#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что начинающая группа вымогателей Embargo активно разрабатывает и тестирует новый инструментарий на основе Rust под названием s4killer, предназначенный для завершения запущенных процессов из ядра. Этот инструментарий использует уязвимые драйверы и API-интерфейсы для завершения процесса, демонстрируя нацеленность группы на разработку сложных программ-вымогателей, адаптированных к индивидуальным целям. В Embargo используются такие методы, как настройка инструментов для жертв, применение тактики двойного вымогательства и использование безопасного режима для отключения средств защиты перед запуском программ-вымогателей. Инструменты, включая MDeployer и MS4Killer, демонстрируют высокий уровень настройки, адаптивности и сложности, постоянно совершенствуясь и корректируя их в ходе активных внедрений.
-----

Начинающая группа программ-вымогателей Embargo разработала новый инструментарий на основе Rust под названием s4killer для завершения запущенных процессов в ядре путем использования уязвимого драйвера.

Инструментарий использует FilterConnectCommunicationPort и FilterSendMessage из API minifilter для завершения процесса.

Embargo адаптирует свои инструменты к индивидуальным целям, демонстрируя активное развитие и изощренность.

Embargo использует безопасный режим для деактивации средств защиты перед запуском программы-вымогателя и использует тактику двойного вымогательства, чтобы заставить жертв заплатить.

MDeployer служит загрузчиком для развертывания MS4Killer и программы-вымогателя Embargo, выполняя такие задачи, как удаление расшифрованных файлов, запуск процессов и обеспечение надлежащего выполнения.

MS4Killer - это инструмент для обхода защиты, который прерывает процессы защиты продукта путем злоупотребления уязвимым драйвером мини-фильтра, probmon.sys чтобы обойти меры безопасности и незаметно запустить полезные программы-вымогатели.

Как MDeployer, так и MS4Killer демонстрируют высокий уровень кастомизации и адаптации под индивидуальные цели, с постоянным развитием и корректировками, вносимыми во время активных вторжений.

#ParsedReport #CompletenessMedium
27-10-2024

Something phishy is happening in Armenia

https://k3yp0d.blogspot.com/2024/10/something-phishy-is-happening-in-armenia.html

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Pastejacking_technique
Rms_tool

Victims:
Armenians

Geo:
Iranian, Armenia, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1105, T1210

IOCs:
Hash: 4
Url: 3
Domain: 2

Soft:
Twitter, ChatGPT

Algorithms:
zip, sha256

Languages:
powershell

Platforms:
intel

Links:
https://github.com/JohnHammond/recaptcha-phish/blob/main/index.html

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в недавней кибератаке на армян с использованием метода, называемого PasteJacking, при котором поддельный вызов captcha приводит к загрузке скрипта PowerShell и запуску RAT (инструмента удаленного доступа), замаскированного под законную систему удаленного управления. Атака является изощренной и целенаправленной, она имитирует деятельность полиции Армении и, возможно, связана с иранской террористической группировкой MuddyWater, хотя для подтверждения необходимы дополнительные доказательства. В тексте подчеркиваются проблемы, связанные с установлением причин кибератак, важность понимания мотивов и методов действий участников угроз, а также необходимость постоянной адаптации специалистов по анализу угроз к меняющимся методам борьбы с атаками.
-----

В тексте описывается недавняя кибератака с использованием метода, называемого "PasteJacking", направленная против армян. Атака включает в себя использование поддельной капчи, которая при нажатии запускает сценарий PowerShell для загрузки и запуска RAT (средства удаленного доступа), замаскированного под установщик MSI для законной системы удаленного управления под названием PDQ RMM. Злоумышленники используют социальную инженерию, чтобы обманом заставить пользователей запустить вредоносный скрипт. Сообщается, что атака была сложной и целенаправленной, поскольку она использует армянский язык и выдает себя за домен полиции Армении.

Аналитик высказывает предположение о возможном причастии к атаке известного исполнителя угроз по имени MuddyWater, иранской APT-группы. В то время как атака соответствует TTP (тактике, методам и процедурам) MuddyWater, таким как использование инструментов с открытым исходным кодом, таких как "captha kit" и PowerShell, есть некоторые несоответствия, такие как использование скомпрометированного веб-хостинга вместо типичного злоупотребления бесплатным веб-хостингом MuddyWater. Участие PDQ RMM в двух инцидентах в Армении в течение месяца вызывает подозрения, но аналитик подчеркивает необходимость получения дополнительных доказательств, прежде чем подтверждать причастность MuddyWater.

