#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении того, как российские хакерские группы, связанные со спецслужбами, такими как ГРУ и СВР, используют киберинструменты и методы, включая инструменты удаленного мониторинга и управления (RMM), бесплатные средства обнаружения вредоносных программ, средства сетевого туннелирования, средства сканирования сети и законные административные средства Windows, для вредоносных действий. В тексте также подчеркивается зависимость этих хакерских групп от агрессивных средств защиты, приводятся конкретные примеры инструментов, используемых различными группами, и их зависимость от этих инструментов. Кроме того, ключевые выводы анализа угроз указывают на активное использование сканеров некоторыми российскими хакерскими группами и потенциальную связь с деятельностью программ-вымогателей.
-----

Российские хакерские группировки, связанные с различными разведывательными службами, такими как ГРУ и СВР, используют кибер-инструменты и методы для осуществления вредоносных действий.

Злоумышленники злоупотребляют инструментами удаленного мониторинга и управления (RMM) для осуществления вредоносных действий, скрываясь в рамках законных ИТ-операций.

Злоумышленники используют бесплатные средства обнаружения вредоносных программ для выявления и удаления скрытых угроз, таких как руткиты, но этими средствами можно злоупотреблять для создания помех в работе систем безопасности.

Использование инструментов сетевого туннелирования для создания зашифрованных туннелей и получения несанкционированного доступа к сетям с ограниченным доступом.

Злоумышленники злоупотребляют инструментами сетевого сканирования и анализа для сбора подробной информации о целевых сетях и использования уязвимостей.

Злоупотребление законными средствами администрирования Windows в злонамеренных целях для перемещения по сети и сбора конфиденциальной информации.

Различные российские хакерские группировки в своих кампаниях по вторжению в значительной степени полагаются на общедоступные средства обеспечения безопасности.

Основные выводы включают активное использование сканеров группой EMBER BEAR, аффилированной с GRU, и многочисленные агрессивные средства безопасности, используемые хакерскими группами GRU, такими как FANCY BEAR и Sandworm.

Группа COZY BEAR, связанная с СВР, использует широкий спектр инструментов, при этом российские хакерские группировки сильно зависят от агрессивных средств безопасности.

Комбинация специфических инструментов при вторжении может указывать на причастность спонсируемой российским государством хакерской группы, потенциально связанной с деятельностью программ-вымогателей.

#ParsedReport #CompletenessMedium
06-11-2024

EMERALDWHALE: 15k Cloud Credentials Stolen in Operation Targeting Exposed Git Config Files

https://sysdig.com/blog/emeraldwhale

Report completeness: Medium

Actors/Campaigns:
Emeraldwhale
Rubycarp
Emperorstool

Threats:
Mizaru_tool
Seyzo_tool
Multigrabber_tool
Masscan_tool
Httpx_tool
Git-dumper_tool
Credential_harvesting_technique

Victims:
Cloud service providers, Email providers, Web servers, Private repositories

Industry:
E-commerce

Geo:
French

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1078, T1567, T1119, T1204, T1001

IOCs:
File: 5
IP: 1

Soft:
Laravel, Linux, curl, Telegram

Functions:
ListBuckets

Languages:
perl, python, javascript, php

Links:
https://github.com/arthaud/git-dumper
https://github.com/projectdiscovery/httpx

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2, windows: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа Sysdig по изучению угроз выявила глобальную кибероперацию под названием EMERALDWHALE, которая была нацелена на неправильно настроенные веб-сервисы, в частности конфигурации Git, с целью кражи более 15 000 учетных данных облачных сервисов. Злоумышленники использовали частные инструменты для кражи учетных данных, клонирования репозиториев и извлечения облачных учетных данных из исходного кода. EMERALDWHALE превратила украденные аккаунты и списки фишинговой и спам-активности в деньги, продемонстрировав распространенность атак по сбору учетных данных и необходимость принятия организациями комплексных мер безопасности для устранения таких угроз.
-----

Злоумышленники, идентифицированные как EMERALDWHALE, провели глобальную кибероперацию, направленную против уязвимых конфигураций Git, в результате которой было похищено более 15 000 учетных данных облачных сервисов, хранящихся в корзине S3.

