#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о StormBamboo, продвинутом вредоносном ПО, разработанном китайской APT-группой и предназначенном для кибершпионажа организаций в основном в Азии. StormBamboo распространяется посредством перехвата DNS и использует уязвимости в механизмах обновления приложений для доставки вредоносного контента. Вредоносная программа перехватывает сетевой трафик, манипулирует DNS-запросами и HTTP-запросами, а также нарушает процессы обновления программного обеспечения для распространения других угроз, таких как MacMa и Reloadext. Злоумышленники демонстрируют глубокое понимание социальной инженерии и поведения пользователей, что создает серьезную проблему для сетевой безопасности.
-----

StormBamboo - это продвинутая вредоносная программа, управляемая китайской APT-группой, известной как "Evasive Panda" или "StormCloud"..

Он нацелен на организации в первую очередь в Азии в целях кибершпионажа.

Вредоносная программа распространяется посредством перехвата DNS-серверов, манипулируя ответами DNS для перенаправления трафика жертвы на вредоносные серверы.

StormBamboo использует недостатки безопасности в механизмах обновления приложений для доставки вредоносных обновлений.

Он участвовал в распространении других угроз, таких как MacMa для macOS и Reloadext, расширение Chrome для кражи данных электронной почты.

Перехватывая DNS- и HTTP-запросы, StormBamboo направляет жертв на серверы, контролируемые злоумышленниками, и доставляет вредоносный контент.

Вредоносная программа может скомпрометировать процессы обновления программного обеспечения, вставляя вредоносный код для загрузки дальнейших этапов вредоносного ПО.

StormBamboo использует сложные методы, такие как перехват пакетов с использованием libpcap, для манипулирования сетевым трафиком для своих атак.

Команда, стоящая за StormBamboo, демонстрирует глубокое понимание социальной инженерии, поведения пользователей и постоянной эволюции киберугроз, что создает серьезную проблему для сетевой безопасности.

#ParsedReport #CompletenessHigh
06-11-2024

G700 : The Next Generation of Craxs RAT

https://www.cyfirma.com/research/g700-the-next-generation-of-craxs-rat

Report completeness: High

Threats:
Craxsrat
G700-rat
Dnguard_tool
Credential_dumping_technique

Industry:
Entertainment, Financial, E-commerce

Geo:
Indian, India

TTPs:
Tactics: 9
Technics: 26

IOCs:
Hash: 3
Url: 1
File: 3

Soft:
Android, Telegram, Twitter, Tiktok

Crypto:
binance

Algorithms:
sha256, base64

Functions:
Binanceinj

Languages:
java

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, code: 8, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от вредоносного ПО G700 RAT, нацеленного на устройства Android и криптовалютные приложения, его сложных методах проникновения и кражи данных, меняющемся характере угрозы и важности внедрения надежных мер безопасности для борьбы с такими киберугрозами.
-----

CYFIRMA фокусируется на предоставлении информации о новых угрозах, таких как G700 RAT, усовершенствованная версия Craxs RAT, предназначенная для устройств Android и криптовалютных приложений. Вредоносная программа использует различные методы, такие как повышение привилегий, фишинг и вредоносное распространение, для проникновения на устройства, позволяя злоумышленникам обходить аутентификацию, захватывать конфиденциальные данные и совершать незаконные действия незамеченными. В нем используются методы обфускации, включая кодировку Base64 и APK-шифрование, позволяющие избежать обнаружения и сохранить работоспособность. G700 RAT распространяется через форумы dark web и Telegram-каналы, что свидетельствует о высоком спросе на него в сетях киберпреступников.

G700 RAT, написанный на C# и Java, использует пробелы в безопасности мобильных приложений, особенно в криптовалютном и финансовом секторах. Он использует такие тактики, как повышение привилегий, захват экрана, скрытый перехват SMS, фишинг и распространение поддельных APK-файлов, для получения несанкционированного доступа и скрытного выполнения вредоносных действий. Вредоносная программа манипулирует транзакциями с криптовалютой, внедряет поддельные страницы и может выводить устройства из строя во время атак. Его способность перехватывать SMS-сообщения OTP и обходить процессы аутентификации создает серьезные угрозы безопасности для пользователей Android.

