#ParsedReport #CompletenessLow
18-10-2024

Bocklit - Fake LockBit, Real Damage: Ransomware Samples Abuse AWS S3 to Steal Data

https://www.trendmicro.com/en_us/research/24/j/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html

Report completeness: Low

Threats:
Bocklit_ransomware
Lockbit
Qilin_ransomware
Shadow_copies_delete_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1048, T1140, T1112, T1486

IOCs:
Hash: 39
File: 7
Domain: 2

Soft:
MacOS

Algorithms:
md5, base64, aes-ctr, aes

Win API:
SystemParametersInfoW

Win Services:
bits

Languages:
golang

Links:
have more...
https://github.com/aws/aws-sdk-go-v2
https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/feature/s3/manager#Uploader.Upload
https://github.com/NextronSystems/ransomware-simulator/blob/master/lib/shadowcopy/shadowcopy.go

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе образцов программ-вымогателей Golang, которые использовали Amazon S3 для кражи данных, выдавая себя за LockBit для запугивания жертв. Программа-вымогатель использовала жестко запрограммированные учетные данные AWS для отправки файлов жертвы в подконтрольные злоумышленнику пакеты S3, используя AWS Transfer Acceleration для ускорения передачи данных. Было зашифровано множество типов файлов, и злоумышленники использовали мультиплатформенные возможности Golang для атаки на системы Windows и macOS. Злоумышленники стремились связать свои действия с использованием программ-вымогателей с LockBit для дополнительного устрашения, подчеркивая тенденцию использования злоумышленниками облачных сервисов, таких как AWS, в вредоносных целях. Подчеркивается важность мониторинга облачных сред на предмет выявления признаков компрометации и обмена результатами с органами безопасности для эффективного устранения угроз.
-----

В статье обсуждается обнаружение образцов программы-вымогателя Golang, использующей Amazon S3 для кражи данных и выдающей себя за LockBit для запугивания жертв. Программа-вымогатель использовала жестко запрограммированные учетные данные AWS для отправки файлов жертвы в подконтрольные злоумышленнику хранилища S3, что привело к приостановке работы связанных учетных записей AWS. Этот метод был попыткой использовать функцию ускорения передачи данных в AWS S3 для более быстрой передачи данных на большие расстояния.

Программа-вымогатель была разработана для шифрования различных типов файлов, при этом зашифрованные файлы сопровождались специальным мастер-ключом и хэшем MD5. Злоумышленники использовали мультиплатформенные возможности Golang, что позволило им разрабатывать вредоносное ПО, предназначенное как для Windows, так и для macOS. После шифрования файлов программа-вымогатель изменила обои жертвы, возможно, чтобы создать ссылку на дурную славу семейства программ-вымогателей LockBit.

Злоумышленники стремились связать свою деятельность с программой-вымогателем LockBit, используя репутацию последней для дальнейшего запугивания жертв. Было подозрение, что автор программы-вымогателя использовал свою собственную учетную запись или скомпрометированную учетную запись AWS для проведения этих атак. Было обнаружено более тридцати образцов программ-вымогателей, что свидетельствует об активной разработке и тестировании до того, как AWS приостановила действие соответствующих ключей и учетной записи.

В статье освещается тенденция использования злоумышленниками облачных сервисов, таких как AWS, для совершения вредоносных действий. В статье подчеркивается важность мониторинга облачных сред на предмет наличия индикаторов компрометации (IOC), таких как идентификаторы учетных записей AWS, для эффективного выявления потенциальных угроз и устранения их последствий. Поделившись результатами с AWS Security, аналитики внесли свой вклад в удаление вредоносных ключей доступа и учетных записей AWS, о которых шла речь.

#ParsedReport #CompletenessLow
19-10-2024

ESET Israel Partner HACKED to Deploy Data Wipers in Phishing Attacks

https://www.secureblink.com/cyber-security-news/eset-israel-partner-hacked-to-deploy-data-wipers-in-phishing-attacks

Report completeness: Low

Actors/Campaigns:
Yanluowang
Handala-hacking-team (motivation: politically_motivated)
Cyber_toufan (motivation: politically_motivated)