Злоумышленники использовали частные инструменты для использования неправильно настроенных веб-сервисов, кражи учетных данных, клонирования частных репозиториев и извлечения облачных учетных данных из исходного кода.

Основной целью EMERALDWHALE была фишинговая и спам-деятельность, направленная на использование украденных учетных данных и их продажу по высокой цене, потенциально в сотни долларов за штуку.

Группа монетизировала как украденные аккаунты, так и целевые списки, которые продавались на незаконных рынках.

Подозрительная активность была обнаружена с помощью облачного хранилища Sysdig TRT, что привело к обнаружению общедоступной корзины S3, содержащей вредоносные инструменты и более терабайта скомпрометированных учетных данных и данных журнала регистрации.

Инструменты, используемые EMERALDWHALE, такие как MZR V2 и Seyzo-v2, организовывали сложные атаки, включающие сканирование, извлечение учетных данных и клонирование хранилища для получения учетных данных из общедоступных и частных хранилищ.

Использование неправильных настроек веб-сервера, особенно доступ к каталогу .git, было основным методом EMERALDWHALE для получения учетных данных в незаконных целях или для продажи через темный Интернет.

Они нацелились на открытые файлы среды Laravel, известные тем, что содержат конфиденциальные учетные данные облачных провайдеров и базы данных, что указывает на тенденцию использования уязвимостей в этом фреймворке PHP для кражи учетных данных.

Распространенность атак на сбор учетных данных подчеркивает важность комплексных мер безопасности, превентивных методов обеспечения безопасности, управления рисками, сканирования уязвимостей и тщательных механизмов обнаружения угроз для снижения рисков, связанных со сбором учетных данных.

#ParsedReport #CompletenessHigh
07-11-2024

Unwrapping the emerging Interlock ransomware attack. Who is Interlock?

https://blog.talosintelligence.com/emerging-interlock-ransomware

Report completeness: High

Threats:
Interlock
Anydesk_tool
Putty_tool
Azcopy_tool
Rhysida
Blackbasta
Blackcat
Lolbin_technique
Kerberoasting_technique
Logmein_tool
Mstsc_tool

Industry:
Retail, Government, Healthcare

TTPs:
Tactics: 7
Technics: 0

IOCs:
Email: 1
File: 15
Command: 1
Domain: 1
IP: 3
Url: 4
Hash: 3

Soft:
Linux, Windows Defender, Google Chrome, Chrome, Hyper-V

Algorithms:
cbc

Functions:
remove

Languages:
powershell, golang

Links:
https://github.com/libtom/libtomcrypt
https://github.com/Cisco-Talos/IOCs/tree/main/2024/11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos Incident Response раскрыла изощренного злоумышленника, использующего программу-вымогатель Interlock для охоты на крупную дичь и двойного вымогательства, нацеленную на различные сектора по всему миру. Злоумышленник использовал целый ряд компонентов и тактик, включая RATs, сценарии PowerShell, средства для кражи учетных данных, кейлоггеры и методы шифрования, ориентируясь как на среды Windows, так и на Linux. Анализ также выявил сходство между группами программ-вымогателей Interlock и Rhysida, что указывает на потенциальную связь или сотрудничество между этими двумя организациями.
-----

Служба реагирования на инциденты Cisco Talos обнаружила злоумышленника, использующего программу-вымогатель Interlock для охоты на крупную дичь и двойного вымогательства.

Злоумышленник использовал RAT, замаскированный под программу обновления браузера, скрипты PowerShell, похитителя учетных данных, кейлоггера и шифровальщика-вымогателя.

Перемещение по сети жертвы осуществлялось с помощью RDP, AnyDesk и PuTTY.

Злоумышленник использовал инструменты Azure, такие как Storage Explorer и AzCopy, для фильтрации данных в большой двоичный объект хранилища Azure.

Время пребывания в окружении жертвы составило приблизительно 17 дней.

Группа программ-вымогателей Interlock появилась в сентябре 2024 года, нацелившись на различные сектора в США и Европе.

Программа-вымогатель универсальна как для Windows EXE, так и для Linux ELF, используя такие методы шифрования, как CBC и RSA.

Между операторами программ-вымогателей Interlock и Rhysida было обнаружено сходство, указывающее на возможную связь.

