#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) расследует вредоносную кампанию, направленную против местных органов власти и связанную с рассылкой электронных писем с вредоносными ссылками, маскирующимися под электронные таблицы Google. Целью кампании является создание SSH-туннеля для кражи и эксфильтрации аутентификационных и критически важных данных из веб-браузеров с использованием команд PowerShell и развертывания программного обеспечения METASPLOIT. Злоумышленники успешно воспользовались уязвимостями, украли аутентификационные данные, скомпрометировали учетные записи электронной почты и запустили дальнейшие вредоносные действия, предварительно связав их с деятельностью группы UAC-0001 (APT28).
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, или CERT-UA, в настоящее время проводит расследование вредоносной кампании, направленной против местных органов власти. Эта кампания включает в себя рассылку электронных писем со строкой темы "Замена таблицы", которая содержит ссылку, замаскированную под электронную таблицу Google. При переходе по ссылке пользователям открывается окно защиты от поддельных ботов reCAPTCHA. Если пользователь реагирует на поддельное приглашение, нажав на поле с надписью "Я не робот", команда PowerShell копируется в буфер обмена компьютера. Затем пользователю предлагается нажать комбинацию клавиш "Win+R", чтобы открыть командную строку, затем "Ctrl+V", чтобы вставить команду, а затем нажать "Enter". Это действие запускает выполнение команды PowerShell.

После выполнения команды PowerShell запускается загрузка и выполнение двух файлов: "browser.hta" и "Browser.ps1". Основной целью этих файлов является создание SSH-туннеля, позволяющего красть и отфильтровывать аутентификационные и другие важные данные из веб-браузеров, таких как Chrome, Edge, Opera и Firefox. Кроме того, скрипт PowerShell также использует программное средство METASPLOIT, известное своими возможностями для осуществления дальнейших вредоносных действий.

В ходе аналогичного инцидента, расследованного CERT-UA в сентябре 2024 года (CERT-UA#10859), было обнаружено, что вредоносные электронные письма содержат эксплойт, нацеленный на уязвимость в Roundcube, идентифицированную как CVE-2023-43770. Этот эксплойт позволил злоумышленникам украсть аутентификационные данные пользователей и внедрить фильтр "SystemHealthChek" - плагин, перенаправляющий содержимое почтового ящика жертвы на адрес электронной почты злоумышленника. В ходе этого расследования было выявлено более 10 скомпрометированных учетных записей электронной почты, принадлежащих правительственным организациям. Злоумышленники использовали эти учетные записи для автоматического получения конфиденциальных данных и запуска дополнительных вредоносных кампаний по электронной почте, в том числе нацеленных на министерства обороны зарубежных стран.

Основываясь на собранных доказательствах, CERT-UA с умеренной степенью уверенности предварительно отнесла эти действия к группе UAC-0001, также известной как APT28. Эта связь дополнительно проиллюстрирована на рисунке 2, где показана цепочка повреждений, возникших в результате эксплойта CVE-2023-43770 (CERT-UA#10859) и последующей кибератаки со стороны UAC-0001 (APT28) с использованием команд PowerShell в качестве точки входа (CERT-UA#11689).

#ParsedReport #CompletenessMedium
26-10-2024

CERT-AGID Computer Emergency Response TeamAGID. XWorm Spread in Italy via Fake Namirial Invoice

https://cert-agid.gov.it/news/xworm-diffuso-in-italia-tramite-falsa-fattura-namirial