В тексте обсуждаются проблемы, связанные с установлением причин кибератак, и важность понимания мотивов и методов действий злоумышленников. В нем также подчеркивается необходимость постоянной адаптации специалистов по анализу угроз и защитников, чтобы не отставать от меняющихся методов атаки. Атака анализируется с тактической, оперативной и стратегической точек зрения, что позволяет предположить потенциальную связь с иранскими APT, такими как MuddyWater, из-за соответствия атаки их TTP.

#ParsedReport #CompletenessLow
27-10-2024

New Iranian-based Ransomware Group Charges $2000 for File Retrieval

https://blog.sonicwall.com/en-us/2024/10/new-iranian-based-ransomware-group-charges-2000-for-file-retrieval

Report completeness: Low

Actors/Campaigns:
Hackersadism

Threats:
Sadism_ransomware

Geo:
Turkish, Iranian, Azerbaijan

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 1

Soft:
Telegram

Crypto:
binance

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз SonicWall Capture Labs обнаружила новый вариант программы-вымогателя иранской хакерской группировки hackersadism, который нацелен на отдельных жертв с относительно низким требованием выкупа в криптовалюте Binance coin. Вредоносная программа лишена обфускации, что облегчает аналитикам понимание ее работы. Она включает проверку региона, чтобы избежать шифрования файлов в определенных регионах, и предоставляет прямой способ связи через Telegram для переговоров и оплаты. SonicWall Capture Labs предлагает защиту от этой программы-вымогателя и проводит тщательные исследования для выявления и устранения уязвимостей и вредоносных программ. Они также вносят свой вклад в более широкое сообщество по анализу угроз, предоставляя подробные аналитические материалы, которые помогают защитникам усилить меры сетевой безопасности.
-----

Исследовательская группа SonicWall Capture Labs по изучению угроз выявила новый вариант программы-вымогателя, выпущенный иранской хакерской группой, известной как hackersadism. В отличие от многих групп программ-вымогателей, нацеленных на крупные корпорации, hackersadism взимает всего 2000 долларов в криптовалюте Binance coin за восстановление файлов с возможностью переговоров. Вредоносная программа шифрует файлы в системе, присваивая файлу новое расширение, состоящее из 4 буквенно-цифровых символов. Примечательно, что вредоносную программу относительно легко декомпилировать, она не обфусцированна, что позволяет аналитикам понять ее внутреннюю работу и намерения.

Вредоносная программа включает в себя функцию, при которой она выполняет проверку региона перед шифрованием и завершает работу, если обнаруживает в системе определенные языки, такие как az-Latn-AZ (латиница, Азербайджан) и tr-TR (турецкий). В сообщении с требованием выкупа жертвам предлагается связаться с оператором @hackerSadism через Telegram, предоставив прямую линию связи для переговоров и оплаты. В ходе анализа также был идентифицирован пользовательский имидж оператора.

SonicWall Capture Labs обеспечивает защиту от этой вредоносной программы-вымогателя с помощью специальной сигнатуры. Команда проводит углубленные исследования для сбора, анализа и проверки информации об угрозах из сети SonicWall Capture Threat network, состоящей из более чем 1 миллиона датчиков безопасности по всему миру, расположенных почти в 200 странах и территориях. Этот тщательный анализ позволяет команде ежедневно выявлять и устранять критические уязвимости и вредоносные программы, обеспечивая защиту всех клиентов SonicWall.

Помимо защиты глобальных сетей, команда исследователей угроз SonicWall Capture Labs вносит свой вклад в более широкое сообщество аналитиков угроз, еженедельно публикуя подробные технические анализы значимых угроз, особенно тех, которые нацелены на малый бизнес. Эта информация имеет решающее значение для защитников, которые улучшают свои меры сетевой безопасности и опережают развитие киберугроз.

#ParsedReport #CompletenessHigh
27-10-2024

Operation Cobalt Whisper: Threat Actor Targets Multiple Industries Across Hong Kong and Pakistan.

https://www.seqrite.com/blog/operation-cobalt-whisper-targets-industries-hong-kong-pakistan

Report completeness: High

Actors/Campaigns:
Cobalt_whisper (motivation: cyber_espionage)

Threats:
Cobalt_strike
Synergy_tool
Spear-phishing_technique
Process_injection_technique

