#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа Sysdig по изучению угроз выявила глобальную кибероперацию под названием EMERALDWHALE, которая была нацелена на неправильно настроенные веб-сервисы, в частности конфигурации Git, с целью кражи более 15 000 учетных данных облачных сервисов. Злоумышленники использовали частные инструменты для кражи учетных данных, клонирования репозиториев и извлечения облачных учетных данных из исходного кода. EMERALDWHALE превратила украденные аккаунты и списки фишинговой и спам-активности в деньги, продемонстрировав распространенность атак по сбору учетных данных и необходимость принятия организациями комплексных мер безопасности для устранения таких угроз.
-----

Злоумышленники, идентифицированные как EMERALDWHALE, провели глобальную кибероперацию, направленную против уязвимых конфигураций Git, в результате которой было похищено более 15 000 учетных данных облачных сервисов, хранящихся в корзине S3.

Злоумышленники использовали частные инструменты для использования неправильно настроенных веб-сервисов, кражи учетных данных, клонирования частных репозиториев и извлечения облачных учетных данных из исходного кода.

Основной целью EMERALDWHALE была фишинговая и спам-деятельность, направленная на использование украденных учетных данных и их продажу по высокой цене, потенциально в сотни долларов за штуку.

Группа монетизировала как украденные аккаунты, так и целевые списки, которые продавались на незаконных рынках.

Подозрительная активность была обнаружена с помощью облачного хранилища Sysdig TRT, что привело к обнаружению общедоступной корзины S3, содержащей вредоносные инструменты и более терабайта скомпрометированных учетных данных и данных журнала регистрации.

Инструменты, используемые EMERALDWHALE, такие как MZR V2 и Seyzo-v2, организовывали сложные атаки, включающие сканирование, извлечение учетных данных и клонирование хранилища для получения учетных данных из общедоступных и частных хранилищ.

Использование неправильных настроек веб-сервера, особенно доступ к каталогу .git, было основным методом EMERALDWHALE для получения учетных данных в незаконных целях или для продажи через темный Интернет.

Они нацелились на открытые файлы среды Laravel, известные тем, что содержат конфиденциальные учетные данные облачных провайдеров и базы данных, что указывает на тенденцию использования уязвимостей в этом фреймворке PHP для кражи учетных данных.

Распространенность атак на сбор учетных данных подчеркивает важность комплексных мер безопасности, превентивных методов обеспечения безопасности, управления рисками, сканирования уязвимостей и тщательных механизмов обнаружения угроз для снижения рисков, связанных со сбором учетных данных.

#ParsedReport #CompletenessHigh
07-11-2024

Unwrapping the emerging Interlock ransomware attack. Who is Interlock?

https://blog.talosintelligence.com/emerging-interlock-ransomware

Report completeness: High

Threats:
Interlock
Anydesk_tool
Putty_tool
Azcopy_tool
Rhysida
Blackbasta
Blackcat
Lolbin_technique
Kerberoasting_technique
Logmein_tool
Mstsc_tool

Industry:
Retail, Government, Healthcare

TTPs:
Tactics: 7
Technics: 0

IOCs:
Email: 1
File: 15
Command: 1
Domain: 1
IP: 3
Url: 4
Hash: 3

Soft:
Linux, Windows Defender, Google Chrome, Chrome, Hyper-V

Algorithms:
cbc

Functions:
remove

Languages:
powershell, golang

Links:
https://github.com/libtom/libtomcrypt
https://github.com/Cisco-Talos/IOCs/tree/main/2024/11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos Incident Response раскрыла изощренного злоумышленника, использующего программу-вымогатель Interlock для охоты на крупную дичь и двойного вымогательства, нацеленную на различные сектора по всему миру. Злоумышленник использовал целый ряд компонентов и тактик, включая RATs, сценарии PowerShell, средства для кражи учетных данных, кейлоггеры и методы шифрования, ориентируясь как на среды Windows, так и на Linux. Анализ также выявил сходство между группами программ-вымогателей Interlock и Rhysida, что указывает на потенциальную связь или сотрудничество между этими двумя организациями.
-----

Служба реагирования на инциденты Cisco Talos обнаружила злоумышленника, использующего программу-вымогатель Interlock для охоты на крупную дичь и двойного вымогательства.

Злоумышленник использовал RAT, замаскированный под программу обновления браузера, скрипты PowerShell, похитителя учетных данных, кейлоггера и шифровальщика-вымогателя.