Report completeness: Medium

Threats:
Xworm_rat
Remcos_rat
Asyncrat
Dcrat
Cloudeye
Venomrat

Geo:
Italy, Italia, Italian

ChatGPT TTPs:
do not use without manual check
T1566.001, T1036.005, T1059.006

IOCs:
Hash: 16
File: 5
Domain: 2
Url: 3

Soft:
Dropbox, trycloudflare

Algorithms:
zip

Languages:
python

Links:
https://github.com/Einstein2150/BatchShield-Decryptor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается вредоносная кампания с использованием троянской программы XWorm RAT, нацеленной на итальянских пользователей с помощью поддельных электронных писем, имитирующих официальные сообщения. Злоумышленники используют тактику социальной инженерии, чтобы обманом заставить получателей загружать вредоносные файлы, в конечном итоге стремясь скомпрометировать системы в неблаговидных целях. Кампания использует специальные показатели, такие как хэши файлов и URL-адреса, для распространения таких разновидностей вредоносных программ, как AsyncRAT, DCRat и Remcos RAT, расширяя их возможности по уклонению от обнаружения и сохранению стойкости. Наличие интерпретатора Python в полезной нагрузке указывает на ловкость злоумышленников в использовании языков сценариев для автоматизации вредоносных действий, что представляет значительную угрозу для отдельных лиц и организаций.
-----

В тексте описывается вредоносная кампания с использованием троянской программы XWorm RAT, которая распространяется с помощью поддельных электронных писем, выдаваемых за официальные сообщения от оператора Namirial. Электронное письмо составлено на итальянском языке и предлагает получателю открыть вложенный PDF-документ. Если PDF-файл не открывается, в электронном письме предлагается использовать альтернативную ссылку в сообщении. Эта тактика знакома по предыдущим кампаниям. Как только пользователь нажимает на ссылку, загружается ZIP-архив, содержащий интерпретатор Python, который затем используется для запуска вредоносных скриптов, уже присутствующих в архиве.

Кампания XWorm RAT нацелена на итальянских пользователей и использует специальные показатели, такие как хэши файлов и URL-адреса, для распространения вредоносного ПО. Некоторые из вариантов вредоносного ПО, которые могут быть развернуты в рамках этой кампании, включают AsyncRAT, DCRat, GuLoader, VenomRAT, Remcos RAT и XWorm, как показано в текущем примере. Злоумышленники используют различные методы для обмана пользователей и доставки полезной информации, конечной целью которых является компрометация систем в злонамеренных целях.

Технология "заманивания" по электронной почте, имитирующая законное общение, является распространенной стратегией, используемой злоумышленниками для того, чтобы обманом заставить пользователей загружать и запускать вредоносные файлы. Используя тактику социальной инженерии и используя доверие, связанное с официальными сообщениями, злоумышленники могут повысить вероятность успешного заражения. В рамках этой конкретной кампании поддельные электронные письма на итальянском языке должны выглядеть так, как будто они получены из авторитетного источника, создавая ощущение срочности или важности, чтобы побудить получателей ознакомиться с вредоносным контентом.

Троянская программа XWorm RAT, запущенная в системе жертвы, может позволить злоумышленникам получить несанкционированный доступ, извлечь конфиденциальную информацию и, возможно, осуществлять дальнейшие вредоносные действия. Разновидности вредоносных программ, связанных с этой кампанией, известны своей способностью избегать обнаружения и сохранять постоянство на зараженных компьютерах, представляя значительную угрозу как для отдельных пользователей, так и для организаций.

Использование определенных хэшей файлов и URL-адресов в кампании указывает на уровень изощренности тактики злоумышленников, позволяя им отслеживать распространение и успех вредоносного ПО. Анализируя эти показатели, исследователи и организации, занимающиеся кибербезопасностью, могут лучше понять масштабы и влияние кампании, а также разработать контрмеры для защиты от подобных угроз.

Наличие в архиве интерпретатора Python позволяет предположить, что злоумышленники, возможно, используют языки сценариев для автоматизации и улучшения выполнения вредоносных программ. Это подчеркивает адаптивность и гибкость киберпреступников в использовании различных инструментов и методов для достижения своих целей при целенаправленных атаках.

