#ParsedReport #CompletenessLow
27-10-2024

Scattered Spider x RansomHub: A New Partnership

https://www.reliaquest.com/blog/scattered-spider-x-ransomhub-a-new-partnership

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Carbanak

Threats:
Ransomhub
Blackcat
Sim_swapping_technique
Credential_dumping_technique
Logmein_tool
Blackbasta
Lockbit
Darkside
Ransomexx

Industry:
Entertainment, Financial, Telco

Geo:
North korea, China, French, American, Spanish, German, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1098, T1083, T1021

IOCs:
File: 14
IP: 1

Soft:
ESXi, Telegram, Chrome, Firefox, AnyConnect, Microsoft Office 365, Active Directory, VeraCrypt, Microsoft Teams

Functions:
English, English-language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа под названием "Scattered Spider" сотрудничала с группой программ-вымогателей "RansomHub" для проведения сложной кибератаки на организацию производственного сектора. Этот инцидент подчеркивает эволюцию тактики и изощренность участников киберугроз, подчеркивая необходимость усиления организациями своих средств кибербезопасности для защиты от подобных атак.
-----

В тексте описывается инцидент, произошедший в октябре 2024 года, когда хакерская группа, известная как "Scattered Spider", сотрудничала с группой программ-вымогателей "RansomHub" для проведения сложной кибератаки на организацию производственного сектора. Компания Scattered Spider, ранее связанная с группой вымогателей "ALPHV", использовала методы социальной инженерии для взлома учетных записей сотрудников, получив доступ к системам компании. Они использовали среду ESXi организации для создания виртуальной машины, скрывая свою деятельность до тех пор, пока не зашифровали среду и не саботировали резервное копирование.

Scattered Spider связан с Сообществом, известным своим участием в различных киберпреступных действиях, связанных с социальной инженерией. Со временем группа стала сотрудничать с группами-вымогателями, такими как RansomHub, которых привлекли выгодные модели распределения прибыли. Сотрудничество между Scattered Spider и RansomHub представляет серьезную угрозу для организаций во всех секторах, что подчеркивает необходимость принятия надежных мер безопасности.

Целью злоумышленников была критически важная инфраструктура, такая как серверы ESXi и резервные копии, с целью получения максимальной финансовой выгоды и избежания обнаружения. Они использовали уязвимости в системах организации, используя социальную инженерию для получения первоначального доступа и перемещения по сети. Злоумышленники использовали такие тактические приемы, как отключение вторичной многофакторной аутентификации, нацеливание на определенные приложения и доступ к конфиденциальной информации через SharePoint.

Кроме того, в тексте обсуждается растущая тенденция появления групп программ-вымогателей, нацеленных на серверы ESXi, и подчеркивается важность защиты от таких атак. Рекомендации включают усиление методов многофакторной аутентификации, проведение оценки социальной инженерии, внедрение политик условного доступа на основе клиентов и обеспечение актуальности систем виртуализации.

Этот инцидент подчеркивает эволюцию тактики и изощренность действий участников киберугроз, подчеркивая необходимость того, чтобы организации усиливали свою защиту от кибербезопасности. Это также проливает свет на растущее сотрудничество между хакерскими группами и влияние программ-вымогателей на критически важную бизнес-инфраструктуру. Организациям рекомендуется проявлять бдительность, обновлять свои меры безопасности и внедрять передовые методы для снижения рисков, связанных с распространенными киберугрозами.

#ParsedReport #CompletenessMedium
26-10-2024

Cronus: Ransomware Threatening Bodily Harm. Appendix - Public Key

https://blog.pulsedive.com/threat-research-cronus-ransomware-threatening-bodily-harm

Report completeness: Medium

Threats:
Cronus
Process_hacker_tool
Akira_ransomware
Process_hollowing_technique
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 8
Technics: 1

IOCs:
Path: 1
File: 10
Registry: 1
Email: 1
Hash: 1

Soft:
steam, thebat, thebat64, onenote, outlook, PccNTMon, wordpad

Crypto:
bitcoin

Algorithms:
lzma, cbc, aes, md5, sha1, zipx, sha256, zip

Win Services:
sqlwriter, sqbcoreservice, VirtualBoxVM, sqlagent, sqlbrowser, sqlservr, agntsvc, infopath, synctime, VBoxSVC, have more...