#ParsedReport #CompletenessMedium
07-11-2024

BlueNoroff Hidden Risk \| Threat Actor Targets Macs with Fake Crypto News and Novel Persistence

https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-fake-crypto-news-and-novel-persistence

Report completeness: Medium

Actors/Campaigns:
Bluenoroff

Threats:
Rustdoor
Rustbucket
Kandykorn
Objcshellz

Victims:
Crypto-related businesses, Macos users, Blockchain engineers

Industry:
Education, Financial

Geo:
Indian, North korea, Dprk, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1546.004, T1569.002, T1059.004, T1105, T1562

IOCs:
Domain: 69
Hash: 5
File: 4
IP: 8

Soft:
macOS, Visual Studio, sysctl, curl, Zoom, macOS Gatekeeper

Crypto:
bitcoin, solana

Languages:
delphi, swift, rust

Platforms:
apple, intel, arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 7, schema: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что SentinelLabs выявила северокорейского злоумышленника, проводящего кампанию под названием "Скрытый риск", нацеленную на предприятия, связанные с криптовалютой, с использованием инновационного многоступенчатого вредоносного ПО, доставляемого через фишинговые электронные письма, содержащие поддельные PDF-файлы. Этот субъект связан с предыдущими атаками кампаний BlueNoroff и RustBucket, демонстрирующими схему нацеливания на криптовалютные компании с целью кражи средств или внедрения вредоносного ПО с черным ходом. В тексте также подчеркивается меняющаяся тактика северокорейских злоумышленников, их способность адаптировать стратегии и необходимость усиления мер безопасности для борьбы с этими киберугрозами.
-----

SentinelLabs обнаружила северокорейского злоумышленника, нацеленного на предприятия, связанные с криптовалютами, с помощью многоэтапного вредоносного ПО под названием Hidden Risk, с помощью фишинговых электронных писем, содержащих поддельные новости о криптовалютах.

Один и тот же субъект угрозы связан с предыдущими атаками, связанными с кампаниями BlueNoroff, RustDoor/ThiefBucket и RustBucket, нацеленными на криптовалютные компании.

Кампания "Скрытый риск" использует уникальный механизм сохранения данных с использованием файла конфигурации Zshenv и менее сложные фишинговые электронные письма по сравнению с предыдущими кампаниями.

Вредоносная программа в этой кампании действует как черный ход, взаимодействует с удаленным сервером и может выполнять команды на зараженном хосте, не вызывая уведомлений пользователя, благодаря своему механизму сохранения.

Анализ приписывает кампанию северокорейскому агенту по борьбе с угрозами BlueNoroff, который поддерживает взаимосвязанную инфраструктуру, основанную на криптовалютах, для распространения вредоносного ПО и создания видимости законности.

Северокорейские злоумышленники адаптировали стратегии, демонстрирующие способность получать действительные учетные записи разработчиков, нотариально заверять вредоносное ПО Apple и обходить функции безопасности macOS, что указывает на продолжающуюся вредоносную деятельность.

#ParsedReport #CompletenessLow
07-11-2024

AsyncRAT s Infection Tactics via Open Directories: Technical Analysis

https://any.run/cybersecurity-blog/asyncrat-open-directories-infection-analysis

Report completeness: Low

Threats:
Asyncrat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.005, T1059.003, T1071.001, T1055, T1053.005

IOCs:
Path: 1
File: 3
IP: 2
Domain: 2
Hash: 13

Soft:
Linux

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 18, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ того, как вредоносная программа AsyncRAT, троян для удаленного доступа (RAT), использует инновационную тактику для заражения систем через открытые каталоги, демонстрируя эволюцию стратегий злоумышленников. В статье подробно описываются методы заражения, функциональные возможности и этапы работы вредоносного ПО, а также анализ открытых вредоносных каталогов и информация, предоставляемая средой ANY.RUN sandbox для понимания поведения вредоносного ПО и инфраструктуры управления (C2). Кроме того, это подчеркивает роль ANY.RUN в поддержке специалистов по кибербезопасности во всем мире, предоставляя инструменты для анализа вредоносных программ и анализа угроз для улучшения возможностей обнаружения угроз и реагирования на инциденты.
-----

AsyncRAT - это вредоносная программа для удаленного доступа (RAT), использующая инновационную тактику заражения систем через открытые каталоги и демонстрирующая эволюционирующие стратегии злоумышленников.

