#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Grandoreiro, бразильский банковский троян, управляемый преступной группой, с 2016 года развивает свою тактику для проведения мошеннических банковских операций по всему миру, создавая значительный риск для финансовых учреждений. Несмотря на усилия различных организаций по борьбе с этой угрозой, Grandoreiro продолжает расширять свой охват, нацеливаясь на все большее число финансовых организаций и совершенствуя свои методы уклонения, чтобы избежать обнаружения с помощью систем безопасности. Операторы, стоящие за Grandoreiro, постоянно совершенствуют свои вредоносные программы, и сотрудничество между различными заинтересованными сторонами имеет решающее значение для смягчения последствий этой киберугрозы.
-----

Grandoreiro - это бразильский банковский троян, связанный с Tetrade umbrella и действующий как минимум с 2016 года для проведения мошеннических банковских операций по всему миру.

Несмотря на усилия Интерпола, правоохранительных органов и лаборатории Касперского, Grandoreiro продолжает представлять значительный риск из-за своей постоянно меняющейся тактики и того, что в последние годы удалось лишь частично нарушить ее работу.

Grandoreiro расширяет свой охват, охватывая все большее число финансовых организаций по всему миру: в 2023 году кампании охватят 40 стран и 900 банков, а в 2024 году - 45 стран, охватывая 1700 банков и 276 крипто-кошельков.

Вредоносная программа использует различные тактики распространения, включая фишинговые электронные письма, вредоносную рекламу и вложения на нескольких языках, и эволюционировала, чтобы избежать обнаружения с помощью таких методов, как бинарное заполнение, методы антианализа и дополнительные проверки средствами безопасности.

Троянец усовершенствовал свои методы шифрования с помощью многоуровневых подходов и продвинутых режимов шифрования, таких как кража зашифрованного текста, чтобы усложнить анализ и избежать обнаружения.

В ходе недавних кампаний Grandoreiro внедрила новые тактики уклонения, такие как захват и имитация движений мыши пользователя, чтобы обмануть системы безопасности, основанные на машинном обучении и поведенческой аналитике.

Операторы Grandoreiro постоянно совершенствуют троянскую программу, чтобы она была нацелена на финансовые учреждения по всему миру, что указывает на необходимость совместных усилий правоохранительных органов, компаний, занимающихся кибербезопасностью, и других заинтересованных сторон для смягчения угрозы.

#ParsedReport #CompletenessHigh
23-10-2024

Highlighting TA866/Asylum Ambuscade Activity Since 2021. Who is TA866?

https://blog.talosintelligence.com/highlighting-ta866-asylum-ambuscade

Report completeness: High

Actors/Campaigns:
Asylum_ambuscade (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta571
Shadowsyndicate

Threats:
Warmcookie
Resident
Ahkbot
Wasabiseed
Cobalt_strike
Streamerrat
Rhadamanthys
Adfind_tool
Anydesk_tool
Teamviewer_tool
Seo_poisoning_technique
Nltest_tool
Icedid
Blackcat
Screenshotter
Looper
Hvnc_tool
Spear-phishing_technique
Dll_sideloading_technique

Industry:
Government

Geo:
Italy, Canada, United kingdom, Austria, Germany, Netherlands, Russian

TTPs:
Tactics: 8
Technics: 23

IOCs:
IP: 41
Command: 1
Path: 2
Url: 113
File: 8
Hash: 451
Domain: 13

Soft:
Microsoft Publisher, AutoHotKey, IrfanView, Internet Explorer, Mozilla Firefox

Languages:
powershell, javascript, python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - об участнике киберугрозы TA866, известном как Asylum Ambuscade, и его сложных операциях по проникновению, сотрудничестве с другими участниками угроз, развитии набора инструментов, в первую очередь финансовой мотивации, но также и участии в деятельности, связанной со шпионажем, нацеленной в первую очередь на производство, правительство и финансовые услуги, и демонстрации терпения и адаптивность к корпоративным сетям.
-----