Перемещение по сети жертвы осуществлялось с помощью RDP, AnyDesk и PuTTY.

Злоумышленник использовал инструменты Azure, такие как Storage Explorer и AzCopy, для фильтрации данных в большой двоичный объект хранилища Azure.

Время пребывания в окружении жертвы составило приблизительно 17 дней.

Группа программ-вымогателей Interlock появилась в сентябре 2024 года, нацелившись на различные сектора в США и Европе.

Программа-вымогатель универсальна как для Windows EXE, так и для Linux ELF, используя такие методы шифрования, как CBC и RSA.

Между операторами программ-вымогателей Interlock и Rhysida было обнаружено сходство, указывающее на возможную связь.

#ParsedReport #CompletenessMedium
07-11-2024

BlueNoroff Hidden Risk \| Threat Actor Targets Macs with Fake Crypto News and Novel Persistence

https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-fake-crypto-news-and-novel-persistence

Report completeness: Medium

Actors/Campaigns:
Bluenoroff

Threats:
Rustdoor
Rustbucket
Kandykorn
Objcshellz

Victims:
Crypto-related businesses, Macos users, Blockchain engineers

Industry:
Education, Financial

Geo:
Indian, North korea, Dprk, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1546.004, T1569.002, T1059.004, T1105, T1562

IOCs:
Domain: 69
Hash: 5
File: 4
IP: 8

Soft:
macOS, Visual Studio, sysctl, curl, Zoom, macOS Gatekeeper

Crypto:
bitcoin, solana

Languages:
delphi, swift, rust

Platforms:
apple, intel, arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 7, schema: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что SentinelLabs выявила северокорейского злоумышленника, проводящего кампанию под названием "Скрытый риск", нацеленную на предприятия, связанные с криптовалютой, с использованием инновационного многоступенчатого вредоносного ПО, доставляемого через фишинговые электронные письма, содержащие поддельные PDF-файлы. Этот субъект связан с предыдущими атаками кампаний BlueNoroff и RustBucket, демонстрирующими схему нацеливания на криптовалютные компании с целью кражи средств или внедрения вредоносного ПО с черным ходом. В тексте также подчеркивается меняющаяся тактика северокорейских злоумышленников, их способность адаптировать стратегии и необходимость усиления мер безопасности для борьбы с этими киберугрозами.
-----

SentinelLabs обнаружила северокорейского злоумышленника, нацеленного на предприятия, связанные с криптовалютами, с помощью многоэтапного вредоносного ПО под названием Hidden Risk, с помощью фишинговых электронных писем, содержащих поддельные новости о криптовалютах.

Один и тот же субъект угрозы связан с предыдущими атаками, связанными с кампаниями BlueNoroff, RustDoor/ThiefBucket и RustBucket, нацеленными на криптовалютные компании.

Кампания "Скрытый риск" использует уникальный механизм сохранения данных с использованием файла конфигурации Zshenv и менее сложные фишинговые электронные письма по сравнению с предыдущими кампаниями.

Вредоносная программа в этой кампании действует как черный ход, взаимодействует с удаленным сервером и может выполнять команды на зараженном хосте, не вызывая уведомлений пользователя, благодаря своему механизму сохранения.

Анализ приписывает кампанию северокорейскому агенту по борьбе с угрозами BlueNoroff, который поддерживает взаимосвязанную инфраструктуру, основанную на криптовалютах, для распространения вредоносного ПО и создания видимости законности.

Северокорейские злоумышленники адаптировали стратегии, демонстрирующие способность получать действительные учетные записи разработчиков, нотариально заверять вредоносное ПО Apple и обходить функции безопасности macOS, что указывает на продолжающуюся вредоносную деятельность.

#ParsedReport #CompletenessLow
07-11-2024

AsyncRAT s Infection Tactics via Open Directories: Technical Analysis

https://any.run/cybersecurity-blog/asyncrat-open-directories-infection-analysis

Report completeness: Low

Threats:
Asyncrat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.005, T1059.003, T1071.001, T1055, T1053.005

IOCs:
Path: 1
File: 3
IP: 2
Domain: 2
Hash: 13

Soft:
Linux

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 18, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ того, как вредоносная программа AsyncRAT, троян для удаленного доступа (RAT), использует инновационную тактику для заражения систем через открытые каталоги, демонстрируя эволюцию стратегий злоумышленников. В статье подробно описываются методы заражения, функциональные возможности и этапы работы вредоносного ПО, а также анализ открытых вредоносных каталогов и информация, предоставляемая средой ANY.RUN sandbox для понимания поведения вредоносного ПО и инфраструктуры управления (C2). Кроме того, это подчеркивает роль ANY.RUN в поддержке специалистов по кибербезопасности во всем мире, предоставляя инструменты для анализа вредоносных программ и анализа угроз для улучшения возможностей обнаружения угроз и реагирования на инциденты.
-----

AsyncRAT - это вредоносная программа для удаленного доступа (RAT), использующая инновационную тактику заражения систем через открытые каталоги и демонстрирующая эволюционирующие стратегии злоумышленников.

