#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии кампании вымогателей под названием GoZone, которая использует тактику принуждения, угрожая раскрыть откровенный контент на компьютерах жертв, если выкуп не будет выплачен. Программа-вымогатель распространяется с помощью нежелательных электронных писем и использует тактику запугивания, пакеты шифрования, такие как Chacha20 и RSA, и механизм карантина, чтобы заставить жертв соблюдать требования. Кроме того, в тексте подчеркивается стремление SonicWall вносить свой вклад в более широкое сообщество по анализу угроз, делясь информацией и опытом, чтобы помочь организациям повысить свою защиту от кибербезопасности.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила кампанию вымогателей, которые не только шифруют файлы, но и прибегают к тактике принуждения, обвиняя жертв в хранении откровенного контента на своих компьютерах. Эта программа-вымогатель, известная как GoZone, угрожает передать этот предполагаемый контент властям, если выкуп не будет выплачен. Обычно GoZone распространяется по нежелательным электронным письмам и использует тактику запугивания, чтобы заставить жертв подчиниться.

Технический анализ программы-вымогателя показывает, что она написана на языке программирования Go и использует пакеты шифрования, такие как Chacha20 и RSA. При заражении системы GoZone генерирует текстовый файл readme в каждом каталоге, где были зашифрованы файлы, который служит уведомлением о требовании выкупа. На обоях рабочего стола отображается QR-код, который при сканировании просто копирует биткоин-адрес ("bc1qwemkeh2vu5ftzgat3sk87gr4mlskw898xd6tk5") в браузер. Отслеживание этого биткойн-адреса в блокчейне указывает на минимальную активность, что позволяет предположить, что злоумышленники, стоящие за кампанией, могут быть нацелены на ограниченное число жертв.

Одним из примечательных аспектов программы-вымогателя GoZone является ее механизм блокировки, который не позволяет жертвам менять обои на рабочем столе или фоновые настройки, что еще больше усиливает необходимость выполнения требований о выкупе. Углубленный анализ также выявил ссылки на модули-вымогатели в коде вредоносного ПО, что указывает на ряд потенциальных функциональных возможностей, которыми могут воспользоваться злоумышленники.

Кроме того, стремление SonicWall к повышению глобальной кибербезопасности выходит за рамки их клиентской базы. Исследовательская группа вносит свой вклад в более широкое сообщество аналитиков угроз, регулярно публикуя подробные технические анализы значимых угроз, предоставляя защитникам знания, необходимые для эффективной защиты их сетей. Делясь идеями и опытом, SonicWall стремится помочь организациям любого размера опережать возникающие киберугрозы и защищать свои цифровые активы.

#ParsedReport #CompletenessLow
06-11-2024

Russian APT organization OST tool technical and tactical intelligence

https://www.ctfiot.com/213741.html

Report completeness: Low

Actors/Campaigns:
Duke
Vermin
Turla
Sandworm
Gamaredon
Uac-0050
Energeticbear
Ember_bear
Fancy_bear
Emissary_panda
Seaborgium

Threats:
Intelliadmin_tool
Remcom_tool
Rms_tool
Remoteutilities_tool
Syncthing_tool
Teamviewer_tool
Ultra_vnc_tool
4shared
Rclone_tool
Cookieeditor_tool
Mimikatz_tool
Procdump_tool
Sharpchromium_tool
Edrsandblast_tool
Libprocesshider_rootkit
Powershellrunner
Sdelete_tool
Chisel_tool
Dnscat2_tool
Dropbear_tool
Ngrok_tool
Pivotnacci
Proxychains_tool
Regeorg_tool
Rsockstun_tool
Sshdoor
Acunetix_tool
Amass_tool
Aadinternals_tool
Adfind_tool
Angry_ip_scanner_tool
Bloodhound_tool
Droopescan_tool
Dsinternals_tool
Joomscan_tool
Ldapdomaindump_tool
Nbtscan_tool
Nmap_tool
Masscan_tool
Roadtools_tool
Sscan_tool
Wpscan_tool
Brc4_tool
Cobalt_strike
Crackmapexec_tool
Evilginx_tool
Evil-winrm_tool
Hydra
Impacket_tool
Juicypotato_tool
Koadic_tool
Linpeas_tool
Netcat_tool
Nishang_tool
Metasploit_tool
Meterpreter_tool
Phishery_tool
Poshc2_tool
Powersploit
Empire_loader
Rottenpotatong_tool
Rubeus_tool
Sliver_c2_tool
Weevely
Winpeas_tool
Wso_webshell
Bitsadmin_tool
Minidump_tool
Wevtutil_tool

Industry:
Military

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1078, T1027, T1046, T1071, T1003

