#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Кибер-хакеры разработали сложные методы фишинга, включающие использование поддельных ZIP-файлов для сокрытия вредоносной полезной нагрузки и нацеливания на конкретные системы, что позволяет избежать обнаружения традиционными средствами безопасности. Исследователи в области безопасности работают над такими решениями, как алгоритмы рекурсивной распаковки, чтобы противостоять этим развивающимся угрозам и обеспечить обнаружение глубоко спрятанных вредоносных программ.
-----

Исследователи Perception Point обнаружили новую двухэтапную фишинговую атаку с использованием файлов Microsoft Visio и SharePoint для внедрения вредоносных URL-адресов и кражи учетных данных.

хакеры использовали платформу Eventbrite в рамках фишинговой кампании для незаконного получения финансовых и персональных данных.

Решения для обеспечения безопасности браузеров стали играть решающую роль в борьбе с такими угрозами, как фишинг, вредоносное ПО и опасные расширения.

Кампания по борьбе с мошенничеством продемонстрировала, что хакеры усиливают фишинг QR-кодов, используя объединение ZIP-файлов, чтобы избежать обнаружения.

Злоумышленники манипулируют структурами ZIP-файлов, чтобы обойти проверки безопасности, используя расхождения в интерпретации ZIP-ридера.

Объединенные ZIP-файлы позволяют скрывать вредоносную полезную нагрузку в труднодоступных местах, чтобы избежать обнаружения.

WinRAR считывает второй центральный каталог в объединенных ZIP-файлах, в то время как Windows File Explorer испытывает трудности, что потенциально создает пробелы в безопасности.

Недавняя атака распространяла вредоносный троян, замаскированный под товаросопроводительный документ в связанном ZIP-файле, предназначенный для пользователей Windows и WinRAR.

Вредоносный троян загружал дополнительные полезные программы, такие как банковские трояны или программы-вымогатели, используя язык сценариев AutoIt.

Традиционным средствам обнаружения может быть сложно полностью распаковать объединенные ZIP-файлы, пропуская скрытую вредоносную нагрузку.

Алгоритм рекурсивной распаковки Perception Point решает эту проблему путем рекурсивного извлечения каждого слоя связанных ZIP-файлов для динамического анализа.

Рекурсивное извлечение имеет важное значение для обнаружения продвинутых вредоносных программ, скрытых с помощью методов уклонения, таких как SmokeLoader, как показано в пользовательском интерфейсе X-Ray от Perception Point.

#ParsedReport #CompletenessMedium
14-11-2024

LightSpy: APT41 Deploys Advanced DeepData Framework In Targeted Southern Asia Espionage Campaign

https://blogs.blackberry.com/en/2024/11/lightspy-apt41-deploys-advanced-deepdata-framework-in-targeted-southern-asia-espionage-campaign

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: cyber_espionage, information_theft)
Axiom (motivation: cyber_espionage)

Threats:
Lightspy
Wyrmspy
Upx_tool

Industry:
Government, Healthcare, Education, Telco

Geo:
Asia-pacific, Asia, Vietnam, China, Chinese

ChatGPT TTPs:
do not use without manual check
T1013, T1132.002, T1102, T1562.001, T1113, T1083, T1218.011

IOCs:
File: 15
Path: 19
IP: 18
Hash: 20

Soft:
WhatsApp, Telegram, WeChat, Outlook, DingDing, Feishu, KeePass, Android, WxWorks, Chrome, Firefox, have more...

Algorithms:
md5, sha256

Languages:
javascript

Platforms:
cross-platform, intel

#ParsedReport #ExtractedSchema

Classified images:
code: 6, table: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развитии и возможностях вредоносной кампании LightSpy, связанной с китайской группой кибершпионажа APT41, с особым акцентом на внедрение системы наблюдения DeepData. Этот модульный инструмент на базе Windows расширяет возможности кражи данных благодаря специализированным подключаемым модулям, расширенным функциям наблюдения, стратегическому нацеливанию на коммуникационные платформы и сложной инфраструктуре управления. Растущая угроза подчеркивает необходимость принятия надежных мер кибербезопасности для противодействия сложным киберугрозам.
-----

В апреле 2024 года BlackBerry обнаружила значительное развитие вредоносной кампании LightSpy, связанной с китайской группой кибершпионажа APT41. Хакер, стоящий за LightSpy, усовершенствовал кампанию, представив DeepData, модульную платформу для наблюдения на базе Windows, которая расширяет возможности по краже данных. DeepData v3.2.1228 состоит из 12 специализированных плагинов для комплексной защиты данных, расширенных возможностей кросс-платформенного наблюдения, сложной инфраструктуры командования и контроля и стратегического выбора коммуникационных платформ.

