#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Earth Estries - это высокоразвитая хакерская группа, которая действует как минимум с 2020 года, демонстрируя передовые технические возможности и стратегическую адаптивность в отношении правительств и технологической индустрии. В своей деятельности они используют широкий спектр инструментов и тактик, уделяя особое внимание использованию уязвимостей в таких системах, как серверы Microsoft Exchange и средства управления сетевыми адаптерами, для обеспечения сохранности, контроля и проведения эксфильтрации данных. Организации могут повысить уровень своей кибербезопасности, понимая тактику Earth Estries и используя информацию об угрозах для упреждающей защиты своей среды от таких сложных киберугроз.
-----

Earth Estries - это изощренная хакерская группа, которая действует как минимум с 2020 года, нацеливаясь на правительства и технологическую индустрию. Они известны тем, что используют в своих кампаниях разнообразные тактики, методы и инструменты, демонстрируя высокий уровень технических возможностей и стратегической адаптивности. Earth Estries использует в своих операциях две различные цепочки атак, уделяя особое внимание использованию уязвимостей в таких системах, как серверы Microsoft Exchange и средства управления сетевыми адаптерами.

В своей первой цепочке атак Earth Estries использует такие инструменты, как Cobalt Strike, Trillclient, Hemigate и Crowdoor, предоставляемые через CAB-файлы, для поддержания контроля и облегчения горизонтального перемещения внутри сети. PsExec - это широко используемый инструмент для первоначального доступа, в то время как Trillclient используется для кражи учетных данных пользователей. Хакер демонстрирует глубокое понимание среды своих целей, используя специальные инструменты, такие как wget, для загрузки документов из внутренних систем.

Вторая цепочка атак включает в себя развертывание вредоносных программ, таких как Zingdoor, SnappyBee и Cobalt Strike, с помощью cURL-загрузок после получения первоначального доступа с использованием серверов Microsoft Exchange. Эти бэкдоры периодически обновляются и заменяются для поддержания работоспособности и контроля. Сбор и эксфильтрация данных осуществляются с помощью таких инструментов, как RAR и cURL, а информация отправляется в анонимные файлообменные сервисы.

Earth Estries постоянно обновляет свои инструменты и бэкдоры, демонстрируя способность адаптироваться в ответ на защитные меры. Они демонстрируют глубокое понимание целевой среды и используют комбинацию установленных инструментов и пользовательских бэкдоров для создания многоуровневой стратегии атаки, которую трудно обнаружить и смягчить. Хакер использует такие инструменты, как Cobalt Strike, Zingdoor и Snappybee, для различных этапов атак, используя дополнительную загрузку библиотек DLL и другие методы загрузки, чтобы повысить устойчивость и избежать обнаружения.

Кроме того, Earth Estries использует такие методы, как прокси-серверы, для сокрытия бэкдор-трафика и поддержания операционной безопасности. В дополнение к известным инструментам, они также разработали индивидуальные бэкдоры, такие как Cryptmerlin, на основе вредоносных программ с открытым исходным кодом, демонстрируя высокий уровень сложности своих операций. Хакер использует различные методы загрузки своих инструментов, включая исполняемые загрузчики и версии библиотек DLL, чтобы обеспечить успешное развертывание вредоносной полезной нагрузки.

Чтобы опережать возникающие угрозы, такие как землетрясения на Земле, организации могут использовать отчеты об угрозах и аналитические материалы для активной защиты своей среды, снижения рисков и эффективного реагирования на киберугрозы. Понимая тактику, методы и процедуры хакеров, подобных Earth Estries, компании могут повысить уровень своей кибербезопасности и защититься от изощренных кибератак.