#ParsedReport #CompletenessLow
27-10-2024

Scattered Spider x RansomHub: A New Partnership

https://www.reliaquest.com/blog/scattered-spider-x-ransomhub-a-new-partnership

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Carbanak

Threats:
Ransomhub
Blackcat
Sim_swapping_technique
Credential_dumping_technique
Logmein_tool
Blackbasta
Lockbit
Darkside
Ransomexx

Industry:
Entertainment, Financial, Telco

Geo:
North korea, China, French, American, Spanish, German, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1098, T1083, T1021

IOCs:
File: 14
IP: 1

Soft:
ESXi, Telegram, Chrome, Firefox, AnyConnect, Microsoft Office 365, Active Directory, VeraCrypt, Microsoft Teams

Functions:
English, English-language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа под названием "Scattered Spider" сотрудничала с группой программ-вымогателей "RansomHub" для проведения сложной кибератаки на организацию производственного сектора. Этот инцидент подчеркивает эволюцию тактики и изощренность участников киберугроз, подчеркивая необходимость усиления организациями своих средств кибербезопасности для защиты от подобных атак.
-----

В тексте описывается инцидент, произошедший в октябре 2024 года, когда хакерская группа, известная как "Scattered Spider", сотрудничала с группой программ-вымогателей "RansomHub" для проведения сложной кибератаки на организацию производственного сектора. Компания Scattered Spider, ранее связанная с группой вымогателей "ALPHV", использовала методы социальной инженерии для взлома учетных записей сотрудников, получив доступ к системам компании. Они использовали среду ESXi организации для создания виртуальной машины, скрывая свою деятельность до тех пор, пока не зашифровали среду и не саботировали резервное копирование.

Scattered Spider связан с Сообществом, известным своим участием в различных киберпреступных действиях, связанных с социальной инженерией. Со временем группа стала сотрудничать с группами-вымогателями, такими как RansomHub, которых привлекли выгодные модели распределения прибыли. Сотрудничество между Scattered Spider и RansomHub представляет серьезную угрозу для организаций во всех секторах, что подчеркивает необходимость принятия надежных мер безопасности.

Целью злоумышленников была критически важная инфраструктура, такая как серверы ESXi и резервные копии, с целью получения максимальной финансовой выгоды и избежания обнаружения. Они использовали уязвимости в системах организации, используя социальную инженерию для получения первоначального доступа и перемещения по сети. Злоумышленники использовали такие тактические приемы, как отключение вторичной многофакторной аутентификации, нацеливание на определенные приложения и доступ к конфиденциальной информации через SharePoint.

Кроме того, в тексте обсуждается растущая тенденция появления групп программ-вымогателей, нацеленных на серверы ESXi, и подчеркивается важность защиты от таких атак. Рекомендации включают усиление методов многофакторной аутентификации, проведение оценки социальной инженерии, внедрение политик условного доступа на основе клиентов и обеспечение актуальности систем виртуализации.

Этот инцидент подчеркивает эволюцию тактики и изощренность действий участников киберугроз, подчеркивая необходимость того, чтобы организации усиливали свою защиту от кибербезопасности. Это также проливает свет на растущее сотрудничество между хакерскими группами и влияние программ-вымогателей на критически важную бизнес-инфраструктуру. Организациям рекомендуется проявлять бдительность, обновлять свои меры безопасности и внедрять передовые методы для снижения рисков, связанных с распространенными киберугрозами.

#ParsedReport #CompletenessMedium
26-10-2024

Cronus: Ransomware Threatening Bodily Harm. Appendix - Public Key

https://blog.pulsedive.com/threat-research-cronus-ransomware-threatening-bodily-harm

Report completeness: Medium

Threats:
Cronus
Process_hacker_tool
Akira_ransomware
Process_hollowing_technique
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 8
Technics: 1

IOCs:
Path: 1
File: 10
Registry: 1
Email: 1
Hash: 1

Soft:
steam, thebat, thebat64, onenote, outlook, PccNTMon, wordpad

Crypto:
bitcoin

Algorithms:
lzma, cbc, aes, md5, sha1, zipx, sha256, zip

Win Services:
sqlwriter, sqbcoreservice, VirtualBoxVM, sqlagent, sqlbrowser, sqlservr, agntsvc, infopath, synctime, VBoxSVC, have more...