IOCs:
File: 1

Soft:
InnoSetup, Dropbox, Gmail, Telegram, VirtualBox, OpenSSH, Active Directory, PsExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении того, как российские хакерские группы, связанные со спецслужбами, такими как ГРУ и СВР, используют киберинструменты и методы, включая инструменты удаленного мониторинга и управления (RMM), бесплатные средства обнаружения вредоносных программ, средства сетевого туннелирования, средства сканирования сети и законные административные средства Windows, для вредоносных действий. В тексте также подчеркивается зависимость этих хакерских групп от агрессивных средств защиты, приводятся конкретные примеры инструментов, используемых различными группами, и их зависимость от этих инструментов. Кроме того, ключевые выводы анализа угроз указывают на активное использование сканеров некоторыми российскими хакерскими группами и потенциальную связь с деятельностью программ-вымогателей.
-----

Российские хакерские группировки, связанные с различными разведывательными службами, такими как ГРУ и СВР, используют кибер-инструменты и методы для осуществления вредоносных действий.

Злоумышленники злоупотребляют инструментами удаленного мониторинга и управления (RMM) для осуществления вредоносных действий, скрываясь в рамках законных ИТ-операций.

Злоумышленники используют бесплатные средства обнаружения вредоносных программ для выявления и удаления скрытых угроз, таких как руткиты, но этими средствами можно злоупотреблять для создания помех в работе систем безопасности.

Использование инструментов сетевого туннелирования для создания зашифрованных туннелей и получения несанкционированного доступа к сетям с ограниченным доступом.

Злоумышленники злоупотребляют инструментами сетевого сканирования и анализа для сбора подробной информации о целевых сетях и использования уязвимостей.

Злоупотребление законными средствами администрирования Windows в злонамеренных целях для перемещения по сети и сбора конфиденциальной информации.

Различные российские хакерские группировки в своих кампаниях по вторжению в значительной степени полагаются на общедоступные средства обеспечения безопасности.

Основные выводы включают активное использование сканеров группой EMBER BEAR, аффилированной с GRU, и многочисленные агрессивные средства безопасности, используемые хакерскими группами GRU, такими как FANCY BEAR и Sandworm.

Группа COZY BEAR, связанная с СВР, использует широкий спектр инструментов, при этом российские хакерские группировки сильно зависят от агрессивных средств безопасности.

Комбинация специфических инструментов при вторжении может указывать на причастность спонсируемой российским государством хакерской группы, потенциально связанной с деятельностью программ-вымогателей.

#ParsedReport #CompletenessMedium
06-11-2024

EMERALDWHALE: 15k Cloud Credentials Stolen in Operation Targeting Exposed Git Config Files

https://sysdig.com/blog/emeraldwhale

Report completeness: Medium

Actors/Campaigns:
Emeraldwhale
Rubycarp
Emperorstool

Threats:
Mizaru_tool
Seyzo_tool
Multigrabber_tool
Masscan_tool
Httpx_tool
Git-dumper_tool
Credential_harvesting_technique

Victims:
Cloud service providers, Email providers, Web servers, Private repositories

Industry:
E-commerce

Geo:
French

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1078, T1567, T1119, T1204, T1001

IOCs:
File: 5
IP: 1

Soft:
Laravel, Linux, curl, Telegram

Functions:
ListBuckets

Languages:
perl, python, javascript, php

Links:
https://github.com/arthaud/git-dumper
https://github.com/projectdiscovery/httpx

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2, windows: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа Sysdig по изучению угроз выявила глобальную кибероперацию под названием EMERALDWHALE, которая была нацелена на неправильно настроенные веб-сервисы, в частности конфигурации Git, с целью кражи более 15 000 учетных данных облачных сервисов. Злоумышленники использовали частные инструменты для кражи учетных данных, клонирования репозиториев и извлечения облачных учетных данных из исходного кода. EMERALDWHALE превратила украденные аккаунты и списки фишинговой и спам-активности в деньги, продемонстрировав распространенность атак по сбору учетных данных и необходимость принятия организациями комплексных мер безопасности для устранения таких угроз.
-----

Злоумышленники, идентифицированные как EMERALDWHALE, провели глобальную кибероперацию, направленную против уязвимых конфигураций Git, в результате которой было похищено более 15 000 учетных данных облачных сервисов, хранящихся в корзине S3.

Злоумышленники использовали частные инструменты для использования неправильно настроенных веб-сервисов, кражи учетных данных, клонирования частных репозиториев и извлечения облачных учетных данных из исходного кода.

Основной целью EMERALDWHALE была фишинговая и спам-деятельность, направленная на использование украденных учетных данных и их продажу по высокой цене, потенциально в сотни долларов за штуку.

Группа монетизировала как украденные аккаунты, так и целевые списки, которые продавались на незаконных рынках.

