#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Группа программ-вымогателей Akira развивает и совершенствует свою тактику, переключая внимание с шифрования на утечку данных, разрабатывая новые версии своего шифровальщика-вымогателя и изучая различные методы программирования, чтобы максимально эффективно использовать их в своих попытках вымогательства. Также было замечено, что они нацелены на уязвимости в сетевых устройствах и программном обеспечении, и ожидается, что они продолжат использовать наиболее уязвимые места, усиливая свою модель двойного вымогательства. В будущих кампаниях группа, вероятно, нацелится на среды ESXi и Linux от VMware, поскольку они широко распространены в корпоративной инфраструктуре.
-----

Группа программ-вымогателей Akira развивает и совершенствует свою тактику, чтобы сохранить свои позиции в качестве заметной угрозы в сфере кибербезопасности. Данные Cisco Talos указывают на то, что Akira активно разрабатывает новые версии своего шифровальщика-вымогателя, переключая внимание с шифрования на фильтрацию данных. Считается, что это изменение тактики является результатом переоснащения разработчиками своего шифровальщика для расширения его возможностей.

Было замечено, что операторы Ransomware-as-a-Service (RaaS) компании Akira разрабатывают Rust-вариант своего ESXi-шифровальщика, отходя от традиционного использования C++ и изучая различные методы программирования. Используя надежные методы шифрования и уделяя особое внимание краже данных, Akira стремится максимально эффективно использовать свои возможности в борьбе с вымогательством. Переход группы к ранее эффективной стратегии после языковой модификации версии 2 означает, что компания уделяет особое внимание стабильности и эффективности своей партнерской деятельности.

Филиалы Akira активно используют уязвимости для первоначального доступа, используют CVE для взлома сети, повышения привилегий и перемещения в уязвимых средах. Группа занимается устранением различных уязвимостей в сетевых устройствах и программном обеспечении, включая эксплойты в сервисах Cisco и FortiClientEMS.

В последние месяцы было замечено, что Akira переключается с одного варианта шифрования на другой, возможно, возвращаясь к использованию шифровальщиков для Windows и Linux, написанных на C++. Этот переход предполагает стратегический выбор в пользу приоритета стабильности и надежности над инновациями. Использование образцов программ-вымогателей с расширением ".akira" и уведомлениями о требовании выкупа "akira_readme.txt" соответствует прежней тактике группы, что указывает на намеренное возвращение к ранее эффективным методам.

Заглядывая в будущее, ожидается, что Akira продолжит использовать наиболее уязвимые места, одновременно усиливая свою модель двойного вымогательства, чтобы увеличить возможности получения выкупа. Исследование языка программирования Rust для Linux-шифровальщиков демонстрирует готовность группы экспериментировать с системами кодирования для разработки устойчивых вариантов программ-вымогателей. Сохраняя адаптивность и ориентируясь на эффективность, Akira, скорее всего, в будущих кампаниях будет использовать среды ESXi и Linux от VMware, поскольку они широко используются в корпоративной инфраструктуре и хранилищах критически важных данных.

#ParsedReport #CompletenessMedium
22-10-2024

Triad Nexus: Silent Push exposes FUNNULL CDN's ongoing corruption efforts, hosting DGA bulk domains for suspect Chinese gambling sites, investment scams, a retail phishing campaign, and a supply chain attack impacting 110,000+ sites

https://www.silentpush.com/blog/triad-nexus-funnull

Report completeness: Medium

Actors/Campaigns:
Lazarus
Pig_butchering

Threats:
Supply_chain_technique
Bonanza

Industry:
Entertainment, Telco, Government, Retail, Financial, E-commerce, Foodtech

Geo:
Asia, Portuguese, Australian, Macau, Kors, North korean, Chinese, Asian, China, Hong kong