Languages:
powershell, visual_basic

Platforms:
x86, intel

Links:
https://github.com/ThreatLabz/ransomware\_notes

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 7, table: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cronus Ransomware - это программа-вымогатель на базе .NET, которая маскируется под счет от PayPal в вредоносном документе, чтобы инициировать шифрование файлов на всех доступных дисках устройства. Он устанавливает постоянство, требует оплату в биткоинах на сумму 500 долларов за расшифровку и использует специальную тактику для обеспечения бесперебойного шифрования и потенциальных платежей от жертв.
-----

Программа-вымогатель Cronus - это вирус на базе .NET, о котором исследователи Seqrite впервые сообщили после обнаружения вредоносного документа, отправленного в VirusTotal. Программа-вымогатель начинает свою цепочку вторжений, маскируясь под счет от PayPal в вредоносном документе. Когда пользователь взаимодействует с документом и запускает макросы, загружается сценарий PowerShell, который загружает DLL Cronus ransomware для выполнения.

После выполнения Cronus копирует себя на C:\Users\USERNAME\AppData\Local, удаляет все существующие копии, а затем инициирует шифрование файлов на всех доступных дисках устройства. Программа-вымогатель идентифицирует доступные папки, исключает определенные файлы и шифрует файлы с определенными расширениями, преобразуя файлы, доступные только для чтения, в файлы, доступные для редактирования, перед их шифрованием с использованием различных методов шифрования.

Cronus также завершает определенные процессы на устройстве, чтобы обеспечить бесперебойное шифрование, и устанавливает постоянство, изменяя раздел реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, гарантируя, что программа-вымогатель запускается всякий раз, когда пользователь снова входит в систему. Зашифрованные файлы получают случайное буквенно-цифровое расширение из 5 символов, в отличие от других вариантов программ-вымогателей, которые используют согласованные расширения для всех зашифрованных файлов.

В записке с требованием выкупа, отправленной Cronus по имени cronus.txt, для расшифровки требуется оплата в биткоинах на сумму 500 долларов, жертвам предлагается отправить платеж на определенный кошелек и сообщить идентификатор транзакции по электронной почте, чтобы получить инструмент для расшифровки. В отличие от некоторых семейств программ-вымогателей, которые предоставляют ссылки для просмотра украденной информации, Cronus в своем примечании указывает только адрес электронной почты.

По состоянию на 4 октября 2024 года анализ указанного биткоин-кошелька не выявил никаких транзакций, что позволяет предположить, что жертвы, возможно, сопротивлялись выплате выкупа или внедрение программ-вымогателей с использованием этого кошелька не увенчалось успехом. Ограниченная публичная информация о Cronus подразумевает, что его глобальное использование может быть ограничено, и разработчики, вероятно, рассчитывают на низкие требования выкупа, чтобы стимулировать платежи и предотвратить сбои.

#ParsedReport #CompletenessMedium
27-10-2024

ReliaQuest Uncovers New Black Basta Social Engineering Technique

https://www.reliaquest.com/blog/black-basta-social-engineering-technique-microsoft-teams

Report completeness: Medium

Threats:
Blackbasta
Impacket_tool
Cobalt_strike
Quick_assist_tool
Anydesk_tool
Qshing_technique

Industry:
E-commerce, Financial

Geo:
Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1583, T1078, T1566, T1203, T1003, T1021, T1071

IOCs:
Domain: 13
File: 3
Email: 5

Soft:
Microsoft Teams, Local Security Authority

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитик cyber threat intelligence сообщает о недавней кампании, проведенной группой злоумышленников Black Basta, в которой использовались тактики социальной инженерии, передовые методы с использованием Microsoft Teams и вредоносных QR-кодов, а также использование таких доменов, как "upd7" и "upd10", для фишинговой деятельности. Злоумышленники усовершенствовали свою тактику, включив в нее мошеннические телефонные звонки и использование средств удаленного мониторинга и управления для получения доступа к системам, перемещения по сети и внедрения программ-вымогателей. Аналитик подчеркивает важность мониторинга показателей, обучения сотрудников, принятия комплексных мер безопасности и сохранения бдительности для защиты от подобных атак социальной инженерии.
-----

Хакерская группа под названием Black Basta использует сложную тактику социальной инженерии и развивает свои методы, нацеленные на организации.

