#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается об обнаружении вредоносной платформы QSC, использовавшейся при атаках на телекоммуникационную отрасль Южной Азии в 2021 году, и о более поздних случаях ее развертывания в Западной Азии. В нем подробно описываются различные модули платформы, ее развертывание вместе с другими вредоносными программами, такими как Quarian и GoClient, бэкдорами хакерской группы CloudComputating, их тактика и последствия использования модульных платформ, таких как QSC, в кибероперациях.
-----

Расследование атаки на телекоммуникационную отрасль в Южной Азии в 2021 году выявило наличие вредоносной платформы QSC, состоящей из нескольких плагинов, которая запускает плагины в памяти. Платформа состоит из загрузчика, основного модуля, сетевого модуля, модуля командной оболочки и модуля файлового менеджера. QSC может быть удален как отдельный исполняемый файл или как файл полезной нагрузки вместе с DLL-библиотекой загрузчика. Основной модуль QSC поддерживает различные команды C2 и отвечает за внедрение модуля файлового менеджера, который позволяет считывать и записывать файлы в системе. Модуль файлового менеджера также поддерживает команды C2, связанные с обработкой файлов.

В октябре 2023 года было обнаружено несколько экземпляров файлов QSC, предназначенных для интернет-провайдера в Западной Азии. Было обнаружено, что бэкдор Quarian версии 3 (Turian) заражал целевые компьютеры с 2022 года, и те же злоумышленники развернули платформу QSC 10 октября 2023 года. 17 октября 2023 года, наряду с QSC framework, был запущен новый бэкдор под названием "GoClient", написанный на Golang. Оба этих вредоносных инструмента были внедрены хакерской группой CloudComputating.

Бэкдор Quarian использовался для облегчения развертывания платформы QSC и бэкдора GoClient. Посредством связи с сервером C2 бэкдор GoClient обменивался ключами вызова, собирал системную информацию и получал команды для выполнения на компьютере жертвы. Бэкдор взаимодействовал с сервером C2 по протоколу TLS и использовал шифрование RC4 для защиты сообщений.

Злоумышленники использовали WMIC и украденные учетные данные администратора домена для запуска платформы QSC на других компьютерах в сети. Были обнаружены случаи, когда платформа QSC была удаленно развернута на целевых компьютерах с использованием WMIC. Некоторые экземпляры образцов платформы QSC framework были настроены на использование локальных или внутренних IP-адресов для связи C2, что, возможно, указывает на ограниченный доступ в Интернет или решения хакера о перенаправлении трафика.

Данные телеметрии и артефакты помогли отнести платформу QSC и связанные с ней виды деятельности к группе облачных вычислений, что свидетельствует об изменении их тактики в сторону использования модульных платформ, таких как QSC. Это стратегическое изменение указывает на акцент на телекоммуникационном секторе и подчеркивает адаптивность группы. В ходе расследования была подчеркнута важность постоянного мониторинга деятельности группы в связи с ее постоянно меняющимся инструментарием и тактикой. Внедрение платформы QSC группой облачных вычислений сигнализирует о новом этапе их вредоносных операций, демонстрируя усовершенствованную способность поддерживать доступ к скомпрометированным сетям с помощью модульных и резидентных в памяти вредоносных компонентов.

#ParsedReport #CompletenessMedium
08-11-2024

Lynx on the Prowl: Targeting SMBs with Double-Extortion Tactics

https://blogs.blackberry.com/en/2024/10/lynx-ransomware

Report completeness: Medium

Actors/Campaigns:
Inc_ransomware

Threats:
Lynx
Inc_ransomware

Industry:
Education, Healthcare, Government

Geo:
America, Canada

ChatGPT TTPs:
do not use without manual check
T1486, T1048, T1078

IOCs:
Domain: 17
File: 3
Path: 1
Hash: 4

Soft:
BinDiff, Visual Studio, Microsoft Print to PDF

Algorithms:
sha512, ecdh, curve25519, base64, aes-128, aes, md5, curve25519-donna, sha256

