#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cado Security Labs обнаружила сложную кампанию GuLoader, направленную против европейских промышленных и инжиниринговых фирм с помощью электронных писем, содержащих обманчивые вложения, что подчеркивает эволюцию тактики хакеров и критическую важность принятия превентивных мер безопасности для организаций для эффективной защиты от подобных угроз.
-----

Cado Security Labs раскрыла сложную кампанию GuLoader, проводимую с 2019 года европейскими промышленными и инжиниринговыми фирмами.

Кампания включала в себя электронные письма с фишингом, отправленные компаниям в таких странах, как Румыния, Польша, Германия и Казахстан, занимающимся производством электроники, инжинирингом и промышленностью.

Использовались обманчивые электронные письма, замаскированные под запросы о заказе, с вложенными архивными файлами в таких форматах, как iso, 7z, gzip и rar.

Цепочка атак началась с запутанного сценария Powershell в пакетном файле, прикрепленном к электронному письму.

Скрипт Powershell извлек дополнительный файл с именем "Knighting.Pro" из определенного URL-адреса и сохранил его в папке AppData/Roaming пользователя.

Данные, извлеченные из "Knighting.Pro", были декодированы в Base64 и преобразованы в формат ASCII, при этом было выбрано конкретное содержимое для дальнейшего логического выполнения в Powershell.

Второй сценарий Powershell использовал VirtualAlloc для выделения памяти и выполнения шелл-кода, при этом вредоносный код хранился в переменной и передавался с помощью Marshall::Copy для обмена данными.

Первый шелл-код загружал и расшифровывал последующий шелл-код, содержащий механизмы защиты от отладки.

Второй шелл-код сохранился, внедрившись в законный процесс "msiexec.exe", и попытался получить дополнительную полезную нагрузку, исторически связанную со средствами доставки RAT, такими как Remcos, NetWire и AgentTesla.

Развивающиеся методы уклонения GuLoader подчеркивают необходимость принятия упреждающих мер безопасности, направленных на эффективную борьбу с подобными угрозами.

#ParsedReport #CompletenessHigh
09-11-2024

Life on a crooked RedLine: Analyzing the infamous infostealer s backend

https://www.welivesecurity.com/en/eset-research/life-crooked-redline-analyzing-infamous-infostealers-backend

Report completeness: High

Threats:
Redline_stealer
Meta_stealer
Dead_drop_technique
Magnus
Empire_loader
Dnguard_tool
Boxedapp_packer_tool
Babel_tool
Eziriz_tool
Dotnet_reactor_tool
Gencbl

Geo:
Kazakhstan, Czech, Belarus, Belgium, Azerbaijan, Kyrgyzstan, Ukraine, Russia, Armenia, Netherlands, Uzbekistan, Germany, Dutch, Moldova, Finland, Tajikistan

TTPs:
Tactics: 3
Technics: 16

IOCs:
File: 10
Url: 1
Hash: 18
Domain: 2

Soft:
Telegram, Steam, Discord, ChatGPT, NET Reactor, NET framework, Visual Studio, ASP.NET

Algorithms:
zip, base64, aes-cbc, aes

Functions:
CreateBuild

Platforms:
x86

Links:
https://github.com/Mezantrop74/Redlinestealer2020
https://github.com/eset/malware-ioc/tree/master/redline

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 6, chart: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в ликвидации вредоносной программы RedLine Stealer в рамках скоординированных усилий, известных как операция "Магнус", в октябре 2024 года. В ходе этой операции исследователи ESET в партнерстве с правоохранительными органами обнаружили ранее неизвестные серверные модули, используемые RedLine Stealer, и исследовали более 1000 уникальных IP-адресов, на которых размещены панели управления RedLine. В тексте подробно описывается функциональность RedLine Stealer как модели MaaS, в рамках которой аффилированные лица могут приобретать решения infostealer для создания образцов вредоносного ПО для различных незаконных действий. Кроме того, в нем обсуждается эволюция вредоносного ПО RedLine, его методы коммуникации, роль аффилированных лиц в распространении вредоносного ПО, информация о внутренних модулях и сбое в работе META Stealer в сочетании с RedLine Stealer. Совместные усилия подчеркнули важность нарушения работы подразделений MaaS для повышения онлайн-безопасности.
-----

RedLine Stealer, вредоносная программа как услуга (MaaS), была ликвидирована в октябре 2024 года в ходе операции Magnus, в результате чего были обнаружены несколько ранее неизвестных серверных модулей и более 1000 уникальных IP-адресов, на которых размещались панели управления RedLine.