LightSpy, обнаруженный в начале 2020 года, представляет собой сложный модульный инструментарий для наблюдения, предназначенный для кражи конфиденциальной информации у жертв, особенно в Азиатско-Тихоокеанском регионе. APT41, также известная как Double Dragon, является весьма плодовитой группой кибершпионажа, предположительно связанной с Министерством государственной безопасности Китая. Изначально ориентируясь на индустрию видеоигр, в 2012 году APT41 расширила свою деятельность на высокотехнологичные фирмы, средства массовой информации, здравоохранение, образование, телекоммуникации и технологические секторы.

В ходе расследования LightSpy и связанного с ним шпионского ПО WyrmSpy BlackBerry обнаружила платформу DeepData framework, размещенную на командно-контрольном сервере APT41. DeepData - это инструмент наблюдения с модульной структурой, аналогичной LightSpy, состоящий из основного модуля (frame.exe) и нескольких плагинов. Платформа включает специализированные плагины, предназначенные для различных приложений, таких как операционные системы реального времени, службы обмена сообщениями, облачные платформы хранения данных и почтовые клиенты. Плагины предназначены для извлечения данных из таких приложений, как WeChat, Signal, WhatsApp, OneDrive и других.

Одним из примечательных нововведений является внедрение функции кейлоггера Windows в API командно-контрольного сервера LightSpy implant. Эта новая возможность позволяет хакеру перехватывать нажатия клавиш в системах Windows. Исследователи задокументировали эволюцию инфраструктуры C2, включая новые SSL-сертификаты и специальные URI для страниц входа в систему. Использование панели управления Vue на основе JavaScript для управления операциями со шпионским ПО свидетельствует о постоянном развитии и усложнении кампании.

Хакер, стоящий за DeepData, демонстрирует нацеленность на долгосрочный сбор разведданных, особенно нацеленный на коммуникационные платформы с акцентом на скрытность и постоянный доступ. Основываясь на предыдущих результатах поиска жертв и приложениях, к которым обращался DeepData, предполагается, что предполагаемые цели находятся в Юго-Восточной Азии и потенциально включают политических активистов, политиков и журналистов.

Клиенты BlackBerry защищены от выявленных признаков компрометации DeepData с помощью решений endpoint protection, таких как CylanceENDPOINT, которые используют продвинутый искусственный интеллект для обнаружения и предотвращения угроз, снижая риск сбоев в работе бизнеса и инцидентов с программами-вымогателями. Продолжающееся развитие и расширение кампаний LightSpy и DeepData, проводимых под управлением APT41, подчеркивает необходимость принятия надежных мер кибербезопасности для снижения рисков, связанных со сложными киберугрозами.

#ParsedReport #CompletenessHigh
14-11-2024

Autumn escalation: how pro-government hacker groups attack Russian enterprises linked to the SVO

https://www.facct.ru/blog/apt-autumn

Report completeness: High

Actors/Campaigns:
Core_werewolf (motivation: cyber_espionage)
Sticky_werewolf
Cloudatlas (motivation: cyber_espionage)
Mimistick

Threats:
Unicorn
Ultra_vnc_tool
Darktrack_rat
Quasar_rat
Sliver_c2_tool
Meshcentral_tool
Darktrack

Victims:
Russian organizations, Russian energy companies, Factories, Developers of electronic components, Defense industry enterprises

Industry:
Military, Financial, Energy

Geo:
Russian federation, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.005, T1071.001, T1055, T1219

IOCs:
Domain: 11
Hash: 159
File: 56
Path: 18
Command: 3
Url: 15
Registry: 17
IP: 9

Soft:
telegram, Yandex Browser, NSIS installer, Viber, WhatsApp

Algorithms:
zip, sha1, sha256, md5

Languages:
powershell, golang, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе кибератак, проведенных четырьмя различными группами - Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, - с акцентом на их тактику, методы и процедуры, направленные против различных организаций и отраслей, особенно в контексте кибершпионажа.
-----

В блоге анализируются кибератаки, проведенные Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, с акцентом на обновлениях их тактики, методов и процедур (TTP).

Core Werewolf, кибершпионажная группа, нацеленная на российские организации, связанные с военно-промышленным комплексом, использует в своих кампаниях программное обеспечение UltraVNC и MeshCentral. Их атаки связаны с использованием цепочки скриптов VBS для развертывания UltraVNC, а недавнее обнаружение нового SSH-бэкдора приписывается этой группе. Эта группа работает с августа 2021 года и продемонстрировала изменение тактики: от использования сценариев AutoIt к сценариям VBS для развертывания UltraVNC.

