#ParsedReport #CompletenessMedium
14-11-2024

ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again

https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again

Report completeness: Medium

Threats:
Shrinklocker
Bitlocker
Supply_chain_technique

Victims:
Healthcare company

Industry:
Healthcare

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1021.001, T1053.005, T1562.004, T1021.002, T1490, T1105, T1218.011

IOCs:
File: 8
Path: 2
Hash: 1
Command: 1
Registry: 1

Soft:
BitLocker, Active Directory, TryCloudflare, Windows Firewall

Algorithms:
md5

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ShrinkLocker - это уникальная разновидность программы-вымогателя, обнаруженная в мае 2024 года, которая отличается использованием устаревших технологий, нетрадиционных методов шифрования, простотой выполнения атак и ориентацией на корпоративные организации. Несмотря на то, что ShrinkLocker основан на устаревшем коде, он представляет серьезную угрозу для организаций из-за своей адаптивности, методов шифрования и возможности атак на цепочки поставок. Разработка средств дешифрования для этой программы-вымогателя является сложной задачей, а использование устаревших систем и VBScript подчеркивает ее устаревший характер. Усилия по пониманию и снижению рисков, связанных с ShrinkLocker, имеют решающее значение для специалистов по безопасности и исследователей в области защиты от подобных атак.
-----

ShrinkLocker - это вирус-вымогатель, обнаруженный в мае 2024 года, который использует VBScript и BitLocker для шифрования систем, что делает его уникальным среди современных программ-вымогателей, использующих передовые алгоритмы шифрования.

Он генерирует уникальный пароль, загружает его на сервер злоумышленника и требует выкуп за ключ дешифрования, представляя значительную угрозу из-за своей простоты и эффективности при шифровании нескольких систем в сети с использованием объектов групповой политики (GPO) и запланированных задач.

Похоже, что код для ShrinkLocker был переработан более десяти лет назад, и в нем отсутствуют современные описания его поведения в современных сетях, несмотря на его эффективность при атаках.

Несмотря на растущее число программ-вымогателей, использующих передовые технологии, для ShrinkLocker был разработан дешифратор для восстановления данных путем удаления средств защиты с дисков, зашифрованных BitLocker, наряду с 32 другими инструментами дешифрования.

Программа-вымогатель нацелена на устаревшие системы, такие как Windows 7/8 и Windows Server 2008/2012, использует устаревший VBScript и демонстрирует настраиваемое поведение, ориентированное на конкретные организации, а также пытается отключить меры безопасности и поддерживать конфиденциальные соединения.

Наблюдения показывают, что ShrinkLocker переключился на корпоративные структуры, демонстрируя угрозу цепочке поставок путем проникновения через неуправляемые системы, а адаптация указывает на более широкую доступность для злоумышленников независимо от навыков программирования.

Понимание и снижение рисков, связанных с ShrinkLocker, имеют решающее значение для специалистов по безопасности и исследователей в области защиты от этой нетрадиционной угрозы со стороны программ-вымогателей.

#ParsedReport #CompletenessMedium
14-11-2024

New PXA Stealer targets government and education sectors for sensitive information. Victimology and targeted information. New PXA Stealer targets government and education sectors for sensitive information

https://blog.talosintelligence.com/new-pxa-stealer

Report completeness: Medium

Actors/Campaigns:
Coralraider
Muddywater

Threats:
Pxa_stealer

Industry:
Government, Entertainment, Education

Geo:
Denmark, Asia, Sweden, Vietnam, India, Vietnamese

IOCs:
Domain: 2
Hash: 1
File: 18
Url: 3
Path: 3
Registry: 1

Soft:
Telegram, Windows Security, Google Chrome, Firefox, Mozilla Firefox, Pale Moon, SeaMonkey, Waterfox, IceDragon, Cyberfox, have more...

