#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается недавний инцидент, связанный с обнаружением нового семейства программ-вымогателей под названием Ymir, с подробным описанием их тактики проникновения, методов уклонения, методов шифрования, индикаторов кражи данных и связей с предыдущими угрозами, такими как RustyStealer. В нем подчеркиваются передовые возможности Ymir и содержится призыв к разработке более эффективных стратегий реагирования для борьбы с этой серьезной киберугрозой, затрагивающей множество организаций.
-----

Недавний случай реагирования на инциденты был связан с обнаружением нового семейства программ-вымогателей под названием "Ymir". Злоумышленники получили доступ к системе с помощью команд удаленного управления PowerShell и установили вредоносные инструменты, такие как Process Hacker и Advanced IP Scanner, перед развертыванием Ymir. Программа-вымогатель использует тактику уклонения, выполняя операции в памяти с использованием таких функций, как malloc, memmove и memcmp. Хотя двоичный файл не выглядит упакованным, он импортирует подозрительные функции, такие как CryptAcquireContextA и WinExec, из библиотек операционной системы, которые обычно встречаются в образцах программ-вымогателей.

Ymir содержит функцию с именем Get_System_Information для сбора сведений о системе и включает ограничения на выполнение, такие как параметр --path для настройки каталога. В ходе анализа были выявлены такие индикаторы, как имена файлов с требованием выкупа, расширения для шифрования и команды PowerShell. Программа-вымогатель шифрует файлы, используя вызовы функции memmove для загрузки вредоносного кода в память. Интересно, что в сообщении о требовании выкупа указывается на кражу данных без сетевых возможностей для эксфильтрации, предлагая альтернативные методы кражи данных, такие как HTTP или FTP.

Образец Ymir был обнаружен в ходе инцидента в Колумбии, где были обнаружены доказательства, указывающие на предшествующее проникновение угрозы RustyStealer. Злоумышленники взломали контроллер домена и использовали украденные учетные данные для перемещения по сети с помощью WinRM и PowerShell. Они внедрили вредоносное ПО SystemBC proxy для создания скрытых каналов с серверами C2 для проникновения. Kaspersky обнаружил соответствующие образцы, подключавшиеся к серверам C2 с использованием правил Yara, и выявил развертывание программы-вымогателя Ymir после вторжения RustyStealer.

Меняющийся ландшафт угроз представляет Ymir как серьезную угрозу для различных организаций благодаря его расширенным возможностям. Злоумышленники, создавшие Ymir, продемонстрировали безопасное развертывание программы-вымогателя, что усложнило расшифровку файлов. Продолжается мониторинг любой дополнительной активности со стороны этой группы, что подчеркивает необходимость в улучшенных стратегиях реагирования, выходящих за рамки традиционных платформ endpoint protection. Продукты Kaspersky обозначили эту новую угрозу как Trojan-Ransom.Win64.Ymir.gen на основе TTP, идентифицированных в ходе анализа вредоносных программ.

#ParsedReport #CompletenessLow
12-11-2024

CERT-AGID Computer Emergency Response TeamAGID. Vidar Active Again in Italy via Compromised PEC Mailboxes: New Campaign with Updated URLs

https://cert-agid.gov.it/news/vidar-nuovamente-attivo-in-italia-tramite-caselle-pec-compromesse-nuova-campagna-con-url-aggiornati

Report completeness: Low

Threats:
Vidar_stealer

Geo:
Italy, Italian

ChatGPT TTPs:
do not use without manual check
T1071, T1081, T1203

IOCs:
Email: 1
Domain: 5
Url: 5
Hash: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении вредоносной программы Vidar, нацеленной на итальянские учетные записи электронной почты через взломанные почтовые ящики PEC, что подчеркивает ее значительную угрозу кибербезопасности и необходимость усиления мер безопасности для защиты от таких сложных угроз. В нем также подчеркивается важность сбора информации об угрозах с учетом специфики региона и совместных усилий в рамках сообщества кибербезопасности для эффективной борьбы с киберугрозами, подобными Vidar.
-----

Возрождение вредоносного ПО Vidar, нацеленного на итальянские учетные записи электронной почты через взломанные почтовые ящики PEC, представляет серьезную угрозу для системы кибербезопасности. Возвращение Vidar всего через неделю после первой волны атак свидетельствует о стойком и адаптивном характере этого вредоносного программного обеспечения. Компания Vidar, пользующаяся дурной репутацией из-за своей способности красть конфиденциальные данные и учетные данные для доступа, в очередной раз продемонстрировала свой опасный потенциал по компрометации частных лиц и организаций.