Victims:
Researchers, Electrotechnical researchers, Professors, Key entities

Industry:
Military, Energy, Education, Aerospace, Healthcare

Geo:
India, Pakistan, Chinese, China, Pakistani, Asian, Hong kong

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 9
IP: 8
Hash: 113
Path: 1

Algorithms:
base64

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-команда SEQRITE Labs раскрыла сложную кампанию кибершпионажа под названием Operation Cobalt Whisper, направленную на оборонный сектор Пакистана и исследователей в Гонконге. В кампании используется инструмент Cobalt Strike для последующей эксплуатации, предоставляемый с помощью обфусцированного VBScript, с акцентом на такие отрасли, как электротехника, энергетическая инфраструктура, гражданская авиация и экологическая инженерия. Были выявлены многочисленные цепочки заражения с использованием согласованной тактики, методов и процедур (TTP), используемых субъектом угрозы для компрометации конфиденциальных исследований и интеллектуальной собственности в странах Южной Азии.
-----

APT-команда SEQRITE Labs недавно раскрыла сложную кампанию кибершпионажа под названием Operation Cobalt Whisper, направленную против оборонного сектора в Пакистане и исследователей в Гонконге. Кампания в значительной степени основана на использовании инструмента Cobalt Strike, который используется для последующей эксплуатации и поставляется с помощью запутанного VBScript. Было выявлено в общей сложности 20 цепочек заражения, 18 из которых были нацелены на Гонконг, а 2 - на Пакистан, с использованием более 30 файлов-приманок.

Основное внимание в кампании уделяется таким отраслям, как электротехническая промышленность, энергетическая инфраструктура, гражданская авиация и экологическая инженерия. В качестве вспомогательных документов в кампании использовались рекомендации по процессу выдвижения кандидатов на премии в области науки и техники в Китае, в которых излагались требования к подаче заявок, критерии оценки и виды наград. В документах также подчеркивается общественное влияние и достижения, достигнутые благодаря таким наградам, способствующим вкладу в область электротехники.

Цепочка заражения начинается с вредоносного архива RAR, содержащего файлы-приманки PDF и LNK, а также имплантат Cobalt Strike. Вредоносный LNK-файл с именем "1 2024 (2024 8 ).pdf.lnk" содержит VBScript с именем O365.vbs, который отвечает за декодирование и выполнение файла Cobalt Strike beacon cache.bak. В кампании используются согласованные соглашения об именах и конфигурации для нескольких имплантатов, что подчеркивает методологию сторонних разработчиков угроз и использование маяков Cobalt Strike с общими временными метками компиляции.

Анализ радиомаяка Cobalt Strike выявил попытки подключения к серверу управления, что указывает на продолжающуюся связь с субъектом угрозы. Идентификация идентификаторов компьютеров, содержащихся в нескольких файлах LNK, помогает связать различные кампании, нацеленные на Гонконг, Исламабад и другие населенные пункты. Приманки из различных кампаний нацелены на такие отрасли, как оборона, образование в области электронной инженерии и медицинские институты, с особым акцентом на такие темы, как военные операции и получение докторской степени в инженерных областях.

Злоумышленник демонстрирует стратегический подход к кибершпионажу, нацеливаясь на ключевые организации в технических секторах с помощью специальных приманок и используя согласованные TTP, включая использование вредоносных LNK, VBScript и полезных программ Cobalt Strike. Анализ показывает, что группа APT целенаправленно пытается скомпрометировать важные исследования и интеллектуальную собственность в странах Южной Азии. Кампания, начатая в мае 2024 года, нацелена на инженеров-исследователей, профессоров и критически важные отрасли промышленности в Гонконге, материковом Китае и Пакистане.

#ParsedReport #CompletenessLow
27-10-2024

WarmCookie Malware Emerges as TA866's Latest Espionage Tool

https://www.secureblink.com/cyber-security-news/warm-cookie-malware-emerges-as-ta-866-s-latest-espionage-tool

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: cyber_espionage)
Asylum_ambuscade

Threats:
Warmcookie
Cobalt_strike
Streamerrat
Bitsadmin_tool
Resident
Adfind_tool
Rhadamanthys
Anydesk_tool
Ahkbot
Screenshotter

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1027, T1057, T1218.011

IOCs:
File: 1

Algorithms:
rc4

Languages:
javascript, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые методы, которые создают постоянные и изощренные киберугрозы с помощью вредоносного спама и вредоносной рекламы. WarmCookie служит начальной точкой доступа и механизмом сохранения, позволяя злоумышленникам поддерживать долгосрочный доступ, развертывать дополнительные вредоносные программы и устанавливать связь с серверами C2. Рекомендации по защите от WarmCookie включают внедрение расширенной фильтрации электронной почты, мер веб-безопасности, защиту конечных точек, мониторинг сети, обучение безопасности, политики для USB-устройств, резервное копирование и интеграцию анализа угроз.
-----

хакерская группа TA866 использует вредоносное ПО WarmCookie в шпионских кампаниях, демонстрируя передовые технологии.