Стойкий и неуловимый характер вредоносного ПО подчеркивает настоятельную необходимость усиления мер безопасности для борьбы с появляющимися угрозами. G700 RAT является частью линейки вредоносных программ, имеющих сходство с Craxs RAT, и постоянно пополняется новыми функциями, такими как функция скрытия SMS и поддельная страница Google Play Store. Она также включает в себя возможности программы-вымогателя и внедряет фишинговые страницы в различные приложения для кражи конфиденциальной информации, такой как учетные данные для входа в систему и финансовые данные. Получив расширенные разрешения, вредоносная программа получает доступ к SMS, контактам, местоположению и хранилищу, что позволяет киберпреступникам управлять устройствами и красть данные.

Разработчик G700 RAT активно занимается продажей различных вредоносных программ, включая последнюю версию G700 RAT v6.4, которая предлагалась за 2000 долларов с пожизненной лицензией. Хакер ведет Telegram-канал, посвященный G700 RAT, и обновляет вредоносную программу, добавляя в нее исправления ошибок и новые функции. Хотя истинная личность разработчика и его местонахождение остаются неясными, некоторые признаки указывают на потенциальную связь с Индией. Распространение G700 RAT варьируется: одни продают его на коммерческой основе, а другие предлагают бесплатно на форумах dark web, что подчеркивает его значительный спрос среди киберпреступников.

Чтобы снизить риски, связанные с G700 RAT и аналогичными угрозами, частным лицам и организациям рекомендуется внедрять надежные средства контроля безопасности, использовать аналитические данные об угрозах для раннего обнаружения и обучать пользователей выявлению попыток фишинга и подозрительных загрузок приложений. Осведомленность, бдительность и упреждающие меры безопасности имеют решающее значение для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessLow
06-11-2024

GoZone Ransomware Adopts Coercive Tactics to Extract Payment

https://blog.sonicwall.com/en-us/2024/11/gozone-ransomware-adopts-coercive-tactics-to-extract-payment

Report completeness: Low

Threats:
Gozone
Uac_bypass_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1566

IOCs:
Coin: 1
File: 1

Crypto:
bitcoin

Algorithms:
chacha20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии кампании вымогателей под названием GoZone, которая использует тактику принуждения, угрожая раскрыть откровенный контент на компьютерах жертв, если выкуп не будет выплачен. Программа-вымогатель распространяется с помощью нежелательных электронных писем и использует тактику запугивания, пакеты шифрования, такие как Chacha20 и RSA, и механизм карантина, чтобы заставить жертв соблюдать требования. Кроме того, в тексте подчеркивается стремление SonicWall вносить свой вклад в более широкое сообщество по анализу угроз, делясь информацией и опытом, чтобы помочь организациям повысить свою защиту от кибербезопасности.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила кампанию вымогателей, которые не только шифруют файлы, но и прибегают к тактике принуждения, обвиняя жертв в хранении откровенного контента на своих компьютерах. Эта программа-вымогатель, известная как GoZone, угрожает передать этот предполагаемый контент властям, если выкуп не будет выплачен. Обычно GoZone распространяется по нежелательным электронным письмам и использует тактику запугивания, чтобы заставить жертв подчиниться.

Технический анализ программы-вымогателя показывает, что она написана на языке программирования Go и использует пакеты шифрования, такие как Chacha20 и RSA. При заражении системы GoZone генерирует текстовый файл readme в каждом каталоге, где были зашифрованы файлы, который служит уведомлением о требовании выкупа. На обоях рабочего стола отображается QR-код, который при сканировании просто копирует биткоин-адрес ("bc1qwemkeh2vu5ftzgat3sk87gr4mlskw898xd6tk5") в браузер. Отслеживание этого биткойн-адреса в блокчейне указывает на минимальную активность, что позволяет предположить, что злоумышленники, стоящие за кампанией, могут быть нацелены на ограниченное число жертв.

