#ParsedReport #CompletenessMedium
23-10-2024
DarkComet RAT: Technical Analysis of Attack Chain
https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis
Report completeness: Medium
Actors/Campaigns:
Darkcodersc
Threats:
Darkcomet_rat
Ngrok_tool
TTPs:
Tactics: 5
Technics: 11
IOCs:
File: 4
Path: 2
Hash: 3
Domain: 1
Soft:
Windows security, Windows Explorer, WinLogon, Linux
Algorithms:
sha256, sha1, md5
Functions:
GetSIN, GetDrives, GetSrchDrives, GetFileAttrib, GetAppList, GetServList, RemoveServices, GetStartUpList, GetOfflineLogs, GetFullInfo, have more...
Win API:
LookupPrivilegeValueA, AdjustTokenPrivileges, GetCurrentHwProfileA, mouse_event, keybd_event, EnumDisplayDevicesA, GetSystemInfo
23-10-2024
DarkComet RAT: Technical Analysis of Attack Chain
https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis
Report completeness: Medium
Actors/Campaigns:
Darkcodersc
Threats:
Darkcomet_rat
Ngrok_tool
TTPs:
Tactics: 5
Technics: 11
IOCs:
File: 4
Path: 2
Hash: 3
Domain: 1
Soft:
Windows security, Windows Explorer, WinLogon, Linux
Algorithms:
sha256, sha1, md5
Functions:
GetSIN, GetDrives, GetSrchDrives, GetFileAttrib, GetAppList, GetServList, RemoveServices, GetStartUpList, GetOfflineLogs, GetFullInfo, have more...
Win API:
LookupPrivilegeValueA, AdjustTokenPrivileges, GetCurrentHwProfileA, mouse_event, keybd_event, EnumDisplayDevicesA, GetSystemInfo
ANY.RUN's Cybersecurity Blog
DarkComet RAT: Technical Analysis of Attack Chain - ANY.RUN's Cybersecurity Blog
Explore in-depth analysis of the Remote Access Trojan (RAT) DarkComet used by attackers to remotely control systems and steal sensitive data.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-10-2024 DarkComet RAT: Technical Analysis of Attack Chain https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis Report completeness: Medium Actors/Campaigns: Darkcodersc Threats: Darkcomet_rat Ngrok_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - это отчет об анализе вредоносного ПО, в котором основное внимание уделяется троянцу удаленного доступа (RAT) DarkComet, с подробным описанием его функциональных возможностей, методов обхода, механизмов сохранения, связи с сервером управления и контроля и способности получать и выполнять удаленные команды. В отчете также упоминается полезность ANY.RUN, интерактивной платформы sandbox, для анализа вредоносных угроз и расширения возможностей анализа угроз для специалистов по кибербезопасности.
-----
Статья представляет собой отчет об анализе вредоносных программ, автором которого является Мостафа Эльшейми, специалист по реинжинирингу вредоносных программ и аналитику по анализу угроз, и в котором основное внимание уделяется трояну удаленного доступа (RAT) DarkComet. DarkComet, первоначально разработанный Жан-Пьером Лесюером в 2008 году, работает как скрытая вредоносная программа, которая позволяет злоумышленникам удаленно управлять системами, красть конфиденциальные данные и выполнять вредоносные действия. Вредоносная программа приобрела популярность благодаря своему удобному графическому интерфейсу, что привело к широкому использованию в кибератаках.
DarkComet использует различные методы, чтобы избежать обнаружения и сохранить контроль над зараженными системами. Он использует операции командной строки для изменения атрибутов файлов, что затрудняет обнаружение его компонентов. Вредоносная программа устанавливает связь с вредоносным доменом для удаленного управления и утечки данных. Он взаимодействует с API-интерфейсами Windows для изменения привилегий процессов, сбора информации об оборудовании и проверки системных настроек.
Одна ключевая функция, называемая sub_4735E8, позволяет DarkComet выполнять итерацию по внутренним данным, известным как DARKCOMET DATA, для извлечения определенных атрибутов, таких как домен C2, SID и значения мьютекса. Эта функция помогает скрыть ключевую информацию и гарантировать, что в системе одновременно будет запущен только один экземпляр вредоносной программы. Поместив файл с именем msdcsc.exe в определенный каталог и запустив его оттуда, DarkComet может избежать обнаружения средствами безопасности.
Чтобы поддерживать работоспособность в зараженных системах, DarkComet извлекает дескрипторы модулей для дальнейших манипуляций и функции для имитации пользовательского ввода, сбора данных и взаимодействия с дисплеем и буфером обмена. Он использует функции mouse_event и keybd_event для имитации действий мыши и клавиатуры, перехвата нажатий клавиш и манипулирования пользовательским вводом. Вредоносная программа может определять типы клавиатуры, перехватывать нажатия клавиш и получать доступ к данным на дисплее и в буфере обмена для извлечения или манипулирования.
DarkComet получает инструкции от своего сервера управления (C2) для выполнения удаленных задач, включая развертывание дополнительных вредоносных программ в зараженной системе. Возможности вредоносного ПО, включая изменение системных настроек, имитацию ввода и получение команд с сервера C2, делают его универсальным инструментом для злоумышленников при проведении целенаправленных кибератак.
В статье также рассказывается о пользе ANY.RUN - интерактивной платформы-песочницы, которая помогает специалистам по кибербезопасности анализировать вредоносные программы, нацеленные как на Windows, так и на Linux. Платформа упрощает анализ вредоносных программ, помогает быстро обнаруживать угрозы и предоставляет инструменты для изучения поведения вредоносных программ в режиме реального времени. В статье содержится призыв к специалистам по кибербезопасности использовать такие ресурсы для расширения своих возможностей в области анализа угроз и эффективного реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - это отчет об анализе вредоносного ПО, в котором основное внимание уделяется троянцу удаленного доступа (RAT) DarkComet, с подробным описанием его функциональных возможностей, методов обхода, механизмов сохранения, связи с сервером управления и контроля и способности получать и выполнять удаленные команды. В отчете также упоминается полезность ANY.RUN, интерактивной платформы sandbox, для анализа вредоносных угроз и расширения возможностей анализа угроз для специалистов по кибербезопасности.
-----
Статья представляет собой отчет об анализе вредоносных программ, автором которого является Мостафа Эльшейми, специалист по реинжинирингу вредоносных программ и аналитику по анализу угроз, и в котором основное внимание уделяется трояну удаленного доступа (RAT) DarkComet. DarkComet, первоначально разработанный Жан-Пьером Лесюером в 2008 году, работает как скрытая вредоносная программа, которая позволяет злоумышленникам удаленно управлять системами, красть конфиденциальные данные и выполнять вредоносные действия. Вредоносная программа приобрела популярность благодаря своему удобному графическому интерфейсу, что привело к широкому использованию в кибератаках.