Подозрительная активность была обнаружена с помощью облачного хранилища Sysdig TRT, что привело к обнаружению общедоступной корзины S3, содержащей вредоносные инструменты и более терабайта скомпрометированных учетных данных и данных журнала регистрации.

Инструменты, используемые EMERALDWHALE, такие как MZR V2 и Seyzo-v2, организовывали сложные атаки, включающие сканирование, извлечение учетных данных и клонирование хранилища для получения учетных данных из общедоступных и частных хранилищ.

Использование неправильных настроек веб-сервера, особенно доступ к каталогу .git, было основным методом EMERALDWHALE для получения учетных данных в незаконных целях или для продажи через темный Интернет.

Они нацелились на открытые файлы среды Laravel, известные тем, что содержат конфиденциальные учетные данные облачных провайдеров и базы данных, что указывает на тенденцию использования уязвимостей в этом фреймворке PHP для кражи учетных данных.

Распространенность атак на сбор учетных данных подчеркивает важность комплексных мер безопасности, превентивных методов обеспечения безопасности, управления рисками, сканирования уязвимостей и тщательных механизмов обнаружения угроз для снижения рисков, связанных со сбором учетных данных.

#ParsedReport #CompletenessHigh
07-11-2024

Unwrapping the emerging Interlock ransomware attack. Who is Interlock?

https://blog.talosintelligence.com/emerging-interlock-ransomware

Report completeness: High

Threats:
Interlock
Anydesk_tool
Putty_tool
Azcopy_tool
Rhysida
Blackbasta
Blackcat
Lolbin_technique
Kerberoasting_technique
Logmein_tool
Mstsc_tool

Industry:
Retail, Government, Healthcare

TTPs:
Tactics: 7
Technics: 0

IOCs:
Email: 1
File: 15
Command: 1
Domain: 1
IP: 3
Url: 4
Hash: 3

Soft:
Linux, Windows Defender, Google Chrome, Chrome, Hyper-V

Algorithms:
cbc

Functions:
remove

Languages:
powershell, golang

Links:
https://github.com/libtom/libtomcrypt
https://github.com/Cisco-Talos/IOCs/tree/main/2024/11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos Incident Response раскрыла изощренного злоумышленника, использующего программу-вымогатель Interlock для охоты на крупную дичь и двойного вымогательства, нацеленную на различные сектора по всему миру. Злоумышленник использовал целый ряд компонентов и тактик, включая RATs, сценарии PowerShell, средства для кражи учетных данных, кейлоггеры и методы шифрования, ориентируясь как на среды Windows, так и на Linux. Анализ также выявил сходство между группами программ-вымогателей Interlock и Rhysida, что указывает на потенциальную связь или сотрудничество между этими двумя организациями.
-----

Служба реагирования на инциденты Cisco Talos обнаружила злоумышленника, использующего программу-вымогатель Interlock для охоты на крупную дичь и двойного вымогательства.

Злоумышленник использовал RAT, замаскированный под программу обновления браузера, скрипты PowerShell, похитителя учетных данных, кейлоггера и шифровальщика-вымогателя.

Перемещение по сети жертвы осуществлялось с помощью RDP, AnyDesk и PuTTY.

Злоумышленник использовал инструменты Azure, такие как Storage Explorer и AzCopy, для фильтрации данных в большой двоичный объект хранилища Azure.

Время пребывания в окружении жертвы составило приблизительно 17 дней.

Группа программ-вымогателей Interlock появилась в сентябре 2024 года, нацелившись на различные сектора в США и Европе.

Программа-вымогатель универсальна как для Windows EXE, так и для Linux ELF, используя такие методы шифрования, как CBC и RSA.

Между операторами программ-вымогателей Interlock и Rhysida было обнаружено сходство, указывающее на возможную связь.

#ParsedReport #CompletenessMedium
07-11-2024

BlueNoroff Hidden Risk \| Threat Actor Targets Macs with Fake Crypto News and Novel Persistence

https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-fake-crypto-news-and-novel-persistence

Report completeness: Medium

Actors/Campaigns:
Bluenoroff

Threats:
Rustdoor
Rustbucket
Kandykorn
Objcshellz

Victims:
Crypto-related businesses, Macos users, Blockchain engineers

Industry:
Education, Financial

Geo:
Indian, North korea, Dprk, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1546.004, T1569.002, T1059.004, T1105, T1562