Одним из примечательных аспектов программы-вымогателя GoZone является ее механизм блокировки, который не позволяет жертвам менять обои на рабочем столе или фоновые настройки, что еще больше усиливает необходимость выполнения требований о выкупе. Углубленный анализ также выявил ссылки на модули-вымогатели в коде вредоносного ПО, что указывает на ряд потенциальных функциональных возможностей, которыми могут воспользоваться злоумышленники.

Кроме того, стремление SonicWall к повышению глобальной кибербезопасности выходит за рамки их клиентской базы. Исследовательская группа вносит свой вклад в более широкое сообщество аналитиков угроз, регулярно публикуя подробные технические анализы значимых угроз, предоставляя защитникам знания, необходимые для эффективной защиты их сетей. Делясь идеями и опытом, SonicWall стремится помочь организациям любого размера опережать возникающие киберугрозы и защищать свои цифровые активы.

#ParsedReport #CompletenessLow
06-11-2024

Russian APT organization OST tool technical and tactical intelligence

https://www.ctfiot.com/213741.html

Report completeness: Low

Actors/Campaigns:
Duke
Vermin
Turla
Sandworm
Gamaredon
Uac-0050
Energeticbear
Ember_bear
Fancy_bear
Emissary_panda
Seaborgium

Threats:
Intelliadmin_tool
Remcom_tool
Rms_tool
Remoteutilities_tool
Syncthing_tool
Teamviewer_tool
Ultra_vnc_tool
4shared
Rclone_tool
Cookieeditor_tool
Mimikatz_tool
Procdump_tool
Sharpchromium_tool
Edrsandblast_tool
Libprocesshider_rootkit
Powershellrunner
Sdelete_tool
Chisel_tool
Dnscat2_tool
Dropbear_tool
Ngrok_tool
Pivotnacci
Proxychains_tool
Regeorg_tool
Rsockstun_tool
Sshdoor
Acunetix_tool
Amass_tool
Aadinternals_tool
Adfind_tool
Angry_ip_scanner_tool
Bloodhound_tool
Droopescan_tool
Dsinternals_tool
Joomscan_tool
Ldapdomaindump_tool
Nbtscan_tool
Nmap_tool
Masscan_tool
Roadtools_tool
Sscan_tool
Wpscan_tool
Brc4_tool
Cobalt_strike
Crackmapexec_tool
Evilginx_tool
Evil-winrm_tool
Hydra
Impacket_tool
Juicypotato_tool
Koadic_tool
Linpeas_tool
Netcat_tool
Nishang_tool
Metasploit_tool
Meterpreter_tool
Phishery_tool
Poshc2_tool
Powersploit
Empire_loader
Rottenpotatong_tool
Rubeus_tool
Sliver_c2_tool
Weevely
Winpeas_tool
Wso_webshell
Bitsadmin_tool
Minidump_tool
Wevtutil_tool

Industry:
Military

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1078, T1027, T1046, T1071, T1003

IOCs:
File: 1

Soft:
InnoSetup, Dropbox, Gmail, Telegram, VirtualBox, OpenSSH, Active Directory, PsExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении того, как российские хакерские группы, связанные со спецслужбами, такими как ГРУ и СВР, используют киберинструменты и методы, включая инструменты удаленного мониторинга и управления (RMM), бесплатные средства обнаружения вредоносных программ, средства сетевого туннелирования, средства сканирования сети и законные административные средства Windows, для вредоносных действий. В тексте также подчеркивается зависимость этих хакерских групп от агрессивных средств защиты, приводятся конкретные примеры инструментов, используемых различными группами, и их зависимость от этих инструментов. Кроме того, ключевые выводы анализа угроз указывают на активное использование сканеров некоторыми российскими хакерскими группами и потенциальную связь с деятельностью программ-вымогателей.
-----

Российские хакерские группировки, связанные с различными разведывательными службами, такими как ГРУ и СВР, используют кибер-инструменты и методы для осуществления вредоносных действий.

Злоумышленники злоупотребляют инструментами удаленного мониторинга и управления (RMM) для осуществления вредоносных действий, скрываясь в рамках законных ИТ-операций.