Филиалы RedLine Stealer использовали модель MaaS для приобретения решений infostealer, собирая различные конфиденциальные данные, включая информацию о криптовалюте, учетные данные, данные кредитной карты и данные из популярных приложений.

Вредоносная программа RedLine эволюционировала от своего первоначального обнаружения в 2020 году до использования REST API для обмена данными в версии 2024 года, когда аффилированные лица выдавали себя за законных поставщиков программного обеспечения для распространения вредоносного ПО.

Серверная инфраструктура RedLine, разработанная на C# с использованием платформы .NET framework, включала такие компоненты, как панель RedLine для партнерских закупок, с лицензиями, доступными для покупки.

Панели RedLine, выпущенные в 2023 году, были сильно запутаны, подписаны сертификатами AMCERT, LLC и требовали аутентификации через репозитории GitHub, выполняющие функцию надежного распознавателя.

Детальный анализ серверных модулей RedLine позволил получить представление об управлении партнерскими и рекламными данными, включая такие аспекты, как механизмы аутентификации, создание образцов вредоносных программ и перехват буфера обмена.

Операция "Магнус" разрушила работу как RedLine, так и META Stealer, причем сходство в коде указывает на общее происхождение и операционные основы двух семейств инфокрадов.

Географические данные показали широкое распространение панелей RedLine и внутренних серверов, в основном в таких странах, как Россия, Германия, Нидерланды, Великобритания и США.

Сотрудничество между исследователями в области безопасности и правоохранительными органами в рамках операции "Магнус" подчеркнуло важность взлома объектов MaaS для повышения онлайн-безопасности и эффективной борьбы с киберугрозами.

#ParsedReport #CompletenessMedium
10-11-2024

Nameless and shameless: Ransomware Encryption via BitLocker

https://www.nccgroup.com/us/research-blog/nameless-and-shameless-ransomware-encryption-via-bitlocker

Report completeness: Medium

Threats:
Timestomp_technique
Anydesk_tool
Rustdesk_tool
Impacket_tool
Wevtutil_tool
Credential_dumping_technique
Dcsync_technique
Netscan_tool
Advanced-port-scanner_tool
Powerview_tool
Passthehash_technique
Rclone_tool

TTPs:
Tactics: 11
Technics: 31

IOCs:
Path: 30
IP: 9
Command: 8
File: 12
Registry: 2
Domain: 1
Hash: 24

Soft:
BitLocker, Remote Desktop Web Access, Active Directory, Windows Service, SoftPerfect Network Scanner, Google Chrome, Microsoft Defender

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в проведении командой NCC Group DFIR мероприятий по реагированию на инциденты, связанные с неизвестным типом программ-вымогателей, но известными тактиками, методами и процедурами (TTP). В этом инциденте подробно описываются методы хакера по первоначальному доступу, постоянству, перемещению в сторону, утечке данных, шифрованию с использованием BitLocker и хранению ключей для получения выкупа. Хакер использовал различные инструменты и методы, такие как служба веб-доступа к удаленному рабочему столу, RDP, Tor, AnyDesk, командная оболочка Windows, поиск домена, сброс учетных данных, инструменты сканирования портов и различные инструменты сетевого перечисления.
-----

Недавно команда NCC Group DFIR провела операцию по реагированию на инциденты, связанные с неизвестным типом программ-вымогателей, но известными тактиками, методами и процедурами (TTP). Инцидент был связан с первоначальным доступом, полученным через службу веб-доступа к удаленному рабочему столу, при этом хакер использовал RDP, Tor и AnyDesk для сохранения, создания новых учетных записей, использования SMB и RDP для перемещения по сети, фильтрации данных через Backblaze, включения шифрования устройства BitLocker и удержания ключей для получения выкупа.