IOCs:
Domain: 69
Hash: 5
File: 4
IP: 8

Soft:
macOS, Visual Studio, sysctl, curl, Zoom, macOS Gatekeeper

Crypto:
bitcoin, solana

Languages:
delphi, swift, rust

Platforms:
apple, intel, arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 7, schema: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что SentinelLabs выявила северокорейского злоумышленника, проводящего кампанию под названием "Скрытый риск", нацеленную на предприятия, связанные с криптовалютой, с использованием инновационного многоступенчатого вредоносного ПО, доставляемого через фишинговые электронные письма, содержащие поддельные PDF-файлы. Этот субъект связан с предыдущими атаками кампаний BlueNoroff и RustBucket, демонстрирующими схему нацеливания на криптовалютные компании с целью кражи средств или внедрения вредоносного ПО с черным ходом. В тексте также подчеркивается меняющаяся тактика северокорейских злоумышленников, их способность адаптировать стратегии и необходимость усиления мер безопасности для борьбы с этими киберугрозами.
-----

SentinelLabs обнаружила северокорейского злоумышленника, нацеленного на предприятия, связанные с криптовалютами, с помощью многоэтапного вредоносного ПО под названием Hidden Risk, с помощью фишинговых электронных писем, содержащих поддельные новости о криптовалютах.

Один и тот же субъект угрозы связан с предыдущими атаками, связанными с кампаниями BlueNoroff, RustDoor/ThiefBucket и RustBucket, нацеленными на криптовалютные компании.

Кампания "Скрытый риск" использует уникальный механизм сохранения данных с использованием файла конфигурации Zshenv и менее сложные фишинговые электронные письма по сравнению с предыдущими кампаниями.

Вредоносная программа в этой кампании действует как черный ход, взаимодействует с удаленным сервером и может выполнять команды на зараженном хосте, не вызывая уведомлений пользователя, благодаря своему механизму сохранения.

Анализ приписывает кампанию северокорейскому агенту по борьбе с угрозами BlueNoroff, который поддерживает взаимосвязанную инфраструктуру, основанную на криптовалютах, для распространения вредоносного ПО и создания видимости законности.

Северокорейские злоумышленники адаптировали стратегии, демонстрирующие способность получать действительные учетные записи разработчиков, нотариально заверять вредоносное ПО Apple и обходить функции безопасности macOS, что указывает на продолжающуюся вредоносную деятельность.

#ParsedReport #CompletenessLow
07-11-2024

AsyncRAT s Infection Tactics via Open Directories: Technical Analysis

https://any.run/cybersecurity-blog/asyncrat-open-directories-infection-analysis

Report completeness: Low

Threats:
Asyncrat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.005, T1059.003, T1071.001, T1055, T1053.005

IOCs:
Path: 1
File: 3
IP: 2
Domain: 2
Hash: 13

Soft:
Linux

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 18, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ того, как вредоносная программа AsyncRAT, троян для удаленного доступа (RAT), использует инновационную тактику для заражения систем через открытые каталоги, демонстрируя эволюцию стратегий злоумышленников. В статье подробно описываются методы заражения, функциональные возможности и этапы работы вредоносного ПО, а также анализ открытых вредоносных каталогов и информация, предоставляемая средой ANY.RUN sandbox для понимания поведения вредоносного ПО и инфраструктуры управления (C2). Кроме того, это подчеркивает роль ANY.RUN в поддержке специалистов по кибербезопасности во всем мире, предоставляя инструменты для анализа вредоносных программ и анализа угроз для улучшения возможностей обнаружения угроз и реагирования на инциденты.
-----

AsyncRAT - это вредоносная программа для удаленного доступа (RAT), использующая инновационную тактику заражения систем через открытые каталоги и демонстрирующая эволюционирующие стратегии злоумышленников.

AsyncRAT предоставляет злоумышленникам удаленный контроль над скомпрометированными устройствами для шпионажа, утечки данных и манипулирования целевыми системами.

Расследование вредоносных программ open directories выявило скрипт VBS, замаскированный под TXT-файл, и файл JPG, скрывающий сценарий PowerShell для запуска процесса заражения.

Идентифицированный скрипт VBS запускает выполнение PowerShell без запроса, что приводит к появлению сценария PowerShell с именем KiLOvBeRNdautESaatnENn.ps1 в качестве следующего этапа цепочки заражения.

Анализ в среде ANY.RUN sandbox позволил получить представление о выполнении вредоносных программ, структуре управления (C2) и методах сохранения, включая настройку запланированных задач.

ANY.RUN сыграл решающую роль в поддержке специалистов по кибербезопасности во всем мире, предлагая продукты для анализа угроз для анализа индикаторов компрометации (IOCs) и повышения эффективности реагирования на инциденты.

#ParsedReport #CompletenessLow
07-11-2024

Large eBay malvertising campaign leads to scams

https://www.malwarebytes.com/blog/scams/2024/11/large-ebay-malvertising-campaign-leads-to-scams

Report completeness: Low

Industry:
Financial

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1204, T1189

IOCs:
Domain: 5

Soft:
Google Chrome