит определить, но потенциальные действия могут включать кражу информации и дальнейшую загрузку вредоносного кода, чему способствует скрипт, содержащий команды злоумышленника, который хранится на компьютере пользователя и постоянно выполняется.

Вредоносные URL-адреса, используемые вредоносным ПО, имеют формат, аналогичный указанному в сообщении в блоге ASEC 2023, где был распространен вредоносный пакетный файл, замаскированный под средство просмотра документов (Kimsuky). Это сходство указывает на возможную связь с одной и той же группой злоумышленников. Методология работы вредоносного ПО включает в себя использование файла вредоносного скрипта, выдающего себя за обычный исполняемый файл, а также файла манифеста исполняемого файла во время его работы. Кроме того, Google Drive используется для получения дополнительных вредоносных команд, при этом закодированные вредоносные команды вставляются в заголовок загруженного файла для выполнения вредоносных действий.

Предполагается, что распространение этого вредоносного ПО происходит преимущественно с помощью методов скрытого фишинга, при этом подтверждено, что документы Hangul (HWP) и файлы MSC являются каналами распространения вредоносного ПО. Названия подтвержденных распространяемых файлов в тексте не указаны.

По сути, обнаруженный вредоносный код, маскирующийся под запрос на лекцию, специально разработан для конкретных пользователей. Маскируясь под документы на языке хангыль и файлы MSC, вредоносная программа пытается обманом заставить пользователей выполнить ее. После активации вредоносная программа потенциально может совершать различные вредоносные действия, такие как утечка информации и установка дополнительного вредоносного программного обеспечения, используя скрипты, находящиеся на компьютерах жертв.

Соответствие структуры вредоносных URL-адресов ранее задокументированным атакам, в частности сходство с инцидентом в блоге ASEC 2023, связанным с вредоносным пакетным файлом, указывает на потенциальную связь с известными участниками угроз. Работа вредоносной программы заключается в использовании замаскированных скриптов и файлов манифеста, при этом Google Drive служит каналом для получения и выполнения закодированных вредоносных команд, встроенных в заголовки файлов.

В качестве основного метода доставки этого вида вредоносного ПО, распространяемого главным образом посредством распространения файлов в форматах Hangul documents (HWP) и MSC, используется фишинг с использованием спайринга. В тексте не указаны точные названия распространяемых файлов, однако он проливает свет на изощренную тактику, используемую злоумышленниками для нацеливания на конкретные объекты и осуществления вредоносных действий.

#ParsedReport #CompletenessLow
21-09-2024

No, Elon Musk was not in the U.S. Presidential Debate

https://blogs.infoblox.com/threat-intelligence/no-elon-musk-was-not-in-the-us-presidential-debate

Report completeness: Low

Victims:
Youtube channel owners, Viewers, Crypto wallet owners

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566.002, T1566, T1588.006, T1027

IOCs:
Url: 8
Domain: 22
Coin: 6

Soft:
Mastodon

Crypto:
dogecoin, bitcoin, solana, ethereum

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники использовали поддельные видеоролики в недавней афере с криптовалютой, связанной с вымышленным сценарием президентских дебатов в США с участием Илона Маска, Дональда Трампа и Камалы Харрис. Мошенничество включало в себя "стрим-джэкинг" захваченных каналов YouTube для трансляции поддельных событий в прямом эфире, привлекая зрителей с помощью обманчивого QR-кода на сайты мошенничества с криптовалютами, связанные с Россией. Меняющаяся тактика киберпреступников, включая использование глубоких подделок, подчеркивает необходимость в усиленных мерах проактивной защиты, таких как алгоритм Infoblox Threat Intel для обнаружения подозрительных доменов.
-----

Киберпреступники воспользовались президентскими дебатами в США с помощью мошенничества с криптовалютой, используя фальшивые видеоролики Илона Маска, Дональда Трампа и Камалы Харрис.

Мошенничество включало в себя захват каналов YouTube с помощью "стрим-джэкинга" для трансляции поддельных событий в прямом эфире и продвижения мошенничества.

В мошеннических видеороликах были представлены QR-коды, ведущие на мошеннические веб-сайты с доменными именами, напоминающими законные платформы и привязанными к России.

Мошеннические платформы использовали средства защиты от ботов Cloudflare для предотвращения анализа безопасности, что затрудняло тщательную проверку.

Жертвам было предложено подключить свои криптовалютные кошельки для участия, и более 4000 долларов в Dogecoin были переведены на один идентифицированный адрес крипто-кошелька.

Корпорация Intel разработала алгоритмы обнаружения подозрительных доменов, которые обеспечивают защиту на основе DNS для эффективной борьбы с киберугрозами.