TA866, также известная как Asylum Ambuscade, является субъектом угроз, который активно проводит операции по проникновению, по крайней мере, с 2020 года. Они демонстрируют высокий уровень сложности в своих операциях, полагаясь как на обычные, так и на пользовательские инструменты для облегчения своей деятельности после взлома. Cisco Talos с уверенностью заявляет, что TA866 сотрудничает с другими участниками угроз на различных этапах их атак для достижения своих целей. Недавние действия, связанные с WarmCookie/BadSpace, связаны с TA866, а также с их ранее обнаруженными вторжениями после взлома. Примечательно, что WarmCookie, как полагают, разработан тем же злоумышленником, который отвечает за локальный бэкдор, обнаруженный при предыдущих вторжениях, связанных с TA866.

TA866 в первую очередь связан с финансово мотивированными вредоносными кампаниями, но также продемонстрировал способность участвовать в деятельности, связанной со шпионажем. Набор инструментов для борьбы с угрозами со временем менялся, и в 2023 году кампании по борьбе с вредоносными программами были сосредоточены на распространении вредоносного контента с помощью вредоносной рассылки спама или вредоносной рекламы. В TA866 используются такие инструменты, как WasabiSeed, ScreenShotter и AHK Bot, а также бэкдоры, такие как Resident, CSharp-Streamer-RAT и Cobalt Strike, для действий после взлома. Они используют такие утилиты, как AdFind и сетевые сканеры, для разведки скомпрометированных систем и развертывания решений удаленного доступа, таких как AnyDesk и Remote Utilities.

Цепочка заражения, связанная с TA866, обычно включает в себя несколько этапов внедрения пользовательского вредоносного ПО, которые служат различным целям сбора данных, разведки и определения важных целей в скомпрометированных средах. Злоумышленник проявляет терпение, часто откладывая доставку дополнительной полезной нагрузки и проводя обширные мероприятия по устранению неполадок после первоначальной компрометации системы. К отраслям, наиболее пострадавшим от TA866, относятся производство, государственные органы и финансовые службы, причем цели в основном расположены в Соединенных Штатах, Канаде и нескольких европейских странах.

Недавние наблюдения позволяют провести параллели между исторической активностью TA866 и кампаниями WarmCookie/BadSpace. Использование CSharp-Streamer-RAT в обеих группах мероприятий и сходство в генерации SSL-сертификатов указывают на вероятную связь между ними. Внедрение маяков Cobalt Strike, а также общие характеристики инфраструктуры с ShadowSyndicate еще больше укрепляют эти связи.

Процесс заражения, инициируемый TA866, обычно включает вредоносные программы для загрузки JavaScript, что приводит к развертыванию WasabiSeed, Screenshotter и AHK Bot. WasabiSeed выполняет функцию загрузчика дополнительной полезной информации, в то время как Screenshotter используется для захвата и передачи скриншотов с зараженных систем злоумышленнику. AHK Bot, семейство модульных вредоносных программ, использует сценарии автоматического нажатия клавиш для различных функций, таких как перечисление систем, регистрация нажатий клавиш, кража учетных данных, а также развертывание и удаление программного обеспечения для удаленного доступа.

TA866 демонстрирует всестороннее понимание уязвимостей системы и использует разнообразный набор инструментов и методик для достижения своих целей. Постоянное совершенствование инструментария и тактики подчеркивает их адаптивность и настойчивость в работе с корпоративными сетями в различных отраслях.