#ParsedReport #CompletenessHigh
09-11-2024

GuLoader: Evolving Tactics in Latest Campaign Targeting European Industry. Initial Access

https://www.cadosecurity.com/blog/guloader-targeting-european-industrial-companies

Report completeness: High

Threats:
Cloudeye
Spear-phishing_technique
Process_injection_technique
Remcos_rat
Netwire_rat
Agent_tesla
Junk_code_technique

Geo:
Kazakhstan, Poland, Romania, Germany

TTPs:
Tactics: 1
Technics: 11

IOCs:
Url: 5
File: 11
Registry: 1
Hash: 66
Path: 5
IP: 3
Email: 1

Algorithms:
xor, base64, gzip

Win API:
VirtualAlloc

Languages:
powershell

Platforms:
intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cado Security Labs обнаружила сложную кампанию GuLoader, направленную против европейских промышленных и инжиниринговых фирм с помощью электронных писем, содержащих обманчивые вложения, что подчеркивает эволюцию тактики хакеров и критическую важность принятия превентивных мер безопасности для организаций для эффективной защиты от подобных угроз.
-----

Cado Security Labs раскрыла сложную кампанию GuLoader, проводимую с 2019 года европейскими промышленными и инжиниринговыми фирмами.

Кампания включала в себя электронные письма с фишингом, отправленные компаниям в таких странах, как Румыния, Польша, Германия и Казахстан, занимающимся производством электроники, инжинирингом и промышленностью.

Использовались обманчивые электронные письма, замаскированные под запросы о заказе, с вложенными архивными файлами в таких форматах, как iso, 7z, gzip и rar.

Цепочка атак началась с запутанного сценария Powershell в пакетном файле, прикрепленном к электронному письму.

Скрипт Powershell извлек дополнительный файл с именем "Knighting.Pro" из определенного URL-адреса и сохранил его в папке AppData/Roaming пользователя.

Данные, извлеченные из "Knighting.Pro", были декодированы в Base64 и преобразованы в формат ASCII, при этом было выбрано конкретное содержимое для дальнейшего логического выполнения в Powershell.

Второй сценарий Powershell использовал VirtualAlloc для выделения памяти и выполнения шелл-кода, при этом вредоносный код хранился в переменной и передавался с помощью Marshall::Copy для обмена данными.

Первый шелл-код загружал и расшифровывал последующий шелл-код, содержащий механизмы защиты от отладки.

Второй шелл-код сохранился, внедрившись в законный процесс "msiexec.exe", и попытался получить дополнительную полезную нагрузку, исторически связанную со средствами доставки RAT, такими как Remcos, NetWire и AgentTesla.

Развивающиеся методы уклонения GuLoader подчеркивают необходимость принятия упреждающих мер безопасности, направленных на эффективную борьбу с подобными угрозами.

#ParsedReport #CompletenessHigh
09-11-2024

Life on a crooked RedLine: Analyzing the infamous infostealer s backend

https://www.welivesecurity.com/en/eset-research/life-crooked-redline-analyzing-infamous-infostealers-backend

Report completeness: High

Threats:
Redline_stealer
Meta_stealer
Dead_drop_technique
Magnus
Empire_loader
Dnguard_tool
Boxedapp_packer_tool
Babel_tool
Eziriz_tool
Dotnet_reactor_tool
Gencbl

Geo:
Kazakhstan, Czech, Belarus, Belgium, Azerbaijan, Kyrgyzstan, Ukraine, Russia, Armenia, Netherlands, Uzbekistan, Germany, Dutch, Moldova, Finland, Tajikistan

TTPs:
Tactics: 3
Technics: 16

IOCs:
File: 10
Url: 1
Hash: 18
Domain: 2

Soft:
Telegram, Steam, Discord, ChatGPT, NET Reactor, NET framework, Visual Studio, ASP.NET

Algorithms:
zip, base64, aes-cbc, aes

Functions:
CreateBuild

Platforms:
x86

Links:
https://github.com/Mezantrop74/Redlinestealer2020
https://github.com/eset/malware-ioc/tree/master/redline