DarkComet использует различные методы, чтобы избежать обнаружения и сохранить контроль над зараженными системами. Он использует операции командной строки для изменения атрибутов файлов, что затрудняет обнаружение его компонентов. Вредоносная программа устанавливает связь с вредоносным доменом для удаленного управления и утечки данных. Он взаимодействует с API-интерфейсами Windows для изменения привилегий процессов, сбора информации об оборудовании и проверки системных настроек.
Одна ключевая функция, называемая sub_4735E8, позволяет DarkComet выполнять итерацию по внутренним данным, известным как DARKCOMET DATA, для извлечения определенных атрибутов, таких как домен C2, SID и значения мьютекса. Эта функция помогает скрыть ключевую информацию и гарантировать, что в системе одновременно будет запущен только один экземпляр вредоносной программы. Поместив файл с именем msdcsc.exe в определенный каталог и запустив его оттуда, DarkComet может избежать обнаружения средствами безопасности.
Чтобы поддерживать работоспособность в зараженных системах, DarkComet извлекает дескрипторы модулей для дальнейших манипуляций и функции для имитации пользовательского ввода, сбора данных и взаимодействия с дисплеем и буфером обмена. Он использует функции mouse_event и keybd_event для имитации действий мыши и клавиатуры, перехвата нажатий клавиш и манипулирования пользовательским вводом. Вредоносная программа может определять типы клавиатуры, перехватывать нажатия клавиш и получать доступ к данным на дисплее и в буфере обмена для извлечения или манипулирования.
DarkComet получает инструкции от своего сервера управления (C2) для выполнения удаленных задач, включая развертывание дополнительных вредоносных программ в зараженной системе. Возможности вредоносного ПО, включая изменение системных настроек, имитацию ввода и получение команд с сервера C2, делают его универсальным инструментом для злоумышленников при проведении целенаправленных кибератак.
В статье также рассказывается о пользе ANY.RUN - интерактивной платформы-песочницы, которая помогает специалистам по кибербезопасности анализировать вредоносные программы, нацеленные как на Windows, так и на Linux. Платформа упрощает анализ вредоносных программ, помогает быстро обнаруживать угрозы и предоставляет инструменты для изучения поведения вредоносных программ в режиме реального времени. В статье содержится призыв к специалистам по кибербезопасности использовать такие ресурсы для расширения своих возможностей в области анализа угроз и эффективного реагирования на инциденты.
#ParsedReport #CompletenessMedium
23-10-2024
ICS Threats: Malware Targeting OT? It s More Common Than You Think
https://www.forescout.com/blog/targeting-ot-security-ics-threats-malware
Report completeness: Medium
Threats:
Aisuru
Kaiten
Bashlite
Mirai
Industoyer2
Stuxnet
Havex_rat
Triton
Incontroller_tool
Cosmicenergy
Fuxnet
Frostygoop
Acidrain
Vpnfilter
Snake_ransomware
Findzip
Victims:
Ics, Iot devices, Modicon plcs, Steam gaming service
Industry:
Ics, Energy, Entertainment, Iot, Critical_infrastructure
Geo:
Italy, Japan, India
ChatGPT TTPs:
T1613, T1562.001, T1496
IOCs:
Hash: 47
Url: 29
IP: 16
Soft:
Twitter, Steam
Languages:
python, rust
Platforms:
x64, arm, x86
Links:
23-10-2024
ICS Threats: Malware Targeting OT? It s More Common Than You Think
https://www.forescout.com/blog/targeting-ot-security-ics-threats-malware
Report completeness: Medium
Threats:
Aisuru
Kaiten
Bashlite
Mirai
Industoyer2
Stuxnet
Havex_rat
Triton
Incontroller_tool
Cosmicenergy
Fuxnet
Frostygoop
Acidrain
Vpnfilter
Snake_ransomware
Findzip
Victims:
Ics, Iot devices, Modicon plcs, Steam gaming service
Industry:
Ics, Energy, Entertainment, Iot, Critical_infrastructure
Geo:
Italy, Japan, India
ChatGPT TTPs:
do not use without manual checkT1613, T1562.001, T1496
IOCs:
Hash: 47
Url: 29
IP: 16
Soft:
Twitter, Steam
Languages:
python, rust
Platforms:
x64, arm, x86
Links:
https://gist.github.com/zenware/ad80d30217cb523737b94c8e685ae85dForescout
ICS Threats: Malware Targeting OT? It’s More Common Than You Think - Forescout
ICS threats are real. Our research shows malware botnets and tactics targeting IoT are more common in industrial OT environments.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-10-2024 ICS Threats: Malware Targeting OT? It s More Common Than You Think https://www.forescout.com/blog/targeting-ot-security-ics-threats-malware Report completeness: Medium Threats: Aisuru Kaiten Bashlite Mirai Industoyer2…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущей угрозе вредоносных программ, нацеленных на операционные технологии (OT) и промышленные системы управления (ICS), с акцентом на увеличение активности ботнетов, нацеленных на устройства OT, использование учетных данных по умолчанию и повышенный риск для систем OT от случайных атак. В тексте подчеркивается необходимость того, чтобы организации защищали незащищенные устройства OT и ICS, обновляли учетные данные по умолчанию и отслеживали сети на предмет вредоносной активности для снижения этих рисков. В нем также обсуждается изменение тактики создателей вредоносных программ в сторону ориентации на OT-системы, растущее присутствие вредоносных программ, специфичных для OT, и уязвимости широко используемых устройств, таких как квантовые ПЛК Schneider Electric Modicon.
-----
Развивается вредоносное ПО, нацеленное на операционные технологии (OT) и промышленные системы управления (ICS), при этом кластеры ботнетов, использующие учетные данные по умолчанию, уделяют все большее внимание устройствам OT.
Недавние исследования выявили кластеры ботнетов, осуществляющих атаки на удаление данных в среде OT, что подчеркивает повышенный риск оппортунистических атак на системы OT.
Организациям рекомендуется обезопасить незащищенные устройства OT и ICS, обновить учетные данные по умолчанию и отслеживать сети на предмет вредоносной активности, чтобы снизить риски.
Появление ботнета Mirai в 2016 году привело к росту числа DDoS-ботнетов, заражающих встроенные системы, а также нацеленных на устройства Интернета вещей.
К числу известных вредоносных программ, специфичных для OT, относятся Industroyer2, INCONTROLLER, COSMICENERGY, Fuxnet и FrostyGoop/BUSTLEBERM, а некоторые варианты программ-вымогателей также нацелены на системы, связанные с OT.