Win API:
pie, CryptStringToBinaryA

Win Services:
bits

Languages:
java

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем влиянии банд программ-вымогателей на ситуацию с киберугрозами, при этом основное внимание уделяется двум конкретным группам, Lynx и INC Ransom, а также их тактике, целям и сходствам в операциях. В нем также подчеркиваются значительные финансовые последствия атак программ-вымогателей, эволюция стратегий, используемых киберпреступниками, а также важность сотрудничества и обмена информацией для защиты от угроз программ-вымогателей.
-----

В последние годы банды программ-вымогателей значительно повлияли на ситуацию с киберугрозами, проявляя все большую агрессивность, несмотря на усилия правоохранительных органов. В 2023 году жертвы выплатили более 1 миллиарда долларов выкупа, что свидетельствует о продолжающемся успехе этих групп злоумышленников. Появление в 2024 году новых банд киберпреступников, таких как группа "Lynx", усугубило ситуацию с угрозами. Компания Lynx, ориентированная на малый и средний бизнес в основном в Северной Америке и Европе, утверждает, что действует этично, избегая больниц, правительственных организаций и некоммерческих организаций.

В результате расследования, проведенного командой BlackBerry Threat Research and Intelligence Team, было обнаружено, что Lynx и другая группа программ-вымогателей под названием "INC Ransom" имеют значительное сходство в своих действиях. Обе группы используют стратегию двойного вымогательства, извлекая конфиденциальные данные перед их шифрованием и угрожая раскрыть их, если выкуп не будет выплачен. Кроме того, обе группы используют практически идентичную структуру статического кода и используют один и тот же адрес электронной почты в своей деятельности.

Lynx использует свой собственный шифровальщик файлов, разработанный с использованием кодовой базы, аналогичной INC Ransom. Программа-вымогатель шифрует файлы с помощью AES-128 в режиме CTR и генерирует общий "секрет", используя алгоритм Curve25519-donna. Lynx исключает из системы шифрования определенные типы файлов и папки Windows, чтобы предотвратить недоступность устройства. Шифровальщик добавляет расширение ".LYNX" к зашифрованным файлам, обеспечивая успешное шифрование и предотвращая двойное шифрование.

INC Ransom, известная в 2024 году группа программ-вымогателей, работает как программа-вымогатель как услуга (RaaS) и активно атакует различные секторы, включая здравоохранение, образование и государственные учреждения. Примечательно, что сообщения третьих лиц предполагают, что исходный код INC Ransom, возможно, был продан на форуме киберпреступников, что привело к предположениям о потенциальных разногласиях внутри группы.

Как Lynx, так и INC Ransom используют один и тот же метод хранения сообщений о требовании выкупа в своих шифровальщиках, используя большой двоичный объект в кодировке Base-64, который запускает фоновые изменения на рабочем столе и генерирует файл "README.txt". Lynx поддерживает сайты утечек как в surface web, так и в dark web, вероятно, для оперативной избыточности. Группа обязуется избегать нападений на службы экстренной помощи и некоммерческие организации, в отличие от INC Ransom, которая, как известно, нацелена на такие организации.

Атаки программ-вымогателей по-прежнему представляют серьезную угрозу, поскольку киберпреступники используют уязвимости в программных системах и проводят оппортунистические атаки. Такие группы, как Lynx, зарабатывают деньги, нанося ущерб и стресс своим жертвам. Сотрудничество и обмен информацией между подразделениями кибербезопасности имеют решающее значение для борьбы с угрозами вымогательства и защиты организаций от потенциальных атак.

#ParsedReport #CompletenessMedium
08-11-2024

Threat Campaign Spreads Winos4.0 Through Game Application

https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Winos
Gh0st_rat
Cobalt_strike
Sliver_c2_tool