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 6, chart: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в ликвидации вредоносной программы RedLine Stealer в рамках скоординированных усилий, известных как операция "Магнус", в октябре 2024 года. В ходе этой операции исследователи ESET в партнерстве с правоохранительными органами обнаружили ранее неизвестные серверные модули, используемые RedLine Stealer, и исследовали более 1000 уникальных IP-адресов, на которых размещены панели управления RedLine. В тексте подробно описывается функциональность RedLine Stealer как модели MaaS, в рамках которой аффилированные лица могут приобретать решения infostealer для создания образцов вредоносного ПО для различных незаконных действий. Кроме того, в нем обсуждается эволюция вредоносного ПО RedLine, его методы коммуникации, роль аффилированных лиц в распространении вредоносного ПО, информация о внутренних модулях и сбое в работе META Stealer в сочетании с RedLine Stealer. Совместные усилия подчеркнули важность нарушения работы подразделений MaaS для повышения онлайн-безопасности.
-----

RedLine Stealer, вредоносная программа как услуга (MaaS), была ликвидирована в октябре 2024 года в ходе операции Magnus, в результате чего были обнаружены несколько ранее неизвестных серверных модулей и более 1000 уникальных IP-адресов, на которых размещались панели управления RedLine.

Филиалы RedLine Stealer использовали модель MaaS для приобретения решений infostealer, собирая различные конфиденциальные данные, включая информацию о криптовалюте, учетные данные, данные кредитной карты и данные из популярных приложений.

Вредоносная программа RedLine эволюционировала от своего первоначального обнаружения в 2020 году до использования REST API для обмена данными в версии 2024 года, когда аффилированные лица выдавали себя за законных поставщиков программного обеспечения для распространения вредоносного ПО.

Серверная инфраструктура RedLine, разработанная на C# с использованием платформы .NET framework, включала такие компоненты, как панель RedLine для партнерских закупок, с лицензиями, доступными для покупки.

Панели RedLine, выпущенные в 2023 году, были сильно запутаны, подписаны сертификатами AMCERT, LLC и требовали аутентификации через репозитории GitHub, выполняющие функцию надежного распознавателя.

Детальный анализ серверных модулей RedLine позволил получить представление об управлении партнерскими и рекламными данными, включая такие аспекты, как механизмы аутентификации, создание образцов вредоносных программ и перехват буфера обмена.

Операция "Магнус" разрушила работу как RedLine, так и META Stealer, причем сходство в коде указывает на общее происхождение и операционные основы двух семейств инфокрадов.

Географические данные показали широкое распространение панелей RedLine и внутренних серверов, в основном в таких странах, как Россия, Германия, Нидерланды, Великобритания и США.

Сотрудничество между исследователями в области безопасности и правоохранительными органами в рамках операции "Магнус" подчеркнуло важность взлома объектов MaaS для повышения онлайн-безопасности и эффективной борьбы с киберугрозами.

#ParsedReport #CompletenessMedium
10-11-2024

Nameless and shameless: Ransomware Encryption via BitLocker

https://www.nccgroup.com/us/research-blog/nameless-and-shameless-ransomware-encryption-via-bitlocker

Report completeness: Medium

Threats:
Timestomp_technique
Anydesk_tool
Rustdesk_tool
Impacket_tool
Wevtutil_tool
Credential_dumping_technique
Dcsync_technique
Netscan_tool
Advanced-port-scanner_tool
Powerview_tool
Passthehash_technique
Rclone_tool

TTPs:
Tactics: 11
Technics: 31

IOCs:
Path: 30
IP: 9
Command: 8
File: 12
Registry: 2
Domain: 1
Hash: 24

Soft:
BitLocker, Remote Desktop Web Access, Active Directory, Windows Service, SoftPerfect Network Scanner, Google Chrome, Microsoft Defender

