#ParsedReport #CompletenessMedium
26-10-2024

CERT-AGID Computer Emergency Response TeamAGID. XWorm Spread in Italy via Fake Namirial Invoice

https://cert-agid.gov.it/news/xworm-diffuso-in-italia-tramite-falsa-fattura-namirial

Report completeness: Medium

Threats:
Xworm_rat
Remcos_rat
Asyncrat
Dcrat
Cloudeye
Venomrat

Geo:
Italy, Italia, Italian

ChatGPT TTPs:
do not use without manual check
T1566.001, T1036.005, T1059.006

IOCs:
Hash: 16
File: 5
Domain: 2
Url: 3

Soft:
Dropbox, trycloudflare

Algorithms:
zip

Languages:
python

Links:
https://github.com/Einstein2150/BatchShield-Decryptor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается вредоносная кампания с использованием троянской программы XWorm RAT, нацеленной на итальянских пользователей с помощью поддельных электронных писем, имитирующих официальные сообщения. Злоумышленники используют тактику социальной инженерии, чтобы обманом заставить получателей загружать вредоносные файлы, в конечном итоге стремясь скомпрометировать системы в неблаговидных целях. Кампания использует специальные показатели, такие как хэши файлов и URL-адреса, для распространения таких разновидностей вредоносных программ, как AsyncRAT, DCRat и Remcos RAT, расширяя их возможности по уклонению от обнаружения и сохранению стойкости. Наличие интерпретатора Python в полезной нагрузке указывает на ловкость злоумышленников в использовании языков сценариев для автоматизации вредоносных действий, что представляет значительную угрозу для отдельных лиц и организаций.
-----

В тексте описывается вредоносная кампания с использованием троянской программы XWorm RAT, которая распространяется с помощью поддельных электронных писем, выдаваемых за официальные сообщения от оператора Namirial. Электронное письмо составлено на итальянском языке и предлагает получателю открыть вложенный PDF-документ. Если PDF-файл не открывается, в электронном письме предлагается использовать альтернативную ссылку в сообщении. Эта тактика знакома по предыдущим кампаниям. Как только пользователь нажимает на ссылку, загружается ZIP-архив, содержащий интерпретатор Python, который затем используется для запуска вредоносных скриптов, уже присутствующих в архиве.

Кампания XWorm RAT нацелена на итальянских пользователей и использует специальные показатели, такие как хэши файлов и URL-адреса, для распространения вредоносного ПО. Некоторые из вариантов вредоносного ПО, которые могут быть развернуты в рамках этой кампании, включают AsyncRAT, DCRat, GuLoader, VenomRAT, Remcos RAT и XWorm, как показано в текущем примере. Злоумышленники используют различные методы для обмана пользователей и доставки полезной информации, конечной целью которых является компрометация систем в злонамеренных целях.

Технология "заманивания" по электронной почте, имитирующая законное общение, является распространенной стратегией, используемой злоумышленниками для того, чтобы обманом заставить пользователей загружать и запускать вредоносные файлы. Используя тактику социальной инженерии и используя доверие, связанное с официальными сообщениями, злоумышленники могут повысить вероятность успешного заражения. В рамках этой конкретной кампании поддельные электронные письма на итальянском языке должны выглядеть так, как будто они получены из авторитетного источника, создавая ощущение срочности или важности, чтобы побудить получателей ознакомиться с вредоносным контентом.

Троянская программа XWorm RAT, запущенная в системе жертвы, может позволить злоумышленникам получить несанкционированный доступ, извлечь конфиденциальную информацию и, возможно, осуществлять дальнейшие вредоносные действия. Разновидности вредоносных программ, связанных с этой кампанией, известны своей способностью избегать обнаружения и сохранять постоянство на зараженных компьютерах, представляя значительную угрозу как для отдельных пользователей, так и для организаций.

Использование определенных хэшей файлов и URL-адресов в кампании указывает на уровень изощренности тактики злоумышленников, позволяя им отслеживать распространение и успех вредоносного ПО. Анализируя эти показатели, исследователи и организации, занимающиеся кибербезопасностью, могут лучше понять масштабы и влияние кампании, а также разработать контрмеры для защиты от подобных угроз.

Наличие в архиве интерпретатора Python позволяет предположить, что злоумышленники, возможно, используют языки сценариев для автоматизации и улучшения выполнения вредоносных программ. Это подчеркивает адаптивность и гибкость киберпреступников в использовании различных инструментов и методов для достижения своих целей при целенаправленных атаках.