Первоначальный доступ был получен через внешнюю службу веб-доступа к удаленному рабочему столу, что позволило хакеру провести разведку и развернуть AnyDesk. Они широко использовали командную оболочку Windows для выполнения команд, поддерживали постоянство с помощью RDP и создания новых учетных записей, а также удаляли данные с помощью менее известного поставщика облачных хранилищ. Шифрование BitLocker использовалось для шифрования устройств в среде жертвы.

Хакер использовал протоколы TTP, такие как внешние удаленные службы (T1133), для получения первоначального доступа через службу веб-доступа к удаленному рабочему столу на шлюзе, обеспечивающем RDP-соединения. Они прошли аутентификацию с использованием законных учетных записей, установили сеансы RDP и развернули такие инструменты, как AnyDesk и ssh.exe. В PowerShell и cmd.exe были использованы методы командного и скриптового интерпретатора (T1059.001), которые помогли в поиске домена и доступе к сети. Кроме того, Tor был использован для создания прокси-сервера SOCKS для доступа к внутренним сетевым сервисам, таким как RDP и SMB, что облегчило перемещение по сети. Была создана учетная запись домена с именем backdoor и правами администратора домена, а также было добавлено правило брандмауэра для включения службы RustDesk.

Сброс учетных данных операционной системы (T1003.006) был обнаружен в результате атаки DCSync, когда учетная запись домена с высокими привилегиями инициировала репликацию для отправки данных хакеру. Инструменты сканирования портов, такие как SoftPerfect Network Scanner и Advanced Port Scanner, использовались для идентификации активных сетевых служб, а также для перечисления доменов PowerView для Windows. Impacket использовался для операций малого и среднего бизнеса, что, вероятно, позволяло проводить аутентификацию по хэшу и сеансы RDP. Rclone использовался для фильтрации данных в Backblaze, настройки ограничений пропускной способности, чтобы избежать проблем с производительностью сети.

#ParsedReport #CompletenessLow
09-11-2024

LummaC2 information-stealing malware based on normal programs and being distributed

https://asec.ahnlab.com/ko/84276

Report completeness: Low

Threats:
Lumma_stealer

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1059.001, T1071, T1140, T1036, T1027

IOCs:
File: 1
Hash: 5
Url: 5

Algorithms:
md5

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LummaC2 - опасная вредоносная программа для кражи информации, которая совершенствует тактику распространения и скрывается в обычных программах, чтобы избежать обнаружения. Программа извлекает конфиденциальные данные из зараженных систем и передает их злоумышленникам, подчеркивая растущий риск взломов и передовые методы, используемые для маскировки вредоносного ПО. Пользователям рекомендуется быть осторожными с файлами из подозрительных источников, чтобы предотвратить заражение.
-----