Unicorn, еще одна группа APT, недавно выявленная в сентябре 2024 года, нацелена на российские энергетические компании, заводы и поставщиков электронных компонентов. Они были названы в честь пользовательского вредоносного ПО Trojan-Spy.VBS.Unicorn, которое использовалось в их атаках. Принцип работы Unicorn заключается в распространении вредоносных файлов, замаскированных под законные документы, чтобы заманить жертв к их загрузке и выполнению.

Группировка Sticky Werewolf, действующая с апреля 2023 года, использует в своих атаках широко доступные инструменты, что облегчает их обнаружение и блокирование. Они известны тем, что используют в своих кампаниях КРЫСУ темного следа. Недавние выводы специалистов F.A.C.C.T. по анализу угроз связывают эту группу с атаками на компании оборонной промышленности и поставщиков с использованием определенной цепочки атак, включающей архивы RAR, NSIS EXE, Powershell stegodownloader и полезную нагрузку DarkTrack RAT.

Cloud Atlas, проправительственная APT-группа, действующая как минимум с 2014 года, специализируется на кибершпионаже и атаках на промышленные предприятия и государственные компании. Их атаки, как правило, включают целевые рассылки по электронной почте с вредоносными вложениями. В недавнем случае Cloud Atlas замаскировал вредоносную деятельность под поддержку участников SVO, используя приманку, такую как приложения для патриотических акций. Они были особенно активны в атаках на российские организации, поддерживающие SVO, используя удаленную загрузку шаблонов, встроенных в вредоносные документы.

#ParsedReport #CompletenessHigh
14-11-2024

BLACK BASTA : RANSOMWARE

https://www.cyfirma.com/research/black-basta-ransomware

Report completeness: High

Actors/Campaigns:
Blackbasta

Threats:
Blackbasta
Spear-phishing_technique
Credential_dumping_technique
Quick_assist_tool
Anydesk_tool
Systembc
Cobalt_strike
Rhysida
Gootkit
Emotet
Brc4_tool
Qakbot
Mimikatz_tool
Rclone_tool
Screenconnect_tool
Splashtop_tool
Evilproxy_tool
Backstab_tool
Netcat_tool
Netsupportmanager_rat

Industry:
Retail, Healthcare, Entertainment, Financial

TTPs:
Tactics: 11
Technics: 25

IOCs:
File: 5
Hash: 4
Domain: 4

Soft:
Windows Service, Microsoft Teams, Microsoft Defender, PSExec, WinSCP

Algorithms:
sha256, base64, md5

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте рассказывается о деятельности и тактике группы вымогателей Black Basta, подробно описываются методы их работы, ключевые инструменты, такие как SystemBC, используемые семейства вредоносных программ, процедуры атаки и стратегии защиты от их атак. В нем подчеркивается важность надежных мер кибербезопасности, обучения сотрудников и возможностей быстрого реагирования для организаций в борьбе с меняющимся ландшафтом угроз, создаваемых продвинутыми группами программ-вымогателей.
-----

Black Basta, печально известная группа программ-вымогателей, с момента своего появления в 2022 году оказала значительное влияние на широкий спектр отраслей промышленности. Используя тактику социальной инженерии и передовые вредоносные программы, Black Basta успешно взломала более 500 организаций по всему миру, требуя выкуп с угрозой раскрытия конфиденциальных данных. Группа использует различные тактики, такие как фишинг, использование уязвимостей и двойное вымогательство, чтобы оказать максимальное давление на жертв и добиться удовлетворения их требований.

Одним из ключевых инструментов, используемых Black Basta, является SystemBC, троян удаленного доступа (RAT), действующий как прокси-сервер SOCKS5. Этот инструмент позволяет группе устанавливать постоянный доступ к скомпрометированным сетям и доставлять дополнительные вредоносные программы, расширяя их возможности для атаки. Помимо SystemBC, Black Basta использует в своей работе различные семейства вредоносных программ, включая Rhysida, Cuba, Gootloader, Cobalt Strike и Emotet. Они также предоставляют инструкции по блокированию их полезной нагрузки с помощью хэширования в антивирусных системах нового поколения (NGAV) или системах обнаружения и реагирования на конечные точки (EDR), что позволяет организациям активно защищаться от их атак.

