#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LummaC2 - опасная вредоносная программа для кражи информации, которая совершенствует тактику распространения и скрывается в обычных программах, чтобы избежать обнаружения. Программа извлекает конфиденциальные данные из зараженных систем и передает их злоумышленникам, подчеркивая растущий риск взломов и передовые методы, используемые для маскировки вредоносного ПО. Пользователям рекомендуется быть осторожными с файлами из подозрительных источников, чтобы предотвратить заражение.
-----

LummaC2 - это опасная вредоносная программа для кражи информации, которая в настоящее время распространяется под видом нелегального программного обеспечения, такого как cracks, с изменяющейся тактикой распространения. Теперь она скрыта в обычных программах, что затрудняет ее обнаружение. При активации LummaC2 извлекает конфиденциальные данные, такие как данные из хранилища браузера, электронные письма, криптокошельки и логины, и пересылает их на сервер злоумышленника для потенциальной теневой торговли в Интернете или будущих кибератак. Число взломов, при которых украденные данные с персональных компьютеров приводят к проникновению в корпоративную систему, увеличивается. Изначально LummaC2 распространялся путем модификации файловых ресурсов при сохранении четкости внутреннего кода, но последняя версия маскирует себя, незаметно внедряя вредоносный код в обычные файлы. Злоумышленники увеличивают заключительную часть обычного файла и вставляют значительный объем кода/данных, изменяя части для выполнения добавленного кода. Они имитируют подлинные файлы, используя различную информацию о ресурсах, такую как номера версий и значки из несвязанного программного обеспечения, часто выбирая общедоступные программы для создания вредоносных программ. В недавних случаях речь шла о вредоносном ПО, маскирующемся под популярное местное программное обеспечение. Например, один пример был создан путем внедрения вредоносного кода в иностранный инструмент для редактирования аудио, но с использованием информации о версии отечественного аудиоплеера и поддельной подписи, а также значка графического редактора с открытым исходным кодом. После выполнения он запускается choice.exe для внедрения кода создается измененный файл .pif в Temp и загружается LummaC2. В другом примере используются сегменты, сертификаты, версии и значки из разных законных программ, что позволяет запускать LummaC2 без сложных операций внедрения. Такие передовые методы маскировки направлены на то, чтобы скрыть диагноз от служб безопасности, а не одурачить пользователей. AhnLab использует автоматизированные процессы для быстрого сбора и анализа образцов новых вредоносных программ, проверки C&C серверов и принудительного блокирования. Пользователям рекомендуется проявлять осторожность при работе с файлами с сомнительных веб-сайтов, сжатыми архивами или файлами с недействительными подписями, поскольку они могут содержать вредоносное ПО.

#ParsedReport #CompletenessMedium
09-11-2024

BlueNoroff Targets macOS with Fake Crypto News & Novel Persistence

https://www.secureblink.com/cyber-security-news/blue-noroff-targets-mac-os-with-fake-crypto-news-and-novel-persistence

Report completeness: Medium

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Lazarus

Threats:
Rustbucket
Kandykorn

Industry:
Education, Financial

Geo:
North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1569.002, T1053, T1553.002, T1059.004

IOCs:
File: 1
Domain: 6
Hash: 3
IP: 4

Soft:
macOS, Gatekeeper

Crypto:
bitcoin

Algorithms:
sha1

Languages:
rust, swift

Platforms:
intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа BlueNoroff APT, связанная с северокорейской Lazarus Group, активно использует системы macOS для кражи криптовалютных средств и поддержки экономических целей Северной Кореи. В их кампаниях используются сложные вредоносные программы, тактика обмана и использование функций macOS для проникновения в системы. Организациям рекомендуется принять меры безопасности для защиты от этих угроз.
-----

BlueNoroff, подгруппа северокорейской Lazarus Group, активно использует системы macOS для кражи криптовалютных средств, уделяя особое внимание финансовому сектору и криптовалютным предприятиям.

