#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CYFIRMA выявила новую сложную вредоносную программу под названием "Wish Stealer", предназначенную для пользователей Windows с целью кражи конфиденциальной информации с помощью различных передовых методов и функциональных возможностей. Вредоносное ПО активно распространяется хакерами на таких платформах, как Discord, создавая значительный риск для организаций и пользователей, что требует принятия усиленных мер безопасности для снижения этих рисков в условиях меняющейся среды кибербезопасности.
-----

Недавно CYFIRMA обнаружила новую киберугрозу под названием "Wish Stealer", которая представляет собой сложную вредоносную программу на базе Node.js, предназначенную для пользователей Windows. Эта вредоносная программа предназначена для кражи конфиденциальной информации из различных источников, включая Discord, веб-браузеры, криптовалютные кошельки и аккаунты в социальных сетях. Wish Stealer использует передовые методы, такие как перехват сеанса, повышение привилегий и манипуляции с буфером обмена, для извлечения учетных данных для входа в систему, файлов cookie, данных кредитной карты и других персональных данных из целевых систем.

Вредоносная программа обладает множеством функциональных возможностей, таких как скрытие своей консоли, кража паролей браузера, манипулирование файлами cookie, замена адресов криптовалютных кошельков в буфере обмена адресом злоумышленника и эксфильтрация данных на основе определенных ключевых слов. Он постоянно отслеживает адреса криптовалюты в буфере обмена жертвы и изменяет их в интересах злоумышленника. Wish Stealer также нацелен на браузеры на базе Chromium, учетные данные в социальных сетях и конфиденциальные документы на основе предопределенных ключевых слов. Чтобы обеспечить сохранность в зараженных системах, он копирует себя в замаскированный каталог, добавляет записи в реестр и скрывает свои атрибуты, чтобы избежать обнаружения.

Кроме того, украденные данные упаковываются в сжатый файл с именем "wish.zip" и загружаются на удаленный сервер с использованием gofile.io API, а ссылка на скачивание предоставляется на сервере Discord злоумышленника. В ходе тестирования исследователи смогли сгенерировать ZIP-файл, содержащий конфиденциальные данные и системную информацию, запустив Node.js локальный сервер, что подчеркивает способность вредоносного ПО извлекать личную информацию, такую как номера телефонов и адреса электронной почты, особенно связанную с учетными записями Discord, с помощью вредоносных JavaScript-инъекций.

Расследования показали, что Wish Stealer впервые появился в сети Surface в октябре 2024 года, а активная хакерская группа в Discord продвигала его продажу. Эта группа, известная как "Aurita Stealer", инициировала обсуждение Wish Stealer в конце сентября 2024 года, что указывает на продолжающуюся активность, связанную с этим вредоносным ПО.

Меняющийся ландшафт кибербезопасности требует от пользователей и организаций постоянной бдительности в отношении новых угроз, таких как Wish Stealer. Его способность обходить меры безопасности, отключать антивирусное программное обеспечение и обходить механизмы двухфакторной аутентификации представляет значительный риск. Учитывая его продвижение хакерами и активные каналы распространения на таких платформах, как Discord, организациям настоятельно рекомендуется усилить свои меры безопасности, чтобы снизить риски, связанные с такими сложными видами вредоносных программ.

#ParsedReport #CompletenessMedium
09-11-2024

New Campaign Uses Remcos RAT to Exploit Victims

https://www.fortinet.com/blog/threat-research/new-campaign-uses-remcos-rat-to-exploit-victims

Report completeness: Medium

Threats:
Remcos_rat
Process_hollowing_technique

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.001, T1140, T1055.012, T1547.001, T1105, T1027, T1057

IOCs:
File: 7
Url: 6
Path: 1
Registry: 2
IP: 2
Hash: 6

Soft:
Microsoft Office, WordPad

Algorithms:
sha256, base64

Functions:
URLDownloadToFile, MemoryCopy, ZwSetInformationThread, ZwQueryInformationProcess, CreateProcessInternalW, CreateProcessInternal, ZwCreateSection, NtResumeThread, NtCreateThreadEx

Win API:
CreateProcessW, VirtualAlloc, CallWindowProcA, NtAllocateVirtualMemory, NtMapViewOfSection, NtGetContextThread, NtSetContextThread, ShellExecuteW, InternetOpenA, InternetOpenUrlA, have more...