#ParsedReport #CompletenessLow
23-10-2024

Critical FortiManager Vulnerability Exploited in Zero-Day Attacks

https://www.secureblink.com/cyber-security-news/critical-forti-manager-vulnerability-exploited-in-zero-day-attacks

Report completeness: Low

Threats:
Fortijump_vuln
Supershell
Supply_chain_technique

Industry:
Government

CVEs:
CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)


ChatGPT TTPs:
do not use without manual check
T1210, T1195

IOCs:
IP: 4

Soft:
Mastodon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружение уязвимости нулевого дня, известной как FortiJump, в FortiManager от Fortinet выявило критическую угрозу безопасности, поскольку субъекты, представляющие угрозу национальному государству, используют ее для шпионажа через поставщиков управляемых услуг. Уязвимость позволяет злоумышленникам запускать код в системах FortiManager, потенциально подвергая риску брандмауэры FortiGate и нижестоящие сети. Обнаружение таких атак является сложной задачей из-за использования действительных сертификатов и легитимных протоколов. Fortinet посоветовала организациям проявлять бдительность, предусмотрела меры по смягчению последствий и подчеркнула важность оперативного решения проблем безопасности для предотвращения использования и снижения рисков.
-----

В FortiManager от Fortinet была обнаружена критическая уязвимость нулевого дня, помеченная как FortiJump и идентифицированная как CVE-2024-47575. Эта уязвимость активно используется злоумышленниками, представляющими угрозу национальным государствам, для ведения шпионажа через поставщиков управляемых услуг (MSP). Эксплойт позволяет злоумышленникам запускать произвольный код или команды в системах FortiManager, что потенциально может привести к компрометации управляемых брандмауэров FortiGate и нижестоящих сетей.

Несанкционированный доступ, обеспечиваемый этой уязвимостью, дает злоумышленникам контроль над управляемыми устройствами FortiGate, позволяя им манипулировать конфигурациями, внедрять вредоносные политики или отключать функции безопасности. Проблема усугубляется тем, что использование действительных сертификатов и легитимных протоколов затрудняет обнаружение таких атак. Fortinet не обнаружила никаких признаков установки вредоносного ПО или изменения конфигурации, что еще больше затрудняет организациям выявление компрометирующих факторов.

Fortinet указала на конкретные подозрительные IP-адреса, которые связаны с известными атаками, и призвала организации следить за подключениями с этих IP-адресов. Компания подчеркнула свою приверженность ответственному раскрытию информации, работая над защитой клиентов, предлагая меры по устранению уязвимости до того, как она будет обнародована. Fortinet сотрудничает с правительственными учреждениями и промышленными организациями в рамках их борьбы с этой угрозой.

Атаки на цепочки поставок представляют серьезную проблему в этом контексте, поскольку компрометация MSP может предоставить злоумышленникам доступ к нескольким клиентским сетям, усиливая последствия первоначального взлома. Также упоминается историческое пренебрежение, подчеркивающее, что предыдущие уязвимости, такие как CVE-2023-27997, остаются не устраненными во многих системах, что подчеркивает критический характер оперативного решения проблем безопасности.

Использование уязвимости CVE-2024-47575 в FortiManager от Fortinet опытными злоумышленниками подчеркивает настоятельную необходимость принятия организациями немедленных мер. Своевременное внесение исправлений, тщательный мониторинг и надежные методы обеспечения безопасности имеют решающее значение для снижения рисков, связанных с этой уязвимостью, и защиты от потенциальных атак.

#ParsedReport #CompletenessMedium
23-10-2024

Threat Spotlight: WarmCookie/BadSpace. What is WarmCookie?

https://blog.talosintelligence.com/warmcookie-analysis

Report completeness: Medium

Actors/Campaigns:
Ta866
Asylum_ambuscade

Threats:
Warmcookie
Streamerrat
Cobalt_strike
Resident
Bitsadmin_tool
Gozi
Ahkbot
Wasabiseed

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1027, T1105, T1573, T1071, T1036