Industry:
Entertainment, Education

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1132

IOCs:
File: 66
Domain: 1
Url: 7
IP: 1
Registry: 3
Hash: 22

Soft:
Chrome

Wallets:
metamask

Algorithms:
xor, base64, zip

Win API:
ShellExecuteA

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 16, table: 1, dump: 5, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Winos4.0 - это сложный и мощный вредоносный фреймворк, который активно используется в кампаниях по компрометации систем, извлечению конфиденциальной информации и установлению контроля над скомпрометированными конечными точками. Вредоносная программа выполняет различные действия, взаимодействует с сервером управления и защиты и использует механизмы шифрования для обеспечения сохранности и контроля. Пользователям рекомендуется соблюдать осторожность при загрузке приложений, чтобы снизить риски, связанные с заражением вредоносными программами и киберугрозами. Понимание тактики, применяемой хакерами, использующими Winos4.0, имеет решающее значение для усиления мер кибербезопасности и предотвращения компрометации.
-----

Winos4.0 - это сложный вредоносный фреймворк, созданный на основе Gh0strat, который отличается надежной архитектурой и широким контролем над многочисленными онлайн-конечными точками для выполнения различных действий. Это вредоносное ПО было обнаружено в таких кампаниях, как Silver Fox, а образцы были найдены в приложениях, связанных с играми, таких как инструменты установки и утилиты оптимизации. Анализ расшифрованного файла DLL показывает потенциальную ориентацию на сектор образования, о чем свидетельствуют такие описания файлов, как "Администрация кампуса" и "Система регистрации студентов"..

В ходе недавней кампании вредоносная программа извлекла "t3d.tmp", используя пароль "lalala123%", для получения чистых файлов u72kOdQ.exe , MSVCP140.dll , и VCRUNTIME140.dll . Затем он расшифровывает "t4d.tmp", используя ключ XOR 0x67080000, чтобы выявить основной вредоносный файл "libcef.dll", который отвечает за внедрение шелл-кода в скомпрометированную среду. Извлеченный шеллкод динамически загружает API и извлекает данные конфигурации, устанавливая соединение с сервером C2 по IP-адресу 202.79.173.4 и порту 80 по протоколу TCP.

Вредоносная программа отправляет определенный сигнал на сервер C2 для загрузки модуля, включающего зашифрованные компоненты данных, которые позволяют выполнять различные функции, такие как вход в систему, регистрация на сервере и получение команд. Кроме того, Winos4.0 включает модуль, ориентированный на сбор информации, проверку среды и основные операции с бэкдорами. Этот модуль проверяет наличие антивирусных процессов и обрабатывает взаимодействие с сервером C2 для отправки и получения данных, обеспечивая постоянное подключение.

В ходе проанализированной кампании атаки с сервера C2 были извлечены дополнительные плагины, хранящиеся в реестре под определенными ключами. Эти плагины предназначены для создания скриншотов и управления документами, позволяя хакеру собирать конфиденциальную информацию и незаметно отслеживать действия в скомпрометированной системе. Возможности Winos4.0 сопоставимы с возможностями других мощных платформ, таких как Cobalt Strike и Sliver, что позволяет хакерам устанавливать глубокий контроль над скомпрометированными системами.

Цепочка атак включает в себя сложные механизмы шифрования и обширную коммуникацию C2 для успешного внедрения и поддержания контроля над уязвимой средой. Пользователям рекомендуется проявлять осторожность при загрузке приложений, особенно из непроверенных источников, чтобы снизить риски, связанные с заражением вредоносными программами и киберугрозами. Понимание тактики, применяемой хакерами, использующими Winos4.0, может помочь усилить меры кибербезопасности и предотвратить потенциальные компромиссы.

#ParsedReport #CompletenessLow
09-11-2024

Hello again, FakeBat: popular loader returns after months-long hiatus

https://www.malwarebytes.com/blog/cybercrime/2024/11/hello-again-fakebat-popular-loader-returns-after-months-long-hiatus

Report completeness: Low

Threats:
Fakebat
Lumma_stealer
Cloaking_technique
Amsiscanbufferbypass_tool
Amsi_bypass_technique
Process_hollowing_technique
Paykpe

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1562.001, T1055.012, T1071.001