Группа использовала спам по электронной почте, мошеннические телефонные звонки, сообщения в чате Microsoft Teams и вредоносные QR-коды для получения первоначального доступа к системам.

Black Basta выдавал себя за сотрудников службы поддержки и администратора Entra ID, базирующихся в России, чтобы обманом заставить пользователей использовать QuickAssist для сеансов поддержки и обмена QR-кодами в чатах.

Злоумышленники использовали такие домены, как "upd7" и "upd10", для фишинговых действий, причем признаки, указывающие на причастность к этой деятельности Black Basta, включая создание домена и настройки Cobalt Strike.

Black Basta внедряет программы-вымогатели в целевых средах и маскирует вредоносные файлы под антиспам-программы для сбора учетных данных пользователей, перемещения по сети и маскировки под законные организации.

Организациям рекомендуется проводить постоянное обучение сотрудников, внедрять стратегию углубленной защиты, проводить регулярные проверки безопасности и сохранять бдительность, чтобы защититься от подобных атак социальной инженерии.

#ParsedReport #CompletenessMedium
26-10-2024

Tenacious Pungsan: A DPRK threat actor linked to Contagious Interview

https://securitylabs.datadoghq.com/articles/tenacious-pungsan-dprk-threat-actor-contagious-interview

Report completeness: Medium

Actors/Campaigns:
Tenacious_pungsan
Contagious_interview

Threats:
Supply_chain_technique
Beavertail
Invisibleferret

Victims:
Blockchain developers, Developer job applicants

Industry:
Financial

Geo:
Korea, Dprk, North korea

ChatGPT TTPs:
do not use without manual check
T1001, T1071, T1027, T1041, T1213

IOCs:
Email: 2
IP: 1
File: 4

Soft:
Unix, Node.js, Firefox, macOS, twitter

Algorithms:
bcrypt

Languages:
python, javascript

Links:
https://github.com/advisories/GHSA-q99j-q5f8-qcc8
https://github.com/DataDog/malicious-software-packages-dataset
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что DataDog Security Research активно отслеживает npm и PyPI на предмет атак на цепочки поставок программного обеспечения, в частности, выявляет вредоносные пакеты с открытым исходным кодом с помощью GuardDog. Они обнаружили множество вредоносных пакетов, в том числе недавний случай, связанный с вредоносным по BeaverTail, связанным с группой под названием "Tenacious Pungsan" из Северной Кореи, нацеленной на лиц, ищущих работу в технологической отрасли США. В тексте также подчеркивается растущая угроза, исходящая от атак на цепочки поставок программного обеспечения с открытым исходным кодом, связанных с присвоением имен и обманными методами компрометации законных пакетов. Присутствие вредоносной программы BeaverTail, связанного с ней бэкдора и связь с определенными целевыми группами подчеркивают важность постоянного мониторинга и превентивных мер для защиты от подобных угроз.
-----

DataDog Security Research внимательно отслеживает атаки npm и PyPI на цепочки поставок программного обеспечения с помощью GuardDog, инструмента, который идентифицирует вредоносные пакеты с открытым исходным кодом по поведению кода и метаданным. За последние два года они выявили более 1700 вредоносных пакетов. В сентябре 2024 года было обнаружено, что три вредоносных пакета npm - passports-js, bcrypts-js и blockscan-api - содержат вредоносное по BeaverTail, связанное с группой под названием "Tenacious Pungsan", связанной с Северной Кореей. Вредоносная программа является частью кампании по распространению заразных собеседований, нацеленной на соискателей работы в технологической отрасли США, путем заманивания жертв на участие в поддельных собеседованиях о приеме на работу, где вредоносная программа предоставляется в качестве задания.

Цепочки поставок программного обеспечения с открытым исходным кодом все чаще становятся мишенью злоумышленников, которые компрометируют широко используемые пакеты или создают новые вредоносные программы. Атаки часто связаны с присвоением имен, когда вредоносный пакет делается похожим на законный, чтобы обмануть разработчиков. GuardDog проводит сканирование на наличие подобных угроз и на протяжении многих лет обнаруживал различные вредоносные пакеты. Passports-js, помеченный для проверки вручную в сентябре 2024 года, содержал запутанный JavaScript-код, похожий на другой вредоносный пакет, blockscan-api. Было обнаружено, что эти пакеты содержат вредоносное по BeaverTail, известное своей атакой на криптовалютные кошельки и информацию о кредитных картах.