AsyncRAT предоставляет злоумышленникам удаленный контроль над скомпрометированными устройствами для шпионажа, утечки данных и манипулирования целевыми системами.

Расследование вредоносных программ open directories выявило скрипт VBS, замаскированный под TXT-файл, и файл JPG, скрывающий сценарий PowerShell для запуска процесса заражения.

Идентифицированный скрипт VBS запускает выполнение PowerShell без запроса, что приводит к появлению сценария PowerShell с именем KiLOvBeRNdautESaatnENn.ps1 в качестве следующего этапа цепочки заражения.

Анализ в среде ANY.RUN sandbox позволил получить представление о выполнении вредоносных программ, структуре управления (C2) и методах сохранения, включая настройку запланированных задач.

ANY.RUN сыграл решающую роль в поддержке специалистов по кибербезопасности во всем мире, предлагая продукты для анализа угроз для анализа индикаторов компрометации (IOCs) и повышения эффективности реагирования на инциденты.

#ParsedReport #CompletenessLow
07-11-2024

Large eBay malvertising campaign leads to scams

https://www.malwarebytes.com/blog/scams/2024/11/large-ebay-malvertising-campaign-leads-to-scams

Report completeness: Low

Industry:
Financial

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1204, T1189

IOCs:
Domain: 5

Soft:
Google Chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространении вредоносной рекламы в Интернете, в частности тактики мошенничества с технической поддержкой, когда мошенники обманом заставляют пользователей обращаться за помощью и получают доступ к устройствам или финансовой информации. Несмотря на усилия таких платформ, как Google, по обеспечению соблюдения правил рекламы, мошенники находят способы обмануть пользователей, используя такие известные бренды, как eBay. В тексте подчеркивается важность сообщения о вредоносной рекламе и использования средств безопасности, таких как Malwarebytes Browser Guard, для защиты от этих угроз.
-----

В тексте описывается сценарий, при котором вредоносная реклама отображается в Интернете, вовлекая пользователей в мошенничество. Эти объявления могут выглядеть достаточно правдоподобно, чтобы заставить ничего не подозревающих пользователей перейти по ним, что приведет их на поддельные веб-сайты, которые предложат им обратиться за помощью. Эти мошеннические действия совершаются преступниками, которые используют известные торговые марки, такие как eBay, чтобы завоевать доверие и вовлечь жертв в свои схемы. Несмотря на строгие правила Google в отношении рекламного контента, мошенники находят способы обойти эти правила и эксплуатировать пользователей. Основной используемой тактикой является "мошенничество с технической поддержкой", когда мошенники, обычно действующие из зарубежных колл-центров, пытаются получить доступ к устройствам жертв или финансовой информации, чтобы украсть деньги. В ответ на эти угрозы предпринимаются усилия по отправке сообщений о вредоносной рекламе на платформы, подобные Google, и отслеживанию аналогичных кампаний, нацеленных на другие бренды. В тексте также рекомендуется использовать средства безопасности, такие как Malwarebytes Browser Guard, для защиты от подобных угроз путем блокирования рекламы и обнаружения фишинговых сайтов.

#ParsedReport #CompletenessMedium
08-11-2024

QSC: A multi-plugin framework used by CloudComputating group in cyberespionage campaigns

https://securelist.com/cloudcomputating-qsc-framework/114438

Report completeness: Medium

Actors/Campaigns:
Cloudcomputating (motivation: cyber_espionage)

Threats:
Qsc_tool
Torpig
Turian
Netstat_tool
Vmprotect_tool
Tailorscan_tool
Stowproxy_tool
Procdump_tool

Industry:
Telco

Geo:
Asia, Middle east

ChatGPT TTPs:
do not use without manual check
T1105, T1071.001, T1573.002, T1027, T1553.002, T1036.004, T1569.002, T1584.001