#ParsedReport #CompletenessLow
27-10-2024

Scattered Spider x RansomHub: A New Partnership

https://www.reliaquest.com/blog/scattered-spider-x-ransomhub-a-new-partnership

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Carbanak

Threats:
Ransomhub
Blackcat
Sim_swapping_technique
Credential_dumping_technique
Logmein_tool
Blackbasta
Lockbit
Darkside
Ransomexx

Industry:
Entertainment, Financial, Telco

Geo:
North korea, China, French, American, Spanish, German, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1098, T1083, T1021

IOCs:
File: 14
IP: 1

Soft:
ESXi, Telegram, Chrome, Firefox, AnyConnect, Microsoft Office 365, Active Directory, VeraCrypt, Microsoft Teams

Functions:
English, English-language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа под названием "Scattered Spider" сотрудничала с группой программ-вымогателей "RansomHub" для проведения сложной кибератаки на организацию производственного сектора. Этот инцидент подчеркивает эволюцию тактики и изощренность участников киберугроз, подчеркивая необходимость усиления организациями своих средств кибербезопасности для защиты от подобных атак.
-----

В тексте описывается инцидент, произошедший в октябре 2024 года, когда хакерская группа, известная как "Scattered Spider", сотрудничала с группой программ-вымогателей "RansomHub" для проведения сложной кибератаки на организацию производственного сектора. Компания Scattered Spider, ранее связанная с группой вымогателей "ALPHV", использовала методы социальной инженерии для взлома учетных записей сотрудников, получив доступ к системам компании. Они использовали среду ESXi организации для создания виртуальной машины, скрывая свою деятельность до тех пор, пока не зашифровали среду и не саботировали резервное копирование.

Scattered Spider связан с Сообществом, известным своим участием в различных киберпреступных действиях, связанных с социальной инженерией. Со временем группа стала сотрудничать с группами-вымогателями, такими как RansomHub, которых привлекли выгодные модели распределения прибыли. Сотрудничество между Scattered Spider и RansomHub представляет серьезную угрозу для организаций во всех секторах, что подчеркивает необходимость принятия надежных мер безопасности.

Целью злоумышленников была критически важная инфраструктура, такая как серверы ESXi и резервные копии, с целью получения максимальной финансовой выгоды и избежания обнаружения. Они использовали уязвимости в системах организации, используя социальную инженерию для получения первоначального доступа и перемещения по сети. Злоумышленники использовали такие тактические приемы, как отключение вторичной многофакторной аутентификации, нацеливание на определенные приложения и доступ к конфиденциальной информации через SharePoint.

Кроме того, в тексте обсуждается растущая тенденция появления групп программ-вымогателей, нацеленных на серверы ESXi, и подчеркивается важность защиты от таких атак. Рекомендации включают усиление методов многофакторной аутентификации, проведение оценки социальной инженерии, внедрение политик условного доступа на основе клиентов и обеспечение актуальности систем виртуализации.

Этот инцидент подчеркивает эволюцию тактики и изощренность действий участников киберугроз, подчеркивая необходимость того, чтобы организации усиливали свою защиту от кибербезопасности. Это также проливает свет на растущее сотрудничество между хакерскими группами и влияние программ-вымогателей на критически важную бизнес-инфраструктуру. Организациям рекомендуется проявлять бдительность, обновлять свои меры безопасности и внедрять передовые методы для снижения рисков, связанных с распространенными киберугрозами.

#ParsedReport #CompletenessMedium
26-10-2024

Cronus: Ransomware Threatening Bodily Harm. Appendix - Public Key

https://blog.pulsedive.com/threat-research-cronus-ransomware-threatening-bodily-harm

Report completeness: Medium

Threats:
Cronus
Process_hacker_tool
Akira_ransomware
Process_hollowing_technique
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 8
Technics: 1

IOCs:
Path: 1
File: 10
Registry: 1
Email: 1
Hash: 1

Soft:
steam, thebat, thebat64, onenote, outlook, PccNTMon, wordpad

Crypto:
bitcoin

Algorithms:
lzma, cbc, aes, md5, sha1, zipx, sha256, zip

Win Services:
sqlwriter, sqbcoreservice, VirtualBoxVM, sqlagent, sqlbrowser, sqlservr, agntsvc, infopath, synctime, VBoxSVC, have more...