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, dump: 8, code: 4, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фишинговая кампания, использующая уязвимость CVE-2017-0199 для распространения нового варианта Remcos RAT. В нем описывается процесс доставки, методы выполнения, функциональные возможности и методы антианализа вредоносного кода, подчеркивая сложный характер атаки.
-----

В тексте описывается фишинговая кампания, которая использует уязвимость CVE-2017-0199 для распространения нового варианта Remcos RAT. Кампания начинается с фишингового электронного письма, содержащего вредоносный документ Excel, замаскированный под файл заказа. Когда получатель открывает файл, уязвимость используется для загрузки HTA-файла и его выполнения, инициируя доставку Remco.

Вредоносный код в документе Excel маскируется с помощью различных языков сценариев и методов кодирования, чтобы избежать обнаружения. Он загружает исполняемый файл, dllhost.exe и запускает код PowerShell, чтобы обеспечить сохранение на устройстве жертвы. Код PowerShell скрывается в фоновом режиме, загружает вредоносный код из извлеченных файлов и выполняет его в памяти с использованием методов антианализа.

Вредоносный код выполняет блокировку процесса, чтобы запустить себя во вновь созданном процессе, Vaccinerende.exe скопированном из dllhost.exe. Он поддерживает постоянство, добавляя элемент автоматического запуска в системный реестр, и загружает зашифрованную полезную нагрузку Remcos с URL-адреса, размещая ее непосредственно в памяти в виде файлового варианта. Вариант Remcos инициализируется блоком настроек, содержащим настройки, которые определяют его работу на устройстве жертвы, включая связь с сервером C&C и включение различных функций, таких как кейлоггер, скриншот и запись аудио.

После регистрации на сервере C&C Remcos получает управляющие команды для выполнения задач на устройстве жертвы. Эти команды позволяют Remcos собирать такую информацию, как списки запущенных процессов, сведения о системе и названия активных программ. В тексте подробно описывается процесс обмена данными между Remcos и его C&C-сервером и объясняются функциональные возможности, которые он может выполнять на устройстве жертвы на основе полученных команд.

Таким образом, проведенный анализ позволяет получить представление о доставке, исполнении и функциональных возможностях варианта Remcos RAT, использованного в фишинговой кампании. В нем описываются методы, используемые для того, чтобы избежать обнаружения, обеспечить сохраняемость, связаться с сервером управления и выполнения команд на устройстве жертвы, а также подчеркивается сложная природа вредоносного кода и меры по предотвращению его анализа.

#ParsedReport #CompletenessHigh
09-11-2024

Breaking Down Earth Estries' Persistent TTPs in Prolonged Cyber Operations. Summary

https://www.trendmicro.com/en_us/research/24/k/breaking-down-earth-estries-persistent-ttps-in-prolonged-cyber-o.html

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Zingdoor
Deed_rat
Trillclient
Hemigate
Crowdoor
Cobalt_strike
Portscan_tool
Ninjacopy_tool
Credential_harvesting_technique
Chinachopper
Dll_sideloading_technique
Shadowpad
Dnstunnelling_technique
Credential_dumping_technique
Fuxosdoor
Cryptmerlin
Merlin_tool
Browstheft
Draculoader
Sspdump_tool

Industry:
Government

TTPs:
Tactics: 8
Technics: 23

IOCs:
Command: 16
Path: 17
File: 37
Url: 5
Hash: 28
Domain: 11
IP: 1

Soft:
Microsoft Exchange, PsExec, cURL, Microsoft Exchange server, Active Directory, Gmail, Windows Defender, Windows Service

Algorithms:
base64, sha256, exhibit, xor

Functions:
Get-ChildItem

Win API:
CreateDirectory

Win Services:
Tomcat6

Languages:
golang, powershell

Platforms:
x86

Links:
https://github.com/Ne0nd0g/merlin-agent

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 5, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Earth Estries - это высокоразвитая хакерская группа, которая действует как минимум с 2020 года, демонстрируя передовые технические возможности и стратегическую адаптивность в отношении правительств и технологической индустрии. В своей деятельности они используют широкий спектр инструментов и тактик, уделяя особое внимание использованию уязвимостей в таких системах, как серверы Microsoft Exchange и средства управления сетевыми адаптерами, для обеспечения сохранности, контроля и проведения эксфильтрации данных. Организации могут повысить уровень своей кибербезопасности, понимая тактику Earth Estries и используя информацию об угрозах для упреждающей защиты своей среды от таких сложных киберугроз.
-----

Earth Estries - это изощренная хакерская группа, которая действует как минимум с 2020 года, нацеливаясь на правительства и технологическую индустрию. Они известны тем, что используют в своих кампаниях разнообразные тактики, методы и инструменты, демонстрируя высокий уровень технических возможностей и стратегической адаптивности. Earth Estries использует в своих операциях две различные цепочки атак, уделяя особое внимание использованию уязвимостей в таких системах, как серверы Microsoft Exchange и средства управления сетевыми адаптерами.