#ParsedReport #CompletenessLow
21-09-2024

Dark Web Profile: Just Evil

https://socradar.io/dark-web-profile-just-evil

Report completeness: Low

Actors/Campaigns:
Just_evil (motivation: financially_motivated, propaganda, hacktivism, cyber_espionage)
Killmilk (motivation: financially_motivated, hacktivism)
Deanon_club (motivation: financially_motivated, hacktivism)
Killnet (motivation: financially_motivated, hacktivism)
Anonymous_sudans

Victims:
Nato, Lithuania, Western nations, Microsoft, Ukraine

Industry:
E-commerce, Government

Geo:
Palestine, Russia, Ukraine, The us, Lithuania, Russian, Polish

TTPs:
Tactics: 4
Technics: 5

Soft:
Telegram, discord, Outlook, GMail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении пророссийской хакерской группировки Just Evil, основанной KillMilk в ответ на внутренние изменения в KillNet, для поддержания идеологической миссии в среде пророссийских хактивистов, нацеливаясь на противников России посредством киберопераций.
-----

Just Evil - это пророссийская хакерская группировка, которая была создана в январе 2024 года Киллмилком, бывшим лидером KillNet. Эта группа была создана в ответ на внутренние изменения в KillNet, которые включали ее продажу другому владельцу и переход к коммерческим мотивам под руководством Deanon Club. Just Evil стремится сохранить идеологическую миссию в среде пророссийских хактивистов, дистанцируясь от финансовых мотивов, чтобы сохранить влияние в сообществе.

КиллМилк - видная фигура в пророссийском киберпространстве, известная тем, что возглавляет хактивистскую группу KillNet. Изначально KillNet была сосредоточена на поддержке геополитических интересов России, особенно во время российско-украинской войны, посредством таких действий, как проведение DDoS-атак на западные компании. Однако внутренняя напряженность в KillNet привела к критике руководства KillMilk, кульминацией которой стало его решение уйти в отставку и передать управление Deanon Club. Этот переход ознаменовал сдвиг в KillNet в сторону более финансово мотивированной деятельности.

Чтобы поддержать идеологическую позицию в пророссийском киберсообществе, KillMilk основали Just Evil, в то время как другая группа, KillNet 2.0, возникла как децентрализованный коллектив, специализирующийся на некоммерческих идеологических миссиях. Объявление о запуске Just Evil в январе 2024 года означало приверженность группы сохранению своей идеологической миссии, несмотря на изменения в KillNet.

Действия Just Evil направлены против стран и организаций, которые считаются противниками России, с акцентом на западные страны, членов НАТО и Украину. Группа использует такие тактические приемы, как распределенные атаки типа "Отказ в обслуживании" (DDoS), порча веб-сайтов и утечка данных, чтобы подорвать работу западных правительств и институтов, согласовывая свою деятельность с более широкими интересами России.

Несмотря на заявления о том, что Just Evil дистанцируется от финансовых мотивов, запуск Just Market вызывает вопросы по поводу этой позиции. Услуги, предлагаемые Just Market, включая доступ к GMail, отмывание криптовалют, подделку документов и аудит безопасности, указывают на готовность участвовать в киберпреступлениях с целью получения прибыли. Подчеркивая, что они не действуют деструктивно в пределах России, Just Evil предлагает прагматичный подход к тому, чтобы избежать местных последствий, занимаясь незаконной деятельностью по всему миру.

Для защиты от таких групп, как Just Evil, организациям рекомендуется применять многоуровневый подход, который включает в себя внедрение надежных механизмов защиты от DDoS-атак, защиту веб-приложений с помощью брандмауэров, шифрование конфиденциальных данных, регулярную оценку уязвимостей и внедрение многофакторной аутентификации (MFA) для всех критически важных систем. Решения для анализа угроз, такие как SOCRadar, могут предоставить критическую информацию о действиях таких участников угроз, как Just Evil, позволяя организациям отслеживать каналы и форумы темного Интернета, где эти группы действуют и продвигают незаконные услуги.

#ParsedReport #CompletenessLow
21-09-2024

Akira Ransomware Indicators

https://www.huntress.com/blog/akira-ransomware-indicators

Report completeness: Low

Threats:
Akira_ransomware

ChatGPT TTPs:
do not use without manual check
T1078, T1136, T1486

IOCs:
Registry: 2
Path: 1
File: 1
Hash: 1

Soft:
MSSQL

Algorithms:
sha256

Win Services:
sqlservr

#ParsedReport #GeneratedSchema
Generated with GPT-4