Среди известных кампаний - кампания RustBucket, в которой внедряется многоступенчатое вредоносное ПО, написанное на Rust, и вредоносное ПО KandyKorn, нацеленное на блокчейн-инженеров для постоянного доступа к системе.

BlueNoroff использует фишинговые электронные письма с вредоносными приложениями, замаскированными под законные PDF-файлы, для заражения целей.

Вредоносная программа под названием growth, написанная на C++, фокусируется на функциональности, а не на скрытности, обеспечении постоянства с помощью файла \~/.zshenv, взаимодействии с сервером управления и выполнения произвольных команд.

BlueNoroff использует файл \~/.zshenv для последовательного выполнения и скрытности, имитирует законные домены, использует хостинг-провайдеров со слабым контролем и взаимодействует с сервером C2, используя уникальные или поддельные строки пользовательского агента.

Атрибуция основана на сходстве предыдущих вредоносных программ, историческом контексте, совпадающем со стратегией киберопераций Северной Кореи, и связях с инфраструктурой.

Организациям рекомендуется провести обучение по распознаванию подозрительных электронных писем, внедрению строгих политик в отношении вложений электронной почты, внедрению решений для защиты от вредоносных программ, внедрению белых списков, мониторингу действий, разработке планов реагирования на инциденты, ведению резервного копирования и интеграции информационных каналов об угрозах.

Меры безопасности и бдительность в финансовой и криптовалютной отраслях необходимы для снижения рисков, создаваемых спонсируемыми государством субъектами, нацеленными на системы macOS.

#ParsedReport #CompletenessLow
09-11-2024

Dark Web Profile: KillSec

https://socradar.io/dark-web-profile-killsec

Report completeness: Low

Threats:
Killsec

Victims:
Ping an, Yassir

Industry:
Financial, Critical_infrastructure, Foodtech, Government, Healthcare

Geo:
China, Usa, Bangladesh, Russian, Asian, India, Moscow, America

TTPs:

Soft:
Telegram

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: KillSec - это многочисленная хакерская группа, специализирующаяся на атаках с использованием программ-вымогателей и утечке данных, работающая с помощью различных сервисов, таких как тестирование на проникновение, OSINT и партнерская программа "Программы-вымогатели как услуга". Они нацелены на такие отрасли, как здравоохранение, финансы и государственные структуры, проявляющие большой интерес к Индии, с акцентом на получение дохода за счет выплаченных выкупов и расширение своих вредоносных операций.
-----

KillSec - это высокоактивная хакерская группа, известная своей причастностью к атакам с использованием программ-вымогателей и утечке данных. Группа впервые появилась в октябре 2023 года, пригласив людей, обладающих специальными навыками, связанными с проникновением в сеть и веб-сайты, а также созданием вредоносных программ. Их нацеленность на наступательные кибероперации была очевидна с самого начала, что указывало на преступные намерения, выходящие за рамки хактивизма.

KillSec работает в трех областях: тестирование на проникновение, сервисы OSINT и партнерская программа Ransomware-a-a-Service (RaaS). Их услуги по тестированию на проникновение включают получение несанкционированного доступа к системам в преступных целях, в то время как их сервисы OSINT используют личную информацию в злонамеренных целях. Партнерская программа RaaS позволяет киберпреступникам использовать программы-вымогатели в обмен на долю прибыли. Партнерская программа KillSec имеет особые правила, включая языковые требования и запрет на атаки на критически важную инфраструктуру, хотя в своей деятельности она нацелена на медицинские организации.

Сервис программ-вымогателей группы, представленный в июне 2024 года, предлагает удобную панель управления, доступную через сеть Tor, что облегчает участие в атаках менее квалифицированных киберпреступников. KillSec также анонсирует новые функции, такие как инструмент для создания стресса при DDoS-атаках и усовершенствованный stealer для извлечения конфиденциальной информации из скомпрометированных систем, что указывает на их намерение выйти за рамки программ-вымогателей.