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в проведении командой NCC Group DFIR мероприятий по реагированию на инциденты, связанные с неизвестным типом программ-вымогателей, но известными тактиками, методами и процедурами (TTP). В этом инциденте подробно описываются методы хакера по первоначальному доступу, постоянству, перемещению в сторону, утечке данных, шифрованию с использованием BitLocker и хранению ключей для получения выкупа. Хакер использовал различные инструменты и методы, такие как служба веб-доступа к удаленному рабочему столу, RDP, Tor, AnyDesk, командная оболочка Windows, поиск домена, сброс учетных данных, инструменты сканирования портов и различные инструменты сетевого перечисления.
-----

Недавно команда NCC Group DFIR провела операцию по реагированию на инциденты, связанные с неизвестным типом программ-вымогателей, но известными тактиками, методами и процедурами (TTP). Инцидент был связан с первоначальным доступом, полученным через службу веб-доступа к удаленному рабочему столу, при этом хакер использовал RDP, Tor и AnyDesk для сохранения, создания новых учетных записей, использования SMB и RDP для перемещения по сети, фильтрации данных через Backblaze, включения шифрования устройства BitLocker и удержания ключей для получения выкупа.

Первоначальный доступ был получен через внешнюю службу веб-доступа к удаленному рабочему столу, что позволило хакеру провести разведку и развернуть AnyDesk. Они широко использовали командную оболочку Windows для выполнения команд, поддерживали постоянство с помощью RDP и создания новых учетных записей, а также удаляли данные с помощью менее известного поставщика облачных хранилищ. Шифрование BitLocker использовалось для шифрования устройств в среде жертвы.

Хакер использовал протоколы TTP, такие как внешние удаленные службы (T1133), для получения первоначального доступа через службу веб-доступа к удаленному рабочему столу на шлюзе, обеспечивающем RDP-соединения. Они прошли аутентификацию с использованием законных учетных записей, установили сеансы RDP и развернули такие инструменты, как AnyDesk и ssh.exe. В PowerShell и cmd.exe были использованы методы командного и скриптового интерпретатора (T1059.001), которые помогли в поиске домена и доступе к сети. Кроме того, Tor был использован для создания прокси-сервера SOCKS для доступа к внутренним сетевым сервисам, таким как RDP и SMB, что облегчило перемещение по сети. Была создана учетная запись домена с именем backdoor и правами администратора домена, а также было добавлено правило брандмауэра для включения службы RustDesk.

Сброс учетных данных операционной системы (T1003.006) был обнаружен в результате атаки DCSync, когда учетная запись домена с высокими привилегиями инициировала репликацию для отправки данных хакеру. Инструменты сканирования портов, такие как SoftPerfect Network Scanner и Advanced Port Scanner, использовались для идентификации активных сетевых служб, а также для перечисления доменов PowerView для Windows. Impacket использовался для операций малого и среднего бизнеса, что, вероятно, позволяло проводить аутентификацию по хэшу и сеансы RDP. Rclone использовался для фильтрации данных в Backblaze, настройки ограничений пропускной способности, чтобы избежать проблем с производительностью сети.

#ParsedReport #CompletenessLow
09-11-2024

LummaC2 information-stealing malware based on normal programs and being distributed

https://asec.ahnlab.com/ko/84276

Report completeness: Low

Threats:
Lumma_stealer

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1059.001, T1071, T1140, T1036, T1027

IOCs:
File: 1
Hash: 5
Url: 5

Algorithms:
md5

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LummaC2 - опасная вредоносная программа для кражи информации, которая совершенствует тактику распространения и скрывается в обычных программах, чтобы избежать обнаружения. Программа извлекает конфиденциальные данные из зараженных систем и передает их злоумышленникам, подчеркивая растущий риск взломов и передовые методы, используемые для маскировки вредоносного ПО. Пользователям рекомендуется быть осторожными с файлами из подозрительных источников, чтобы предотвратить заражение.
-----