Вредоносное ПО, специфичное для OT, часто использует технические протоколы, такие как Modbus, IEC-104 или S7, для взаимодействия с устройствами, с отличительными сигнатурами для идентификации.
Были обнаружены ботнеты, использующие учетные данные по умолчанию в ПЛК, таких как INTEGRATOR и Elsist SlimLine, и устройствах Интернета вещей, таких как IP-камеры и видеорегистраторы.
Были выявлены конкретные кластеры образцов ботнетов, нацеленных на квантовые ПЛК Schneider Electric Modicon, что указывает на уязвимости в широко распространенных устройствах, использующих протокол Modbus.
Инциденты, связанные с атаками вредоносных программ и хакеров на ПЛК Modicon, подчеркивают острую необходимость обеспечения безопасности этих устройств в критически важных инфраструктурных условиях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущей угрозе вредоносных программ, нацеленных на операционные технологии (OT) и промышленные системы управления (ICS), с акцентом на увеличение активности ботнетов, нацеленных на устройства OT, использование учетных данных по умолчанию и повышенный риск для систем OT от случайных атак. В тексте подчеркивается необходимость того, чтобы организации защищали незащищенные устройства OT и ICS, обновляли учетные данные по умолчанию и отслеживали сети на предмет вредоносной активности для снижения этих рисков. В нем также обсуждается изменение тактики создателей вредоносных программ в сторону ориентации на OT-системы, растущее присутствие вредоносных программ, специфичных для OT, и уязвимости широко используемых устройств, таких как квантовые ПЛК Schneider Electric Modicon.
-----
Развивается вредоносное ПО, нацеленное на операционные технологии (OT) и промышленные системы управления (ICS), при этом кластеры ботнетов, использующие учетные данные по умолчанию, уделяют все большее внимание устройствам OT.
Недавние исследования выявили кластеры ботнетов, осуществляющих атаки на удаление данных в среде OT, что подчеркивает повышенный риск оппортунистических атак на системы OT.
Организациям рекомендуется обезопасить незащищенные устройства OT и ICS, обновить учетные данные по умолчанию и отслеживать сети на предмет вредоносной активности, чтобы снизить риски.
Появление ботнета Mirai в 2016 году привело к росту числа DDoS-ботнетов, заражающих встроенные системы, а также нацеленных на устройства Интернета вещей.
К числу известных вредоносных программ, специфичных для OT, относятся Industroyer2, INCONTROLLER, COSMICENERGY, Fuxnet и FrostyGoop/BUSTLEBERM, а некоторые варианты программ-вымогателей также нацелены на системы, связанные с OT.
Вредоносное ПО, специфичное для OT, часто использует технические протоколы, такие как Modbus, IEC-104 или S7, для взаимодействия с устройствами, с отличительными сигнатурами для идентификации.
Были обнаружены ботнеты, использующие учетные данные по умолчанию в ПЛК, таких как INTEGRATOR и Elsist SlimLine, и устройствах Интернета вещей, таких как IP-камеры и видеорегистраторы.
Были выявлены конкретные кластеры образцов ботнетов, нацеленных на квантовые ПЛК Schneider Electric Modicon, что указывает на уязвимости в широко распространенных устройствах, использующих протокол Modbus.
Инциденты, связанные с атаками вредоносных программ и хакеров на ПЛК Modicon, подчеркивают острую необходимость обеспечения безопасности этих устройств в критически важных инфраструктурных условиях.
#ParsedReport #CompletenessMedium
22-10-2024
Grandoreiro, the global trojan with grandiose ambitions
https://securelist.com/grandoreiro-banking-trojan/114257
Report completeness: Medium
Threats:
Grandoreiro
Dll_sideloading_technique
Victims:
Financial institutions, Banks, Crypto wallets
Industry:
Financial, Government
Geo:
Barbados, Colombia, Belize, Africa, Haiti, Brazil, Australia, Portugal, Honduras, Latin america, Kenya, Spain, Peru, Poland, Venezuela, Mozambique, Switzerland, Mexico, France, Angola, Asia, India, New zealand, Bahamas, Ethiopia, Nigeria, Uruguay, Brazilian, Costa rica, Malta, Spanish, Algeria, Ecuador, Argentina, Philippines, Mexican, Usa, Canada, United kingdom, Tanzania, South africa, Ghana, Belgium, Panama, Chile, Paraguay, Uganda, Dominican republic
ChatGPT TTPs:
T1027, T1566, T1057, T1497
IOCs:
File: 80
Path: 1
Hash: 6
Soft:
Windows Installer, Windows Defender, CHROME, FIREFOX, OUTLOOK, OPERA, CHROMIUM, AVASTBROWSER, VeraCrypt, Dropbox, have more...
Algorithms:
xor, aes-256, base64, aes, zip
Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, IsDebuggerPresent
Languages:
delphi, jscript
22-10-2024
Grandoreiro, the global trojan with grandiose ambitions
https://securelist.com/grandoreiro-banking-trojan/114257
Report completeness: Medium
Threats:
Grandoreiro
Dll_sideloading_technique
Victims:
Financial institutions, Banks, Crypto wallets
Industry:
Financial, Government
Geo:
Barbados, Colombia, Belize, Africa, Haiti, Brazil, Australia, Portugal, Honduras, Latin america, Kenya, Spain, Peru, Poland, Venezuela, Mozambique, Switzerland, Mexico, France, Angola, Asia, India, New zealand, Bahamas, Ethiopia, Nigeria, Uruguay, Brazilian, Costa rica, Malta, Spanish, Algeria, Ecuador, Argentina, Philippines, Mexican, Usa, Canada, United kingdom, Tanzania, South africa, Ghana, Belgium, Panama, Chile, Paraguay, Uganda, Dominican republic
ChatGPT TTPs:
do not use without manual checkT1027, T1566, T1057, T1497
IOCs:
File: 80
Path: 1
Hash: 6
Soft:
Windows Installer, Windows Defender, CHROME, FIREFOX, OUTLOOK, OPERA, CHROMIUM, AVASTBROWSER, VeraCrypt, Dropbox, have more...
Algorithms:
xor, aes-256, base64, aes, zip
Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, IsDebuggerPresent
Languages:
delphi, jscript
Securelist
Grandoreiro banking trojan: overview of recent versions and new tricks
In this report, Kaspersky experts analyze recent Grandoreiro campaigns, new targets, tricks, and banking trojan versions.