В своей первой цепочке атак Earth Estries использует такие инструменты, как Cobalt Strike, Trillclient, Hemigate и Crowdoor, предоставляемые через CAB-файлы, для поддержания контроля и облегчения горизонтального перемещения внутри сети. PsExec - это широко используемый инструмент для первоначального доступа, в то время как Trillclient используется для кражи учетных данных пользователей. Хакер демонстрирует глубокое понимание среды своих целей, используя специальные инструменты, такие как wget, для загрузки документов из внутренних систем.

Вторая цепочка атак включает в себя развертывание вредоносных программ, таких как Zingdoor, SnappyBee и Cobalt Strike, с помощью cURL-загрузок после получения первоначального доступа с использованием серверов Microsoft Exchange. Эти бэкдоры периодически обновляются и заменяются для поддержания работоспособности и контроля. Сбор и эксфильтрация данных осуществляются с помощью таких инструментов, как RAR и cURL, а информация отправляется в анонимные файлообменные сервисы.

Earth Estries постоянно обновляет свои инструменты и бэкдоры, демонстрируя способность адаптироваться в ответ на защитные меры. Они демонстрируют глубокое понимание целевой среды и используют комбинацию установленных инструментов и пользовательских бэкдоров для создания многоуровневой стратегии атаки, которую трудно обнаружить и смягчить. Хакер использует такие инструменты, как Cobalt Strike, Zingdoor и Snappybee, для различных этапов атак, используя дополнительную загрузку библиотек DLL и другие методы загрузки, чтобы повысить устойчивость и избежать обнаружения.

Кроме того, Earth Estries использует такие методы, как прокси-серверы, для сокрытия бэкдор-трафика и поддержания операционной безопасности. В дополнение к известным инструментам, они также разработали индивидуальные бэкдоры, такие как Cryptmerlin, на основе вредоносных программ с открытым исходным кодом, демонстрируя высокий уровень сложности своих операций. Хакер использует различные методы загрузки своих инструментов, включая исполняемые загрузчики и версии библиотек DLL, чтобы обеспечить успешное развертывание вредоносной полезной нагрузки.

Чтобы опережать возникающие угрозы, такие как землетрясения на Земле, организации могут использовать отчеты об угрозах и аналитические материалы для активной защиты своей среды, снижения рисков и эффективного реагирования на киберугрозы. Понимая тактику, методы и процедуры хакеров, подобных Earth Estries, компании могут повысить уровень своей кибербезопасности и защититься от изощренных кибератак.

#ParsedReport #CompletenessHigh
09-11-2024

GuLoader: Evolving Tactics in Latest Campaign Targeting European Industry. Initial Access

https://www.cadosecurity.com/blog/guloader-targeting-european-industrial-companies

Report completeness: High

Threats:
Cloudeye
Spear-phishing_technique
Process_injection_technique
Remcos_rat
Netwire_rat
Agent_tesla
Junk_code_technique

Geo:
Kazakhstan, Poland, Romania, Germany

TTPs:
Tactics: 1
Technics: 11

IOCs:
Url: 5
File: 11
Registry: 1
Hash: 66
Path: 5
IP: 3
Email: 1

Algorithms:
xor, base64, gzip

Win API:
VirtualAlloc

Languages:
powershell

Platforms:
intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cado Security Labs обнаружила сложную кампанию GuLoader, направленную против европейских промышленных и инжиниринговых фирм с помощью электронных писем, содержащих обманчивые вложения, что подчеркивает эволюцию тактики хакеров и критическую важность принятия превентивных мер безопасности для организаций для эффективной защиты от подобных угроз.
-----

Cado Security Labs раскрыла сложную кампанию GuLoader, проводимую с 2019 года европейскими промышленными и инжиниринговыми фирмами.

Кампания включала в себя электронные письма с фишингом, отправленные компаниям в таких странах, как Румыния, Польша, Германия и Казахстан, занимающимся производством электроники, инжинирингом и промышленностью.

Использовались обманчивые электронные письма, замаскированные под запросы о заказе, с вложенными архивными файлами в таких форматах, как iso, 7z, gzip и rar.

Цепочка атак началась с запутанного сценария Powershell в пакетном файле, прикрепленном к электронному письму.

Скрипт Powershell извлек дополнительный файл с именем "Knighting.Pro" из определенного URL-адреса и сохранил его в папке AppData/Roaming пользователя.

Данные, извлеченные из "Knighting.Pro", были декодированы в Base64 и преобразованы в формат ASCII, при этом было выбрано конкретное содержимое для дальнейшего логического выполнения в Powershell.