IOCs:
Command: 4
IP: 3
Hash: 27
Path: 35
File: 2
Domain: 8

Algorithms:
md5, base64, rc4, xor

Functions:
setConfig, getNetWork

Win API:
decompress, CreateProcess

Languages:
golang

Platforms:
x64, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается об обнаружении вредоносной платформы QSC, использовавшейся при атаках на телекоммуникационную отрасль Южной Азии в 2021 году, и о более поздних случаях ее развертывания в Западной Азии. В нем подробно описываются различные модули платформы, ее развертывание вместе с другими вредоносными программами, такими как Quarian и GoClient, бэкдорами хакерской группы CloudComputating, их тактика и последствия использования модульных платформ, таких как QSC, в кибероперациях.
-----

Расследование атаки на телекоммуникационную отрасль в Южной Азии в 2021 году выявило наличие вредоносной платформы QSC, состоящей из нескольких плагинов, которая запускает плагины в памяти. Платформа состоит из загрузчика, основного модуля, сетевого модуля, модуля командной оболочки и модуля файлового менеджера. QSC может быть удален как отдельный исполняемый файл или как файл полезной нагрузки вместе с DLL-библиотекой загрузчика. Основной модуль QSC поддерживает различные команды C2 и отвечает за внедрение модуля файлового менеджера, который позволяет считывать и записывать файлы в системе. Модуль файлового менеджера также поддерживает команды C2, связанные с обработкой файлов.

В октябре 2023 года было обнаружено несколько экземпляров файлов QSC, предназначенных для интернет-провайдера в Западной Азии. Было обнаружено, что бэкдор Quarian версии 3 (Turian) заражал целевые компьютеры с 2022 года, и те же злоумышленники развернули платформу QSC 10 октября 2023 года. 17 октября 2023 года, наряду с QSC framework, был запущен новый бэкдор под названием "GoClient", написанный на Golang. Оба этих вредоносных инструмента были внедрены хакерской группой CloudComputating.

Бэкдор Quarian использовался для облегчения развертывания платформы QSC и бэкдора GoClient. Посредством связи с сервером C2 бэкдор GoClient обменивался ключами вызова, собирал системную информацию и получал команды для выполнения на компьютере жертвы. Бэкдор взаимодействовал с сервером C2 по протоколу TLS и использовал шифрование RC4 для защиты сообщений.

Злоумышленники использовали WMIC и украденные учетные данные администратора домена для запуска платформы QSC на других компьютерах в сети. Были обнаружены случаи, когда платформа QSC была удаленно развернута на целевых компьютерах с использованием WMIC. Некоторые экземпляры образцов платформы QSC framework были настроены на использование локальных или внутренних IP-адресов для связи C2, что, возможно, указывает на ограниченный доступ в Интернет или решения хакера о перенаправлении трафика.

Данные телеметрии и артефакты помогли отнести платформу QSC и связанные с ней виды деятельности к группе облачных вычислений, что свидетельствует об изменении их тактики в сторону использования модульных платформ, таких как QSC. Это стратегическое изменение указывает на акцент на телекоммуникационном секторе и подчеркивает адаптивность группы. В ходе расследования была подчеркнута важность постоянного мониторинга деятельности группы в связи с ее постоянно меняющимся инструментарием и тактикой. Внедрение платформы QSC группой облачных вычислений сигнализирует о новом этапе их вредоносных операций, демонстрируя усовершенствованную способность поддерживать доступ к скомпрометированным сетям с помощью модульных и резидентных в памяти вредоносных компонентов.

#ParsedReport #CompletenessMedium
08-11-2024

Lynx on the Prowl: Targeting SMBs with Double-Extortion Tactics

https://blogs.blackberry.com/en/2024/10/lynx-ransomware

Report completeness: Medium

Actors/Campaigns:
Inc_ransomware

Threats:
Lynx
Inc_ransomware

Industry:
Education, Healthcare, Government

Geo:
America, Canada

ChatGPT TTPs:
do not use without manual check
T1486, T1048, T1078

IOCs:
Domain: 17
File: 3
Path: 1
Hash: 4

Soft:
BinDiff, Visual Studio, Microsoft Print to PDF

Algorithms:
sha512, ecdh, curve25519, base64, aes-128, aes, md5, curve25519-donna, sha256

Win API:
pie, CryptStringToBinaryA

Win Services:
bits

Languages:
java

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4