LummaC2 - это опасная вредоносная программа для кражи информации, которая в настоящее время распространяется под видом нелегального программного обеспечения, такого как cracks, с изменяющейся тактикой распространения. Теперь она скрыта в обычных программах, что затрудняет ее обнаружение. При активации LummaC2 извлекает конфиденциальные данные, такие как данные из хранилища браузера, электронные письма, криптокошельки и логины, и пересылает их на сервер злоумышленника для потенциальной теневой торговли в Интернете или будущих кибератак. Число взломов, при которых украденные данные с персональных компьютеров приводят к проникновению в корпоративную систему, увеличивается. Изначально LummaC2 распространялся путем модификации файловых ресурсов при сохранении четкости внутреннего кода, но последняя версия маскирует себя, незаметно внедряя вредоносный код в обычные файлы. Злоумышленники увеличивают заключительную часть обычного файла и вставляют значительный объем кода/данных, изменяя части для выполнения добавленного кода. Они имитируют подлинные файлы, используя различную информацию о ресурсах, такую как номера версий и значки из несвязанного программного обеспечения, часто выбирая общедоступные программы для создания вредоносных программ. В недавних случаях речь шла о вредоносном ПО, маскирующемся под популярное местное программное обеспечение. Например, один пример был создан путем внедрения вредоносного кода в иностранный инструмент для редактирования аудио, но с использованием информации о версии отечественного аудиоплеера и поддельной подписи, а также значка графического редактора с открытым исходным кодом. После выполнения он запускается choice.exe для внедрения кода создается измененный файл .pif в Temp и загружается LummaC2. В другом примере используются сегменты, сертификаты, версии и значки из разных законных программ, что позволяет запускать LummaC2 без сложных операций внедрения. Такие передовые методы маскировки направлены на то, чтобы скрыть диагноз от служб безопасности, а не одурачить пользователей. AhnLab использует автоматизированные процессы для быстрого сбора и анализа образцов новых вредоносных программ, проверки C&C серверов и принудительного блокирования. Пользователям рекомендуется проявлять осторожность при работе с файлами с сомнительных веб-сайтов, сжатыми архивами или файлами с недействительными подписями, поскольку они могут содержать вредоносное ПО.

#ParsedReport #CompletenessMedium
09-11-2024

BlueNoroff Targets macOS with Fake Crypto News & Novel Persistence

https://www.secureblink.com/cyber-security-news/blue-noroff-targets-mac-os-with-fake-crypto-news-and-novel-persistence

Report completeness: Medium

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Lazarus

Threats:
Rustbucket
Kandykorn

Industry:
Education, Financial

Geo:
North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1569.002, T1053, T1553.002, T1059.004

IOCs:
File: 1
Domain: 6
Hash: 3
IP: 4

Soft:
macOS, Gatekeeper

Crypto:
bitcoin

Algorithms:
sha1

Languages:
rust, swift

Platforms:
intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа BlueNoroff APT, связанная с северокорейской Lazarus Group, активно использует системы macOS для кражи криптовалютных средств и поддержки экономических целей Северной Кореи. В их кампаниях используются сложные вредоносные программы, тактика обмана и использование функций macOS для проникновения в системы. Организациям рекомендуется принять меры безопасности для защиты от этих угроз.
-----

BlueNoroff, подгруппа северокорейской Lazarus Group, активно использует системы macOS для кражи криптовалютных средств, уделяя особое внимание финансовому сектору и криптовалютным предприятиям.

Среди известных кампаний - кампания RustBucket, в которой внедряется многоступенчатое вредоносное ПО, написанное на Rust, и вредоносное ПО KandyKorn, нацеленное на блокчейн-инженеров для постоянного доступа к системе.

BlueNoroff использует фишинговые электронные письма с вредоносными приложениями, замаскированными под законные PDF-файлы, для заражения целей.

Вредоносная программа под названием growth, написанная на C++, фокусируется на функциональности, а не на скрытности, обеспечении постоянства с помощью файла \~/.zshenv, взаимодействии с сервером управления и выполнения произвольных команд.

BlueNoroff использует файл \~/.zshenv для последовательного выполнения и скрытности, имитирует законные домены, использует хостинг-провайдеров со слабым контролем и взаимодействует с сервером C2, используя уникальные или поддельные строки пользовательского агента.

Атрибуция основана на сходстве предыдущих вредоносных программ, историческом контексте, совпадающем со стратегией киберопераций Северной Кореи, и связях с инфраструктурой.

Организациям рекомендуется провести обучение по распознаванию подозрительных электронных писем, внедрению строгих политик в отношении вложений электронной почты, внедрению решений для защиты от вредоносных программ, внедрению белых списков, мониторингу действий, разработке планов реагирования на инциденты, ведению резервного копирования и интеграции информационных каналов об угрозах.

Меры безопасности и бдительность в финансовой и криптовалютной отраслях необходимы для снижения рисков, создаваемых спонсируемыми государством субъектами, нацеленными на системы macOS.