Второй сценарий Powershell использовал VirtualAlloc для выделения памяти и выполнения шелл-кода, при этом вредоносный код хранился в переменной и передавался с помощью Marshall::Copy для обмена данными.

Первый шелл-код загружал и расшифровывал последующий шелл-код, содержащий механизмы защиты от отладки.

Второй шелл-код сохранился, внедрившись в законный процесс "msiexec.exe", и попытался получить дополнительную полезную нагрузку, исторически связанную со средствами доставки RAT, такими как Remcos, NetWire и AgentTesla.

Развивающиеся методы уклонения GuLoader подчеркивают необходимость принятия упреждающих мер безопасности, направленных на эффективную борьбу с подобными угрозами.

#ParsedReport #CompletenessHigh
09-11-2024

Life on a crooked RedLine: Analyzing the infamous infostealer s backend

https://www.welivesecurity.com/en/eset-research/life-crooked-redline-analyzing-infamous-infostealers-backend

Report completeness: High

Threats:
Redline_stealer
Meta_stealer
Dead_drop_technique
Magnus
Empire_loader
Dnguard_tool
Boxedapp_packer_tool
Babel_tool
Eziriz_tool
Dotnet_reactor_tool
Gencbl

Geo:
Kazakhstan, Czech, Belarus, Belgium, Azerbaijan, Kyrgyzstan, Ukraine, Russia, Armenia, Netherlands, Uzbekistan, Germany, Dutch, Moldova, Finland, Tajikistan

TTPs:
Tactics: 3
Technics: 16

IOCs:
File: 10
Url: 1
Hash: 18
Domain: 2

Soft:
Telegram, Steam, Discord, ChatGPT, NET Reactor, NET framework, Visual Studio, ASP.NET

Algorithms:
zip, base64, aes-cbc, aes

Functions:
CreateBuild

Platforms:
x86

Links:
https://github.com/Mezantrop74/Redlinestealer2020
https://github.com/eset/malware-ioc/tree/master/redline

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 6, chart: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в ликвидации вредоносной программы RedLine Stealer в рамках скоординированных усилий, известных как операция "Магнус", в октябре 2024 года. В ходе этой операции исследователи ESET в партнерстве с правоохранительными органами обнаружили ранее неизвестные серверные модули, используемые RedLine Stealer, и исследовали более 1000 уникальных IP-адресов, на которых размещены панели управления RedLine. В тексте подробно описывается функциональность RedLine Stealer как модели MaaS, в рамках которой аффилированные лица могут приобретать решения infostealer для создания образцов вредоносного ПО для различных незаконных действий. Кроме того, в нем обсуждается эволюция вредоносного ПО RedLine, его методы коммуникации, роль аффилированных лиц в распространении вредоносного ПО, информация о внутренних модулях и сбое в работе META Stealer в сочетании с RedLine Stealer. Совместные усилия подчеркнули важность нарушения работы подразделений MaaS для повышения онлайн-безопасности.
-----

RedLine Stealer, вредоносная программа как услуга (MaaS), была ликвидирована в октябре 2024 года в ходе операции Magnus, в результате чего были обнаружены несколько ранее неизвестных серверных модулей и более 1000 уникальных IP-адресов, на которых размещались панели управления RedLine.

Филиалы RedLine Stealer использовали модель MaaS для приобретения решений infostealer, собирая различные конфиденциальные данные, включая информацию о криптовалюте, учетные данные, данные кредитной карты и данные из популярных приложений.

Вредоносная программа RedLine эволюционировала от своего первоначального обнаружения в 2020 году до использования REST API для обмена данными в версии 2024 года, когда аффилированные лица выдавали себя за законных поставщиков программного обеспечения для распространения вредоносного ПО.

Серверная инфраструктура RedLine, разработанная на C# с использованием платформы .NET framework, включала такие компоненты, как панель RedLine для партнерских закупок, с лицензиями, доступными для покупки.

Панели RedLine, выпущенные в 2023 году, были сильно запутаны, подписаны сертификатами AMCERT, LLC и требовали аутентификации через репозитории GitHub, выполняющие функцию надежного распознавателя.

Детальный анализ серверных модулей RedLine позволил получить представление об управлении партнерскими и рекламными данными, включая такие аспекты, как механизмы аутентификации, создание образцов вредоносных программ и перехват буфера обмена.

Операция "Магнус" разрушила работу как RedLine, так и META Stealer, причем сходство в коде указывает на общее происхождение и операционные основы двух семейств инфокрадов.

Географические данные показали широкое распространение панелей RedLine и внутренних серверов, в основном в таких странах, как Россия, Германия, Нидерланды, Великобритания и США.