Злоумышленники используют бесплатные средства обнаружения вредоносных программ для выявления и удаления скрытых угроз, таких как руткиты, но этими средствами можно злоупотреблять для создания помех в работе систем безопасности.

Использование инструментов сетевого туннелирования для создания зашифрованных туннелей и получения несанкционированного доступа к сетям с ограниченным доступом.

Злоумышленники злоупотребляют инструментами сетевого сканирования и анализа для сбора подробной информации о целевых сетях и использования уязвимостей.

Злоупотребление законными средствами администрирования Windows в злонамеренных целях для перемещения по сети и сбора конфиденциальной информации.

Различные российские хакерские группировки в своих кампаниях по вторжению в значительной степени полагаются на общедоступные средства обеспечения безопасности.

Основные выводы включают активное использование сканеров группой EMBER BEAR, аффилированной с GRU, и многочисленные агрессивные средства безопасности, используемые хакерскими группами GRU, такими как FANCY BEAR и Sandworm.

Группа COZY BEAR, связанная с СВР, использует широкий спектр инструментов, при этом российские хакерские группировки сильно зависят от агрессивных средств безопасности.

Комбинация специфических инструментов при вторжении может указывать на причастность спонсируемой российским государством хакерской группы, потенциально связанной с деятельностью программ-вымогателей.

#ParsedReport #CompletenessMedium
06-11-2024

EMERALDWHALE: 15k Cloud Credentials Stolen in Operation Targeting Exposed Git Config Files

https://sysdig.com/blog/emeraldwhale

Report completeness: Medium

Actors/Campaigns:
Emeraldwhale
Rubycarp
Emperorstool

Threats:
Mizaru_tool
Seyzo_tool
Multigrabber_tool
Masscan_tool
Httpx_tool
Git-dumper_tool
Credential_harvesting_technique

Victims:
Cloud service providers, Email providers, Web servers, Private repositories

Industry:
E-commerce

Geo:
French

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1078, T1567, T1119, T1204, T1001

IOCs:
File: 5
IP: 1

Soft:
Laravel, Linux, curl, Telegram

Functions:
ListBuckets

Languages:
perl, python, javascript, php

Links:
https://github.com/arthaud/git-dumper
https://github.com/projectdiscovery/httpx

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2, windows: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа Sysdig по изучению угроз выявила глобальную кибероперацию под названием EMERALDWHALE, которая была нацелена на неправильно настроенные веб-сервисы, в частности конфигурации Git, с целью кражи более 15 000 учетных данных облачных сервисов. Злоумышленники использовали частные инструменты для кражи учетных данных, клонирования репозиториев и извлечения облачных учетных данных из исходного кода. EMERALDWHALE превратила украденные аккаунты и списки фишинговой и спам-активности в деньги, продемонстрировав распространенность атак по сбору учетных данных и необходимость принятия организациями комплексных мер безопасности для устранения таких угроз.
-----

Злоумышленники, идентифицированные как EMERALDWHALE, провели глобальную кибероперацию, направленную против уязвимых конфигураций Git, в результате которой было похищено более 15 000 учетных данных облачных сервисов, хранящихся в корзине S3.

Злоумышленники использовали частные инструменты для использования неправильно настроенных веб-сервисов, кражи учетных данных, клонирования частных репозиториев и извлечения облачных учетных данных из исходного кода.

Основной целью EMERALDWHALE была фишинговая и спам-деятельность, направленная на использование украденных учетных данных и их продажу по высокой цене, потенциально в сотни долларов за штуку.

Группа монетизировала как украденные аккаунты, так и целевые списки, которые продавались на незаконных рынках.

Подозрительная активность была обнаружена с помощью облачного хранилища Sysdig TRT, что привело к обнаружению общедоступной корзины S3, содержащей вредоносные инструменты и более терабайта скомпрометированных учетных данных и данных журнала регистрации.

Инструменты, используемые EMERALDWHALE, такие как MZR V2 и Seyzo-v2, организовывали сложные атаки, включающие сканирование, извлечение учетных данных и клонирование хранилища для получения учетных данных из общедоступных и частных хранилищ.