Методы атаки группы включают в себя несколько этапов, начиная с установки вредоносного ПО через спам-рассылку по электронной почте или выдачу себя за сотрудников службы технической поддержки на таких платформах, как Microsoft Teams. Они также используют законные средства удаленного доступа к рабочему столу, такие как AnyDesk и Quick Assist, для получения первоначального доступа к целевым сетям. Оказавшись внутри, Black Basta использует такие инструменты, как Cobalt Strike, для горизонтального перемещения, выполнения команд и развертывания дополнительных полезных программ, что в конечном итоге приводит к шифрованию и вымогательству у программ-вымогателей.

Чтобы усилить давление на своих жертв, Black Basta использует функцию внешних коммуникаций Microsoft Teams, выдавая себя за службу ИТ-поддержки и доставляя вредоносную информацию непосредственно пользователям. Это позволяет обойти традиционные методы фишинга, основанные на электронной почте, что делает их атаки более обманчивыми и их трудно обнаружить. Программа-вымогатель, установленная Black Basta, создает несколько экземпляров уведомлений о требовании выкупа в виде файлов с именами readme.txt или instructions_read_me.txt, что подчеркивает срочность и серьезность их требований.

Тактика, применяемая Black Basta, подчеркивает исключительную важность надежных мер кибербезопасности для организаций. Такие стратегии, как инвестирование в комплексные решения для обеспечения безопасности, регулярное обучение сотрудников и развитие возможностей быстрого реагирования, необходимы для эффективной борьбы с меняющимся ландшафтом угроз, создаваемых передовыми группами программ-вымогателей, такими как Black Basta. Понимая инструменты и тактику, используемые такими хакерами, организации могут лучше подготовиться к защите от потенциальных атак и снизить риски, связанные с киберугрозами.

#ParsedReport #CompletenessMedium
14-11-2024

ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again

https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again

Report completeness: Medium

Threats:
Shrinklocker
Bitlocker
Supply_chain_technique

Victims:
Healthcare company

Industry:
Healthcare

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1021.001, T1053.005, T1562.004, T1021.002, T1490, T1105, T1218.011

IOCs:
File: 8
Path: 2
Hash: 1
Command: 1
Registry: 1

Soft:
BitLocker, Active Directory, TryCloudflare, Windows Firewall

Algorithms:
md5

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ShrinkLocker - это уникальная разновидность программы-вымогателя, обнаруженная в мае 2024 года, которая отличается использованием устаревших технологий, нетрадиционных методов шифрования, простотой выполнения атак и ориентацией на корпоративные организации. Несмотря на то, что ShrinkLocker основан на устаревшем коде, он представляет серьезную угрозу для организаций из-за своей адаптивности, методов шифрования и возможности атак на цепочки поставок. Разработка средств дешифрования для этой программы-вымогателя является сложной задачей, а использование устаревших систем и VBScript подчеркивает ее устаревший характер. Усилия по пониманию и снижению рисков, связанных с ShrinkLocker, имеют решающее значение для специалистов по безопасности и исследователей в области защиты от подобных атак.
-----

ShrinkLocker - это вирус-вымогатель, обнаруженный в мае 2024 года, который использует VBScript и BitLocker для шифрования систем, что делает его уникальным среди современных программ-вымогателей, использующих передовые алгоритмы шифрования.

Он генерирует уникальный пароль, загружает его на сервер злоумышленника и требует выкуп за ключ дешифрования, представляя значительную угрозу из-за своей простоты и эффективности при шифровании нескольких систем в сети с использованием объектов групповой политики (GPO) и запланированных задач.

Похоже, что код для ShrinkLocker был переработан более десяти лет назад, и в нем отсутствуют современные описания его поведения в современных сетях, несмотря на его эффективность при атаках.

Несмотря на растущее число программ-вымогателей, использующих передовые технологии, для ShrinkLocker был разработан дешифратор для восстановления данных путем удаления средств защиты с дисков, зашифрованных BitLocker, наряду с 32 другими инструментами дешифрования.

Программа-вымогатель нацелена на устаревшие системы, такие как Windows 7/8 и Windows Server 2008/2012, использует устаревший VBScript и демонстрирует настраиваемое поведение, ориентированное на конкретные организации, а также пытается отключить меры безопасности и поддерживать конфиденциальные соединения.

Наблюдения показывают, что ShrinkLocker переключился на корпоративные структуры, демонстрируя угрозу цепочке поставок путем проникновения через неуправляемые системы, а адаптация указывает на более широкую доступность для злоумышленников независимо от навыков программирования.

Понимание и снижение рисков, связанных с ShrinkLocker, имеют решающее значение для специалистов по безопасности и исследователей в области защиты от этой нетрадиционной угрозы со стороны программ-вымогателей.