LummaC2 - это опасная вредоносная программа для кражи информации, которая в настоящее время распространяется под видом нелегального программного обеспечения, такого как cracks, с изменяющейся тактикой распространения. Теперь она скрыта в обычных программах, что затрудняет ее обнаружение. При активации LummaC2 извлекает конфиденциальные данные, такие как данные из хранилища браузера, электронные письма, криптокошельки и логины, и пересылает их на сервер злоумышленника для потенциальной теневой торговли в Интернете или будущих кибератак. Число взломов, при которых украденные данные с персональных компьютеров приводят к проникновению в корпоративную систему, увеличивается. Изначально LummaC2 распространялся путем модификации файловых ресурсов при сохранении четкости внутреннего кода, но последняя версия маскирует себя, незаметно внедряя вредоносный код в обычные файлы. Злоумышленники увеличивают заключительную часть обычного файла и вставляют значительный объем кода/данных, изменяя части для выполнения добавленного кода. Они имитируют подлинные файлы, используя различную информацию о ресурсах, такую как номера версий и значки из несвязанного программного обеспечения, часто выбирая общедоступные программы для создания вредоносных программ. В недавних случаях речь шла о вредоносном ПО, маскирующемся под популярное местное программное обеспечение. Например, один пример был создан путем внедрения вредоносного кода в иностранный инструмент для редактирования аудио, но с использованием информации о версии отечественного аудиоплеера и поддельной подписи, а также значка графического редактора с открытым исходным кодом. После выполнения он запускается choice.exe для внедрения кода создается измененный файл .pif в Temp и загружается LummaC2. В другом примере используются сегменты, сертификаты, версии и значки из разных законных программ, что позволяет запускать LummaC2 без сложных операций внедрения. Такие передовые методы маскировки направлены на то, чтобы скрыть диагноз от служб безопасности, а не одурачить пользователей. AhnLab использует автоматизированные процессы для быстрого сбора и анализа образцов новых вредоносных программ, проверки C&C серверов и принудительного блокирования. Пользователям рекомендуется проявлять осторожность при работе с файлами с сомнительных веб-сайтов, сжатыми архивами или файлами с недействительными подписями, поскольку они могут содержать вредоносное ПО.

#ParsedReport #CompletenessMedium
09-11-2024

BlueNoroff Targets macOS with Fake Crypto News & Novel Persistence

https://www.secureblink.com/cyber-security-news/blue-noroff-targets-mac-os-with-fake-crypto-news-and-novel-persistence

Report completeness: Medium

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Lazarus

Threats:
Rustbucket
Kandykorn

Industry:
Education, Financial

Geo:
North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1569.002, T1053, T1553.002, T1059.004

IOCs:
File: 1
Domain: 6
Hash: 3
IP: 4

Soft:
macOS, Gatekeeper

Crypto:
bitcoin

Algorithms:
sha1

Languages:
rust, swift

Platforms:
intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа BlueNoroff APT, связанная с северокорейской Lazarus Group, активно использует системы macOS для кражи криптовалютных средств и поддержки экономических целей Северной Кореи. В их кампаниях используются сложные вредоносные программы, тактика обмана и использование функций macOS для проникновения в системы. Организациям рекомендуется принять меры безопасности для защиты от этих угроз.
-----

BlueNoroff, подгруппа северокорейской Lazarus Group, активно использует системы macOS для кражи криптовалютных средств, уделяя особое внимание финансовому сектору и криптовалютным предприятиям.

Среди известных кампаний - кампания RustBucket, в которой внедряется многоступенчатое вредоносное ПО, написанное на Rust, и вредоносное ПО KandyKorn, нацеленное на блокчейн-инженеров для постоянного доступа к системе.

BlueNoroff использует фишинговые электронные письма с вредоносными приложениями, замаскированными под законные PDF-файлы, для заражения целей.

Вредоносная программа под названием growth, написанная на C++, фокусируется на функциональности, а не на скрытности, обеспечении постоянства с помощью файла \~/.zshenv, взаимодействии с сервером управления и выполнения произвольных команд.