Использование взломанных почтовых ящиков PEC в качестве средства доставки вредоносной программы Vidar еще больше усложняет задачу. Используя эти скомпрометированные учетные записи электронной почты, хакеры могут создать ложное чувство доверия у получателей, повышая вероятность их взаимодействия с вредоносным контентом, замаскированным под законные сообщения. Такая тактика повышает эффективность распространения вредоносного ПО, поскольку ничего не подозревающие пользователи могут быть более склонны получать электронные письма, которые, как представляется, исходят из знакомых источников.

Постоянное присутствие Vidar в среде угроз подчеркивает необходимость усиления мер кибербезопасности для защиты от таких сложных угроз. Организациям и частным лицам следует сохранять бдительность и проактивность при внедрении надежных протоколов безопасности для защиты своей конфиденциальной информации и предотвращения несанкционированного доступа к своим системам.

Кроме того, повторение атак Vidar на итальянские учетные записи электронной почты подчеркивает специфическое региональное влияние этой киберугрозы. Поскольку хакеры продолжают использовать уязвимости в почтовых ящиках PEC, итальянские пользователи особенно подвержены этим целенаправленным атакам. Этот локальный подход подчеркивает важность анализа угроз и стратегий кибербезопасности с учетом специфики региона для эффективного снижения рисков и борьбы с киберугрозами в рамках системы кибербезопасности Италии.

В свете последнего всплеска активности вредоносных программ Vidar специалистам в области кибербезопасности, аналитикам по анализу угроз и организациям необходимо внимательно следить за развитием событий, анализировать схемы атак и совместно разрабатывать стратегии своевременного реагирования. Обмениваясь информацией об угрозах и используя коллективный опыт, сообщество специалистов в области кибербезопасности может работать сообща над повышением эффективности усилий по обнаружению, реагированию и смягчению последствий развивающихся угроз, таких как Vidar.

#technique

Exploiting KsecDD through Server Silos

https://blog.scrt.ch/2024/11/11/exploiting-ksecdd-through-server-silos/

#ParsedReport #CompletenessMedium
13-11-2024

HawkEye Malware: Technical Analysis

https://any.run/cybersecurity-blog/hawkeye-malware-technical-analysis

Report completeness: Medium

Actors/Campaigns:
Galleon_gold
Gold_skyline

Threats:
Hawkeye_keylogger
Process_injection_technique
Spear-phishing_technique
Mikroceen
Remcos_rat
Pony
Confuser_tool
Process_hollowing_technique

TTPs:
Tactics: 9
Technics: 0

IOCs:
Path: 10
Command: 2
File: 2
Registry: 1
Hash: 13
IP: 3

Soft:
Linux

Algorithms:
xor

Win API:
VirtualAllocEx, WriteProcessMemory, ZwUnmapViewOfSection

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 6, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что HawkEye, универсальная и развивающаяся вредоносная программа, первоначально классифицированная как кейлоггер, продолжает представлять серьезную угрозу кибербезопасности благодаря своей адаптивности, обширной функциональности, простоте использования и стойкости. Несмотря на то, что HawkEye был взломан и доступен в даркнете, он по-прежнему активно используется различными хакерами, включая преступников и разработчиков скриптов, в сочетании с другими загрузчиками и вредоносными программами. Способы его доставки различаются, но стратегия его реализации остается неизменной, поскольку вредоносное ПО используется для различных атак на компании. В целом, универсальность, долговечность и адаптивность HawkEye делают его мощной угрозой кибербезопасности, которая, вероятно, будет сохраняться в виде вредоносных действий. Специалисты по кибербезопасности могут использовать такие инструменты, как ANY.RUN, для эффективного анализа и реагирования на HawkEye и подобные угрозы.
-----

HawkEye, также известный как PredatorPain, - это универсальная вредоносная программа, которая превратилась из кейлоггера в перехватчика функций.

Он появился до 2010 года и приобрел значительную популярность с 2013 года, особенно благодаря кампаниям подводной охоты.

HawkEye участвовала в атаках на компании наряду с другими вредоносными программами, такими как Galleon Gold, Mikroceen, iSpy crypter, Remcos и Pony.

Методы его распространения варьируются от кампаний подводного охоты до использования бесплатного программного обеспечения, нацеленного на веб-сайты, используемые компаниями.