#ParsedReport #CompletenessMedium
14-11-2024

New PXA Stealer targets government and education sectors for sensitive information. Victimology and targeted information. New PXA Stealer targets government and education sectors for sensitive information

https://blog.talosintelligence.com/new-pxa-stealer

Report completeness: Medium

Actors/Campaigns:
Coralraider
Muddywater

Threats:
Pxa_stealer

Industry:
Government, Entertainment, Education

Geo:
Denmark, Asia, Sweden, Vietnam, India, Vietnamese

IOCs:
Domain: 2
Hash: 1
File: 18
Url: 3
Path: 3
Registry: 1

Soft:
Telegram, Windows Security, Google Chrome, Firefox, Mozilla Firefox, Pale Moon, SeaMonkey, Waterfox, IceDragon, Cyberfox, have more...

Algorithms:
base64, zip, aes, 3des

Functions:
Remove-Item

Win API:
CryptUnprotectData

Languages:
rust, powershell, javascript, python

Platforms:
x86

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/11

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи в области кибербезопасности из Cisco Talos выявили сложную кампанию по краже информации, организованную хакером, говорящим на вьетнамском языке, целью которой были правительственные и образовательные учреждения в Европе и Азии. В ходе операции используется недавно обнаруженная программа на Python под названием PXA Stealer для извлечения широкого спектра конфиденциальных данных, включая учетные данные, финансовую информацию, файлы cookie браузера и сведения об игровом программном обеспечении. Злоумышленник использует передовые методы обфускации, чтобы избежать обнаружения, и был замечен за продажей украденных учетных данных в Telegram-канале. Основными целями являются сектор образования в Индии и государственные учреждения в европейских странах, при этом злоумышленник размещал вредоносные скрипты на домене, возможно, связанном с вьетнамским поставщиком услуг SEO. Аккаунт злоумышленника в Telegram, вьетнамское происхождение и участие в подпольных каналах свидетельствуют о высоком уровне изощренности и профессионализма в проведении операции. Первоначальный доступ к жертвам осуществляется с помощью фишинговых электронных писем, содержащих вредоносные исполняемые файлы-загрузчики, что в конечном итоге приводит к запуску программы PXA Stealer для утечки данных и сокрытия следов.
-----

Cisco Talos раскрыла сложную кампанию по краже информации с использованием программы Python под названием PXA Stealer, организованную вьетнамоязычным хакером, целью которой были правительственные и образовательные учреждения в Европе и Азии.

PXA Stealer может извлекать конфиденциальную информацию, такую как учетные данные онлайн-аккаунта, данные клиентов VPN и FTP, финансовую информацию, файлы cookie браузера и данные игрового программного обеспечения. Он также может расшифровывать мастер-пароли браузера для доступа к сохраненным учетным данным онлайн-аккаунта.

Хакер использует передовые методы обфускации в пакетных скриптах, чтобы избежать обнаружения, и продает украденные учетные данные и инструменты в Telegram-канале под названием "Mua Bn Scan MINI", который потенциально связан с злоумышленником CoralRaider.

Целями кампании являются сектор образования в Индии и государственные учреждения в таких европейских странах, как Швеция и Дания.

Злоумышленник размещает вредоносные скрипты и PXA Stealer на домене "tvdseo . com" и использует Telegram-бота для извлечения данных жертвы, что указывает на методичный подход к извлечению данных.

Учетная запись злоумышленника в Telegram "Lone None", судя по отображаемым символам и языку, имеет вьетнамское происхождение, а в биографии есть ссылка на веб-сайт для проверки антивируса, позволяющий оценить уровень обнаружения вредоносных программ.

Первоначальный доступ к жертвам осуществляется через фишинговые электронные письма с вложениями в ZIP-файлы, содержащие вредоносный загрузчик на языке Rust, который загружает программу-похититель PXA в системы жертв.

PXA Stealer собирает широкий спектр данных, удаляет собранные данные после фильтрации и нацелен на информацию для входа в систему, файлы cookie, данные кредитной карты, токены Discord, криптовалютные кошельки и многое другое.

#ParsedReport #CompletenessMedium
14-11-2024

DDoSia malware analysis report on DDoS attacks on domestic organizations

https://asec.ahnlab.com/ko/84426

Report completeness: Medium

Actors/Campaigns:
Noname057 (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Alixsec (motivation: hacktivism)

Threats:
Ddosia_botnet
Tcpsynflood_technique
Synflood_technique

Victims:
Major domestic government agencies, Domestic organizations

Industry:
Military, Government

Geo:
Russian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1498, T1027, T1071.001, T1105, T1566, T1071.004

IOCs:
File: 1
Hash: 5
IP: 4

Soft:
Telegram

Algorithms:
md5

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2