Algorithms:
base64, zip, aes, 3des

Functions:
Remove-Item

Win API:
CryptUnprotectData

Languages:
rust, powershell, javascript, python

Platforms:
x86

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/11

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи в области кибербезопасности из Cisco Talos выявили сложную кампанию по краже информации, организованную хакером, говорящим на вьетнамском языке, целью которой были правительственные и образовательные учреждения в Европе и Азии. В ходе операции используется недавно обнаруженная программа на Python под названием PXA Stealer для извлечения широкого спектра конфиденциальных данных, включая учетные данные, финансовую информацию, файлы cookie браузера и сведения об игровом программном обеспечении. Злоумышленник использует передовые методы обфускации, чтобы избежать обнаружения, и был замечен за продажей украденных учетных данных в Telegram-канале. Основными целями являются сектор образования в Индии и государственные учреждения в европейских странах, при этом злоумышленник размещал вредоносные скрипты на домене, возможно, связанном с вьетнамским поставщиком услуг SEO. Аккаунт злоумышленника в Telegram, вьетнамское происхождение и участие в подпольных каналах свидетельствуют о высоком уровне изощренности и профессионализма в проведении операции. Первоначальный доступ к жертвам осуществляется с помощью фишинговых электронных писем, содержащих вредоносные исполняемые файлы-загрузчики, что в конечном итоге приводит к запуску программы PXA Stealer для утечки данных и сокрытия следов.
-----

Cisco Talos раскрыла сложную кампанию по краже информации с использованием программы Python под названием PXA Stealer, организованную вьетнамоязычным хакером, целью которой были правительственные и образовательные учреждения в Европе и Азии.

PXA Stealer может извлекать конфиденциальную информацию, такую как учетные данные онлайн-аккаунта, данные клиентов VPN и FTP, финансовую информацию, файлы cookie браузера и данные игрового программного обеспечения. Он также может расшифровывать мастер-пароли браузера для доступа к сохраненным учетным данным онлайн-аккаунта.

Хакер использует передовые методы обфускации в пакетных скриптах, чтобы избежать обнаружения, и продает украденные учетные данные и инструменты в Telegram-канале под названием "Mua Bn Scan MINI", который потенциально связан с злоумышленником CoralRaider.

Целями кампании являются сектор образования в Индии и государственные учреждения в таких европейских странах, как Швеция и Дания.

Злоумышленник размещает вредоносные скрипты и PXA Stealer на домене "tvdseo . com" и использует Telegram-бота для извлечения данных жертвы, что указывает на методичный подход к извлечению данных.

Учетная запись злоумышленника в Telegram "Lone None", судя по отображаемым символам и языку, имеет вьетнамское происхождение, а в биографии есть ссылка на веб-сайт для проверки антивируса, позволяющий оценить уровень обнаружения вредоносных программ.

Первоначальный доступ к жертвам осуществляется через фишинговые электронные письма с вложениями в ZIP-файлы, содержащие вредоносный загрузчик на языке Rust, который загружает программу-похититель PXA в системы жертв.

PXA Stealer собирает широкий спектр данных, удаляет собранные данные после фильтрации и нацелен на информацию для входа в систему, файлы cookie, данные кредитной карты, токены Discord, криптовалютные кошельки и многое другое.

#ParsedReport #CompletenessMedium
14-11-2024

DDoSia malware analysis report on DDoS attacks on domestic organizations

https://asec.ahnlab.com/ko/84426

Report completeness: Medium

Actors/Campaigns:
Noname057 (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Alixsec (motivation: hacktivism)

Threats:
Ddosia_botnet
Tcpsynflood_technique
Synflood_technique

Victims:
Major domestic government agencies, Domestic organizations

Industry:
Military, Government

Geo:
Russian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1498, T1027, T1071.001, T1105, T1566, T1071.004

IOCs:
File: 1
Hash: 5
IP: 4

Soft:
Telegram

Algorithms:
md5

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о деятельности российской хактивистской группировки NoName057 (16), которая известна проведением DDoS-атак в сотрудничестве с другими пророссийскими хактивистскими группами. Их основная цель - использовать DDoS-атаки для оказания психологического давления в военных конфликтах, нарушения работы служб, разжигания социальных волнений и передачи политических сообщений. Группа использует автоматизированных DDoS-ботов, таких как DDoSia, поощряет участников криптовалютными вознаграждениями и использует социальные сети для продвижения своей деятельности и координации атак. В тексте также содержатся технические подробности о том, как работает DDoSia, и о методах, которые она использует для взаимодействия со своим сервером управления (C&C).
-----