ChatGPT TTPs:
do not use without manual check
T1213, T1557, T1583, T1204, T1189

IOCs:
Domain: 75
File: 2
IP: 1
Email: 1

Soft:
FUNNULL, Polyfill, Telegram, Gmail

Wallets:
coinbase

Crypto:
tether

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, table: 2, schema: 3, chart: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Silent Push, компания по разведке киберугроз, более двух лет отслеживала китайскую сеть доставки контента (CDN) FUNNULL и выявила широкий спектр преступных действий, размещенных на FUNNULL, что позволило им назвать этот кластер "Триадой Нексус". Ключевые выводы их исследования включают причастность к инвестиционным аферам, поддельным торговым приложениям, подозрительным сетям азартных игр, розничному фишингу, атакам на цепочки поставок, связям с преступными группировками, такими как преступная группа Lazarus, и фишинговым кампаниям, нацеленным на крупные бренды. Исследование освещает вредоносную деятельность, осуществляемую компанией FUNNULL, и ее связи с преступными организациями, занимающимися финансовым мошенничеством, отмыванием денег и незаконными азартными играми, подчеркивая важность понимания таких кластеров специалистами в области кибербезопасности для повышения эффективности усилий по обнаружению угроз и смягчению их последствий.
-----

Silent Push уже более двух лет отслеживает китайскую сеть доставки контента (CDN) FUNNULL, выявляя широкий спектр преступной деятельности, включая инвестиционные аферы, поддельные торговые приложения, подозрительные сети азартных игр и розничный фишинг.

Преступные операции, связанные с FUNNULL, были названы "Связующим звеном триады"..

Более 200 000 уникальных имен хостов проксируются через FUNNULL с высоким коэффициентом использования алгоритма генерации доменов (DGA).

FUNNULL был вовлечен в атаку на цепочку поставок с использованием JavaScript-библиотеки Polyfill, которая затронула более 110 000 ведущих веб-сайтов.

Suncity Group, связанная с преступной группировкой Lazarus, связана с подозрительными сайтами азартных игр, размещенными на FUNNULL.

Suncity Group имеет связи с Tether, популярной криптовалютой на подозрительных сайтах азартных игр в Восточной и Юго-Восточной Азии.

FUNNULL был причастен к атаке на цепочку поставок после приобретения polyfill.ввод-вывод средств и перенаправление мобильных пользователей на сайты онлайн-гемблинга.

Розничная фишинговая афера, размещенная на сайте FUNNULL, нацелена на крупные бренды в индустрии моды.

FUNNULL ассоциируется с поддельными торговыми приложениями, инвестиционными аферами и алгоритмически сгенерированными доменами для низкокачественных сайтов азартных игр на мандаринском диалекте китайского языка.

Suncity Group, известная отмыванием денег и незаконными азартными играми, имеет связи с операциями в сфере онлайн-гемблинга, способствующими выводу капитала из материкового Китая.

Фишинговая кампания, нацеленная на ведущие розничные бренды, размещенная на FUNNULL, использует фишинговые страницы входа в систему и внедряет вредоносное ПО на мобильные устройства.

Понимание инфраструктуры и деятельности таких кластеров, как Triad Nexus, имеет решающее значение для повышения эффективности усилий по обнаружению угроз и смягчению их последствий в области кибербезопасности.

#ParsedReport #CompletenessHigh
22-10-2024

Steam Under Fire: Malware and Dead Drop Resolver Technique

https://rt-solar.ru/solar-4rays/blog/4795

Report completeness: High

Threats:
Dead_drop_technique
Vidar_stealer
Lumma_stealer
Meta_stealer
Acr_stealer
Stealc
Heavens_gate_technique
Redline_stealer
Anydesk_tool

Victims:
Steam, Telegram

Industry:
Entertainment

Geo:
Russia

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1027, T1090, T1573.001, T1081, T1140, T1566.001

IOCs:
File: 19
Hash: 8
Url: 35
Domain: 33

Soft:
Steam, Telegram, Twitter, Chromium, Firefox, Chrome, Opera, Discord, Pidgin, WhatsApp, have more...

Algorithms:
base64, md5, xor, sha1, rc4, sha256

Win API:
RmEndSession

Platforms:
x64, x86, arm

Links:
https://gist.github.com/qbourgue/85f4949beb07179e9e1ef29d889e69ff
https://github.com/mandiant/flare-floss

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей тенденции кибератакеров, использующих легальные платформы, такие как Steam и Telegram, для распространения вредоносного ПО и создания инфраструктуры командования и контроля (C2) с использованием технологии, называемой Dead Drop Resolver (DDR). Различные семейства вредоносных программ, включая Vidar, Lumma, ACR и MetaStealer, адаптировались к использованию этих платформ для целей C2, что позволяет им публиковать зашифрованную информацию C2 и незаметно обновлять адреса серверов, собирая конфиденциальные данные из зараженных систем. Эта тенденция свидетельствует о том, что злоумышленники все чаще используют популярные платформы для совершения вредоносных действий, что подчеркивает растущую сложность киберугроз.
-----

В тексте обсуждается растущая тенденция кибератакеров, использующих легальные платформы, такие как Steam и Telegram, для распространения вредоносного ПО и создания инфраструктуры командования и контроля (C2) с использованием метода, называемого Dead Drop Resolver (DDR). Упомянутое вредоносное ПО включает в себя популярные stealers, такие как Vidar, Lumma, ACR и MetaStealer, которые адаптированы к использованию Steam и Telegram для целей C2.