Languages:
powershell, visual_basic

Platforms:
x86, intel

Links:
https://github.com/ThreatLabz/ransomware\_notes

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 7, table: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cronus Ransomware - это программа-вымогатель на базе .NET, которая маскируется под счет от PayPal в вредоносном документе, чтобы инициировать шифрование файлов на всех доступных дисках устройства. Он устанавливает постоянство, требует оплату в биткоинах на сумму 500 долларов за расшифровку и использует специальную тактику для обеспечения бесперебойного шифрования и потенциальных платежей от жертв.
-----

Программа-вымогатель Cronus - это вирус на базе .NET, о котором исследователи Seqrite впервые сообщили после обнаружения вредоносного документа, отправленного в VirusTotal. Программа-вымогатель начинает свою цепочку вторжений, маскируясь под счет от PayPal в вредоносном документе. Когда пользователь взаимодействует с документом и запускает макросы, загружается сценарий PowerShell, который загружает DLL Cronus ransomware для выполнения.

После выполнения Cronus копирует себя на C:\Users\USERNAME\AppData\Local, удаляет все существующие копии, а затем инициирует шифрование файлов на всех доступных дисках устройства. Программа-вымогатель идентифицирует доступные папки, исключает определенные файлы и шифрует файлы с определенными расширениями, преобразуя файлы, доступные только для чтения, в файлы, доступные для редактирования, перед их шифрованием с использованием различных методов шифрования.

Cronus также завершает определенные процессы на устройстве, чтобы обеспечить бесперебойное шифрование, и устанавливает постоянство, изменяя раздел реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, гарантируя, что программа-вымогатель запускается всякий раз, когда пользователь снова входит в систему. Зашифрованные файлы получают случайное буквенно-цифровое расширение из 5 символов, в отличие от других вариантов программ-вымогателей, которые используют согласованные расширения для всех зашифрованных файлов.

В записке с требованием выкупа, отправленной Cronus по имени cronus.txt, для расшифровки требуется оплата в биткоинах на сумму 500 долларов, жертвам предлагается отправить платеж на определенный кошелек и сообщить идентификатор транзакции по электронной почте, чтобы получить инструмент для расшифровки. В отличие от некоторых семейств программ-вымогателей, которые предоставляют ссылки для просмотра украденной информации, Cronus в своем примечании указывает только адрес электронной почты.

По состоянию на 4 октября 2024 года анализ указанного биткоин-кошелька не выявил никаких транзакций, что позволяет предположить, что жертвы, возможно, сопротивлялись выплате выкупа или внедрение программ-вымогателей с использованием этого кошелька не увенчалось успехом. Ограниченная публичная информация о Cronus подразумевает, что его глобальное использование может быть ограничено, и разработчики, вероятно, рассчитывают на низкие требования выкупа, чтобы стимулировать платежи и предотвратить сбои.

#ParsedReport #CompletenessMedium
27-10-2024

ReliaQuest Uncovers New Black Basta Social Engineering Technique

https://www.reliaquest.com/blog/black-basta-social-engineering-technique-microsoft-teams

Report completeness: Medium

Threats:
Blackbasta
Impacket_tool
Cobalt_strike
Quick_assist_tool
Anydesk_tool
Qshing_technique

Industry:
E-commerce, Financial

Geo:
Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1583, T1078, T1566, T1203, T1003, T1021, T1071

IOCs:
Domain: 13
File: 3
Email: 5

Soft:
Microsoft Teams, Local Security Authority

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитик cyber threat intelligence сообщает о недавней кампании, проведенной группой злоумышленников Black Basta, в которой использовались тактики социальной инженерии, передовые методы с использованием Microsoft Teams и вредоносных QR-кодов, а также использование таких доменов, как "upd7" и "upd10", для фишинговой деятельности. Злоумышленники усовершенствовали свою тактику, включив в нее мошеннические телефонные звонки и использование средств удаленного мониторинга и управления для получения доступа к системам, перемещения по сети и внедрения программ-вымогателей. Аналитик подчеркивает важность мониторинга показателей, обучения сотрудников, принятия комплексных мер безопасности и сохранения бдительности для защиты от подобных атак социальной инженерии.
-----

Хакерская группа под названием Black Basta использует сложную тактику социальной инженерии и развивает свои методы, нацеленные на организации.

Группа использовала спам по электронной почте, мошеннические телефонные звонки, сообщения в чате Microsoft Teams и вредоносные QR-коды для получения первоначального доступа к системам.

Black Basta выдавал себя за сотрудников службы поддержки и администратора Entra ID, базирующихся в России, чтобы обманом заставить пользователей использовать QuickAssist для сеансов поддержки и обмена QR-кодами в чатах.

Злоумышленники использовали такие домены, как "upd7" и "upd10", для фишинговых действий, причем признаки, указывающие на причастность к этой деятельности Black Basta, включая создание домена и настройки Cobalt Strike.