IOCs:
Domain: 13
File: 2
Hash: 4

Soft:
NET Reactor

Algorithms:
aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении вредоносного загрузчика FakeBat, чему способствует вредоносная реклама Google, рекламирующая приложение Notion productivity. Это возрождение свидетельствует о возвращении хакеров к традиционным методам, использовании ими методов обфускации и устоявшихся инструментов, таких как RastaMouse, а также об успешном внедрении программы LummaC2 stealer. Этот инцидент подчеркивает проблемы, связанные с имитацией бренда и вредоносными атаками, направленными на рекламу, и подчеркивает важность сотрудничества в рамках сообщества кибербезопасности для противодействия развивающимся киберугрозам.
-----

Возрождение вредоносного загрузчика FakeBat было замечено благодаря вредоносной рекламе Google, рекламирующей концепцию приложения для повышения производительности, что знаменует собой возврат хакеров к традиционным методам работы. Этот уникальный загрузчик, также известный как Eugenloader или PaykLoader, ранее использовался для развертывания дополнительных полезных приложений, таких как Lumma stealer. Инцидент, который повторился после нескольких месяцев бездействия с момента его последнего появления в июле 2024 года из-за вредоносной рекламы для Calendly, был связан с инфраструктурой управления, созданной в домене utd-gochisu.com.

После анализа сетевого трафика от рекламного URL до полезной нагрузки была выявлена цепочка перенаправлений, начинающаяся со ссылки на шаблон отслеживания (smart.link), проходящая через домен-маскировку (solomonegbe.com) и, наконец, попадающая на сайт-приманку (notion.ramchhaya.com). Первоначальное заражение было связано с выполнением скриптов FakeBat PowerShell, которые были тщательно разработаны, чтобы обойти механизмы обнаружения в изолированной среде. Кроме того, хакеры продолжали использовать известный скрипт обхода AMSI под названием RastaMouse, что подчеркивает их настойчивость в использовании известных инструментов и методов.

Загрузчик использовал методы обфускации с использованием .NET Reactor для расшифровки встроенных ресурсов с помощью AES-шифрования и приступил к вводу полезной нагрузки в MSBuild.exe с помощью метода удаления процесса. Расшифрованная полезная нагрузка была идентифицирована как программа-похититель LummaC2, привязанная к определенному идентификатору пользователя: 9zXsP2. Несмотря на недавнее снижение числа атак вредоносных программ, основанных на вредоносной рекламе, это событие служит ярким напоминанием о способности хакеров адаптироваться и возобновлять кампании при возникновении благоприятных обстоятельств.

Этот инцидент подчеркивает сохраняющуюся проблему олицетворения бренда с помощью таких каналов, как Google ads, что позволяет хакерам использовать законные платформы для обмана пользователей и загрузки вредоносного контента. Быстрый анализ, проведенный исследователями в области безопасности, такими как RussianPanda и Sqiiblydoo, сыграл решающую роль в выявлении вредоносных действий, связанных с возобновлением загрузки FakeBat, и в сообщении о них. Это служит свидетельством совместных усилий сообщества кибербезопасности по борьбе с появляющимися киберугрозами и защите пользователей от того, чтобы стать жертвами подобных вредоносных кампаний.

#ParsedReport #CompletenessLow
08-11-2024

Dark Web Profile: CosmicBeetle (NoName) Ransomware

https://socradar.io/dark-web-profile-cosmicbeetle-noname-ransomware

Report completeness: Low

Actors/Campaigns:
Cosmicbeetle (motivation: information_theft, hacktivism)
Noname057 (motivation: hacktivism)

Threats:
Noname_ransomware
Scransom
Lockbit
Eternalblue_vuln
Zerologon_vuln
Spacecolon
Scara
Ransomhub
Nopac_vuln
Scarab
Qtox

Victims:
Small to medium enterprises, Regional government bodies

Industry:
Education, Government, Healthcare, Critical_infrastructure

Geo:
Asia, Turkish

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortios (le5.0.14, le5.2.15, le5.4.13, le5.6.14, <6.0.16)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...
CVE-2021-42278 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2004 (<10.0.19041.1348)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-, r2)
- microsoft windows server 2016 (<10.0.14393.4770)
- microsoft windows server 2019 (<10.0.17763.2300)
have more...
CVE-2021-42287 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-, r2)
- microsoft windows server 2016 (<10.0.14393.4770, 2004)
- microsoft windows server 2019 (<10.0.17763.2300)
- microsoft windows server 2022 (<10.0.20348.350)
have more...