Languages:
powershell, visual_basic

Platforms:
x86, intel

Links:
https://github.com/ThreatLabz/ransomware\_notes

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 7, table: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cronus Ransomware - это программа-вымогатель на базе .NET, которая маскируется под счет от PayPal в вредоносном документе, чтобы инициировать шифрование файлов на всех доступных дисках устройства. Он устанавливает постоянство, требует оплату в биткоинах на сумму 500 долларов за расшифровку и использует специальную тактику для обеспечения бесперебойного шифрования и потенциальных платежей от жертв.
-----

Программа-вымогатель Cronus - это вирус на базе .NET, о котором исследователи Seqrite впервые сообщили после обнаружения вредоносного документа, отправленного в VirusTotal. Программа-вымогатель начинает свою цепочку вторжений, маскируясь под счет от PayPal в вредоносном документе. Когда пользователь взаимодействует с документом и запускает макросы, загружается сценарий PowerShell, который загружает DLL Cronus ransomware для выполнения.

После выполнения Cronus копирует себя на C:\Users\USERNAME\AppData\Local, удаляет все существующие копии, а затем инициирует шифрование файлов на всех доступных дисках устройства. Программа-вымогатель идентифицирует доступные папки, исключает определенные файлы и шифрует файлы с определенными расширениями, преобразуя файлы, доступные только для чтения, в файлы, доступные для редактирования, перед их шифрованием с использованием различных методов шифрования.

Cronus также завершает определенные процессы на устройстве, чтобы обеспечить бесперебойное шифрование, и устанавливает постоянство, изменяя раздел реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, гарантируя, что программа-вымогатель запускается всякий раз, когда пользователь снова входит в систему. Зашифрованные файлы получают случайное буквенно-цифровое расширение из 5 символов, в отличие от других вариантов программ-вымогателей, которые используют согласованные расширения для всех зашифрованных файлов.

В записке с требованием выкупа, отправленной Cronus по имени cronus.txt, для расшифровки требуется оплата в биткоинах на сумму 500 долларов, жертвам предлагается отправить платеж на определенный кошелек и сообщить идентификатор транзакции по электронной почте, чтобы получить инструмент для расшифровки. В отличие от некоторых семейств программ-вымогателей, которые предоставляют ссылки для просмотра украденной информации, Cronus в своем примечании указывает только адрес электронной почты.

По состоянию на 4 октября 2024 года анализ указанного биткоин-кошелька не выявил никаких транзакций, что позволяет предположить, что жертвы, возможно, сопротивлялись выплате выкупа или внедрение программ-вымогателей с использованием этого кошелька не увенчалось успехом. Ограниченная публичная информация о Cronus подразумевает, что его глобальное использование может быть ограничено, и разработчики, вероятно, рассчитывают на низкие требования выкупа, чтобы стимулировать платежи и предотвратить сбои.

#ParsedReport #CompletenessMedium
27-10-2024

ReliaQuest Uncovers New Black Basta Social Engineering Technique

https://www.reliaquest.com/blog/black-basta-social-engineering-technique-microsoft-teams

Report completeness: Medium

Threats:
Blackbasta
Impacket_tool
Cobalt_strike
Quick_assist_tool
Anydesk_tool
Qshing_technique

Industry:
E-commerce, Financial

Geo:
Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1583, T1078, T1566, T1203, T1003, T1021, T1071