Black Basta внедряет программы-вымогатели в целевых средах и маскирует вредоносные файлы под антиспам-программы для сбора учетных данных пользователей, перемещения по сети и маскировки под законные организации.

Организациям рекомендуется проводить постоянное обучение сотрудников, внедрять стратегию углубленной защиты, проводить регулярные проверки безопасности и сохранять бдительность, чтобы защититься от подобных атак социальной инженерии.

#ParsedReport #CompletenessMedium
26-10-2024

Tenacious Pungsan: A DPRK threat actor linked to Contagious Interview

https://securitylabs.datadoghq.com/articles/tenacious-pungsan-dprk-threat-actor-contagious-interview

Report completeness: Medium

Actors/Campaigns:
Tenacious_pungsan
Contagious_interview

Threats:
Supply_chain_technique
Beavertail
Invisibleferret

Victims:
Blockchain developers, Developer job applicants

Industry:
Financial

Geo:
Korea, Dprk, North korea

ChatGPT TTPs:
do not use without manual check
T1001, T1071, T1027, T1041, T1213

IOCs:
Email: 2
IP: 1
File: 4

Soft:
Unix, Node.js, Firefox, macOS, twitter

Algorithms:
bcrypt

Languages:
python, javascript

Links:
https://github.com/advisories/GHSA-q99j-q5f8-qcc8
https://github.com/DataDog/malicious-software-packages-dataset
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что DataDog Security Research активно отслеживает npm и PyPI на предмет атак на цепочки поставок программного обеспечения, в частности, выявляет вредоносные пакеты с открытым исходным кодом с помощью GuardDog. Они обнаружили множество вредоносных пакетов, в том числе недавний случай, связанный с вредоносным по BeaverTail, связанным с группой под названием "Tenacious Pungsan" из Северной Кореи, нацеленной на лиц, ищущих работу в технологической отрасли США. В тексте также подчеркивается растущая угроза, исходящая от атак на цепочки поставок программного обеспечения с открытым исходным кодом, связанных с присвоением имен и обманными методами компрометации законных пакетов. Присутствие вредоносной программы BeaverTail, связанного с ней бэкдора и связь с определенными целевыми группами подчеркивают важность постоянного мониторинга и превентивных мер для защиты от подобных угроз.
-----

DataDog Security Research внимательно отслеживает атаки npm и PyPI на цепочки поставок программного обеспечения с помощью GuardDog, инструмента, который идентифицирует вредоносные пакеты с открытым исходным кодом по поведению кода и метаданным. За последние два года они выявили более 1700 вредоносных пакетов. В сентябре 2024 года было обнаружено, что три вредоносных пакета npm - passports-js, bcrypts-js и blockscan-api - содержат вредоносное по BeaverTail, связанное с группой под названием "Tenacious Pungsan", связанной с Северной Кореей. Вредоносная программа является частью кампании по распространению заразных собеседований, нацеленной на соискателей работы в технологической отрасли США, путем заманивания жертв на участие в поддельных собеседованиях о приеме на работу, где вредоносная программа предоставляется в качестве задания.

Цепочки поставок программного обеспечения с открытым исходным кодом все чаще становятся мишенью злоумышленников, которые компрометируют широко используемые пакеты или создают новые вредоносные программы. Атаки часто связаны с присвоением имен, когда вредоносный пакет делается похожим на законный, чтобы обмануть разработчиков. GuardDog проводит сканирование на наличие подобных угроз и на протяжении многих лет обнаруживал различные вредоносные пакеты. Passports-js, помеченный для проверки вручную в сентябре 2024 года, содержал запутанный JavaScript-код, похожий на другой вредоносный пакет, blockscan-api. Было обнаружено, что эти пакеты содержат вредоносное по BeaverTail, известное своей атакой на криптовалютные кошельки и информацию о кредитных картах.

Вредоносная программа BeaverTail, замаскированная с помощью обычного обфускатора, крадет информацию и загружает бэкдор на Python под названием InvisibleFerret с серверов, контролируемых злоумышленниками. Различные идентификаторы кампаний, связанные с различными вариантами BeaverTail, указывают на то, что они нацелены на определенные группы, такие как Node.js разработчики или кандидаты на работу, связанные с блокчейном. TTP вредоносной программы совпадают с TTP кампании Contagious Interview, что указывает на связь с Tenacious Pungsan. Группа повторно использует инфраструктуру, включая IP-адреса и структуры веб-каталогов, для обеспечения согласованности своей деятельности.