WarmCookie, также известный как BadSpace, появился в апреле 2024 года и активно распространяется с помощью вредоносного спама и рекламных кампаний.

Для распространения WarmCookie используются вредоносные электронные письма с тематикой, связанной со счетами-фактурами, содержащие вложения в формате PDF, которые приводят жертв на веб-серверы, на которых размещены замаскированные загрузчики JavaScript.

Вредоносные кампании, использующие системы распределения трафика, такие как LandUpdates808, также распространяют WarmCookie через вредоносные файлы JavaScript на взломанных веб-сайтах.

Начальная стадия заражения включает в себя запутанный файл JavaScript, выполняющий команду PowerShell для загрузки и запуска библиотеки DLL WarmCookie.

Основная полезная нагрузка WarmCookie предлагает функциональные возможности для развертывания полезной нагрузки, манипулирования файлами, выполнения команд, сбора скриншотов и сохранения данных, что позволяет злоумышленникам осуществлять удаленное управление.

Дополнительные вредоносные программы, такие как CSharp-Streamer-RAT и Cobalt Strike, внедряются после взлома для утечки данных и их перемещения в сети.

Последние образцы WarmCookie демонстрируют эволюцию параметров выполнения, механизмов сохранения и методов обхода, включая улучшенное обнаружение в изолированной среде и механизмы самообновления с помощью серверов C2.

WarmCookie и резидентный бэкдор имеют сходство на уровне кода, что позволяет предположить, что они могли быть разработаны одними и теми же злоумышленниками.

Кампании WarmCookie от TA866 включают в себя развертывание дополнительных инструментов и вредоносных программ, а также действия после взлома для расширения возможностей, при этом инфраструктурные и операционные дублирования связывают их с историческими событиями.

Рекомендации по защите от таких угроз, как WarmCookie, включают расширенную фильтрацию электронной почты, меры веб-безопасности, защиту конечных точек, мониторинг сети, обучение пользователей безопасности, политики USB-устройств, стратегии резервного копирования и адаптацию средств защиты на основе анализа угроз.

#ParsedReport #CompletenessLow
28-10-2024

In-depth study of the advanced injection technology StepBear of APT organization Storm0978

https://www.ctfiot.com/211992.html

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Step_bear_technique

Geo:
Korean, Russian

ChatGPT TTPs:
do not use without manual check
T1055, T1211, T1140

IOCs:
File: 32
Coin: 2

Soft:
Windows kernel, Chromium, wordpress, WeChat

Functions:
Ndr64pFreeParams, SetClassLong, GetClassLong

Win API:
NdrServerCallAll, SetClassWord, GetClassWord, NtUserSetClassLong, GetLastError, ZwQueryVirtualMemory, GetProcAddress, PostMessageA, virtualprotect, NdrStubCall2, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается сложный метод атаки под названием "Кошмар EDR: Storm-0978", который использует новую технологию внедрения в ядро под названием "Step Bear" для загрузки троянских бэкдоров для целенаправленных атак на основные продукты EDR. Этот продвинутый метод включает в себя сложные манипуляции со структурами памяти и параметрами для выполнения вредоносной полезной нагрузки, демонстрируя глубокие знания злоумышленников во внутренней части ядра Windows и Chromium. В анализе подчеркивается важность знаний в области обратного проектирования и операций на уровне ядра для эффективного противодействия таким продвинутым APT.
-----

В тексте обсуждается новый метод атаки, обнаруженный командой анализа угроз компании qax и названный "Кошмаром EDR: Storm-0978", использующий новую технологию внедрения в ядро, известную как "Step Bear". Злоумышленники, использующие этот метод, называются производителями загрузчиков, которые покупают некачественные загрузчики у аутсорсинговых компаний для загрузки троянских бэкдоров для запуска атак. Этот метод атаки отличается сложностью технологии внедрения в ядро, которая включает в себя использование методов, не часто встречающихся в истории вредоносных программ.

Технология внедрения "Step Bear" предполагает перехват процесса выполнения с помощью функции Ndr64pFreeParams и запуск пользовательского сообщения 0x405 в неизвестном скрытом окне. Этот сложный подход демонстрирует глубокое знание внутренних компонентов ядер Windows и Chromium, что позволяет проводить целенаправленные атаки на основные продукты EDR. Фреймворк, разработанный для этого метода внедрения опытным исследователем ядра Windows, позволяет повторно использовать логику внедрения и запуска в различных сценариях атаки.