TTPs:
Tactics: 8
Technics: 18

IOCs:
Domain: 1

Soft:
Active Directory

Languages:
delphi, powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CosmicBeetle, группа программ-вымогателей, также известная как NoName, нацелена на малые и средние предприятия по всему миру, используя специализированные инструменты для вымогательства, такие как ScRansom. В 2023 году они получили значительное распространение и внедряют уникальное программное обеспечение и стратегии шифрования, в том числе сайт утечки данных (DLS), чтобы заставить жертв платить выкуп. Организациям следует внедрять многоуровневую стратегию защиты от атак программ-вымогателей, подобных тем, которые проводит CosmicBeetle, включая исправление уязвимостей, сегментацию сети, контроль доступа и внедрение инструментов кибербезопасности, подобных тем, которые предоставляет SOCRadar.
-----

CosmicBeetle, также известная как NoName, - это группа программ-вымогателей, которая работает с 2020 года и набрала значительную популярность в 2023 году. Они нацелены на малые и средние предприятия по всему миру, используя специализированные инструменты для вымогательства, такие как ScRansom. Группа установила свое присутствие в сфере киберпреступности, внедрив уникальное программное обеспечение и стратегии шифрования, включая сайт для утечки данных (DLS), чтобы заставить жертв платить выкуп. Они скопировали тактику печально известных группировок, таких как LockBit, чтобы повысить свою узнаваемость в Даркнете и средствах массовой информации.

CosmicBeetle в первую очередь нацелен на малый и средний бизнес в различных секторах по всему миру, уделяя особое внимание таким отраслям, как производство, фармацевтика, здравоохранение, технологии, юриспруденция, образование и финансовые услуги. Они используют уязвимости, такие как EternalBlue и Zerologon, для получения несанкционированного доступа и расширения привилегий. Их основной инструмент для вымогательства, ScRansom, известен возможностями частичного шифрования и режимом "СТИРАНИЯ", который безвозвратно уничтожает содержимое файла.

Для защиты от атак программ-вымогателей, подобных тем, которые проводит CosmicBeetle, организациям следует применять многоуровневую стратегию защиты, охватывающую все этапы атаки. Это включает исправление уязвимостей, сегментацию сети, контроль доступа, защиту учетных данных и предотвращение использования грубой силы. Средства обнаружения конечных точек и реагирования на них, внесение приложений в белый список и поведенческий анализ имеют решающее значение для предотвращения распространения вредоносных программ. Организациям также следует сосредоточиться на стратегиях резервного копирования и восстановления данных, планировании реагирования на инциденты и сотрудничестве с органами власти.

SOCRadar предоставляет передовые инструменты кибербезопасности для обнаружения и защиты от атак программ-вымогателей, подобных тем, которые связаны с CosmicBeetle. Их платформа Threat Intelligence предоставляет информацию о TTP программ-вымогателей, а службы мониторинга темного интернета и анализа уязвимостей помогают организациям опережать возникающие угрозы. Кроме того, модуль SOCRadar Ransomware Intelligence может помочь идентифицировать варианты программ-вымогателей и предоставлять оповещения в режиме реального времени и отчеты об атаках программ-вымогателей.

CosmicBeetle - это развивающаяся угроза в экосистеме киберпреступности, использующая программу-вымогатель как услугу и нацеленная на уязвимые предприятия малого и среднего бизнеса. Их тактика включает в себя комбинацию эксплойтов, методов грубой силы и психологических приемов для вымогательства у жертв. Понимая их методы и TTP, организации могут лучше подготовиться к потенциальному воздействию CosmicBeetle и подобных хакеров в будущем и защититься от них.