Для содействия дальнейшим исследованиям были опубликованы образцы BeaverTail в passports-js, bcrypts-js и blockscan-api. Злоумышленники часто копируют и используют бэкдоры в законных пакетах npm для распространения вредоносного ПО, что подчеркивает постоянную угрозу для отдельных разработчиков в экосистеме. В целом, эти выводы подчеркивают постоянный риск атак на цепочки поставок и необходимость постоянного мониторинга и превентивных мер в сообществе разработчиков программного обеспечения.

#ParsedReport #CompletenessHigh
26-10-2024

Embargo ransomware: Rock n Rust

https://www.welivesecurity.com/en/eset-research/embargo-ransomware-rocknrust

Report completeness: High

Threats:
Embargo_ransomware
Mdeployer_tool
Ms4killer_tool
S4killer_tool
Byovd_technique
Blackcat
Lockbit
Filecoder

Victims:
Us companies

Geo:
Ukraine

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 30
Coin: 1
Path: 14
IP: 1
Hash: 9
Registry: 2
Command: 5

Soft:
Linux, bcdedit, Windows Defender, Windows registry, firefox, Windows service

Algorithms:
xor, rc4

Functions:
Embargo, MDeployer

Win API:
FilterConnectCommunicationPort, FilterSendMessage, WaitForSingleObject, OpenProcessToken, SeLoadDriverPrivilege, CreateServiceW, FilterLoad

Win Services:
ekrn, SentinelAgent, LogProcessorService, MsMpEng, EPProtectedService, EPIntegrationService, EPSecurityService, EPUpdateService

Languages:
powershell, rust

Platforms:
cross-platform

Links:
https://github.com/gavz/s4killer/blob/main/src/driver.rs
https://github.com/WinRb/winrm-fs/blob/fc98d6d182f966f2bf803f6fbfa7c99ac88ccebb/lib/winrm-fs/core/file\_transporter.rb#L496
have more...
https://github.com/gavz/s4killer/

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что начинающая группа вымогателей Embargo активно разрабатывает и тестирует новый инструментарий на основе Rust под названием s4killer, предназначенный для завершения запущенных процессов из ядра. Этот инструментарий использует уязвимые драйверы и API-интерфейсы для завершения процесса, демонстрируя нацеленность группы на разработку сложных программ-вымогателей, адаптированных к индивидуальным целям. В Embargo используются такие методы, как настройка инструментов для жертв, применение тактики двойного вымогательства и использование безопасного режима для отключения средств защиты перед запуском программ-вымогателей. Инструменты, включая MDeployer и MS4Killer, демонстрируют высокий уровень настройки, адаптивности и сложности, постоянно совершенствуясь и корректируя их в ходе активных внедрений.
-----

Начинающая группа программ-вымогателей Embargo разработала новый инструментарий на основе Rust под названием s4killer для завершения запущенных процессов в ядре путем использования уязвимого драйвера.

Инструментарий использует FilterConnectCommunicationPort и FilterSendMessage из API minifilter для завершения процесса.

Embargo адаптирует свои инструменты к индивидуальным целям, демонстрируя активное развитие и изощренность.

Embargo использует безопасный режим для деактивации средств защиты перед запуском программы-вымогателя и использует тактику двойного вымогательства, чтобы заставить жертв заплатить.

MDeployer служит загрузчиком для развертывания MS4Killer и программы-вымогателя Embargo, выполняя такие задачи, как удаление расшифрованных файлов, запуск процессов и обеспечение надлежащего выполнения.

MS4Killer - это инструмент для обхода защиты, который прерывает процессы защиты продукта путем злоупотребления уязвимым драйвером мини-фильтра, probmon.sys чтобы обойти меры безопасности и незаметно запустить полезные программы-вымогатели.

Как MDeployer, так и MS4Killer демонстрируют высокий уровень кастомизации и адаптации под индивидуальные цели, с постоянным развитием и корректировками, вносимыми во время активных вторжений.

#ParsedReport #CompletenessMedium
27-10-2024

Something phishy is happening in Armenia

https://k3yp0d.blogspot.com/2024/10/something-phishy-is-happening-in-armenia.html

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Pastejacking_technique
Rms_tool

Victims:
Armenians

Geo:
Iranian, Armenia, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1105, T1210

IOCs:
Hash: 4
Url: 3
Domain: 2

Soft:
Twitter, ChatGPT

Algorithms:
zip, sha256

Languages:
powershell

Platforms:
intel

Links:
https://github.com/JohnHammond/recaptcha-phish/blob/main/index.html