CTT Report Hub
#ParsedReport #CompletenessMedium 22-10-2024 Grandoreiro, the global trojan with grandiose ambitions https://securelist.com/grandoreiro-banking-trojan/114257 Report completeness: Medium Threats: Grandoreiro Dll_sideloading_technique Victims: Financial…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Grandoreiro, бразильский банковский троян, управляемый преступной группой, с 2016 года развивает свою тактику для проведения мошеннических банковских операций по всему миру, создавая значительный риск для финансовых учреждений. Несмотря на усилия различных организаций по борьбе с этой угрозой, Grandoreiro продолжает расширять свой охват, нацеливаясь на все большее число финансовых организаций и совершенствуя свои методы уклонения, чтобы избежать обнаружения с помощью систем безопасности. Операторы, стоящие за Grandoreiro, постоянно совершенствуют свои вредоносные программы, и сотрудничество между различными заинтересованными сторонами имеет решающее значение для смягчения последствий этой киберугрозы.
-----
Grandoreiro - это бразильский банковский троян, связанный с Tetrade umbrella и действующий как минимум с 2016 года для проведения мошеннических банковских операций по всему миру.
Несмотря на усилия Интерпола, правоохранительных органов и лаборатории Касперского, Grandoreiro продолжает представлять значительный риск из-за своей постоянно меняющейся тактики и того, что в последние годы удалось лишь частично нарушить ее работу.
Grandoreiro расширяет свой охват, охватывая все большее число финансовых организаций по всему миру: в 2023 году кампании охватят 40 стран и 900 банков, а в 2024 году - 45 стран, охватывая 1700 банков и 276 крипто-кошельков.
Вредоносная программа использует различные тактики распространения, включая фишинговые электронные письма, вредоносную рекламу и вложения на нескольких языках, и эволюционировала, чтобы избежать обнаружения с помощью таких методов, как бинарное заполнение, методы антианализа и дополнительные проверки средствами безопасности.
Троянец усовершенствовал свои методы шифрования с помощью многоуровневых подходов и продвинутых режимов шифрования, таких как кража зашифрованного текста, чтобы усложнить анализ и избежать обнаружения.
В ходе недавних кампаний Grandoreiro внедрила новые тактики уклонения, такие как захват и имитация движений мыши пользователя, чтобы обмануть системы безопасности, основанные на машинном обучении и поведенческой аналитике.
Операторы Grandoreiro постоянно совершенствуют троянскую программу, чтобы она была нацелена на финансовые учреждения по всему миру, что указывает на необходимость совместных усилий правоохранительных органов, компаний, занимающихся кибербезопасностью, и других заинтересованных сторон для смягчения угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Grandoreiro, бразильский банковский троян, управляемый преступной группой, с 2016 года развивает свою тактику для проведения мошеннических банковских операций по всему миру, создавая значительный риск для финансовых учреждений. Несмотря на усилия различных организаций по борьбе с этой угрозой, Grandoreiro продолжает расширять свой охват, нацеливаясь на все большее число финансовых организаций и совершенствуя свои методы уклонения, чтобы избежать обнаружения с помощью систем безопасности. Операторы, стоящие за Grandoreiro, постоянно совершенствуют свои вредоносные программы, и сотрудничество между различными заинтересованными сторонами имеет решающее значение для смягчения последствий этой киберугрозы.
-----
Grandoreiro - это бразильский банковский троян, связанный с Tetrade umbrella и действующий как минимум с 2016 года для проведения мошеннических банковских операций по всему миру.
Несмотря на усилия Интерпола, правоохранительных органов и лаборатории Касперского, Grandoreiro продолжает представлять значительный риск из-за своей постоянно меняющейся тактики и того, что в последние годы удалось лишь частично нарушить ее работу.
Grandoreiro расширяет свой охват, охватывая все большее число финансовых организаций по всему миру: в 2023 году кампании охватят 40 стран и 900 банков, а в 2024 году - 45 стран, охватывая 1700 банков и 276 крипто-кошельков.
Вредоносная программа использует различные тактики распространения, включая фишинговые электронные письма, вредоносную рекламу и вложения на нескольких языках, и эволюционировала, чтобы избежать обнаружения с помощью таких методов, как бинарное заполнение, методы антианализа и дополнительные проверки средствами безопасности.
Троянец усовершенствовал свои методы шифрования с помощью многоуровневых подходов и продвинутых режимов шифрования, таких как кража зашифрованного текста, чтобы усложнить анализ и избежать обнаружения.
В ходе недавних кампаний Grandoreiro внедрила новые тактики уклонения, такие как захват и имитация движений мыши пользователя, чтобы обмануть системы безопасности, основанные на машинном обучении и поведенческой аналитике.
Операторы Grandoreiro постоянно совершенствуют троянскую программу, чтобы она была нацелена на финансовые учреждения по всему миру, что указывает на необходимость совместных усилий правоохранительных органов, компаний, занимающихся кибербезопасностью, и других заинтересованных сторон для смягчения угрозы.
#ParsedReport #CompletenessHigh
23-10-2024
Highlighting TA866/Asylum Ambuscade Activity Since 2021. Who is TA866?
https://blog.talosintelligence.com/highlighting-ta866-asylum-ambuscade
Report completeness: High
Actors/Campaigns:
Asylum_ambuscade (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta571
Shadowsyndicate
Threats:
Warmcookie
Resident
Ahkbot
Wasabiseed
Cobalt_strike
Streamerrat
Rhadamanthys
Adfind_tool
Anydesk_tool
Teamviewer_tool
Seo_poisoning_technique
Nltest_tool
Icedid
Blackcat
Screenshotter
Looper
Hvnc_tool
Spear-phishing_technique
Dll_sideloading_technique
Industry:
Government
Geo:
Italy, Canada, United kingdom, Austria, Germany, Netherlands, Russian
TTPs:
Tactics: 8
Technics: 23
IOCs:
IP: 41
Command: 1
Path: 2
Url: 113
File: 8
Hash: 451
Domain: 13
Soft:
Microsoft Publisher, AutoHotKey, IrfanView, Internet Explorer, Mozilla Firefox
Languages:
powershell, javascript, python
Links:
23-10-2024
Highlighting TA866/Asylum Ambuscade Activity Since 2021. Who is TA866?
https://blog.talosintelligence.com/highlighting-ta866-asylum-ambuscade
Report completeness: High
Actors/Campaigns:
Asylum_ambuscade (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta571
Shadowsyndicate
Threats:
Warmcookie
Resident
Ahkbot
Wasabiseed
Cobalt_strike
Streamerrat
Rhadamanthys
Adfind_tool
Anydesk_tool
Teamviewer_tool
Seo_poisoning_technique
Nltest_tool
Icedid
Blackcat
Screenshotter
Looper
Hvnc_tool
Spear-phishing_technique
Dll_sideloading_technique
Industry:
Government
Geo:
Italy, Canada, United kingdom, Austria, Germany, Netherlands, Russian
TTPs:
Tactics: 8
Technics: 23
IOCs:
IP: 41
Command: 1
Path: 2
Url: 113
File: 8
Hash: 451
Domain: 13
Soft:
Microsoft Publisher, AutoHotKey, IrfanView, Internet Explorer, Mozilla Firefox
Languages:
powershell, javascript, python
Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10/Cisco Talos Blog
Highlighting TA866/Asylum Ambuscade Activity Since 2021
TA866 (also known as Asylum Ambuscade) is a threat actor that has been conducting intrusion operations since at least 2020.