IOCs:
File: 1
Path: 1
Hash: 153
Domain: 14
IP: 10

Soft:
task scheduler, Windows Task Scheduler

Algorithms:
rc4, zip

Languages:
powershell, javascript, php

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что WarmCookie - это сложное семейство вредоносных программ, появившееся в 2024 году и используемое для первоначального доступа и сохранения в скомпрометированных средах. Он распространяется с помощью вредоносной рассылки и рекламных кампаний и облегчает доставку дополнительных вредоносных программ, таких как CSharp-Streamer-RAT и Cobalt Strike. WarmCookie предлагает различные функции для развертывания полезной нагрузки, выполнения команд и сохранения работоспособности, что делает его привлекательным для злоумышленников, стремящихся получить долгосрочный доступ к скомпрометированным сетям. Вредоносная программа была связана с TA866 и имеет сходство с резидентным бэкдором, что указывает на вероятную связь между этими угрозами. Анализ показывает, что участники угроз постоянно совершенствуют и развивают WarmCookie, демонстрируя расширенные возможности по сравнению с Resident.
-----

WarmCookie - это семейство вредоносных программ, появившееся в апреле 2024 года и распространявшееся с помощью вредоносного спама и вредоносной рекламы. Он используется для первоначального доступа и сохранения в скомпрометированных средах и облегчает доставку дополнительных вредоносных программ, таких как CSharp-Streamer-RAT и Cobalt Strike. Активность, связанная с WarmCookie, совпадает с TA866, что позволяет предположить, что она, вероятно, была разработана теми же злоумышленниками, которые отвечают за локальный бэкдор. WarmCookie предлагает функциональность для развертывания полезной нагрузки, манипулирования файлами, выполнения команд, сбора скриншотов и сохранения данных, что делает его привлекательным для злоумышленников, стремящихся получить долгосрочный доступ к скомпрометированным сетям. Вредоносное ПО распространялось с использованием различных тем-приманок в кампаниях, проводимых как минимум с апреля 2024 года, при этом наиболее распространенные темы, связанные со счетами-фактурами и агентствами по трудоустройству, использовались для рассылки вредоносного спама. Зараженные жертвы перенаправляются на вредоносные файлы JavaScript, размещенные на веб-серверах, что инициирует процесс заражения.

WarmCookie был подключен к TA866 благодаря наблюдаемой инфраструктуре и действиям после взлома. После заражения WarmCookie был запущен CSharp-Streamer-RAT, обеспечивающий надежные возможности удаленного доступа. Было идентифицировано несколько серверов C2, связанных с CSharp-Streamer-RAT, с SSL-сертификатами, сгенерированными программным путем. Анализ образцов резидентного бэкдора и WarmCookie выявил сходство в базовой функциональности, реализации RC4, управлении мьютексами, сохранении запланированных задач и соглашениях о кодировании, что указывает на вероятную связь между двумя семействами вредоносных программ, причем WarmCookie обладает расширенной функциональностью по сравнению с резидентным.

Новые версии WarmCookie демонстрируют постоянное совершенствование, включая изменения в методах выполнения, механизмах сохранения, строках пользовательского агента и командах C2. В образцах был замечен эволюционирующий механизм самообновления, что свидетельствует о продолжающейся разработке вредоносного ПО злоумышленником. Как WarmCookie, так и Resident используют схожие потоки выполнения кода, логику запуска и механизмы сохранения, с небольшими различиями в обработке параметров. Несмотря на значительные совпадения в коде и функциональности, WarmCookie предлагает более продвинутые возможности по сравнению с Resident backdoor и обычно развертывается в качестве начальной полезной нагрузки для доступа.

#ParsedReport #CompletenessLow
24-10-2024

Unmasking Braodo: Inside the operations of a relentless info stealer

https://fieldeffect.com/blog/unmasking-braodo-inside-the-operations-of-a-relentless-info-stealer

Report completeness: Low

Threats:
Braodo

Geo:
Russia, Vietnam, Vietnamese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1070, T1140, T1027, T1555.003, T1071.001

IOCs:
File: 15
Path: 2
Registry: 2
Hash: 3

Soft:
TikTok, Dropbox, CocCoc, Chrome, Opera, Firefox, Windows registry, Chromium, Telegram