AsyncRAT предоставляет злоумышленникам удаленный контроль над скомпрометированными устройствами для шпионажа, утечки данных и манипулирования целевыми системами.

Расследование вредоносных программ open directories выявило скрипт VBS, замаскированный под TXT-файл, и файл JPG, скрывающий сценарий PowerShell для запуска процесса заражения.

Идентифицированный скрипт VBS запускает выполнение PowerShell без запроса, что приводит к появлению сценария PowerShell с именем KiLOvBeRNdautESaatnENn.ps1 в качестве следующего этапа цепочки заражения.

Анализ в среде ANY.RUN sandbox позволил получить представление о выполнении вредоносных программ, структуре управления (C2) и методах сохранения, включая настройку запланированных задач.

ANY.RUN сыграл решающую роль в поддержке специалистов по кибербезопасности во всем мире, предлагая продукты для анализа угроз для анализа индикаторов компрометации (IOCs) и повышения эффективности реагирования на инциденты.

#ParsedReport #CompletenessLow
07-11-2024

Large eBay malvertising campaign leads to scams

https://www.malwarebytes.com/blog/scams/2024/11/large-ebay-malvertising-campaign-leads-to-scams

Report completeness: Low

Industry:
Financial

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1204, T1189

IOCs:
Domain: 5

Soft:
Google Chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространении вредоносной рекламы в Интернете, в частности тактики мошенничества с технической поддержкой, когда мошенники обманом заставляют пользователей обращаться за помощью и получают доступ к устройствам или финансовой информации. Несмотря на усилия таких платформ, как Google, по обеспечению соблюдения правил рекламы, мошенники находят способы обмануть пользователей, используя такие известные бренды, как eBay. В тексте подчеркивается важность сообщения о вредоносной рекламе и использования средств безопасности, таких как Malwarebytes Browser Guard, для защиты от этих угроз.
-----

В тексте описывается сценарий, при котором вредоносная реклама отображается в Интернете, вовлекая пользователей в мошенничество. Эти объявления могут выглядеть достаточно правдоподобно, чтобы заставить ничего не подозревающих пользователей перейти по ним, что приведет их на поддельные веб-сайты, которые предложат им обратиться за помощью. Эти мошеннические действия совершаются преступниками, которые используют известные торговые марки, такие как eBay, чтобы завоевать доверие и вовлечь жертв в свои схемы. Несмотря на строгие правила Google в отношении рекламного контента, мошенники находят способы обойти эти правила и эксплуатировать пользователей. Основной используемой тактикой является "мошенничество с технической поддержкой", когда мошенники, обычно действующие из зарубежных колл-центров, пытаются получить доступ к устройствам жертв или финансовой информации, чтобы украсть деньги. В ответ на эти угрозы предпринимаются усилия по отправке сообщений о вредоносной рекламе на платформы, подобные Google, и отслеживанию аналогичных кампаний, нацеленных на другие бренды. В тексте также рекомендуется использовать средства безопасности, такие как Malwarebytes Browser Guard, для защиты от подобных угроз путем блокирования рекламы и обнаружения фишинговых сайтов.

#ParsedReport #CompletenessMedium
08-11-2024

QSC: A multi-plugin framework used by CloudComputating group in cyberespionage campaigns

https://securelist.com/cloudcomputating-qsc-framework/114438

Report completeness: Medium

Actors/Campaigns:
Cloudcomputating (motivation: cyber_espionage)

Threats:
Qsc_tool
Torpig
Turian
Netstat_tool
Vmprotect_tool
Tailorscan_tool
Stowproxy_tool
Procdump_tool

Industry:
Telco

Geo:
Asia, Middle east

ChatGPT TTPs:
do not use without manual check
T1105, T1071.001, T1573.002, T1027, T1553.002, T1036.004, T1569.002, T1584.001

IOCs:
Command: 4
IP: 3
Hash: 27
Path: 35
File: 2
Domain: 8

Algorithms:
md5, base64, rc4, xor

Functions:
setConfig, getNetWork

Win API:
decompress, CreateProcess

Languages:
golang

Platforms:
x64, apple