CTT Report Hub
#ParsedReport #CompletenessHigh 23-10-2024 Highlighting TA866/Asylum Ambuscade Activity Since 2021. Who is TA866? https://blog.talosintelligence.com/highlighting-ta866-asylum-ambuscade Report completeness: High Actors/Campaigns: Asylum_ambuscade (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - об участнике киберугрозы TA866, известном как Asylum Ambuscade, и его сложных операциях по проникновению, сотрудничестве с другими участниками угроз, развитии набора инструментов, в первую очередь финансовой мотивации, но также и участии в деятельности, связанной со шпионажем, нацеленной в первую очередь на производство, правительство и финансовые услуги, и демонстрации терпения и адаптивность к корпоративным сетям.
-----
TA866, также известная как Asylum Ambuscade, является субъектом угроз, который активно проводит операции по проникновению, по крайней мере, с 2020 года. Они демонстрируют высокий уровень сложности в своих операциях, полагаясь как на обычные, так и на пользовательские инструменты для облегчения своей деятельности после взлома. Cisco Talos с уверенностью заявляет, что TA866 сотрудничает с другими участниками угроз на различных этапах их атак для достижения своих целей. Недавние действия, связанные с WarmCookie/BadSpace, связаны с TA866, а также с их ранее обнаруженными вторжениями после взлома. Примечательно, что WarmCookie, как полагают, разработан тем же злоумышленником, который отвечает за локальный бэкдор, обнаруженный при предыдущих вторжениях, связанных с TA866.
TA866 в первую очередь связан с финансово мотивированными вредоносными кампаниями, но также продемонстрировал способность участвовать в деятельности, связанной со шпионажем. Набор инструментов для борьбы с угрозами со временем менялся, и в 2023 году кампании по борьбе с вредоносными программами были сосредоточены на распространении вредоносного контента с помощью вредоносной рассылки спама или вредоносной рекламы. В TA866 используются такие инструменты, как WasabiSeed, ScreenShotter и AHK Bot, а также бэкдоры, такие как Resident, CSharp-Streamer-RAT и Cobalt Strike, для действий после взлома. Они используют такие утилиты, как AdFind и сетевые сканеры, для разведки скомпрометированных систем и развертывания решений удаленного доступа, таких как AnyDesk и Remote Utilities.
Цепочка заражения, связанная с TA866, обычно включает в себя несколько этапов внедрения пользовательского вредоносного ПО, которые служат различным целям сбора данных, разведки и определения важных целей в скомпрометированных средах. Злоумышленник проявляет терпение, часто откладывая доставку дополнительной полезной нагрузки и проводя обширные мероприятия по устранению неполадок после первоначальной компрометации системы. К отраслям, наиболее пострадавшим от TA866, относятся производство, государственные органы и финансовые службы, причем цели в основном расположены в Соединенных Штатах, Канаде и нескольких европейских странах.
Недавние наблюдения позволяют провести параллели между исторической активностью TA866 и кампаниями WarmCookie/BadSpace. Использование CSharp-Streamer-RAT в обеих группах мероприятий и сходство в генерации SSL-сертификатов указывают на вероятную связь между ними. Внедрение маяков Cobalt Strike, а также общие характеристики инфраструктуры с ShadowSyndicate еще больше укрепляют эти связи.
Процесс заражения, инициируемый TA866, обычно включает вредоносные программы для загрузки JavaScript, что приводит к развертыванию WasabiSeed, Screenshotter и AHK Bot. WasabiSeed выполняет функцию загрузчика дополнительной полезной информации, в то время как Screenshotter используется для захвата и передачи скриншотов с зараженных систем злоумышленнику. AHK Bot, семейство модульных вредоносных программ, использует сценарии автоматического нажатия клавиш для различных функций, таких как перечисление систем, регистрация нажатий клавиш, кража учетных данных, а также развертывание и удаление программного обеспечения для удаленного доступа.
TA866 демонстрирует всестороннее понимание уязвимостей системы и использует разнообразный набор инструментов и методик для достижения своих целей. Постоянное совершенствование инструментария и тактики подчеркивает их адаптивность и настойчивость в работе с корпоративными сетями в различных отраслях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - об участнике киберугрозы TA866, известном как Asylum Ambuscade, и его сложных операциях по проникновению, сотрудничестве с другими участниками угроз, развитии набора инструментов, в первую очередь финансовой мотивации, но также и участии в деятельности, связанной со шпионажем, нацеленной в первую очередь на производство, правительство и финансовые услуги, и демонстрации терпения и адаптивность к корпоративным сетям.
-----
TA866, также известная как Asylum Ambuscade, является субъектом угроз, который активно проводит операции по проникновению, по крайней мере, с 2020 года. Они демонстрируют высокий уровень сложности в своих операциях, полагаясь как на обычные, так и на пользовательские инструменты для облегчения своей деятельности после взлома. Cisco Talos с уверенностью заявляет, что TA866 сотрудничает с другими участниками угроз на различных этапах их атак для достижения своих целей. Недавние действия, связанные с WarmCookie/BadSpace, связаны с TA866, а также с их ранее обнаруженными вторжениями после взлома. Примечательно, что WarmCookie, как полагают, разработан тем же злоумышленником, который отвечает за локальный бэкдор, обнаруженный при предыдущих вторжениях, связанных с TA866.
TA866 в первую очередь связан с финансово мотивированными вредоносными кампаниями, но также продемонстрировал способность участвовать в деятельности, связанной со шпионажем. Набор инструментов для борьбы с угрозами со временем менялся, и в 2023 году кампании по борьбе с вредоносными программами были сосредоточены на распространении вредоносного контента с помощью вредоносной рассылки спама или вредоносной рекламы. В TA866 используются такие инструменты, как WasabiSeed, ScreenShotter и AHK Bot, а также бэкдоры, такие как Resident, CSharp-Streamer-RAT и Cobalt Strike, для действий после взлома. Они используют такие утилиты, как AdFind и сетевые сканеры, для разведки скомпрометированных систем и развертывания решений удаленного доступа, таких как AnyDesk и Remote Utilities.