Crypto:
bitcoin, ethereum, dogecoin

Algorithms:
aes, zip, base64, sha256

Functions:
GetDataDocument

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ вредоносного скрипта на Python под названием Braodo Stealer, который распространялся через фишинговое электронное письмо от имени модной компании TOMS. Скрипт предназначен для кражи учетных данных, файлов cookie, номеров кредитных карт, профилирования системы, снятия скриншотов, манипулирования рекламой, кражи криптовалютных кошельков и передачи данных злоумышленнику. Он включает в себя функцию мониторинга содержимого буфера обмена и манипулирования им с целью получения адресов криптовалютных кошельков. Кроме того, скрипт обладает возможностями геотаргетинга, особенно в отношении Вьетнама, и демонстрирует поведение, соответствующее историческим практикам участников угроз, позволяющим избежать привлечения внимания правоохранительных органов. В тексте подчеркивается распространенность вредоносных программ, похищающих информацию, в современной киберпреступности и важность постоянной бдительности в отношении таких угроз.
-----

В этом отчете подробно описан анализ вредоносного скрипта на Python, известного как Braodo Stealer. Скрипт был отправлен пользователю по фишинговому электронному письму от имени модной компании TOMS, который содержался в защищенном паролем ZIP-файле, размещенном на Dropbox. Скрипт выполнял аномальные действия, включая запрос активно запущенных экземпляров самого себя, попытку запутать свой ключ дешифрования и расшифровку содержимого другого файла с именем Error_cache.db. После расшифровки выяснилось, что Error_cache.db - это другой скрипт на Python, который идентифицировал себя как похититель Braodo.

Основная функция Braodo Stealer заключается в краже учетных данных, файлов cookie, номеров кредитных карт, хранящихся в браузерах, профилировании системы, съемке скриншотов, манипулировании рекламой TikTok и Facebook, краже и замене кошельков с криптовалютой, а также в передаче собранных данных злоумышленнику. Примечательно, что скрипт включает в себя класс для мониторинга содержимого буфера обмена и манипулирования им с целью определения адресов криптовалютных кошельков. Он выполняет поиск скопированных кошельков, связанных с различными криптовалютами, и заменяет их кошельками злоумышленника, что потенциально может привести к непреднамеренному переводу средств.

В скрипте были определены специфические функции геотаргетинга, в частности, связанные с Вьетнамом. Если скрипт обнаруживает код страны во Вьетнаме, он отправляет сообщение боту Telegram перед выходом, указывая на отсутствие у злоумышленника интереса к использованию жертв из Вьетнама. Эта практика соответствует историческому поведению участников угроз, когда они ограничивали вредоносную деятельность в пределах своей собственной страны, чтобы избежать нежелательного внимания со стороны правоохранительных органов.

Дальнейшее изучение скрипта выявило токены бота Telegram с открытым текстом, которые позволяли запрашивать у API Telegram связанные имена пользователей. Идентифицированные имена пользователей были scut6bot и check_err_bot, и хотя попытки получить возможные отфильтрованные данные не увенчались успехом, это обнаружение позволило сообщить о ботах в Telegram.

Braodo Stealer является примером общей тенденции в современной киберпреступности, когда злоумышленники используют вредоносные программы для кражи информации для сбора конфиденциальных данных с целью получения финансовой выгоды. Эти вредоносные программы широко распространяются с помощью различных средств, таких как фишинговые электронные письма и взломанные веб-сайты. Учитывая высокую стоимость украденных данных на подпольных рынках, злоумышленники, скорее всего, продолжат использовать такое вредоносное ПО для будущих киберпреступных действий.