Threats:
Supply_chain_technique

Victims:
Comsecure, Eset

Geo:
Iranian, Israeli, Israel

ChatGPT TTPs:
do not use without manual check
T1193, T1497, T1070.004

IOCs:
File: 1
Hash: 2

Algorithms:
zip

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с кибербезопасностью, связанный с хакерами, взломавшими Comsecure, эксклюзивного партнера ESET в Израиле, для проведения сложной фишинговой кампании, нацеленной на израильские предприятия, с использованием вредоносного ПО data wiper, замаскированного под антивирусное программное обеспечение. Этот инцидент подчеркивает эволюцию тактики участников киберугроз, которые используют надежную инфраструктуру и изощренные методы уклонения для создания разрушительных последствий, подчеркивая важность надежных мер кибербезопасности и стратегий упреждающего реагирования на инциденты для защиты конфиденциальных данных и снижения рисков.
-----

Хакеры взломали систему Comsecure, эксклюзивного партнера ESET в Израиле, чтобы провести фишинговую кампанию, нацеленную на израильские компании, использующие инфраструктуру ESET.

Фишинговые электронные письма были отправлены с законного домена eset.co.il и успешно прошли проверку подлинности, такую как SPF, DKIM и DMARC.

Был распространен вредоносный data wiper, замаскированный под антивирусное программное обеспечение, с целью проведения разрушительных атак на израильские организации.

Вредоносная программа использовала тактику уклонения и подключалась к законному израильскому новостному сайту, возможно, для маскировки или проверки подключения к Интернету.

Вредоносная программа указывала на потенциальную связь с иранскими хакерскими группами, известными тем, что они использовали средства очистки данных в атаках на Израиль.

Для обнаружения вредоносного ПО были выпущены программа YARA rule от Кевина Бомонта и антивирусная сигнатура ESET.

Рекомендации включают обновление определений антивирусов, обучение персонала фишинговым кампаниям, мониторинг сетевого трафика, усиление безопасности электронной почты, аудит партнеров и разработку планов реагирования на инциденты.

Этот инцидент показывает эволюцию тактики участников киберугроз, использующих надежную инфраструктуру и изощренные методы уклонения для нанесения разрушительных ударов.

ESET отреагировала на это нарушение, но были высказаны опасения по поводу задержки с публичным раскрытием информации.

Этот инцидент подчеркивает важность надежных мер кибербезопасности и стратегий упреждающего реагирования на инциденты для снижения рисков и защиты конфиденциальных данных.

#ParsedReport #CompletenessLow
18-10-2024

Critical Vulnerability in Veeam Products Exploited by Ransomware Gangs

https://cyble.com/blog/critical-vulnerability-in-veeam-products-exploited-by-ransomware-gangs

Report completeness: Low

Actors/Campaigns:
Carbanak (motivation: financially_motivated)

Threats:
Fog_ransomware
Akira_ransomware
Rclone_tool
Conti
Revil
Maze
Egregor
Blackbasta

Geo:
Germany

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42019 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38651 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42022 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-39715 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40713 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-39718 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38650 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42024 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42021 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40709 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42020 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam one (le12.1.0.3208)

CVE-2024-40712 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40710 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42023 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-39714 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)

CVE-2024-40714 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40718 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1210, T1078, T1041

IOCs:
File: 2
IP: 1

Soft:
Hyper-V

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CVE-2024-40711, критическая уязвимость, обнаруженная в системе резервного копирования и репликации Veeam, активно используется злоумышленниками для атак с использованием программ-вымогателей, что подчеркивает настоятельную необходимость для организаций оперативно исправлять системы и усиливать меры кибербезопасности для предотвращения потенциального захвата систем.
-----

Критическая уязвимость CVE-2024-40711, обнаруженная в системе резервного копирования и репликации Veeam, в настоящее время используется злоумышленниками для атак с использованием программ-вымогателей. Эта уязвимость делает возможным удаленное выполнение кода без проверки подлинности и имеет оценку CVSS 9,8, что указывает на ее серьезность и необходимость срочного устранения. В сентябре 2024 года Veeam выпустила исправление версии 12.2 для устранения этой уязвимости. Использование CVE-2024-40711 привело к внедрению злоумышленниками программ-вымогателей Akira и Fog.

Флориан Хаузер (Florian Hauser), исследователь безопасности из CODE WHITE, базирующейся в Германии, выявил уязвимость и подчеркнул важность своевременного исправления систем для предотвращения полного захвата системы с помощью CVE-2024-40711. Злоумышленники использовали взломанные VPN-шлюзы без многофакторной аутентификации для использования Veeam на широко распространенном порту 8000, запуская определенные процессы для совершения мошеннических действий. Было замечено, что злоумышленники создали локальную учетную запись и добавили ее в критически важные группы безопасности для облегчения своей вредоносной деятельности.