Цепочка заражения, связанная с TA866, обычно включает в себя несколько этапов внедрения пользовательского вредоносного ПО, которые служат различным целям сбора данных, разведки и определения важных целей в скомпрометированных средах. Злоумышленник проявляет терпение, часто откладывая доставку дополнительной полезной нагрузки и проводя обширные мероприятия по устранению неполадок после первоначальной компрометации системы. К отраслям, наиболее пострадавшим от TA866, относятся производство, государственные органы и финансовые службы, причем цели в основном расположены в Соединенных Штатах, Канаде и нескольких европейских странах.
Недавние наблюдения позволяют провести параллели между исторической активностью TA866 и кампаниями WarmCookie/BadSpace. Использование CSharp-Streamer-RAT в обеих группах мероприятий и сходство в генерации SSL-сертификатов указывают на вероятную связь между ними. Внедрение маяков Cobalt Strike, а также общие характеристики инфраструктуры с ShadowSyndicate еще больше укрепляют эти связи.
Процесс заражения, инициируемый TA866, обычно включает вредоносные программы для загрузки JavaScript, что приводит к развертыванию WasabiSeed, Screenshotter и AHK Bot. WasabiSeed выполняет функцию загрузчика дополнительной полезной информации, в то время как Screenshotter используется для захвата и передачи скриншотов с зараженных систем злоумышленнику. AHK Bot, семейство модульных вредоносных программ, использует сценарии автоматического нажатия клавиш для различных функций, таких как перечисление систем, регистрация нажатий клавиш, кража учетных данных, а также развертывание и удаление программного обеспечения для удаленного доступа.
TA866 демонстрирует всестороннее понимание уязвимостей системы и использует разнообразный набор инструментов и методик для достижения своих целей. Постоянное совершенствование инструментария и тактики подчеркивает их адаптивность и настойчивость в работе с корпоративными сетями в различных отраслях.
#ParsedReport #CompletenessLow
23-10-2024
Critical FortiManager Vulnerability Exploited in Zero-Day Attacks
https://www.secureblink.com/cyber-security-news/critical-forti-manager-vulnerability-exploited-in-zero-day-attacks
Report completeness: Low
Threats:
Fortijump_vuln
Supershell
Supply_chain_technique
Industry:
Government
CVEs:
CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)
ChatGPT TTPs:
T1210, T1195
IOCs:
IP: 4
Soft:
Mastodon
23-10-2024
Critical FortiManager Vulnerability Exploited in Zero-Day Attacks
https://www.secureblink.com/cyber-security-news/critical-forti-manager-vulnerability-exploited-in-zero-day-attacks
Report completeness: Low
Threats:
Fortijump_vuln
Supershell
Supply_chain_technique
Industry:
Government
CVEs:
CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)
ChatGPT TTPs:
do not use without manual checkT1210, T1195
IOCs:
IP: 4
Soft:
Mastodon
Secureblink
Critical FortiManager Vulnerability Exploited in Zero-Day Attacks
Comprehensive technical analysis of FortiManager zero-day CVE-2024-47575 ("FortiJump") exploited by nation-states; understand impact and mitigation steps.
CTT Report Hub
#ParsedReport #CompletenessLow 23-10-2024 Critical FortiManager Vulnerability Exploited in Zero-Day Attacks https://www.secureblink.com/cyber-security-news/critical-forti-manager-vulnerability-exploited-in-zero-day-attacks Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Обнаружение уязвимости нулевого дня, известной как FortiJump, в FortiManager от Fortinet выявило критическую угрозу безопасности, поскольку субъекты, представляющие угрозу национальному государству, используют ее для шпионажа через поставщиков управляемых услуг. Уязвимость позволяет злоумышленникам запускать код в системах FortiManager, потенциально подвергая риску брандмауэры FortiGate и нижестоящие сети. Обнаружение таких атак является сложной задачей из-за использования действительных сертификатов и легитимных протоколов. Fortinet посоветовала организациям проявлять бдительность, предусмотрела меры по смягчению последствий и подчеркнула важность оперативного решения проблем безопасности для предотвращения использования и снижения рисков.
-----
В FortiManager от Fortinet была обнаружена критическая уязвимость нулевого дня, помеченная как FortiJump и идентифицированная как CVE-2024-47575. Эта уязвимость активно используется злоумышленниками, представляющими угрозу национальным государствам, для ведения шпионажа через поставщиков управляемых услуг (MSP). Эксплойт позволяет злоумышленникам запускать произвольный код или команды в системах FortiManager, что потенциально может привести к компрометации управляемых брандмауэров FortiGate и нижестоящих сетей.
Несанкционированный доступ, обеспечиваемый этой уязвимостью, дает злоумышленникам контроль над управляемыми устройствами FortiGate, позволяя им манипулировать конфигурациями, внедрять вредоносные политики или отключать функции безопасности. Проблема усугубляется тем, что использование действительных сертификатов и легитимных протоколов затрудняет обнаружение таких атак. Fortinet не обнаружила никаких признаков установки вредоносного ПО или изменения конфигурации, что еще больше затрудняет организациям выявление компрометирующих факторов.
Fortinet указала на конкретные подозрительные IP-адреса, которые связаны с известными атаками, и призвала организации следить за подключениями с этих IP-адресов. Компания подчеркнула свою приверженность ответственному раскрытию информации, работая над защитой клиентов, предлагая меры по устранению уязвимости до того, как она будет обнародована. Fortinet сотрудничает с правительственными учреждениями и промышленными организациями в рамках их борьбы с этой угрозой.
Атаки на цепочки поставок представляют серьезную проблему в этом контексте, поскольку компрометация MSP может предоставить злоумышленникам доступ к нескольким клиентским сетям, усиливая последствия первоначального взлома. Также упоминается историческое пренебрежение, подчеркивающее, что предыдущие уязвимости, такие как CVE-2023-27997, остаются не устраненными во многих системах, что подчеркивает критический характер оперативного решения проблем безопасности.