Злоумышленники используют эти платформы для публикации зашифрованной или кодированной информации C2, которую вредоносная программа извлекает после заражения. Этот метод позволяет повысить устойчивость инфраструктуры C2, поскольку злоумышленники могут в любое время обновить адрес сервера C2, оставаясь при этом незаметными для мер безопасности. В тексте подробно описывается одно известное семейство, Vidar, использующее профили Steam и каналы Telegram для извлечения адресов C2. Vidar способен собирать различные данные, включая системную информацию, данные веб-браузера, криптовалютные кошельки и многое другое.

Другим обсуждаемым семейством вредоносных программ является Lumma, которое упоминалось на русскоязычных форумах примерно в 2022 году. В примере Lumma, приведенном в тексте, используются методы обфускации, что затрудняет статический анализ. Он также включает в себя такие возможности, как кража данных из браузеров, криптовалютных кошельков и внедрение бинарного морфера с потоком управления.

MetaStealer представлен как еще одно семейство, использующее DDR, и в тексте подчеркивается его сходство с RedLine stealer. MetaStealer использует раздел комментариев Steam, чтобы легко скрывать активность и стирать следы. Метод использования законных платформ для распространения вредоносного ПО продолжает развиваться, и в 2024 году MetaStealer внедрила Steam в качестве новой платформы распространения.

В тексте содержится информация о методах, используемых этими семействами вредоносных программ, таких как расшифровка адресов C2, внедрение полезных данных в процессы и поиск данных с конечных точек жертвы. Появление этих примеров с использованием DDR с поддержкой Steam или Telegram свидетельствует о том, что злоумышленники предпочитают этот метод. Отмечается, что разработчики такого вредоносного ПО признают стабильность и успешность использования этих платформ в вредоносных целях.

#ParsedReport #CompletenessLow
22-10-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/fake-attachment-roundcube-mail-server-attacks-exploit-cve-2024-37383-vulnerability

Report completeness: Low

Actors/Campaigns:
Winter_vivern

Victims:
Government organizations

Industry:
Government

CVEs:
CVE-2024-37383 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 1

Soft:
Roundcube

Algorithms:
base64

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Roundcube Webmail, популярный почтовый клиент с открытым исходным кодом, уязвим для использования киберпреступниками. Уязвимость CVE-2024-37383 позволяет злоумышленникам выполнять вредоносный JavaScript-код через специально созданные электронные письма. Организации, использующие веб-почту Roundcube, сталкиваются со значительными рисками в области кибербезопасности и должны уделять приоритетное внимание своевременному исправлению ошибок и надежным мерам безопасности для устранения этих угроз.
-----

Roundcube Webmail - это популярный почтовый клиент с открытым исходным кодом, написанный на PHP, который обеспечивает удобный доступ к учетным записям электронной почты через браузер без использования полноценных почтовых клиентов. Его обширная функциональность позволила ему широко использоваться коммерческими и правительственными организациями по всему миру. Однако эта популярность также привлекает киберпреступников, которые используют ее уязвимости для кражи учетных данных и корпоративной электронной почты.

Одной из таких уязвимостей является CVE-2024-37383, сохраненная уязвимость XSS, обнаруженная в веб-почте Roundcube. Этот недостаток позволяет злоумышленникам выполнять JavaScript-код на странице пользователя, отправляя вредоносное электронное письмо жертве, используя уязвимую клиентскую версию Roundcube между 1.5.6 и 1.6.6. Уязвимость была выявлена и исправлена исследователями CrowdStrike 19 мая 2024 года.

Эксплойт включает в себя встраивание кода JavaScript в текст электронного письма с использованием отличительных тегов, таких как eval(atob(...)) и attributeName="href " с дополнительным пробелом. Эта манипуляция тегами заставляет Roundcube не фильтровать JavaScript-код, позволяя ему выполняться при открытии электронного письма. Уязвимость возникает из-за неправильного использования элементов SVG в разметке текста электронного письма во время предварительной обработки.