Российская хактивистская группа NoName057 (16) действует с марта 2022 года, сосредоточившись на проведении DDoS-атак на цели, придерживающиеся антироссийских взглядов. В ноябре 2024 года NoName057 (16) совместно с пророссийскими хактивистами Cyber Army of Russia Reborn и Alixsec провели масштабную DDoS-атаку на веб-сайты крупных отечественных правительственных учреждений. Это нападение, по-видимому, было вызвано замечаниями министра иностранных дел Чо Тхэ Ель и президента Юн Сок Ель относительно поставок оружия Украине, что привело к нанесению ущерба различным национальным организациям.

Одной из ключевых характеристик NoName057 (16) является использование автоматизированных DDoS-ботов, таких как DDoSia, и поощрение отдельных пользователей к участию в этих атаках. Группа ведет Telegram-канал с десятками тысяч подписчиков, активно используя социальные сети для продвижения своей деятельности и обмена обновлениями о целях атаки и ходе ее проведения в режиме реального времени. Участники получают вознаграждение в криптовалюте за успешные атаки, что способствует дальнейшему вовлечению. Основной целью этих DDoS-атак является оказание психологического давления в сценариях военного конфликта путем нарушения работы служб, провоцирования социальных волнений и передачи четких политических сообщений.

DDoSia работает, загружая файл с именем "client_id.txt" из Telegram-канала и запуская его в том же каталоге. Двоичный файл содержит адрес сервера C&C по умолчанию, но из-за того, что адрес сервера постоянно меняется, злоумышленник должен получить новый IP-адрес из Telegram в случае сбоя соединения. После выполнения DDoSia проходит процедуру аутентификации, передавая основную системную информацию, зашифрованную в файле "client_id.txt", на сервер C&C по URL-адресу "/client/login". Впоследствии он получает временную метку от сервера и снова подключается для получения списка целей атаки по URL-адресу "/client/get_targets". Результаты атаки периодически передаются обратно на сервер C&C по URL-адресу "/set_attack_count". Сервер C&C выдает такие команды, как http, http2, tcp и методы nginx_loris. DDoSia, разработанная на языке Go, поддерживает команды http и http2, но не tcp и nginx_loris; однако отмечается, что более ранняя версия Python поддерживала TCP SYN Flood, намекая на потенциальную поддержку в будущем. Кроме того, DDoSia использует случайный выбор пользовательского агента при отправке HTTP-запросов на сервер C&C или объект атаки, чтобы избежать обнаружения продукта безопасности во время операций DDoS.

#ParsedReport #CompletenessMedium
16-11-2024

Dark Web Profile: Cadet Blizzard

https://socradar.io/dark-web-profile-cadet-blizzard

Report completeness: Medium

Actors/Campaigns:
Cadet_blizzard (motivation: sabotage, cyber_espionage, politically_motivated)
Ruinous_ursa
Emissary_panda

Threats:
Whispergate
Supply_chain_technique
Proxyshell_vuln
P0wnyshell
Regeorg_tool
Credential_harvesting_technique
Lolbin_technique
Procdump_tool
Impacket_tool
Netcat_tool
Meterpreter_tool
Advancedrun_tool
Spear-phishing_technique
Amass_tool
Acunetix_tool
Raspberry_robin
Credential_dumping_technique
Password_spray_technique
Nmap_tool
Passthehash_technique
Proxychains_tool
Dns_tunneling_technique
Rclone_tool

Victims:
Ukrainian government agencies, European entities, Nato member states

Industry:
Iot, Military, Critical_infrastructure, Government

Geo:
Russia, Russian, Ukraine, Latin america, Ukrainian

CVEs:
CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-33044 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)