Использование уязвимости CVE-2024-47575 в FortiManager от Fortinet опытными злоумышленниками подчеркивает настоятельную необходимость принятия организациями немедленных мер. Своевременное внесение исправлений, тщательный мониторинг и надежные методы обеспечения безопасности имеют решающее значение для снижения рисков, связанных с этой уязвимостью, и защиты от потенциальных атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Обнаружение уязвимости нулевого дня, известной как FortiJump, в FortiManager от Fortinet выявило критическую угрозу безопасности, поскольку субъекты, представляющие угрозу национальному государству, используют ее для шпионажа через поставщиков управляемых услуг. Уязвимость позволяет злоумышленникам запускать код в системах FortiManager, потенциально подвергая риску брандмауэры FortiGate и нижестоящие сети. Обнаружение таких атак является сложной задачей из-за использования действительных сертификатов и легитимных протоколов. Fortinet посоветовала организациям проявлять бдительность, предусмотрела меры по смягчению последствий и подчеркнула важность оперативного решения проблем безопасности для предотвращения использования и снижения рисков.
-----
В FortiManager от Fortinet была обнаружена критическая уязвимость нулевого дня, помеченная как FortiJump и идентифицированная как CVE-2024-47575. Эта уязвимость активно используется злоумышленниками, представляющими угрозу национальным государствам, для ведения шпионажа через поставщиков управляемых услуг (MSP). Эксплойт позволяет злоумышленникам запускать произвольный код или команды в системах FortiManager, что потенциально может привести к компрометации управляемых брандмауэров FortiGate и нижестоящих сетей.
Несанкционированный доступ, обеспечиваемый этой уязвимостью, дает злоумышленникам контроль над управляемыми устройствами FortiGate, позволяя им манипулировать конфигурациями, внедрять вредоносные политики или отключать функции безопасности. Проблема усугубляется тем, что использование действительных сертификатов и легитимных протоколов затрудняет обнаружение таких атак. Fortinet не обнаружила никаких признаков установки вредоносного ПО или изменения конфигурации, что еще больше затрудняет организациям выявление компрометирующих факторов.
Fortinet указала на конкретные подозрительные IP-адреса, которые связаны с известными атаками, и призвала организации следить за подключениями с этих IP-адресов. Компания подчеркнула свою приверженность ответственному раскрытию информации, работая над защитой клиентов, предлагая меры по устранению уязвимости до того, как она будет обнародована. Fortinet сотрудничает с правительственными учреждениями и промышленными организациями в рамках их борьбы с этой угрозой.
Атаки на цепочки поставок представляют серьезную проблему в этом контексте, поскольку компрометация MSP может предоставить злоумышленникам доступ к нескольким клиентским сетям, усиливая последствия первоначального взлома. Также упоминается историческое пренебрежение, подчеркивающее, что предыдущие уязвимости, такие как CVE-2023-27997, остаются не устраненными во многих системах, что подчеркивает критический характер оперативного решения проблем безопасности.
Использование уязвимости CVE-2024-47575 в FortiManager от Fortinet опытными злоумышленниками подчеркивает настоятельную необходимость принятия организациями немедленных мер. Своевременное внесение исправлений, тщательный мониторинг и надежные методы обеспечения безопасности имеют решающее значение для снижения рисков, связанных с этой уязвимостью, и защиты от потенциальных атак.
#ParsedReport #CompletenessMedium
23-10-2024
Threat Spotlight: WarmCookie/BadSpace. What is WarmCookie?
https://blog.talosintelligence.com/warmcookie-analysis
Report completeness: Medium
Actors/Campaigns:
Ta866
Asylum_ambuscade
Threats:
Warmcookie
Streamerrat
Cobalt_strike
Resident
Bitsadmin_tool
Gozi
Ahkbot
Wasabiseed
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1053.005, T1059.001, T1027, T1105, T1573, T1071, T1036
IOCs:
File: 1
Path: 1
Hash: 153
Domain: 14
IP: 10
Soft:
task scheduler, Windows Task Scheduler
Algorithms:
rc4, zip
Languages:
powershell, javascript, php
Platforms:
x64
Links:
23-10-2024
Threat Spotlight: WarmCookie/BadSpace. What is WarmCookie?
https://blog.talosintelligence.com/warmcookie-analysis
Report completeness: Medium
Actors/Campaigns:
Ta866
Asylum_ambuscade
Threats:
Warmcookie
Streamerrat
Cobalt_strike
Resident
Bitsadmin_tool
Gozi
Ahkbot
Wasabiseed
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1053.005, T1059.001, T1027, T1105, T1573, T1071, T1036
IOCs:
File: 1
Path: 1
Hash: 153
Domain: 14
IP: 10
Soft:
task scheduler, Windows Task Scheduler
Algorithms:
rc4, zip
Languages:
powershell, javascript, php
Platforms:
x64
Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10/Cisco Talos Blog
Threat Spotlight: WarmCookie/BadSpace
WarmCookie is a malware family that emerged in April 2024 and has been distributed via regularly conducted malspam and malvertising campaigns.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-10-2024 Threat Spotlight: WarmCookie/BadSpace. What is WarmCookie? https://blog.talosintelligence.com/warmcookie-analysis Report completeness: Medium Actors/Campaigns: Ta866 Asylum_ambuscade Threats: Warmcookie Streamerrat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что WarmCookie - это сложное семейство вредоносных программ, появившееся в 2024 году и используемое для первоначального доступа и сохранения в скомпрометированных средах. Он распространяется с помощью вредоносной рассылки и рекламных кампаний и облегчает доставку дополнительных вредоносных программ, таких как CSharp-Streamer-RAT и Cobalt Strike. WarmCookie предлагает различные функции для развертывания полезной нагрузки, выполнения команд и сохранения работоспособности, что делает его привлекательным для злоумышленников, стремящихся получить долгосрочный доступ к скомпрометированным сетям. Вредоносная программа была связана с TA866 и имеет сходство с резидентным бэкдором, что указывает на вероятную связь между этими угрозами. Анализ показывает, что участники угроз постоянно совершенствуют и развивают WarmCookie, демонстрируя расширенные возможности по сравнению с Resident.
-----
WarmCookie - это семейство вредоносных программ, появившееся в апреле 2024 года и распространявшееся с помощью вредоносного спама и вредоносной рекламы. Он используется для первоначального доступа и сохранения в скомпрометированных средах и облегчает доставку дополнительных вредоносных программ, таких как CSharp-Streamer-RAT и Cobalt Strike. Активность, связанная с WarmCookie, совпадает с TA866, что позволяет предположить, что она, вероятно, была разработана теми же злоумышленниками, которые отвечают за локальный бэкдор. WarmCookie предлагает функциональность для развертывания полезной нагрузки, манипулирования файлами, выполнения команд, сбора скриншотов и сохранения данных, что делает его привлекательным для злоумышленников, стремящихся получить долгосрочный доступ к скомпрометированным сетям. Вредоносное ПО распространялось с использованием различных тем-приманок в кампаниях, проводимых как минимум с апреля 2024 года, при этом наиболее распространенные темы, связанные со счетами-фактурами и агентствами по трудоустройству, использовались для рассылки вредоносного спама. Зараженные жертвы перенаправляются на вредоносные файлы JavaScript, размещенные на веб-серверах, что инициирует процесс заражения.