Киберпреступники, в том числе такие группы, как Winter Vivern, ранее использовали уязвимости веб-почты Roundcube для атак на правительственные организации в Европе. Хотя недавняя атака, описанная в статье, не может быть отнесена на счет известных участников, она подчеркивает сохраняющуюся угрозу, связанную с использованием уязвимостей Roundcube. Несмотря на то, что Roundcube не является наиболее широко используемым почтовым клиентом, его распространенность в государственных учреждениях делает его привлекательной мишенью для киберпреступников, стремящихся получить конфиденциальную информацию.

Таким образом, уязвимость CVE-2024-37383 в Roundcube Webmail позволяет злоумышленникам выполнять вредоносный JavaScript-код с помощью специально созданных электронных писем, создавая значительную угрозу для организаций, которые полагаются на этот почтовый клиент. Киберпреступники постоянно адаптируют свои эксплойты для устранения таких уязвимостей, подчеркивая важность своевременного исправления и надежных мер кибербезопасности для снижения рисков, связанных с использованием веб-почты Roundcube.

#ParsedReport #CompletenessMedium
22-10-2024

Threat actor abuses Gophish to deliver new PowerRAT and DCRAT. Victimology. Threat actor abuses Gophish to deliver new PowerRAT and DCRAT

https://blog.talosintelligence.com/gophish-powerrat-dcrat

Report completeness: Medium

Threats:
Gophish_tool
Powerrat
Dcrat
Goloader
Spark_rat
Lolbin_technique
Dll_injection_technique

Victims:
Russian-speaking users

Geo:
Russia, Belarus, Azerbaijan, Russian, Ukraine, Uzbekistan, Kazakhstan

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059.001, T1027, T1547.001, T1057, T1560.002, T1083, T1497.003

IOCs:
Domain: 3
IP: 3
File: 9
Registry: 1
Command: 19
Path: 7
Url: 1

Soft:
Microsoft Word, Microsoft Defender, winlogon, Task Scheduler

Algorithms:
base64

Functions:
CheckContent, GetID, offlineworker, click, JavaScript

Languages:
javascript, powershell, golang

Links:
https://github.com/gophish/gophish
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 12, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cisco Talos раскрыла фишинговую кампанию, нацеленную на русскоязычных пользователей, использующую фишинговый инструментарий с открытым исходным кодом Gophish и предоставляющую полезные данные, такие как PowerRAT и DCRAT, с помощью вредоносных документов Word и HTML-файлов с JavaScript. Злоумышленник использует сложные методы, включая сценарии PowerShell в кодировке base64, чтобы использовать взаимодействие пользователей для компрометации системы, подчеркивая необходимость принятия усиленных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

Cisco Talos обнаружила фишинговую кампанию с использованием инструментария Gophish с открытым исходным кодом, в которой использовались модульные цепочки заражения, требующие взаимодействия с пользователем для запуска процесса заражения.

В рамках кампании используются два трояна для удаленного доступа (RATs), PowerRAT и DCRAT, и ведутся работы по разработке PowerRAT, о чем свидетельствуют заполнители для сценариев PowerShell в кодировке base64.

Основной мишенью являются русскоязычные пользователи, о чем свидетельствует использование ненормативной лексики в фишинговых письмах и контент, напоминающий платформу социальных сетей "ВКОНТАКТЕ".

Домены, находящиеся под контролем злоумышленника, такие как disk-yanbex[.\]ru и e-connection[.\]ru, были идентифицированы как распространяющие вредоносные документы и отправляющие фишинговые электронные письма с экземпляра AWS EC2.

Атаки инициируются с помощью вредоносных документов Word и HTML-файлов, содержащих вредоносный JavaScript, что приводит к развертыванию PowerRAT или DCRAT в зависимости от выбранного вектора.

Методы включают в себя пользовательские макросы VB для развертывания вредоносных файлов, манипулирование разделами реестра Windows NT и использование JavaScript для обмана жертв и запуска вредоносного ПО.

Заражение DCRAT включает в себя запуск GOLoader, вредоносного исполняемого файла, который настраивает параметры антивируса, загружает DCRAT и активирует различные вредоносные действия на компьютере жертвы.