IOCs:
Domain: 13
File: 3
Email: 5

Soft:
Microsoft Teams, Local Security Authority

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитик cyber threat intelligence сообщает о недавней кампании, проведенной группой злоумышленников Black Basta, в которой использовались тактики социальной инженерии, передовые методы с использованием Microsoft Teams и вредоносных QR-кодов, а также использование таких доменов, как "upd7" и "upd10", для фишинговой деятельности. Злоумышленники усовершенствовали свою тактику, включив в нее мошеннические телефонные звонки и использование средств удаленного мониторинга и управления для получения доступа к системам, перемещения по сети и внедрения программ-вымогателей. Аналитик подчеркивает важность мониторинга показателей, обучения сотрудников, принятия комплексных мер безопасности и сохранения бдительности для защиты от подобных атак социальной инженерии.
-----

Хакерская группа под названием Black Basta использует сложную тактику социальной инженерии и развивает свои методы, нацеленные на организации.

Группа использовала спам по электронной почте, мошеннические телефонные звонки, сообщения в чате Microsoft Teams и вредоносные QR-коды для получения первоначального доступа к системам.

Black Basta выдавал себя за сотрудников службы поддержки и администратора Entra ID, базирующихся в России, чтобы обманом заставить пользователей использовать QuickAssist для сеансов поддержки и обмена QR-кодами в чатах.

Злоумышленники использовали такие домены, как "upd7" и "upd10", для фишинговых действий, причем признаки, указывающие на причастность к этой деятельности Black Basta, включая создание домена и настройки Cobalt Strike.

Black Basta внедряет программы-вымогатели в целевых средах и маскирует вредоносные файлы под антиспам-программы для сбора учетных данных пользователей, перемещения по сети и маскировки под законные организации.

Организациям рекомендуется проводить постоянное обучение сотрудников, внедрять стратегию углубленной защиты, проводить регулярные проверки безопасности и сохранять бдительность, чтобы защититься от подобных атак социальной инженерии.

#ParsedReport #CompletenessMedium
26-10-2024

Tenacious Pungsan: A DPRK threat actor linked to Contagious Interview

https://securitylabs.datadoghq.com/articles/tenacious-pungsan-dprk-threat-actor-contagious-interview

Report completeness: Medium

Actors/Campaigns:
Tenacious_pungsan
Contagious_interview

Threats:
Supply_chain_technique
Beavertail
Invisibleferret

Victims:
Blockchain developers, Developer job applicants

Industry:
Financial

Geo:
Korea, Dprk, North korea

ChatGPT TTPs:
do not use without manual check
T1001, T1071, T1027, T1041, T1213

IOCs:
Email: 2
IP: 1
File: 4

Soft:
Unix, Node.js, Firefox, macOS, twitter

Algorithms:
bcrypt

Languages:
python, javascript

Links:
https://github.com/advisories/GHSA-q99j-q5f8-qcc8
https://github.com/DataDog/malicious-software-packages-dataset
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что DataDog Security Research активно отслеживает npm и PyPI на предмет атак на цепочки поставок программного обеспечения, в частности, выявляет вредоносные пакеты с открытым исходным кодом с помощью GuardDog. Они обнаружили множество вредоносных пакетов, в том числе недавний случай, связанный с вредоносным по BeaverTail, связанным с группой под названием "Tenacious Pungsan" из Северной Кореи, нацеленной на лиц, ищущих работу в технологической отрасли США. В тексте также подчеркивается растущая угроза, исходящая от атак на цепочки поставок программного обеспечения с открытым исходным кодом, связанных с присвоением имен и обманными методами компрометации законных пакетов. Присутствие вредоносной программы BeaverTail, связанного с ней бэкдора и связь с определенными целевыми группами подчеркивают важность постоянного мониторинга и превентивных мер для защиты от подобных угроз.
-----

DataDog Security Research внимательно отслеживает атаки npm и PyPI на цепочки поставок программного обеспечения с помощью GuardDog, инструмента, который идентифицирует вредоносные пакеты с открытым исходным кодом по поведению кода и метаданным. За последние два года они выявили более 1700 вредоносных пакетов. В сентябре 2024 года было обнаружено, что три вредоносных пакета npm - passports-js, bcrypts-js и blockscan-api - содержат вредоносное по BeaverTail, связанное с группой под названием "Tenacious Pungsan", связанной с Северной Кореей. Вредоносная программа является частью кампании по распространению заразных собеседований, нацеленной на соискателей работы в технологической отрасли США, путем заманивания жертв на участие в поддельных собеседованиях о приеме на работу, где вредоносная программа предоставляется в качестве задания.