KillSec уделяет особое внимание таким отраслям, как здравоохранение, финансы и государственные учреждения, уделяя приоритетное внимание секторам с конфиденциальными данными, имеющими решающее значение для национальных интересов. Их операции сосредоточены на Индии, где значительная часть атак направлена на организации в стране.

Активность хакерской группы в мессенджерах Telegram развивается по определенной схеме, усиливаясь с 10 утра до 7 вечера по московскому времени. Хотя их поведение в отношении обмена сообщениями не указывает на принадлежность к государству, часы работы и сосредоточенность на платных выкупах указывают на необходимость дополнительных источников дохода для поддержания их деятельности.

#ParsedReport #CompletenessHigh
11-11-2024

Ymir: new stealthy ransomware in the wild

https://securelist.com/new-ymir-ransomware-found-in-colombia/114493

Report completeness: High

Threats:
Ymir_ransomware
Process_hacker_tool
Qtox_tool
Cryptopp_tool
Rusty_stealer
Trojan.win32.sheller.ey
Winrm_tool
Systembc

Geo:
Congo, Angola, Australia, Pakistan, Colombia, Ukraine, African

TTPs:
Tactics: 4
Technics: 9

IOCs:
Command: 1
Url: 1
File: 7
IP: 7
Hash: 10
Registry: 1

Algorithms:
chacha20, bcrypt, base64, md5, sha256, sha1

Functions:
Remove-Item, PowerShell, GetServerByFilename

Win API:
CryptAcquireContextA, CryptReleaseContext, CryptGenRandom, TerminateProcess, WinExec, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, have more...

Languages:
rust, powershell

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 7, table: 4, dump: 4, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается недавний инцидент, связанный с обнаружением нового семейства программ-вымогателей под названием Ymir, с подробным описанием их тактики проникновения, методов уклонения, методов шифрования, индикаторов кражи данных и связей с предыдущими угрозами, такими как RustyStealer. В нем подчеркиваются передовые возможности Ymir и содержится призыв к разработке более эффективных стратегий реагирования для борьбы с этой серьезной киберугрозой, затрагивающей множество организаций.
-----

Недавний случай реагирования на инциденты был связан с обнаружением нового семейства программ-вымогателей под названием "Ymir". Злоумышленники получили доступ к системе с помощью команд удаленного управления PowerShell и установили вредоносные инструменты, такие как Process Hacker и Advanced IP Scanner, перед развертыванием Ymir. Программа-вымогатель использует тактику уклонения, выполняя операции в памяти с использованием таких функций, как malloc, memmove и memcmp. Хотя двоичный файл не выглядит упакованным, он импортирует подозрительные функции, такие как CryptAcquireContextA и WinExec, из библиотек операционной системы, которые обычно встречаются в образцах программ-вымогателей.

Ymir содержит функцию с именем Get_System_Information для сбора сведений о системе и включает ограничения на выполнение, такие как параметр --path для настройки каталога. В ходе анализа были выявлены такие индикаторы, как имена файлов с требованием выкупа, расширения для шифрования и команды PowerShell. Программа-вымогатель шифрует файлы, используя вызовы функции memmove для загрузки вредоносного кода в память. Интересно, что в сообщении о требовании выкупа указывается на кражу данных без сетевых возможностей для эксфильтрации, предлагая альтернативные методы кражи данных, такие как HTTP или FTP.

Образец Ymir был обнаружен в ходе инцидента в Колумбии, где были обнаружены доказательства, указывающие на предшествующее проникновение угрозы RustyStealer. Злоумышленники взломали контроллер домена и использовали украденные учетные данные для перемещения по сети с помощью WinRM и PowerShell. Они внедрили вредоносное ПО SystemBC proxy для создания скрытых каналов с серверами C2 для проникновения. Kaspersky обнаружил соответствующие образцы, подключавшиеся к серверам C2 с использованием правил Yara, и выявил развертывание программы-вымогателя Ymir после вторжения RustyStealer.