Вредоносная программа BeaverTail, замаскированная с помощью обычного обфускатора, крадет информацию и загружает бэкдор на Python под названием InvisibleFerret с серверов, контролируемых злоумышленниками. Различные идентификаторы кампаний, связанные с различными вариантами BeaverTail, указывают на то, что они нацелены на определенные группы, такие как Node.js разработчики или кандидаты на работу, связанные с блокчейном. TTP вредоносной программы совпадают с TTP кампании Contagious Interview, что указывает на связь с Tenacious Pungsan. Группа повторно использует инфраструктуру, включая IP-адреса и структуры веб-каталогов, для обеспечения согласованности своей деятельности.

Для содействия дальнейшим исследованиям были опубликованы образцы BeaverTail в passports-js, bcrypts-js и blockscan-api. Злоумышленники часто копируют и используют бэкдоры в законных пакетах npm для распространения вредоносного ПО, что подчеркивает постоянную угрозу для отдельных разработчиков в экосистеме. В целом, эти выводы подчеркивают постоянный риск атак на цепочки поставок и необходимость постоянного мониторинга и превентивных мер в сообществе разработчиков программного обеспечения.

#ParsedReport #CompletenessHigh
26-10-2024

Embargo ransomware: Rock n Rust

https://www.welivesecurity.com/en/eset-research/embargo-ransomware-rocknrust

Report completeness: High

Threats:
Embargo_ransomware
Mdeployer_tool
Ms4killer_tool
S4killer_tool
Byovd_technique
Blackcat
Lockbit
Filecoder

Victims:
Us companies

Geo:
Ukraine

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 30
Coin: 1
Path: 14
IP: 1
Hash: 9
Registry: 2
Command: 5

Soft:
Linux, bcdedit, Windows Defender, Windows registry, firefox, Windows service

Algorithms:
xor, rc4

Functions:
Embargo, MDeployer

Win API:
FilterConnectCommunicationPort, FilterSendMessage, WaitForSingleObject, OpenProcessToken, SeLoadDriverPrivilege, CreateServiceW, FilterLoad

Win Services:
ekrn, SentinelAgent, LogProcessorService, MsMpEng, EPProtectedService, EPIntegrationService, EPSecurityService, EPUpdateService

Languages:
powershell, rust

Platforms:
cross-platform

Links:
https://github.com/gavz/s4killer/blob/main/src/driver.rs
https://github.com/WinRb/winrm-fs/blob/fc98d6d182f966f2bf803f6fbfa7c99ac88ccebb/lib/winrm-fs/core/file\_transporter.rb#L496
have more...
https://github.com/gavz/s4killer/

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что начинающая группа вымогателей Embargo активно разрабатывает и тестирует новый инструментарий на основе Rust под названием s4killer, предназначенный для завершения запущенных процессов из ядра. Этот инструментарий использует уязвимые драйверы и API-интерфейсы для завершения процесса, демонстрируя нацеленность группы на разработку сложных программ-вымогателей, адаптированных к индивидуальным целям. В Embargo используются такие методы, как настройка инструментов для жертв, применение тактики двойного вымогательства и использование безопасного режима для отключения средств защиты перед запуском программ-вымогателей. Инструменты, включая MDeployer и MS4Killer, демонстрируют высокий уровень настройки, адаптивности и сложности, постоянно совершенствуясь и корректируя их в ходе активных внедрений.
-----

Начинающая группа программ-вымогателей Embargo разработала новый инструментарий на основе Rust под названием s4killer для завершения запущенных процессов в ядре путем использования уязвимого драйвера.

Инструментарий использует FilterConnectCommunicationPort и FilterSendMessage из API minifilter для завершения процесса.

Embargo адаптирует свои инструменты к индивидуальным целям, демонстрируя активное развитие и изощренность.