Исполнитель угроз демонстрирует сложный подход, подчеркивая необходимость бдительности и надежных мер кибербезопасности для эффективного противодействия таким угрозам.

#ParsedReport #CompletenessMedium
23-10-2024

The Crypto Game of Lazarus APT: Investors vs. Zero-days

https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Bluenoroff
Moonstone_sleet
Detankwar

Threats:
Volgmer
Sandbox_evasion_technique
Spear-phishing_technique

Victims:
Governments, Diplomatic entities, Financial institutions, Military and defense contractors, Cryptocurrency platforms, It and telecommunication operators, Gaming companies, Media outlets, Casinos, Universities, have more...

Industry:
Entertainment, Telco, Financial, Government, Education, Military

Geo:
Russia, North korean

CVEs:
CVE-2024-4947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.60)


ChatGPT TTPs:
do not use without manual check
T1203, T1566, T1001, T1059.007

IOCs:
Domain: 3
Coin: 1
File: 1
Hash: 2

Soft:
Google Chrome, Chrome, Twitter, Telegram, Microsoft Edge

Algorithms:
base64, aes, zip, aes-256

Functions:
SetNamedProperty

Win Services:
bits

Languages:
python, typescript, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа Lazarus APT, включая ее подгруппу BlueNoroff, является опытной APT из Кореи, известным использованием своего фирменного вредоносного ПО Manuscrypt для атак на различные организации, такие как правительства, финансовые учреждения, военные подрядчики и другие. В тексте также рассказывается о недавнем инциденте, когда группа Lazarus APT использовала уязвимость нулевого дня в Google Chrome для заражения ПК жертвы, демонстрируя свою передовую тактику и методы социальной инженерии.
-----

Lazarus APT, а также его подгруппа BlueNoroff, являются известными APT из Кореи. Они используют в своих атаках фирменную вредоносную программу - бэкдор Manuscrypt. Эта вредоносная программа используется как минимум с 2013 года и была задокументирована в более чем 50 уникальных кампаниях, нацеленных на широкий круг организаций, включая правительства, финансовые учреждения, военных подрядчиков, криптовалютные платформы, игровые компании и многое другое.

В ходе недавнего инцидента, произошедшего 13 мая 2024 года, Kaspersky Total Security обнаружил новое заражение Manuscrypt на персональном компьютере физического лица в России. Эта необычная атака на физическое лицо привела к дальнейшему расследованию. Выяснилось, что заражению способствовал вредоносный веб-сайт, маскирующийся под страницу многопользовательской онлайн-игры на основе децентрализованных финансовых технологий. Веб-сайт использовал уязвимость нулевого дня в веб-браузере Google Chrome, предоставляющую злоумышленникам полный контроль над ПК жертвы.

Компания Kaspersky уведомила Google об уязвимости в соответствии с практикой ответственного раскрытия информации, что позволило выпустить исправление. Впоследствии Google предприняла шаги по блокировке вредоносного веб-сайта и связанных с ним сайтов для предотвращения дальнейшего использования. Однако сообщение в блоге Microsoft частично раскрыло информацию о кампании, указывая на то, что Microsoft также отслеживала инцидент.

Злоумышленники использовали сложный подход, включающий использование уязвимостей в компиляторе Google Chrome версии 8 и обход песочницы версии 8 для удаленного выполнения кода. Воспользовавшись уязвимостью в компиляторе Maglev (CVE-2024-4947), злоумышленники смогли считывать и записывать данные из памяти движка JavaScript, в конечном итоге получив полный доступ к системе.

Злоумышленники использовали тактику социальной инженерии, включая разработку поддельной компьютерной игры, чтобы заманить жертв на загрузку вредоносного ПО. Игра под названием DeTankZone была разработана для отвлечения внимания пользователей, в то время как реальной целью было заражение их систем. Аналитики Kaspersky провели реинжиниринг игры и обнаружили, что исходный код был украден из легальной игры DeFiTankLand. Злоумышленники модифицировали украденный исходный код, создав ложную версию для своей вредоносной кампании.

Компания Lazarus APT уже давно нацелена на криптовалютную индустрию с целью получения финансовой выгоды и известна развитием своей тактики, включая использование генеративного искусственного интеллекта в публикациях в социальных сетях и фишинговых кампаниях. Их атаки опасны из-за частого использования эксплойтов нулевого дня, позволяющих проводить сложные атаки с использованием, казалось бы, безобидных ссылок или электронных писем.