#ParsedReport #CompletenessLow
09-11-2024

Dark Web Profile: KillSec

https://socradar.io/dark-web-profile-killsec

Report completeness: Low

Threats:
Killsec

Victims:
Ping an, Yassir

Industry:
Financial, Critical_infrastructure, Foodtech, Government, Healthcare

Geo:
China, Usa, Bangladesh, Russian, Asian, India, Moscow, America

TTPs:

Soft:
Telegram

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: KillSec - это многочисленная хакерская группа, специализирующаяся на атаках с использованием программ-вымогателей и утечке данных, работающая с помощью различных сервисов, таких как тестирование на проникновение, OSINT и партнерская программа "Программы-вымогатели как услуга". Они нацелены на такие отрасли, как здравоохранение, финансы и государственные структуры, проявляющие большой интерес к Индии, с акцентом на получение дохода за счет выплаченных выкупов и расширение своих вредоносных операций.
-----

KillSec - это высокоактивная хакерская группа, известная своей причастностью к атакам с использованием программ-вымогателей и утечке данных. Группа впервые появилась в октябре 2023 года, пригласив людей, обладающих специальными навыками, связанными с проникновением в сеть и веб-сайты, а также созданием вредоносных программ. Их нацеленность на наступательные кибероперации была очевидна с самого начала, что указывало на преступные намерения, выходящие за рамки хактивизма.

KillSec работает в трех областях: тестирование на проникновение, сервисы OSINT и партнерская программа Ransomware-a-a-Service (RaaS). Их услуги по тестированию на проникновение включают получение несанкционированного доступа к системам в преступных целях, в то время как их сервисы OSINT используют личную информацию в злонамеренных целях. Партнерская программа RaaS позволяет киберпреступникам использовать программы-вымогатели в обмен на долю прибыли. Партнерская программа KillSec имеет особые правила, включая языковые требования и запрет на атаки на критически важную инфраструктуру, хотя в своей деятельности она нацелена на медицинские организации.

Сервис программ-вымогателей группы, представленный в июне 2024 года, предлагает удобную панель управления, доступную через сеть Tor, что облегчает участие в атаках менее квалифицированных киберпреступников. KillSec также анонсирует новые функции, такие как инструмент для создания стресса при DDoS-атаках и усовершенствованный stealer для извлечения конфиденциальной информации из скомпрометированных систем, что указывает на их намерение выйти за рамки программ-вымогателей.

KillSec уделяет особое внимание таким отраслям, как здравоохранение, финансы и государственные учреждения, уделяя приоритетное внимание секторам с конфиденциальными данными, имеющими решающее значение для национальных интересов. Их операции сосредоточены на Индии, где значительная часть атак направлена на организации в стране.

Активность хакерской группы в мессенджерах Telegram развивается по определенной схеме, усиливаясь с 10 утра до 7 вечера по московскому времени. Хотя их поведение в отношении обмена сообщениями не указывает на принадлежность к государству, часы работы и сосредоточенность на платных выкупах указывают на необходимость дополнительных источников дохода для поддержания их деятельности.

#ParsedReport #CompletenessHigh
11-11-2024

Ymir: new stealthy ransomware in the wild

https://securelist.com/new-ymir-ransomware-found-in-colombia/114493

Report completeness: High

Threats:
Ymir_ransomware
Process_hacker_tool
Qtox_tool
Cryptopp_tool
Rusty_stealer
Trojan.win32.sheller.ey
Winrm_tool
Systembc

Geo:
Congo, Angola, Australia, Pakistan, Colombia, Ukraine, African

TTPs:
Tactics: 4
Technics: 9

IOCs:
Command: 1
Url: 1
File: 7
IP: 7
Hash: 10
Registry: 1

Algorithms:
chacha20, bcrypt, base64, md5, sha256, sha1

Functions:
Remove-Item, PowerShell, GetServerByFilename

Win API:
CryptAcquireContextA, CryptReleaseContext, CryptGenRandom, TerminateProcess, WinExec, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, have more...

Languages:
rust, powershell

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 7, table: 4, dump: 4, schema: 1, windows: 1