#ParsedReport #CompletenessLow
09-11-2024

VEEAM exploit seen used again with a new ransomware: "Frag"

https://news.sophos.com/en-us/2024/11/08/veeam-exploit-seen-used-again-with-a-new-ransomware-frag

Report completeness: Low

Actors/Campaigns:
Stac_5881

Threats:
Frag_ransomware
Fog_ransomware
Akira_ransomware

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (<12.2.0.334)


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1106

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе нового варианта программы-вымогателя под названием "Frag", связанного с хакерским кластером STAC 5881, который использует уязвимость в серверах резервного копирования Veeam. В тексте рассказывается о тактике, используемой хакером, сходстве с другими вариантами программ-вымогателей, такими как Akira и Fog, а также о важности упреждающих мер кибербезопасности в ответ на возникающие угрозы в сфере кибербезопасности.
-----

Компания Sophos X-Ops недавно сообщила о многочисленных случаях управляемого обнаружения и реагирования (MDR), связанных с использованием хакерами уязвимости в серверах резервного копирования Veeam. Уязвимость, идентифицированная как CVE-2024-40711, была использована кластером активности угроз с пометкой STAC 5881. Эти атаки в основном были нацелены на скомпрометированные устройства VPN для получения доступа, используя уязвимость Veeam для создания новой учетной записи локального администратора с именем "point". Некоторые случаи в этом кластере привели к развертыванию программ-вымогателей Akira или Fog. Вирус Akira, который был впервые обнаружен в 2023 году, с середины октября проявляет признаки бездействия, а его сайт по утечке информации теперь отключен. С другой стороны, программа-вымогатель Fog дебютировала ранее в этом году, впервые обнаруженная в мае.

Недавний инцидент с кибербезопасностью выявил новый вариант программы-вымогателя под названием "Frag", связанный с тактикой кластера угроз STAC 5881. Хакер, стоящий за Frag, использовал взломанное VPN-устройство для проникновения в целевую среду, воспользовался уязвимостью Veeam и создал две новые учетные записи, "point" и "point2". Программа-вымогатель Frag запускается с помощью командной строки, позволяя злоумышленнику указать параметры шифрования, такие как процент шифрования файлов и целевые каталоги или отдельные файлы. Зашифрованные файлы помечаются символом .расширение frag. К счастью, в ходе описанного инцидента система Sophos endpoint protection предотвратила распространение программы-вымогателя Frag с помощью функции CryptoGuard. Кроме того, был встроен механизм обнаружения двоичного кода программы-вымогателя.

Agger Labs отметила сходство тактики, методов и процедур, используемых злоумышленником Frag, с операторами программ-вымогателей Akira и Fog. Это наблюдение указывает на потенциальную связь между Frag и ранее выявленными группами угроз. Sophos X-Ops активно отслеживает появление новой программы-вымогателя, которая, как предполагается, имеет сходство с группой программ-вымогателей Akira. Ведется непрерывный мониторинг поведения этих угроз, и мы стремимся предоставлять обновленную техническую информацию по мере поступления новой информации.

Меняющийся ландшафт угроз указывает на наличие постоянного и изощренного противника, использующего известные уязвимости в критически важной инфраструктуре, что подчеркивает необходимость принятия упреждающих мер кибербезопасности и надежных механизмов защиты. Поскольку хакеры постоянно совершенствуют свою тактику и внедряют новые варианты вредоносных программ, организации должны сохранять бдительность, повышать уровень своей безопасности и быть в курсе возникающих киберугроз, чтобы эффективно снижать потенциальные риски. Следите за дальнейшими разработками и подробным техническим анализом в рамках текущего расследования в области кибербезопасности.

#ParsedReport #CompletenessHigh
09-11-2024

Silent Skimmer Gets Loud (Again)

https://unit42.paloaltonetworks.com/silent-skimmer-latest-campaign

Report completeness: High

Actors/Campaigns:
Silent_skimmer (motivation: financially_motivated)
Blackcat

Threats:
Godpotato_tool
Ringq_tool
Netstat_tool
Lolbin_technique
Qvm250_tool
Putty_tool
Cobalt_strike
Blackcat

Geo:
Apac, America, Emea, Japan

CVEs:
CVE-2017-11317 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (le2016.3.1027, 2017.2.503, 2017.2.621)

CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (le2020.1.114)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1068, T1190, T1027, T1566.001, T1105, T1213, T1107, T1140