BlueNoroff использует файл \~/.zshenv для последовательного выполнения и скрытности, имитирует законные домены, использует хостинг-провайдеров со слабым контролем и взаимодействует с сервером C2, используя уникальные или поддельные строки пользовательского агента.

Атрибуция основана на сходстве предыдущих вредоносных программ, историческом контексте, совпадающем со стратегией киберопераций Северной Кореи, и связях с инфраструктурой.

Организациям рекомендуется провести обучение по распознаванию подозрительных электронных писем, внедрению строгих политик в отношении вложений электронной почты, внедрению решений для защиты от вредоносных программ, внедрению белых списков, мониторингу действий, разработке планов реагирования на инциденты, ведению резервного копирования и интеграции информационных каналов об угрозах.

Меры безопасности и бдительность в финансовой и криптовалютной отраслях необходимы для снижения рисков, создаваемых спонсируемыми государством субъектами, нацеленными на системы macOS.

#ParsedReport #CompletenessLow
09-11-2024

Dark Web Profile: KillSec

https://socradar.io/dark-web-profile-killsec

Report completeness: Low

Threats:
Killsec

Victims:
Ping an, Yassir

Industry:
Financial, Critical_infrastructure, Foodtech, Government, Healthcare

Geo:
China, Usa, Bangladesh, Russian, Asian, India, Moscow, America

TTPs:

Soft:
Telegram

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: KillSec - это многочисленная хакерская группа, специализирующаяся на атаках с использованием программ-вымогателей и утечке данных, работающая с помощью различных сервисов, таких как тестирование на проникновение, OSINT и партнерская программа "Программы-вымогатели как услуга". Они нацелены на такие отрасли, как здравоохранение, финансы и государственные структуры, проявляющие большой интерес к Индии, с акцентом на получение дохода за счет выплаченных выкупов и расширение своих вредоносных операций.
-----

KillSec - это высокоактивная хакерская группа, известная своей причастностью к атакам с использованием программ-вымогателей и утечке данных. Группа впервые появилась в октябре 2023 года, пригласив людей, обладающих специальными навыками, связанными с проникновением в сеть и веб-сайты, а также созданием вредоносных программ. Их нацеленность на наступательные кибероперации была очевидна с самого начала, что указывало на преступные намерения, выходящие за рамки хактивизма.

KillSec работает в трех областях: тестирование на проникновение, сервисы OSINT и партнерская программа Ransomware-a-a-Service (RaaS). Их услуги по тестированию на проникновение включают получение несанкционированного доступа к системам в преступных целях, в то время как их сервисы OSINT используют личную информацию в злонамеренных целях. Партнерская программа RaaS позволяет киберпреступникам использовать программы-вымогатели в обмен на долю прибыли. Партнерская программа KillSec имеет особые правила, включая языковые требования и запрет на атаки на критически важную инфраструктуру, хотя в своей деятельности она нацелена на медицинские организации.

Сервис программ-вымогателей группы, представленный в июне 2024 года, предлагает удобную панель управления, доступную через сеть Tor, что облегчает участие в атаках менее квалифицированных киберпреступников. KillSec также анонсирует новые функции, такие как инструмент для создания стресса при DDoS-атаках и усовершенствованный stealer для извлечения конфиденциальной информации из скомпрометированных систем, что указывает на их намерение выйти за рамки программ-вымогателей.

KillSec уделяет особое внимание таким отраслям, как здравоохранение, финансы и государственные учреждения, уделяя приоритетное внимание секторам с конфиденциальными данными, имеющими решающее значение для национальных интересов. Их операции сосредоточены на Индии, где значительная часть атак направлена на организации в стране.

Активность хакерской группы в мессенджерах Telegram развивается по определенной схеме, усиливаясь с 10 утра до 7 вечера по московскому времени. Хотя их поведение в отношении обмена сообщениями не указывает на принадлежность к государству, часы работы и сосредоточенность на платных выкупах указывают на необходимость дополнительных источников дохода для поддержания их деятельности.