Цепочки поставок программного обеспечения с открытым исходным кодом все чаще становятся мишенью злоумышленников, которые компрометируют широко используемые пакеты или создают новые вредоносные программы. Атаки часто связаны с присвоением имен, когда вредоносный пакет делается похожим на законный, чтобы обмануть разработчиков. GuardDog проводит сканирование на наличие подобных угроз и на протяжении многих лет обнаруживал различные вредоносные пакеты. Passports-js, помеченный для проверки вручную в сентябре 2024 года, содержал запутанный JavaScript-код, похожий на другой вредоносный пакет, blockscan-api. Было обнаружено, что эти пакеты содержат вредоносное по BeaverTail, известное своей атакой на криптовалютные кошельки и информацию о кредитных картах.

Вредоносная программа BeaverTail, замаскированная с помощью обычного обфускатора, крадет информацию и загружает бэкдор на Python под названием InvisibleFerret с серверов, контролируемых злоумышленниками. Различные идентификаторы кампаний, связанные с различными вариантами BeaverTail, указывают на то, что они нацелены на определенные группы, такие как Node.js разработчики или кандидаты на работу, связанные с блокчейном. TTP вредоносной программы совпадают с TTP кампании Contagious Interview, что указывает на связь с Tenacious Pungsan. Группа повторно использует инфраструктуру, включая IP-адреса и структуры веб-каталогов, для обеспечения согласованности своей деятельности.

Для содействия дальнейшим исследованиям были опубликованы образцы BeaverTail в passports-js, bcrypts-js и blockscan-api. Злоумышленники часто копируют и используют бэкдоры в законных пакетах npm для распространения вредоносного ПО, что подчеркивает постоянную угрозу для отдельных разработчиков в экосистеме. В целом, эти выводы подчеркивают постоянный риск атак на цепочки поставок и необходимость постоянного мониторинга и превентивных мер в сообществе разработчиков программного обеспечения.

#ParsedReport #CompletenessHigh
26-10-2024

Embargo ransomware: Rock n Rust

https://www.welivesecurity.com/en/eset-research/embargo-ransomware-rocknrust

Report completeness: High

Threats:
Embargo_ransomware
Mdeployer_tool
Ms4killer_tool
S4killer_tool
Byovd_technique
Blackcat
Lockbit
Filecoder

Victims:
Us companies

Geo:
Ukraine

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 30
Coin: 1
Path: 14
IP: 1
Hash: 9
Registry: 2
Command: 5

Soft:
Linux, bcdedit, Windows Defender, Windows registry, firefox, Windows service

Algorithms:
xor, rc4

Functions:
Embargo, MDeployer

Win API:
FilterConnectCommunicationPort, FilterSendMessage, WaitForSingleObject, OpenProcessToken, SeLoadDriverPrivilege, CreateServiceW, FilterLoad

Win Services:
ekrn, SentinelAgent, LogProcessorService, MsMpEng, EPProtectedService, EPIntegrationService, EPSecurityService, EPUpdateService

Languages:
powershell, rust

Platforms:
cross-platform

Links:
https://github.com/gavz/s4killer/blob/main/src/driver.rs
https://github.com/WinRb/winrm-fs/blob/fc98d6d182f966f2bf803f6fbfa7c99ac88ccebb/lib/winrm-fs/core/file\_transporter.rb#L496
have more...
https://github.com/gavz/s4killer/

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4