Использование неправильных настроек веб-сервера, особенно доступ к каталогу .git, было основным методом EMERALDWHALE для получения учетных данных в незаконных целях или для продажи через темный Интернет.

Они нацелились на открытые файлы среды Laravel, известные тем, что содержат конфиденциальные учетные данные облачных провайдеров и базы данных, что указывает на тенденцию использования уязвимостей в этом фреймворке PHP для кражи учетных данных.

Распространенность атак на сбор учетных данных подчеркивает важность комплексных мер безопасности, превентивных методов обеспечения безопасности, управления рисками, сканирования уязвимостей и тщательных механизмов обнаружения угроз для снижения рисков, связанных со сбором учетных данных.

#ParsedReport #CompletenessHigh
07-11-2024

Unwrapping the emerging Interlock ransomware attack. Who is Interlock?

https://blog.talosintelligence.com/emerging-interlock-ransomware

Report completeness: High

Threats:
Interlock
Anydesk_tool
Putty_tool
Azcopy_tool
Rhysida
Blackbasta
Blackcat
Lolbin_technique
Kerberoasting_technique
Logmein_tool
Mstsc_tool

Industry:
Retail, Government, Healthcare

TTPs:
Tactics: 7
Technics: 0

IOCs:
Email: 1
File: 15
Command: 1
Domain: 1
IP: 3
Url: 4
Hash: 3

Soft:
Linux, Windows Defender, Google Chrome, Chrome, Hyper-V

Algorithms:
cbc

Functions:
remove

Languages:
powershell, golang

Links:
https://github.com/libtom/libtomcrypt
https://github.com/Cisco-Talos/IOCs/tree/main/2024/11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos Incident Response раскрыла изощренного злоумышленника, использующего программу-вымогатель Interlock для охоты на крупную дичь и двойного вымогательства, нацеленную на различные сектора по всему миру. Злоумышленник использовал целый ряд компонентов и тактик, включая RATs, сценарии PowerShell, средства для кражи учетных данных, кейлоггеры и методы шифрования, ориентируясь как на среды Windows, так и на Linux. Анализ также выявил сходство между группами программ-вымогателей Interlock и Rhysida, что указывает на потенциальную связь или сотрудничество между этими двумя организациями.
-----

Служба реагирования на инциденты Cisco Talos обнаружила злоумышленника, использующего программу-вымогатель Interlock для охоты на крупную дичь и двойного вымогательства.

Злоумышленник использовал RAT, замаскированный под программу обновления браузера, скрипты PowerShell, похитителя учетных данных, кейлоггера и шифровальщика-вымогателя.

Перемещение по сети жертвы осуществлялось с помощью RDP, AnyDesk и PuTTY.

Злоумышленник использовал инструменты Azure, такие как Storage Explorer и AzCopy, для фильтрации данных в большой двоичный объект хранилища Azure.

Время пребывания в окружении жертвы составило приблизительно 17 дней.

Группа программ-вымогателей Interlock появилась в сентябре 2024 года, нацелившись на различные сектора в США и Европе.

Программа-вымогатель универсальна как для Windows EXE, так и для Linux ELF, используя такие методы шифрования, как CBC и RSA.

Между операторами программ-вымогателей Interlock и Rhysida было обнаружено сходство, указывающее на возможную связь.

#ParsedReport #CompletenessMedium
07-11-2024

BlueNoroff Hidden Risk \| Threat Actor Targets Macs with Fake Crypto News and Novel Persistence

https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-fake-crypto-news-and-novel-persistence

Report completeness: Medium

Actors/Campaigns:
Bluenoroff

Threats:
Rustdoor
Rustbucket
Kandykorn
Objcshellz

Victims:
Crypto-related businesses, Macos users, Blockchain engineers

Industry:
Education, Financial

Geo:
Indian, North korea, Dprk, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1546.004, T1569.002, T1059.004, T1105, T1562

IOCs:
Domain: 69
Hash: 5
File: 4
IP: 8

Soft:
macOS, Visual Studio, sysctl, curl, Zoom, macOS Gatekeeper

Crypto:
bitcoin, solana

Languages:
delphi, swift, rust

Platforms:
apple, intel, arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 7, schema: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4