Меняющийся ландшафт угроз представляет Ymir как серьезную угрозу для различных организаций благодаря его расширенным возможностям. Злоумышленники, создавшие Ymir, продемонстрировали безопасное развертывание программы-вымогателя, что усложнило расшифровку файлов. Продолжается мониторинг любой дополнительной активности со стороны этой группы, что подчеркивает необходимость в улучшенных стратегиях реагирования, выходящих за рамки традиционных платформ endpoint protection. Продукты Kaspersky обозначили эту новую угрозу как Trojan-Ransom.Win64.Ymir.gen на основе TTP, идентифицированных в ходе анализа вредоносных программ.

#ParsedReport #CompletenessLow
12-11-2024

CERT-AGID Computer Emergency Response TeamAGID. Vidar Active Again in Italy via Compromised PEC Mailboxes: New Campaign with Updated URLs

https://cert-agid.gov.it/news/vidar-nuovamente-attivo-in-italia-tramite-caselle-pec-compromesse-nuova-campagna-con-url-aggiornati

Report completeness: Low

Threats:
Vidar_stealer

Geo:
Italy, Italian

ChatGPT TTPs:
do not use without manual check
T1071, T1081, T1203

IOCs:
Email: 1
Domain: 5
Url: 5
Hash: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении вредоносной программы Vidar, нацеленной на итальянские учетные записи электронной почты через взломанные почтовые ящики PEC, что подчеркивает ее значительную угрозу кибербезопасности и необходимость усиления мер безопасности для защиты от таких сложных угроз. В нем также подчеркивается важность сбора информации об угрозах с учетом специфики региона и совместных усилий в рамках сообщества кибербезопасности для эффективной борьбы с киберугрозами, подобными Vidar.
-----

Возрождение вредоносного ПО Vidar, нацеленного на итальянские учетные записи электронной почты через взломанные почтовые ящики PEC, представляет серьезную угрозу для системы кибербезопасности. Возвращение Vidar всего через неделю после первой волны атак свидетельствует о стойком и адаптивном характере этого вредоносного программного обеспечения. Компания Vidar, пользующаяся дурной репутацией из-за своей способности красть конфиденциальные данные и учетные данные для доступа, в очередной раз продемонстрировала свой опасный потенциал по компрометации частных лиц и организаций.

Использование взломанных почтовых ящиков PEC в качестве средства доставки вредоносной программы Vidar еще больше усложняет задачу. Используя эти скомпрометированные учетные записи электронной почты, хакеры могут создать ложное чувство доверия у получателей, повышая вероятность их взаимодействия с вредоносным контентом, замаскированным под законные сообщения. Такая тактика повышает эффективность распространения вредоносного ПО, поскольку ничего не подозревающие пользователи могут быть более склонны получать электронные письма, которые, как представляется, исходят из знакомых источников.

Постоянное присутствие Vidar в среде угроз подчеркивает необходимость усиления мер кибербезопасности для защиты от таких сложных угроз. Организациям и частным лицам следует сохранять бдительность и проактивность при внедрении надежных протоколов безопасности для защиты своей конфиденциальной информации и предотвращения несанкционированного доступа к своим системам.

Кроме того, повторение атак Vidar на итальянские учетные записи электронной почты подчеркивает специфическое региональное влияние этой киберугрозы. Поскольку хакеры продолжают использовать уязвимости в почтовых ящиках PEC, итальянские пользователи особенно подвержены этим целенаправленным атакам. Этот локальный подход подчеркивает важность анализа угроз и стратегий кибербезопасности с учетом специфики региона для эффективного снижения рисков и борьбы с киберугрозами в рамках системы кибербезопасности Италии.