IOCs:
Path: 6
Registry: 1
Command: 2
Url: 6
File: 5
Hash: 29
Domain: 1
IP: 15

Soft:
ASP.NET, Windows Defender, PyInstaller

Algorithms:
sha256, base64

Languages:
powershell, python

Links:
https://github.com/fatedier/frp
have more...
https://github.com/BeichenDream/GodPotato
https://github.com/editso/fuso

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакер взломал веб-серверы, принадлежащие многонациональной организации, базирующейся в Северной Америке, используя различные сложные методы и инструменты для осуществления своей вредоносной деятельности. Для борьбы с такими угрозами Palo Alto Networks рекомендует использовать свои службы безопасности и подчеркивает важность своевременного устранения уязвимостей и соблюдения мер кибербезопасности. Организациям рекомендуется использовать передовые решения в области безопасности и обмениваться информацией об угрозах для усиления мер кибербезопасности и защиты от постоянных угроз.
-----

В конце мая 2024 года исследователи Unit 42 обнаружили злоумышленника, который скомпрометировал несколько веб-серверов, принадлежащих многонациональной организации, базирующейся в Северной Америке. Действия хакера были приписаны тому же субъекту, который стоял за кампанией Silent Skimmer, проводившейся в сентябре 2023 года и нацеленной на организации, занимающиеся платежной инфраструктурой. Для борьбы с такими угрозами Palo Alto Networks рекомендует своим клиентам использовать различные службы безопасности, такие как Cortex XDR, XSIAM и Advanced Threat Prevention.

Хакер воспользовался такими уязвимостями, как CVE-2017-11317 и CVE-2019-18935, для достижения своих целей. Они использовали инструменты туннелирования и обратного прокси, такие как Fuso и FRP, для доступа к скомпрометированным серверам в Интернет, что способствовало дальнейшим атакам. GodPotato использовался для повышения привилегий, выполняя команды PowerShell, чтобы избежать обнаружения защитником Windows.

Хакер использовал сборки в смешанном режиме для встраивания в них собственного кода на C++.Двоичные файлы NET, что затрудняло инструментам анализа выявление вредоносной полезной нагрузки. Используя такие методы, как создание двоичных файлов-оболочек .NET, злоумышленники смогли незаметно выполнить вредоносный код. Кроме того, хакер использовал загрузчик RingQ, который автоматически шифрует и загружает двоичные файлы, помогая скрытно выполнять вредоносную полезную нагрузку.

Получив доступ к серверам с помощью уязвимостей Telerik, хакер установил постоянство, развернув веб-оболочки и обратные оболочки PowerShell с разных IP-адресов. Они использовали такие методы, как выполнение VBScript и команды PowerShell в кодировке Base64, для поддержания контроля над скомпрометированными системами. Примечательно, что было обнаружено сходство между этой деятельностью и предыдущими инцидентами, связанными с амбициозной программой-вымогателем Scorpius.

Ключевым открытием в ходе расследования стало то, что хакер использовал скомпилированный скрипт на Python для извлечения платежной информации из базы данных организации-жертвы и сохранения ее в CSV-файле для последующей фильтрации. Несмотря на эволюционирующие методы, используемые хакерами, их методология оставалась в соответствии с предыдущими кампаниями, подчеркивая важность своевременного устранения уязвимостей и бдительных методов обеспечения кибербезопасности.

Благодаря согласованию аналитических данных об угрозах и совместному использованию индикаторов компрометации (IOCs) организации могут лучше защищаться от постоянных угроз, таких как бесшумный скиммер. Palo Alto Networks в сотрудничестве с Альянсом по борьбе с киберугрозами (CTA) распространяет информацию об угрозах для усиления мер кибербезопасности в отрасли. Используя передовые решения в области безопасности, организации могут активно защищать свои системы от возникающих киберугроз.

#ParsedReport #CompletenessLow
10-11-2024

Malware Steals Account Credentials

https://blog.sucuri.net/2024/11/malware-steals-account-credentials.html

Report completeness: Low

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1059, T1001, T1056, T1078

Soft:
LastPass, CPanel, Linux

Algorithms:
base64