#ParsedReport #CompletenessHigh
24-10-2024

Unmasking Prometei: A Deep Dive Into Our MXDR Findings

https://www.trendmicro.com/en_us/research/24/j/unmasking-prometei-a-deep-dive-into-our-mxdr-findings.html

Report completeness: High

Threats:
Prometei_botnet
Bluekeep_vuln
Credential_dumping_technique
Netwalker
Upx_tool
Mimikatz_tool
Xmrig_miner
Credential_harvesting_technique

Geo:
Turkey, Indonesia, Brazil, Russian

CVEs:
CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2010, 2013, 2016, 2019)

CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)

CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1110, T1090, T1027, T1036, T1105, T1003.001, T1135, T1078

IOCs:
IP: 20
Path: 38
File: 39
Command: 12
Registry: 4
Url: 12
Hash: 13
Domain: 17

Soft:
Microsoft Exchange Server, Windows Defender, Windows Search Indexer, Windows service

Crypto:
monero

Algorithms:
zip, 7zip, xor, base64, sha1

Functions:
WriteAllText, system

Win Services:
WebClient

Languages:
php, powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 7, filemanager: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Prometei, сложный ботнет, используемый в основном для майнинга криптовалют и кражи учетных данных, активно заражает системы по всему миру посредством целенаправленных атак методом грубой силы и использования уязвимостей. Исследование внутренней работы Prometei выявило ее сложные методы, настойчивость и необходимость в упреждающих стратегиях обнаружения и реагирования для эффективного устранения угрозы. Благодаря интеграции сервисов MXDR и использованию таких ресурсов, как аналитические отчеты и информация об угрозах, пользователи могут повысить свои возможности защиты и реагирования на сложные угрозы, такие как Prometei.
-----

Prometei, сложная ботнет-сеть, активно внедряется в системы с помощью целенаправленных атак методом грубой силы. Данное исследование, проведенное при поддержке Trend Vision One, раскрывает внутреннюю работу Prometei, чтобы помочь пользователям понять и эффективно устранить эту угрозу. Ботнет, являющийся частью более крупной сети, позволяющей удаленно управлять зараженными машинами и внедрять вредоносное ПО, в основном используется для майнинга криптовалют и кражи учетных данных. К началу 2023 года Prometei взломала более 10 000 систем по всему миру, активно присутствуя в таких странах, как Бразилия, Индонезия и Турция.

Для заражения систем Prometei использует уязвимости, такие как BlueKeep и уязвимости Microsoft Exchange Server. Он использует сценарии PowerShell для извлечения полезной нагрузки, а также функции самообновления для уклонения. Prometei также использует алгоритм генерации доменов (DGA) для своей инфраструктуры управления (C&C) и использует различные методы для поддержания контроля над зараженными устройствами и адаптации к защитным мерам, таким как использование веб-сервера Apache в комплекте с веб-оболочкой PHP для обеспечения сохраняемости.

В ходе конкретного расследования подозрительные попытки входа в систему, исходящие с внешних IP-адресов, связанных с Prometei, сигнализировали о потенциальной атаке методом перебора, нацеленной на сеть. После успешного входа в систему Prometei распространился по системе, используя уязвимости в протоколах RDP и SMB. Основной двоичный файл ботнета, sqhost.exe, удалил дополнительные компоненты, подключился к C&C серверам и выполнил такие действия, как манипулирование системными службами, добавление правил брандмауэра и сбор системной информации.

Процедура установки Prometei включает в себя действия-приманки при распаковке основного кода ботнета, проверке существующих установок, создании необходимых папок и разделов реестра и настройке служб для сохранения. Ботнет также использует различные бэкдорные команды, специализированные модули для сбора учетных данных, майнинга полезных данных и даже имеет клиент Tor для связи с C &C серверами, избегая определенных регионов.

Наше расследование выявило сложность и живучесть Prometei в опасных условиях, которые быстро распространяются с помощью WMI и тактики боковых перемещений. Участники угроз, стоящие за Prometei, вероятно, русскоязычные люди, имеют культурные связи, очевидные по языковым особенностям и поведению в отношении целей. Благодаря интеграции сервисов MXDR наше расследование получило возможность мониторинга в режиме реального времени для упреждающего обнаружения вредоносных действий Prometei и реагирования на них.