Техника атаки заключается в использовании обратного вызова EM_SETWORDBREAKPROC для выполнения вредоносной полезной нагрузки по любому функциональному адресу. Этот метод включает манипулирование параметрами для управления процессом выполнения и облегчения внедрения шелл-кода. Далее в тексте рассматриваются технические тонкости установки адреса обратного вызова в I_RpcFreePipeBuffer и управления параметрами, позволяющими вызывать любой адрес с указанными параметрами. Подход включает в себя обработку структур памяти и атрибутов для достижения желаемого выполнения вредоносного кода.

В тексте подчеркивается сложность метода атаки, требующего глубокого понимания управления памятью и манипулирования параметрами для успешного выполнения вредоносной полезной нагрузки. В нем подчеркивается необходимость экспертных знаний в области обратного проектирования, обнаружения уязвимостей и операций на уровне ядра для разработки таких передовых методов атаки. Злоумышленники, стоящие за такими сложными APTS, обладают глубокими знаниями о программном обеспечении безопасности и внутренностях операционной системы, что позволяет им эффективно обходить меры безопасности.

Вкратце, в тексте описываются технические детали метода внедрения в ядро "Step Bear", который проливает свет на сложные стратегии, используемые APT для обхода систем безопасности. Подробный анализ манипуляций с памятью, контроля параметров и последовательности выполнения демонстрирует уровень знаний, необходимый для успешной реализации таких целенаправленных атак. Этот текст служит ценным источником для понимания меняющегося ландшафта киберугроз и необходимости принятия надежных мер безопасности для противодействия сложным методам атак, таким как "Шаг медведя"..

#ParsedReport #CompletenessLow
28-10-2024

Pig Butchers Join the Gig Economy: Cryptocurrency Scammers Target Job Seekers

https://www.proofpoint.com/us/blog/threat-insight/pig-butchers-join-gig-economy-cryptocurrency-scammers-target-job-seekers

Report completeness: Low

Actors/Campaigns:
Pig_butchering

Industry:
Financial

Geo:
Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1586.001, T1589

IOCs:
Domain: 312
Coin: 6

Soft:
WhatsApp, Telegram, TikTok

Crypto:
bitcoin, ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Proofpoint выявила рост случаев мошенничества с криптовалютами, нацеленного на отдельных лиц с помощью поддельных предложений о работе, выдаваемых за авторитетные организации, которые используют узнаваемость популярных брендов для быстрого установления доверия. Этот тип мошенничества, связанный с субъектами, вовлеченными в мошенничество с инвестициями в криптовалюту на романтической основе или забой свиней, приносит меньшую, но более частую прибыль по сравнению с традиционными мошенничествами. Мошенники привлекают жертв через социальные сети, SMS и приложения для обмена сообщениями, обучая их выполнению заданий на вредоносных веб-сайтах с обещаниями заработка, что в конечном итоге приводит к финансовым потерям. Чтобы бороться с этими мошенниками, частным лицам рекомендуется с осторожностью относиться к незапрашиваемым предложениям о работе и подвергать сомнению законность предложений, которые кажутся слишком хорошими, чтобы быть правдой.
-----

Рост мошенничества с криптовалютами, направленного против частных лиц с поддельными предложениями о работе, которые выдают себя за различные организации.

Мошенники используют узнаваемость популярного бренда для быстрого установления доверия.

Мошенничество в основном распространяется через социальные сети, SMS и приложения для обмена сообщениями, такие как WhatsApp и Telegram.

Мошенничество с работой используется в качестве новой стратегии мошенниками-мясниками для эксплуатации жертв.

Жертв просили зарегистрироваться на вредоносных веб-сайтах, используя реферальные коды.

Манипулирование жертвами с помощью таких психологических механизмов, как заблуждение о заниженных затратах и неприятие потерь.

Мошенники контролируют процесс оплаты, позволяя жертвам выводить только ограниченные суммы.

Совместные усилия с Chainalysis выявили эффективность схем.

Один из примеров поддельного сайта вакансий принес более 300 000 долларов в биткоинах и Эфириуме в течение двух месяцев.

Частным лицам рекомендуется с осторожностью относиться к незапрашиваемым предложениям о работе, подвергать сомнению их законность и распространять информацию о борьбе с мошенническими схемами.