HawkEye многократно устанавливает постоянство на протяжении своих этапов, используя методы обфускации и декодирования для обеспечения долговечности систем.

Разработчик вредоносного ПО предлагает широкие возможности настройки, что делает его привлекательным для различных кибер-хакеров.

HawkEye продолжает представлять значительную угрозу благодаря своей адаптивности, функциональности и простоте использования.

Платформы, подобные интерактивной песочнице ANY.RUN, могут помочь в эффективном анализе и реагировании на HawkEye и подобные угрозы.

#ParsedReport #CompletenessMedium
13-11-2024

Analysis of OceanLotus's attack activities on the legal system of the South China Sea

https://www.ctfiot.com/214872.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Duke
Winnti

Threats:
Spear-phishing_technique
Cobalt_strike
Supply_chain_technique

Industry:
Transport, Financial, Education, Maritime, Government

Geo:
China, Thailand, Laos, Asian, Cambodia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1073, T1105, T1219

IOCs:
File: 11
IP: 1

Soft:
WeChat

Algorithms:
base64

Functions:
GetNumberOfMethods

Win API:
ReadFile, WriteFile, VirtualProtect

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: OceanLotus, также известная как APT32, - это организация APT из Юго-Восточной Азии, которая занимается кибершпионажем, нацеленным на отрасли и организации в соседних странах, особенно те, которые связаны с морскими делами. Группа использует сложные методы атаки, в том числе фишинговые электронные письма с вредоносными вложениями, перехват DLL-файлов и инструкции по удаленному управлению с помощью таких инструментов, как CobaltStrike Beacon. Источники в области анализа угроз сообщили о текущей деятельности OceanLotus и о важности соблюдения осторожности при работе с вложениями электронной почты из неизвестных источников, рекомендовав использовать инструменты безопасности для анализа образцов и проявлять бдительность в отношении киберугроз.
-----

OceanLotus, также известная как APT32, - это организация APT из Юго-Восточной Азии, ориентированная на соседние страны, такие как Китай, Камбоджа, Таиланд и Лаос.

Организация специализируется на таких отраслях, как правительство, финансы, морские агентства, морские строительные департаменты, судоходные компании, научно-исследовательские институты и отечественные университеты.

Было обнаружено, что OceanLotus участвует в продолжающихся атаках с помощью фишинговых электронных писем, направленных против национальных морских агентств.

Процесс атаки включает в себя использование фишинговых вложений электронной почты, замаскированных под файлы формата DOCX, внутри сжатых файлов, содержащих вредоносные файлы, такие как Warp.exe и 7z.dll.

OceanLotus использует перехват DLL-файлов для осуществления вредоносных действий.

Вредоносный DLL-файл загружается с помощью Warp.exe для запуска CobaltStrikeBeacon и установления соединения с сервером C2.

Кобальтовый ударный маяк используется для получения инструкций по дистанционному управлению на заключительном этапе атаки.

Публичные источники информации об угрозах идентифицировали сервер C2 как принадлежащий OceanLotus.

Пользователям рекомендуется быть осторожными с вложениями электронной почты из неизвестных источников и использовать такие инструменты, как Ahnheng Cloud Sandbox, для обнаружения подозрительных образцов.

The Hunting Lab рекомендует не запускать вложения электронной почты из незнакомых источников и не отправлять неизвестные образцы на анализ.

#ParsedReport #CompletenessLow
13-11-2024

GoIssue - The Tool Behind Recent GitHub Phishing Attacks

https://slashnext.com/blog/goissue-github-phishing-attacks

Report completeness: Low

Threats:
Goissue_tool
Supply_chain_technique
Gitloker
Bec_technique
Credential_stealing_technique

Victims:
Developers, Github users, Organizations

ChatGPT TTPs:
do not use without manual check
T1589.002, T1566.002, T1071.003, T1090.002

Soft:
Telegram

Crypto:
ripple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении нового инструмента под названием GoIssue, его возможностях, рисках, которые он представляет для организаций в результате фишинговых атак на разработчиков на GitHub, и рекомендации организациям сохранять бдительность в отношении таких угроз, применяя упреждающие меры безопасности.
-----

В тексте обсуждается появление нового инструмента под названием GoIssue, который продается на форуме по киберпреступности. Этот инструмент позволяет злоумышленникам извлекать адреса электронной почты из профилей пользователей GitHub и проводить массовые кампании по электронной почте, нацеленные на разработчиков. GoIssue представляет собой серьезную угрозу, поскольку он выходит за рамки отдельных разработчиков и потенциально может скомпрометировать целые организации в результате кражи исходного кода, атак на цепочки поставок и сетевых взломов, которым способствуют скомпрометированные учетные данные разработчика.