Для борьбы с появляющимися киберугрозами, такими как Prometei, клиенты Trend Micro могут использовать аналитические отчеты и информацию об угрозах в Trend Micro Vision One. Эти ресурсы предоставляют исчерпывающую информацию об участниках угроз, вредоносных действиях и методах, позволяющих обеспечить проактивную защиту, снизить риски и разработать эффективные стратегии реагирования. Это глубокое погружение в результаты MXDR, полученные компанией Prometei, подчеркивает критическую важность раннего обнаружения и реагирования на сложные угрозы с использованием таких решений, как Trend Vision One.

#ParsedReport #CompletenessLow
24-10-2024

CSI Forensics: Unraveling Kubernetes Crime Scenes

https://sysdig.com/blog/csi-forensics-unraveling-kubernetes-crime-scenes

Report completeness: Low

Threats:
Portscan_tool

ChatGPT TTPs:
do not use without manual check
T1071, T1046

IOCs:
File: 3
IP: 2

Soft:
sudo

Languages:
perl

Links:
https://github.com/checkpoint-restore/checkpointctl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании функции Kubernetes k8s checkpoint наряду с компонентами Falco для автоматизации создания снимков контейнеров в сценариях цифровой криминалистики и реагирования на инциденты (DFIR), уделяя особое внимание обнаружению и реагированию на вредоносные действия в контейнерных средах, а также выделяя передовые инструменты криминалистики для расширения возможностей анализа киберугроз.
-----

В статье рассматривается использование функции Kubernetes, известной как k8s checkpoint, в сочетании с компонентами Falco для автоматизации создания моментальных снимков контейнеров для цифровой криминалистики и анализа реагирования на инциденты (DFIR). Используя Falco, Falcosidekick и Argo, можно настроить механизм реагирования для выполнения контрольной точки K8s при срабатывании определенного особо вредоносного правила Falco, что позволяет проводить дальнейший анализ скомпрометированных контейнеров.

С другой стороны, в статье рассматривается развертывание чат-бота IRC в контейнере, который подключается к серверу управления (C2), подчеркивая актуальность использования такой тактики в современных киберкампаниях, нацеленных на контейнерные сервисы. И наоборот, в целях защиты основное внимание уделяется обнаружению вредоносных подключений и реагированию на них путем запуска механизма реагирования Kubernetes для выполнения контрольной точки при запуске вредоносного Perl-бот-скрипта в контейнере. В статье подчеркивается важность выявления вредоносных действий и подключений для эффективного устранения угроз.

Подчеркивается важность изучения содержимого контейнеров с контрольными точками, в частности, изучения дерева процессов для выявления таких деталей, как текущие TCP-соединения с вредоносными серверами, установленные с помощью таких вредоносных процессов, как systemd. Собранный контент в контрольной точке предоставляет ценную информацию для криминалистического анализа, включая изучение переменных среды и результатов выполнения, связанных с вредоносными процессами.

Кроме того, в статье подчеркивается потенциал использования проверки и восстановления контейнеров для динамического анализа поведения вредоносных программ в изолированных средах. Восстанавливая контрольные точки в контролируемых настройках, аналитики могут проактивно анализировать выполнение вредоносных программ, соблюдая при этом строгие меры безопасности для предотвращения утечки содержимого контейнера и повышения привилегий. Подчеркивается важность настройки параметров компьютера, защиты конфиденциальных данных и использования соответствующих инструментов, таких как Sysdig для перехвата системных вызовов и Logray для анализа событий, для получения информации о вредоносных действиях в контейнерах на низком уровне.

Представлена практическая демонстрация, в которой Sysdig с открытым исходным кодом используется для записи перехватов системных вызовов во время выполнения контейнера, что позволяет детально отслеживать выполнение вредоносных программ после восстановления. Logray, аналог Wireshark для сетевого трафика, используется для фильтрации захваченных событий и анализа действий по сканированию портов, инициированных скомпрометированным Perl-ботом, нацеленным на определенные IP-адреса. Этот всесторонний анализ демонстрирует эффективность использования контрольных точек для контейнеров и передовых инструментов судебной экспертизы для выявления вредоносных действий в контейнерных средах и реагирования на них, расширяя возможности разведки киберугроз.