В свете последнего всплеска активности вредоносных программ Vidar специалистам в области кибербезопасности, аналитикам по анализу угроз и организациям необходимо внимательно следить за развитием событий, анализировать схемы атак и совместно разрабатывать стратегии своевременного реагирования. Обмениваясь информацией об угрозах и используя коллективный опыт, сообщество специалистов в области кибербезопасности может работать сообща над повышением эффективности усилий по обнаружению, реагированию и смягчению последствий развивающихся угроз, таких как Vidar.

#technique

Exploiting KsecDD through Server Silos

https://blog.scrt.ch/2024/11/11/exploiting-ksecdd-through-server-silos/

#ParsedReport #CompletenessMedium
13-11-2024

HawkEye Malware: Technical Analysis

https://any.run/cybersecurity-blog/hawkeye-malware-technical-analysis

Report completeness: Medium

Actors/Campaigns:
Galleon_gold
Gold_skyline

Threats:
Hawkeye_keylogger
Process_injection_technique
Spear-phishing_technique
Mikroceen
Remcos_rat
Pony
Confuser_tool
Process_hollowing_technique

TTPs:
Tactics: 9
Technics: 0

IOCs:
Path: 10
Command: 2
File: 2
Registry: 1
Hash: 13
IP: 3

Soft:
Linux

Algorithms:
xor

Win API:
VirtualAllocEx, WriteProcessMemory, ZwUnmapViewOfSection

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 6, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что HawkEye, универсальная и развивающаяся вредоносная программа, первоначально классифицированная как кейлоггер, продолжает представлять серьезную угрозу кибербезопасности благодаря своей адаптивности, обширной функциональности, простоте использования и стойкости. Несмотря на то, что HawkEye был взломан и доступен в даркнете, он по-прежнему активно используется различными хакерами, включая преступников и разработчиков скриптов, в сочетании с другими загрузчиками и вредоносными программами. Способы его доставки различаются, но стратегия его реализации остается неизменной, поскольку вредоносное ПО используется для различных атак на компании. В целом, универсальность, долговечность и адаптивность HawkEye делают его мощной угрозой кибербезопасности, которая, вероятно, будет сохраняться в виде вредоносных действий. Специалисты по кибербезопасности могут использовать такие инструменты, как ANY.RUN, для эффективного анализа и реагирования на HawkEye и подобные угрозы.
-----

HawkEye, также известный как PredatorPain, - это универсальная вредоносная программа, которая превратилась из кейлоггера в перехватчика функций.

Он появился до 2010 года и приобрел значительную популярность с 2013 года, особенно благодаря кампаниям подводной охоты.

HawkEye участвовала в атаках на компании наряду с другими вредоносными программами, такими как Galleon Gold, Mikroceen, iSpy crypter, Remcos и Pony.

Методы его распространения варьируются от кампаний подводного охоты до использования бесплатного программного обеспечения, нацеленного на веб-сайты, используемые компаниями.

HawkEye многократно устанавливает постоянство на протяжении своих этапов, используя методы обфускации и декодирования для обеспечения долговечности систем.

Разработчик вредоносного ПО предлагает широкие возможности настройки, что делает его привлекательным для различных кибер-хакеров.

HawkEye продолжает представлять значительную угрозу благодаря своей адаптивности, функциональности и простоте использования.

Платформы, подобные интерактивной песочнице ANY.RUN, могут помочь в эффективном анализе и реагировании на HawkEye и подобные угрозы.

#ParsedReport #CompletenessMedium
13-11-2024

Analysis of OceanLotus's attack activities on the legal system of the South China Sea

https://www.ctfiot.com/214872.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Duke
Winnti

Threats:
Spear-phishing_technique
Cobalt_strike
Supply_chain_technique

Industry:
Transport, Financial, Education, Maritime, Government

Geo:
China, Thailand, Laos, Asian, Cambodia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1073, T1105, T1219

IOCs:
File: 11
IP: 1

Soft:
WeChat

Algorithms:
base64

Functions:
GetNumberOfMethods

Win API:
ReadFile, WriteFile, VirtualProtect

Languages:
javascript