Этот инструмент стоит 700 долларов за пользовательскую сборку или 3000 долларов за полный доступ к исходному коду и предлагает возможности массовой рассылки по электронной почте и расширенные функции сбора данных, сохраняя анонимность оператора через прокси-сети. Его возможности позволяют злоумышленникам проводить масштабные индивидуальные фишинговые кампании, которые обходят спам-фильтры и нацелены на конкретные сообщества разработчиков. Типичный сценарий атаки включает сбор адресов электронной почты из профилей на GitHub и отправку фишинговых писем с вредоносными ссылками, которые могут привести к краже учетных данных, загрузке вредоносных программ или несанкционированному доступу к частным хранилищам с помощью несанкционированных авторизаций приложений OAuth.

Продавец GoIssue, cyberluffy, идентифицирован как член команды GitLoker, которая связана с предыдущей кампанией с использованием уведомлений GitHub для распространения вредоносных приложений OAuth. Это позволяет предположить, что GoIssue может быть расширением или усовершенствованной версией инструментов, используемых в кампании GitLoker. В ветке форума, рекламирующей GoIssue, содержатся ссылки на блоги по безопасности, в которых подробно описываются атаки GitLoker, что указывает на потенциальную взаимосвязь между двумя направлениями угроз.

Организациям рекомендуется проявлять бдительность в отношении таких типов фишинговых угроз, поскольку они могут скомпрометировать инициативы по цифровой трансформации и привести к раскрытию конфиденциальных данных. CISO и специалистам по безопасности рекомендуется запланировать демонстрацию, чтобы узнать, как защититься от GoIssue и аналогичных угроз, нацеленных на разработчиков на таких платформах, как GitHub. Использование сложных фишинговых инструментов, таких как GoIssue, означает сдвиг в тактике киберпреступности в сторону использования доступа разработчиков для более широкого воздействия на организацию.

В ответ на эти растущие угрозы организации могут использовать такие решения, как интегрированная облачная система безопасности обмена сообщениями SlashNext, для защиты от кражи данных, финансовых махинаций и передовых методов фишинга на платформах электронной почты, в браузерах и мобильных устройствах. Оставаясь в курсе новых угроз, таких как GoIssue, и применяя упреждающие меры безопасности, организации могут снизить риск стать жертвами целенаправленных кибератак.

#ParsedReport #CompletenessLow
11-11-2024

Fabrice Malware: Python Typosquatting Targeting AWS via Supply Chain on Linux & Windows

https://www.secureblink.com/threat-research/fabrice-malware-python-typosquatting-targeting-aws-via-supply-chain-on-linux-and-windows-1

Report completeness: Low

Threats:
Supply_chain_technique
Fabrice
Typosquatting_technique

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 1
Path: 1

Soft:
Linux, chrome

Algorithms:
base64

Functions:
linuxThread, winThread, test

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ вредоносной программы Fabrice, использующей Python для перехвата опечаток в цепочке поставок, нацеленной на учетные данные AWS в системах Linux и Windows. Злоумышленники, стоящие за Fabrice, стремятся украсть учетные данные AWS с целью получения финансовой выгоды, несанкционированного доступа к облачным ресурсам и, возможно, шпионажа, утечки данных или захвата ресурсов. Фабрис демонстрирует изощренность в уклонении от обнаружения с помощью обфускации, скрытого выполнения команд и механизмов сохранения, создавая значительную угрозу для отдельных лиц и организаций, используя уязвимости в экосистемах с открытым исходным кодом. В тексте подчеркивается важность понимания таких атак на цепочки поставок и реагирования на них для усиления защиты от кибербезопасности.
-----

Fabrice - это атака на цепочку поставок с использованием опечаток на языке Python, нацеленная на учетные данные AWS в системах Linux и Windows с использованием скомпрометированной библиотеки Fabric.

Более 37 000 пользователей были заражены Fabrice с момента его появления на PyPI в 2021 году.

Фабрис совершает кражу учетных данных, создает бэкдоры и выполняет сценарии, зависящие от платформы.

Злоумышленники стремятся получить несанкционированный доступ к облачным ресурсам и финансовую выгоду с помощью украденных учетных данных AWS.

Фабрис избегает обнаружения с помощью скрытых каталогов, запутанных URL-адресов и методов обфускации.