WarmCookie был подключен к TA866 благодаря наблюдаемой инфраструктуре и действиям после взлома. После заражения WarmCookie был запущен CSharp-Streamer-RAT, обеспечивающий надежные возможности удаленного доступа. Было идентифицировано несколько серверов C2, связанных с CSharp-Streamer-RAT, с SSL-сертификатами, сгенерированными программным путем. Анализ образцов резидентного бэкдора и WarmCookie выявил сходство в базовой функциональности, реализации RC4, управлении мьютексами, сохранении запланированных задач и соглашениях о кодировании, что указывает на вероятную связь между двумя семействами вредоносных программ, причем WarmCookie обладает расширенной функциональностью по сравнению с резидентным.
Новые версии WarmCookie демонстрируют постоянное совершенствование, включая изменения в методах выполнения, механизмах сохранения, строках пользовательского агента и командах C2. В образцах был замечен эволюционирующий механизм самообновления, что свидетельствует о продолжающейся разработке вредоносного ПО злоумышленником. Как WarmCookie, так и Resident используют схожие потоки выполнения кода, логику запуска и механизмы сохранения, с небольшими различиями в обработке параметров. Несмотря на значительные совпадения в коде и функциональности, WarmCookie предлагает более продвинутые возможности по сравнению с Resident backdoor и обычно развертывается в качестве начальной полезной нагрузки для доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что WarmCookie - это сложное семейство вредоносных программ, появившееся в 2024 году и используемое для первоначального доступа и сохранения в скомпрометированных средах. Он распространяется с помощью вредоносной рассылки и рекламных кампаний и облегчает доставку дополнительных вредоносных программ, таких как CSharp-Streamer-RAT и Cobalt Strike. WarmCookie предлагает различные функции для развертывания полезной нагрузки, выполнения команд и сохранения работоспособности, что делает его привлекательным для злоумышленников, стремящихся получить долгосрочный доступ к скомпрометированным сетям. Вредоносная программа была связана с TA866 и имеет сходство с резидентным бэкдором, что указывает на вероятную связь между этими угрозами. Анализ показывает, что участники угроз постоянно совершенствуют и развивают WarmCookie, демонстрируя расширенные возможности по сравнению с Resident.
-----
WarmCookie - это семейство вредоносных программ, появившееся в апреле 2024 года и распространявшееся с помощью вредоносного спама и вредоносной рекламы. Он используется для первоначального доступа и сохранения в скомпрометированных средах и облегчает доставку дополнительных вредоносных программ, таких как CSharp-Streamer-RAT и Cobalt Strike. Активность, связанная с WarmCookie, совпадает с TA866, что позволяет предположить, что она, вероятно, была разработана теми же злоумышленниками, которые отвечают за локальный бэкдор. WarmCookie предлагает функциональность для развертывания полезной нагрузки, манипулирования файлами, выполнения команд, сбора скриншотов и сохранения данных, что делает его привлекательным для злоумышленников, стремящихся получить долгосрочный доступ к скомпрометированным сетям. Вредоносное ПО распространялось с использованием различных тем-приманок в кампаниях, проводимых как минимум с апреля 2024 года, при этом наиболее распространенные темы, связанные со счетами-фактурами и агентствами по трудоустройству, использовались для рассылки вредоносного спама. Зараженные жертвы перенаправляются на вредоносные файлы JavaScript, размещенные на веб-серверах, что инициирует процесс заражения.
WarmCookie был подключен к TA866 благодаря наблюдаемой инфраструктуре и действиям после взлома. После заражения WarmCookie был запущен CSharp-Streamer-RAT, обеспечивающий надежные возможности удаленного доступа. Было идентифицировано несколько серверов C2, связанных с CSharp-Streamer-RAT, с SSL-сертификатами, сгенерированными программным путем. Анализ образцов резидентного бэкдора и WarmCookie выявил сходство в базовой функциональности, реализации RC4, управлении мьютексами, сохранении запланированных задач и соглашениях о кодировании, что указывает на вероятную связь между двумя семействами вредоносных программ, причем WarmCookie обладает расширенной функциональностью по сравнению с резидентным.
Новые версии WarmCookie демонстрируют постоянное совершенствование, включая изменения в методах выполнения, механизмах сохранения, строках пользовательского агента и командах C2. В образцах был замечен эволюционирующий механизм самообновления, что свидетельствует о продолжающейся разработке вредоносного ПО злоумышленником. Как WarmCookie, так и Resident используют схожие потоки выполнения кода, логику запуска и механизмы сохранения, с небольшими различиями в обработке параметров. Несмотря на значительные совпадения в коде и функциональности, WarmCookie предлагает более продвинутые возможности по сравнению с Resident backdoor и обычно развертывается в качестве начальной полезной нагрузки для доступа.
#ParsedReport #CompletenessLow
24-10-2024
Unmasking Braodo: Inside the operations of a relentless info stealer
https://fieldeffect.com/blog/unmasking-braodo-inside-the-operations-of-a-relentless-info-stealer
Report completeness: Low
Threats:
Braodo
Geo:
Russia, Vietnam, Vietnamese
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1566, T1070, T1140, T1027, T1555.003, T1071.001
IOCs:
File: 15
Path: 2
Registry: 2
Hash: 3
Soft:
TikTok, Dropbox, CocCoc, Chrome, Opera, Firefox, Windows registry, Chromium, Telegram
Crypto:
bitcoin, ethereum, dogecoin
Algorithms:
aes, zip, base64, sha256
Functions:
GetDataDocument
Languages:
python
24-10-2024
Unmasking Braodo: Inside the operations of a relentless info stealer
https://fieldeffect.com/blog/unmasking-braodo-inside-the-operations-of-a-relentless-info-stealer
Report completeness: Low
Threats:
Braodo
Geo:
Russia, Vietnam, Vietnamese
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1070, T1140, T1027, T1555.003, T1071.001
IOCs:
File: 15
Path: 2
Registry: 2
Hash: 3
Soft:
TikTok, Dropbox, CocCoc, Chrome, Opera, Firefox, Windows registry, Chromium, Telegram
Crypto:
bitcoin, ethereum, dogecoin
Algorithms:
aes, zip, base64, sha256
Functions:
GetDataDocument
Languages:
python
Fieldeffect
Unmasking Braodo: Inside the operations of a relentless info stealer
Field Effect security intelligence analysts provide insight into the features of the Braodo info stealer.