TTPs:
Tactics: 12
Technics: 31

IOCs:
File: 1

Soft:
Telegram, Confluence, Microsoft Defender

Win Services:
WinDefend

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании профиля и деятельности российской хакерской группы Cadet Blizzard, связанной с подразделением 29155 и ГРУ, известной своими разрушительными кибератаками на правительственные учреждения Украины и расширением операций на Европу и Латинскую Америку. Группа придерживается детальной цепочки кибератак, специализируется на кибершпионаже и диверсионных кампаниях и стремится разрушить и дестабилизировать целевые организации. Чтобы защититься от таких групп APT, организациям рекомендуется применять многоуровневую стратегию защиты и использовать такие инструменты, как SOCRadar, для просмотра, мониторинга и анализа угроз в режиме реального времени.
-----

Cadet Blizzard - российская хакерская группировка, связанная с ГРУ, специализирующаяся на кибершпионаже и диверсионных кампаниях, нацеленных на критически важную инфраструктуру по всему миру.

Впервые группа привлекла к себе внимание в начале 2022 года из-за проведения разрушительных кибератак на правительственные учреждения Украины во время эскалации военной напряженности.

Курсант Blizzard подробно описывает цепочку кибератак, используя уязвимости, внедряя бэкдоры и используя методы "жизни вне земли" для перемещения в пространстве.

В задачи группы входит эксфильтрация конфиденциальных данных и участие в подрывных действиях, таких как внедрение вредоносного ПО WhisperGate для создания хаоса.

Чтобы защититься от Cadet Blizzard и аналогичных APT-групп, организации должны принять многоуровневую стратегию защиты, включающую надежную фильтрацию электронной почты и веб-сайтов, надежное обнаружение конечных точек, сегментацию сети, архитектуру с нулевым уровнем доверия и эффективное управление учетными данными с помощью многофакторной аутентификации.

SOCRadar предлагает инструменты, помогающие организациям защищаться от групп APT, таких как Cadet Blizzard, обеспечивая видимость, мониторинг, анализ угроз и управление инцидентами в режиме реального времени для быстрого реагирования на угрозы.

#ParsedReport #CompletenessMedium
15-11-2024

BrazenBamboo Weaponizes FortiClient Vulnerability to Steal VPN Credentials via DEEPDATA

https://www.volexity.com/blog/2024/11/15/brazenbamboo-weaponizes-forticlient-vulnerability-to-steal-vpn-credentials-via-deepdata

Report completeness: Medium

Actors/Campaigns:
Brazenbamboo
Winnti
Chengdu_404_leak
I-soon_leak

Threats:
Deepdata
Lightspy
Deeppost_tool
Heavens_gate_technique
Dragonegg
Wyrmspy
Gh0st_rat
Mimikatz_tool
Mobaxterm_tool
Securecrt_tool
Putty_tool
Xshell_tool

Victims:
Fortinet, Ios, Android, Macos, Windows, Linux, Router

Industry:
Software_development, E-commerce

Geo:
Hong kong, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1071, T1005, T1567

IOCs:
File: 24
Hash: 2
IP: 3

Soft:
WeChat, Feishu, WhatsApp, Outlook, Microsoft Outlook, DingDing, Telegram, Firefox, Chrome, Opera, macOS, have more...

Algorithms:
sha1, xor, sha256, md5

Functions:
GetPluginCommandID, GetPluginName, GetPluginVersion

Languages:
javascript

Platforms:
x86, x64

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-11-15%20BrazenBamboo/rules.yar
https://github.com/scrapy/scrapy
have more...
https://github.com/volexity/threat-intel/blob/main/2024/2024-11-15%20BrazenBamboo/iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении уязвимости в Windows VPN-клиенте FortiClient, используемом хакером BrazenBamboo в своей вредоносной программе DEEPDATA, а также в информации о деятельности BrazenBamboo, включая их связь с семейством вредоносных программ LIGHTSPY. Эта информация подчеркивает важность мониторинга и обновления систем для обнаружения и устранения вредоносных программ, связанных с этим хакером.
-----