Вредоносная программа использует кодировку base64, скрытое выполнение и удаление скриптов, чтобы затруднить судебно-медицинский анализ и избежать обнаружения.

Понимание методов Фабриса и реагирование на них имеют решающее значение, поскольку они служат примером атаки на цепочку поставок, которая может оказать широкое воздействие на отдельных лиц и организации.

#ParsedReport #CompletenessLow
13-11-2024

Warning: A new variant of the Melofee Trojan with 0 detections is exposed, specializing in RHEL 7.9 systems

https://www.ctfiot.com/215115.html

Report completeness: Low

Actors/Campaigns:
Winnti
Sidewinder

Threats:
Melofee

Victims:
Red hat enterprise linux (rhel) 7.9

ChatGPT TTPs:
do not use without manual check
T1057, T1573.001

IOCs:
IP: 2
File: 1

Soft:
Linux, crontab, WeChat

Algorithms:
rc4

Win API:
readfile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового варианта бэкдорного трояна Melofee, разработанного для Red Hat Enterprise Linux, с подробным описанием его возможностей, изменений и потенциальных последствий для кибербезопасности. В этом варианте значительно улучшены функциональные возможности, методы шифрования и тактика обхода, что свидетельствует о продолжающихся усилиях его создателей по предотвращению обнаружения. В тексте подчеркивается важность сотрудничества в рамках сообщества кибербезопасности для эффективного устранения угрозы, исходящей от Melofee и аналогичных вредоносных инструментов.
-----

27 июля 2024 года система оповещения о крупных сетевых угрозах XLab идентифицировала IP-адрес 45.92.156.166, по которому распространялся ELF-файл с именем pskt, который ранее не был обнаружен в VirusTotal. Этот файл вызвал два срабатывания сигнализации: его нахождение в разделе Overlay и использование доменного имени, предположительно имитирующего Microsoft. Анализ показал, что это был новый вариант бэкдорного трояна Melofee, специально разработанного для Red Hat Enterprise Linux (RHEL) 7.9. Melofee - это бэкдорный троян на C++, связанный с APT group Winnti, впервые раскрытый ExaTrack в марте 2023 года. Последний образец показал значительные улучшения в плане файловой структуры и функциональности по сравнению с предыдущими версиями.

Новый вариант Melofee включает в себя зашифрованный модуль драйвера на уровне ядра, использующий шифрование RC4 для скрытия таких действий, как файлы, процессы и сетевые коммуникации. Функционально новый вариант демонстрирует изменения в сохраняемости, механизме создания единого экземпляра и дизайне функциональных номеров, демонстрируя потенциальные текущие усилия его создателей по разработке, направленные на то, чтобы избежать обнаружения. Сравнение информации о типе среды выполнения (RTTI) в образцах выявило изменения на уровне исходного кода, что указывает на непрерывную эволюцию во избежание мониторинга безопасности.

Интересным открытием в ходе анализа стала связь с адресом C2, filemanage.micrsofts-file.com. Этот домен имеет общий IP-адрес 91.195.240.123 с другими подозрительными доменами, такими как www.micrsofts-file.com. Однако этот IP-адрес был идентифицирован как IP-адрес для парковки, предоставленный регистратором домена NameSilo, что привело к потенциальным ложным срабатываниям, которые позволили связать его с вредоносными действиями. Исследовательская группа подчеркнула важность получения дополнительной информации для улучшения понимания тактики и целей злоумышленника.

В статье описывались способы заражения и управления Melofee, подчеркивались его возможности по сокрытию процессов и установлению связи с серверами C2 в ожидании инструкций. Технические подробности были сосредоточены на процессе дешифрования, модулях драйверов и бэкдорных функциях Melofee. Было обнаружено, что модуль драйвера kworkerx, уникальный для этого примера, является модификацией project Reptile с открытым исходным кодом, позволяющей использовать различные скрытые функции для сокрытия TCP-соединений, процессов, каталогов и обеспечения постоянства.

Функции Melofee, несмотря на относительную простоту, обладают мощными возможностями маскировки, что делает его потенциально опасным инструментом в руках кибер-хакеров. Низкий уровень обнаружения образцов и доменных имен Melofee в сочетании с его высокой анонимностью свидетельствует о важности сотрудничества в рамках сообщества кибербезопасности для эффективного противодействия таким угрозам. Специалисты по безопасности могут идентифицировать заражение Melofee по наличию определенных файлов и объектов и предпринять соответствующие действия по исправлению ситуации для защиты своих систем.