Сотрудничество между исследователями в области безопасности и правоохранительными органами в рамках операции "Магнус" подчеркнуло важность взлома объектов MaaS для повышения онлайн-безопасности и эффективной борьбы с киберугрозами.

#ParsedReport #CompletenessMedium
10-11-2024

Nameless and shameless: Ransomware Encryption via BitLocker

https://www.nccgroup.com/us/research-blog/nameless-and-shameless-ransomware-encryption-via-bitlocker

Report completeness: Medium

Threats:
Timestomp_technique
Anydesk_tool
Rustdesk_tool
Impacket_tool
Wevtutil_tool
Credential_dumping_technique
Dcsync_technique
Netscan_tool
Advanced-port-scanner_tool
Powerview_tool
Passthehash_technique
Rclone_tool

TTPs:
Tactics: 11
Technics: 31

IOCs:
Path: 30
IP: 9
Command: 8
File: 12
Registry: 2
Domain: 1
Hash: 24

Soft:
BitLocker, Remote Desktop Web Access, Active Directory, Windows Service, SoftPerfect Network Scanner, Google Chrome, Microsoft Defender

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в проведении командой NCC Group DFIR мероприятий по реагированию на инциденты, связанные с неизвестным типом программ-вымогателей, но известными тактиками, методами и процедурами (TTP). В этом инциденте подробно описываются методы хакера по первоначальному доступу, постоянству, перемещению в сторону, утечке данных, шифрованию с использованием BitLocker и хранению ключей для получения выкупа. Хакер использовал различные инструменты и методы, такие как служба веб-доступа к удаленному рабочему столу, RDP, Tor, AnyDesk, командная оболочка Windows, поиск домена, сброс учетных данных, инструменты сканирования портов и различные инструменты сетевого перечисления.
-----

Недавно команда NCC Group DFIR провела операцию по реагированию на инциденты, связанные с неизвестным типом программ-вымогателей, но известными тактиками, методами и процедурами (TTP). Инцидент был связан с первоначальным доступом, полученным через службу веб-доступа к удаленному рабочему столу, при этом хакер использовал RDP, Tor и AnyDesk для сохранения, создания новых учетных записей, использования SMB и RDP для перемещения по сети, фильтрации данных через Backblaze, включения шифрования устройства BitLocker и удержания ключей для получения выкупа.

Первоначальный доступ был получен через внешнюю службу веб-доступа к удаленному рабочему столу, что позволило хакеру провести разведку и развернуть AnyDesk. Они широко использовали командную оболочку Windows для выполнения команд, поддерживали постоянство с помощью RDP и создания новых учетных записей, а также удаляли данные с помощью менее известного поставщика облачных хранилищ. Шифрование BitLocker использовалось для шифрования устройств в среде жертвы.

Хакер использовал протоколы TTP, такие как внешние удаленные службы (T1133), для получения первоначального доступа через службу веб-доступа к удаленному рабочему столу на шлюзе, обеспечивающем RDP-соединения. Они прошли аутентификацию с использованием законных учетных записей, установили сеансы RDP и развернули такие инструменты, как AnyDesk и ssh.exe. В PowerShell и cmd.exe были использованы методы командного и скриптового интерпретатора (T1059.001), которые помогли в поиске домена и доступе к сети. Кроме того, Tor был использован для создания прокси-сервера SOCKS для доступа к внутренним сетевым сервисам, таким как RDP и SMB, что облегчило перемещение по сети. Была создана учетная запись домена с именем backdoor и правами администратора домена, а также было добавлено правило брандмауэра для включения службы RustDesk.

Сброс учетных данных операционной системы (T1003.006) был обнаружен в результате атаки DCSync, когда учетная запись домена с высокими привилегиями инициировала репликацию для отправки данных хакеру. Инструменты сканирования портов, такие как SoftPerfect Network Scanner и Advanced Port Scanner, использовались для идентификации активных сетевых служб, а также для перечисления доменов PowerView для Windows. Impacket использовался для операций малого и среднего бизнеса, что, вероятно, позволяло проводить аутентификацию по хэшу и сеансы RDP. Rclone использовался для фильтрации данных в Backblaze, настройки ограничений пропускной способности, чтобы избежать проблем с производительностью сети.

#ParsedReport #CompletenessLow
09-11-2024

LummaC2 information-stealing malware based on normal programs and being distributed

https://asec.ahnlab.com/ko/84276

Report completeness: Low

Threats:
Lumma_stealer

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1059.001, T1071, T1140, T1036, T1027

IOCs:
File: 1
Hash: 5
Url: 5

Algorithms:
md5

Languages:
autoit