Embargo использует безопасный режим для деактивации средств защиты перед запуском программы-вымогателя и использует тактику двойного вымогательства, чтобы заставить жертв заплатить.

MDeployer служит загрузчиком для развертывания MS4Killer и программы-вымогателя Embargo, выполняя такие задачи, как удаление расшифрованных файлов, запуск процессов и обеспечение надлежащего выполнения.

MS4Killer - это инструмент для обхода защиты, который прерывает процессы защиты продукта путем злоупотребления уязвимым драйвером мини-фильтра, probmon.sys чтобы обойти меры безопасности и незаметно запустить полезные программы-вымогатели.

Как MDeployer, так и MS4Killer демонстрируют высокий уровень кастомизации и адаптации под индивидуальные цели, с постоянным развитием и корректировками, вносимыми во время активных вторжений.

#ParsedReport #CompletenessMedium
27-10-2024

Something phishy is happening in Armenia

https://k3yp0d.blogspot.com/2024/10/something-phishy-is-happening-in-armenia.html

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Pastejacking_technique
Rms_tool

Victims:
Armenians

Geo:
Iranian, Armenia, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1105, T1210

IOCs:
Hash: 4
Url: 3
Domain: 2

Soft:
Twitter, ChatGPT

Algorithms:
zip, sha256

Languages:
powershell

Platforms:
intel

Links:
https://github.com/JohnHammond/recaptcha-phish/blob/main/index.html

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в недавней кибератаке на армян с использованием метода, называемого PasteJacking, при котором поддельный вызов captcha приводит к загрузке скрипта PowerShell и запуску RAT (инструмента удаленного доступа), замаскированного под законную систему удаленного управления. Атака является изощренной и целенаправленной, она имитирует деятельность полиции Армении и, возможно, связана с иранской террористической группировкой MuddyWater, хотя для подтверждения необходимы дополнительные доказательства. В тексте подчеркиваются проблемы, связанные с установлением причин кибератак, важность понимания мотивов и методов действий участников угроз, а также необходимость постоянной адаптации специалистов по анализу угроз к меняющимся методам борьбы с атаками.
-----

В тексте описывается недавняя кибератака с использованием метода, называемого "PasteJacking", направленная против армян. Атака включает в себя использование поддельной капчи, которая при нажатии запускает сценарий PowerShell для загрузки и запуска RAT (средства удаленного доступа), замаскированного под установщик MSI для законной системы удаленного управления под названием PDQ RMM. Злоумышленники используют социальную инженерию, чтобы обманом заставить пользователей запустить вредоносный скрипт. Сообщается, что атака была сложной и целенаправленной, поскольку она использует армянский язык и выдает себя за домен полиции Армении.

Аналитик высказывает предположение о возможном причастии к атаке известного исполнителя угроз по имени MuddyWater, иранской APT-группы. В то время как атака соответствует TTP (тактике, методам и процедурам) MuddyWater, таким как использование инструментов с открытым исходным кодом, таких как "captha kit" и PowerShell, есть некоторые несоответствия, такие как использование скомпрометированного веб-хостинга вместо типичного злоупотребления бесплатным веб-хостингом MuddyWater. Участие PDQ RMM в двух инцидентах в Армении в течение месяца вызывает подозрения, но аналитик подчеркивает необходимость получения дополнительных доказательств, прежде чем подтверждать причастность MuddyWater.

В тексте обсуждаются проблемы, связанные с установлением причин кибератак, и важность понимания мотивов и методов действий злоумышленников. В нем также подчеркивается необходимость постоянной адаптации специалистов по анализу угроз и защитников, чтобы не отставать от меняющихся методов атаки. Атака анализируется с тактической, оперативной и стратегической точек зрения, что позволяет предположить потенциальную связь с иранскими APT, такими как MuddyWater, из-за соответствия атаки их TTP.

#ParsedReport #CompletenessLow
27-10-2024

New Iranian-based Ransomware Group Charges $2000 for File Retrieval

https://blog.sonicwall.com/en-us/2024/10/new-iranian-based-ransomware-group-charges-2000-for-file-retrieval

Report completeness: Low

Actors/Campaigns:
Hackersadism

Threats:
Sadism_ransomware

Geo:
Turkish, Iranian, Azerbaijan

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 1

Soft:
Telegram

Crypto:
binance