Volexity обнаружила уязвимость в Windows VPN-клиенте FortiClient от Fortinet, из-за которой учетные данные пользователя остаются в памяти процесса после аутентификации в VPN, которая была использована хакером BrazenBamboo в своей вредоносной программе DEEPDATA. Компания BrazenBamboo связана с разработкой семейства вредоносных программ LIGHTSPY, которые имеют версии для основных операционных систем, включая iOS. Недавно Volexity обнаружил новый вариант LIGHTSPY для Windows. В июле 2024 года Volexity обнаружила уязвимость с нулевым днем раскрытия учетных данных в VPN-клиенте Fortinet, которая позволяла красть учетные данные из памяти процессов клиента, обнаруженную при анализе вредоносного ПО DEEPDATA. DEEPDATA - это постэксплуатационный инструмент для Windows, используемый для сбора различной информации с целевых устройств, с подключаемым модулем, предназначенным для извлечения учетных данных из оперативной памяти VPN-клиента FortiClient.

Функции DEEPDATA включают загрузчик, используемый для расшифровки и загрузки основных компонентов из файла VFS, а также множество плагинов для извлечения данных, которые можно найти в различных семействах вредоносных программ. Плагин FortiClient, использующий уязвимость нулевого дня, извлекает учетные данные пользователя из памяти клиентского процесса, что влияет на последнюю доступную на тот момент версию. Компания Volexity сообщила об этой уязвимости в Fortinet в июле 2024 года, но проблема остается нерешенной, поскольку ей не присвоен номер CVE. DEEPPOST, еще один инструмент, используется для фильтрации данных после их использования.

LIGHTSPY - это мультиплатформенное семейство вредоносных программ, имеющее версии для Android, iOS, macOS и Windows. Windows-версия LIGHTSPY использует уникальный метод развертывания с помощью установщика, выполняющего шелл-код для загрузки и декодирования компонента orchestrator с сервера C2. На различных серверах C2 размещается полезная нагрузка LIGHTSPY, используемая для связи и эксфильтрации.

Компания BrazenBamboo, связанная с DEEPDATA и LIGHTSPY, размещает инфраструктуру C2 и разрабатывает дополнительные приложения, такие как платформы для кражи электронной почты и прокси-сервера. У DEEPDATA и LIGHTSPY есть сходство в файлах плагинов и инфраструктуре C2, что указывает на то, что они разрабатываются связанными организациями. Инфраструктура хакеров служит средством внутренней слежки, а доказательства подтверждают их связь с правительственными операторами.

Анализ Volexity подчеркивает сложность и долговечность возможностей BrazenBamboo, что указывает на то, что это частное предприятие, обслуживающее государственные нужды. Отсутствие оперативной безопасности в инфраструктуре соответствует операциям иностранной разведки. Продолжающееся развитие DEEPDATA и LIGHTSPY предполагает постоянное внимание к расширению возможностей наблюдения.

Чтобы обнаружить вредоносное ПО, связанное с BrazenBamboo, Volexity предлагает регулярно отслеживать и обновлять системы, используя такие инструменты, как Volcano, для анализа памяти и поиска незащищенных учетных данных. История хакера и методы его работы совпадают с известными хакерами из Китая, что указывает на постоянную угрозу.

#ParsedReport #CompletenessMedium
16-11-2024

Inside Intelligence Center: Financially Motivated Chinese Threat Actor SilkSpecter Targeting Black Friday Shoppers. Course of Action. Course of Action

https://blog.eclecticiq.com/inside-intelligence-center-financially-motivated-chinese-threat-actor-silkspecter-targeting-black-friday-shoppers

Report completeness: Medium

Actors/Campaigns:
Silkspecter (motivation: financially_motivated)

Threats:
Typosquatting_technique
Seo_poisoning_technique

Industry:
E-commerce, Financial

Geo:
Usa, China, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1566, T1071, T1041, T1608

IOCs:
File: 1
Hash: 2
Domain: 11

Soft:
OpenReplay, TikTok

Functions:
Stripe

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, windows: 2, chart: 1