Для снижения рисков, связанных с CVE-2024-40711 и другими уязвимостями, влияющими на продукты Veeam, организациям рекомендуется внедрять протоколы регулярного обновления, совершенствовать методы мониторинга и разрабатывать надежные планы реагирования на инциденты. В отчете Cyble, помимо CVE-2024-40711, были выявлены многочисленные уязвимости с различным уровнем серьезности, влияющие на различные продукты Veeam. Это подчеркивает необходимость принятия комплексных мер безопасности во всех решениях Veeam для защиты от потенциальных уязвимостей.

Учитывая широкое внедрение продуктов Veeam многочисленными организациями по всему миру, включая значительную часть компаний, входящих в рейтинг Global 2000, влияние этих уязвимостей может быть существенным, если их своевременно не устранить. Пользователям Veeam рекомендуется немедленно принять меры по защите своих систем путем установки необходимых исправлений и усиления защиты от потенциальных атак программ-вымогателей.

Таким образом, CVE-2024-40711 представляет серьезную угрозу из-за его потенциальной возможности удаленного выполнения кода и захвата системы. Недавнее использование этой уязвимости подчеркивает настоятельную необходимость обновления организациями своих продуктов Veeam и усиления мер кибербезопасности для предотвращения атак программ-вымогателей и других вредоносных действий.

#ParsedReport #CompletenessLow
18-10-2024

Part 1: Investigating Docker Hijacking Malware - Analyzing the Docker Host with Packet and Disk Forensics. Key Takeaways

https://www.cadosecurity.com/blog/investigating-docker-hijacking-malware-analyzing-the-docker-host-with-packet-and-disk-forensics-part1

Report completeness: Low

Threats:
Masscan_tool

ChatGPT TTPs:
do not use without manual check
T1610, T1105, T1611

IOCs:
File: 2

Soft:
Docker, Ubuntu, nginx

Platforms:
intel

Links:
https://github.com/google/docker-explorer

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 4, code: 2, windows: 1, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте обсуждается растущая угроза проникновения вредоносных программ Docker, нацеленных на облачные среды, подчеркивается важность расследования инцидентов с помощью анализа сетевых и дисковых ресурсов, распознавания распространенных схем атак и использования автоматизированных инструментов анализа. Ключевые сведения включают в себя важность сетевых перехватов, неправильное использование API Docker, экспертизу дисков, безопасность контейнеров и меры предосторожности для анализа и предотвращения атак. Процесс анализа включает в себя использование различных источников данных и инструментов для детального выявления и анализа инцидентов, связанных с перехватом Docker.
-----

Docker в облачных средах является главной мишенью для кибератакующих из-за неправильной настройки API и контейнеров.

Вредоносное ПО, перехватывающее Docker, представляет собой серьезную угрозу, которая компрометирует узлы Docker для развертывания и выполнения вредоносных контейнеров.

Расследование инцидентов включает в себя комплексную экспертизу сети и дискового пространства, а также специализированные инструменты.

Ключевые выводы, полученные от скомпрометированных хостов Docker, включают использование сетевых перехватов, выявление распространенных случаев неправильного использования API Docker, важность анализа дисков и сосредоточение внимания на безопасности контейнеров.

Автоматизированные инструменты, такие как Docker Explorer и Cado Security, могут ускорить процесс анализа.

В конкретном случае атаки злоумышленник использовал конечную точку exec для выполнения последующих команд в контейнере и нацелился на хорошо известные образы, чтобы облегчить дальнейшие атаки.

Анализ скомпрометированных систем требует таких мер предосторожности, как указание параметров подключения для предотвращения записи на диск и выполнения двоичных файлов.

Злоумышленники часто пытаются взломать контейнеры Docker, чтобы получить доступ к хост-системе с помощью различных средств, таких как привилегированные контейнеры или манипулирование пространствами имен контейнеров.

Тщательное расследование и анализ инцидентов, связанных с перехватом Docker, предполагает изучение сетевых и дисковых данных, использование специализированных инструментов и понимание распространенных схем атак и уязвимостей, связанных со средами Docker.

#ParsedReport #CompletenessMedium
18-10-2024

The Will of D: A Deep Dive into Divulge Stealer, Dedsec Stealer, and Duck Stealer

https://www.cyfirma.com/research/the-will-of-d-a-deep-dive-into-divulge-stealer-dedsec-stealer-and-duck-stealer

Report completeness: Medium

Threats:
Divulge_stealer
Doenerium
Azstealer
Umbral
Lumma_stealer
Stealc
Rhadamanthys
Vidar_stealer
Whitesnake
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Industry:
E-commerce

TTPs:
Tactics: 8
Technics: 14

IOCs:
Hash: 3

Soft:
Discord, Telegram, Google Chrome, Windows Defender, virtualBox, Instagram, Chrome, Torch

Wallets:
metamask, coinbase, bitapp, jaxx

Crypto:
bitcoin, ethereum, dogecoin, binance

Algorithms:
base32

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности злоумышленников, разрабатывающих и продвигающих stealers, такие как Divulge, DedSec (Doenerium) и Duck (AZStealer), нацеленных на организации и частных лиц с целью кражи данных браузера, конфиденциальной информации и криптовалютных кошельков. Эти злоумышленники обычно распространяются на таких платформах, как GitHub, Discord и Telegram, с акцентом на предотвращение обнаружения с помощью методов защиты от виртуальных машин и антианализа. Распространяемые по различным каналам, эти злоумышленники представляют опасность для пользователей и систем, и пользователям следует с осторожностью относиться к бесплатным предложениям, которые могут поставить под угрозу безопасность их данных.
-----

CYFIRMA занимается предоставлением актуальной информации об угрозах, исходящих от злоумышленников, нацеленных как на организации, так и на частных лиц. В отчете рассматривается спектр вредоносных программ, в частности, таких как Divulge, DedSec (Doenerium) и Duck (AZStealer). Эти вредоносные программы обычно встречаются на таких платформах, как GitHub, и ежедневно появляются новые варианты. Разработчики используют такие платформы, как GitHub, Discord и Telegram, для продвижения и распространения своих вредоносных программ, часто предлагая потенциальным пользователям различные тарифные планы.

Divulge Stealer, продвигаемый на таких форумах, как HackForums и GitHub, рассматривается как преемник Umbral Stealer, предназначенный для кражи данных браузера и конфиденциальной информации. Он обладает функциями защиты от виртуальных машин и антианализа, а его возможности аналогичны Umbral, но с добавленными привязками к криптовалютному кошельку. В Telegram и GitHub продвигается программа DedSec Stealer, копия Doenerium, предназначенная для кражи криптовалютных кошельков, паролей и многого другого. Она использует функции защиты от виртуальных машин и хранит украденные данные в определенных папках, включая информацию, связанную с криптовалютой.

Duck Stealer, также известный как AZStealer, обладает общими функциональными возможностями с другими stealers и продвигается тем же разработчиком. Вредоносная программа использует данные Discord и информацию о браузере. Разработчики рекламируют эти перехватчики на платформах Clearnet, таких как GitHub, форумах и личных веб-сайтах, часто демонстрируя результаты сканирования, чтобы продемонстрировать эффективность. Примечательно, что многие из этих перехватчиков являются вариантами с двойным подключением, что создает риски как для пользователей, так и для систем, на которые они нацелены.

Эти злоумышленники в первую очередь нацелены на данные Discord и информацию о браузере, используя методы антианализа, чтобы избежать обнаружения. Активное продвижение через каналы Telegram и Discord помогает поддерживать сильную базу пользователей, облегчая распространение и использование этих вредоносных инструментов. Важно с осторожностью относиться к бесплатным предложениям, поскольку разработчик stealer также может получить доступ к данным, собранным пользователями.

#ParsedReport #CompletenessLow
18-10-2024

Lumma Stealer. Stealc

https://www.embeeresearch.io/practical-examples-of-url-hunting-queries-part-1

Report completeness: Low

Threats:
Lumma_stealer
Stealc
Masslogger
Vipkeylogger
Socgholish_loader
Dcrat
Amadey
Smartloader

IOCs:
File: 5

Soft:
wordpress

Languages:
php

#ParsedReport #CompletenessLow
18-10-2024

Tricks and Treats: GHOSTPULSE s new pixel- level deception

https://www.elastic.co/security-labs/tricks-and-treats

Report completeness: Low

Threats:
Ghostpulse
Hijackloader
Lumma_stealer

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1203, T1059, T1027.010

IOCs:
File: 1
Domain: 10
Hash: 2

Algorithms:
sha256, xor, crc-32

Languages:
javascript, powershell

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/indicators/ghostpulse
have more...
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_GhostPulse.yar
https://github.com/elastic/labs-releases/tree/main/tools/ghostpulse

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4