#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Хакерская группа, известная как APT-C-55 или Kimsuky, изначально нацеленная на южнокорейские компании, расширила свою деятельность по всему миру и усовершенствовала тактику, используя GitHub для распространения вредоносных программ. Недавний анализ выявил передовые методы и вредоносную деятельность группы, что позволило выработать рекомендации по мерам кибербезопасности для защиты от подобных угроз.
-----

APT-C-55, также известная как Kimsuky или Mystery Baby, - это хакерская группа, впервые выявленная Касперским в 2013 году. Первоначально Kimsuky занималась кибератаками на южнокорейские объекты, такие как аналитические центры, правительственные ведомства, средства массовой информации и образовательные учреждения, но с тех пор расширила свою деятельность, включив в нее Соединенные Штаты, Россию, Европу и другие страны. Основной целью группы является кража разведывательных данных.

В ходе недавнего анализа, проведенного 360 Advanced Threat Research Institute, был обнаружен вредоносный файл, связанный с Kimsuky, содержащий код, который имеет значительное сходство с ранее использовавшимся вредоносным макрокодом группы. Это открытие указывает на новую тактику Kimsuky, использующую GitHub в качестве платформы распространения вредоносных программ для облегчения таких действий, как кража информации. Это открытие не только демонстрирует технологическую эволюцию группы, но и подчеркивает их изощренную тактику угроз и скрытности, направленную на конкретные объекты.

В ходе расширенного поиска угроз было замечено, что Kimsuky использовали файлы типа LNK для своих атак, причем внимание привлек один конкретный файл с именем "_ .docx.lnk". Дальнейший анализ показал, что файл на самом деле содержит запутанный код скрипта, напоминающий известный вредоносный макрокод Kimsuky, что вызывает опасения. Анализ также выявил использование вредоносных документов в качестве первоначальных векторов атаки, за которыми последовало развертывание дополнительных вредоносных программ для кражи данных. Более того, вредоносный адрес, встроенный в запутанный код, привел к всестороннему расследованию соответствующей учетной записи на GitHub.

При проверке FTP-сервера, управляемого злоумышленником, были обнаружены папки с именами strongsi.sportsontheweb.net и sussthanks.sportsontheweb.net, что указывает на их роль в проведении кампаний и сборе данных из скомпрометированных систем. Наличие в коде конкретной информации, связанной с Южной Кореей, еще больше укрепило связь с типичными схемами атак Кимсуки, что позволило отнести эту деятельность к группе.

Для усиления мер кибербезопасности против угроз, подобных Kimsuky, в документе рекомендуются такие действия, как проверка целостности файлов с помощью инструментов проверки подписи, развертывание инструментов сетевого мониторинга для отслеживания связи с неизвестными репозиториями GitHub, мониторинг запущенных процессов на предмет подозрительных действий, внедрение политик внесения приложений в белый список, проведение тренингов по повышению осведомленности сотрудников о безопасности и создание резервных копий данных. и планы восстановления, направленные на смягчение последствий инцидентов безопасности.

Анализ угроз был проведен институтом перспективных исследований угроз 360 Advanced Threat Research Institute, подразделением Группы 360 Government and Enterprise Security Group, в состав которого входят старшие эксперты по безопасности, занимающиеся выявлением, защитой от передовых угроз и исследованием их последствий. Институт имеет успешный опыт выявления и раскрытия известных кибератак, заслужив признание за свой вклад в обеспечение национальной сетевой безопасности.

#ParsedReport #CompletenessLow
16-11-2024

XLoader running via JAR signing tool (jarsigner.exe)

https://asec.ahnlab.com/ko/84431

Report completeness: Low

Threats:
Formbook
Dll_sideloading_technique

ChatGPT TTPs:
do not use without manual check
T1574.002, T1027, T1055.001, T1005

IOCs:
File: 5
Hash: 2
Url: 1

Algorithms:
md5

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Аналитический центр безопасности AhnLab выявил распространение вредоносного ПО XLoader с использованием технологии сторонней загрузки DLL, использующего легальные приложения от Eclipse Foundation для нанесения ущерба системам пользователей и кражи конфиденциальных данных. Злоумышленники используют вредоносные DLL-файлы наряду с законными EXE-файлами для выполнения вредоносных функций, создавая серьезную киберугрозу, которая требует осторожности от пользователей.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение вредоносного ПО XLoader с использованием технологии сторонней загрузки DLL. Этот метод атаки заключается в размещении легитимного приложения и вредоносной библиотеки DLL в одном каталоге, чтобы вредоносная библиотека DLL запускалась вместе с приложением при запуске. В этом случае для подписи JAR-файлов используется законное приложение jarsigner, созданное во время установки пакетов IDE от Eclipse Foundation. Распространяемые файлы сжимаются и содержат как законные EXE-файлы, так и вредоносные DLL-файлы. Примечательно, что только два файла с надписью "jli.dll " и"concrt140e.dll " обнаружены вредоносные файлы, не имеющие действительных подписей, в отличие от других файлов из Eclipse Foundation.

Файл Documents2012.exe загружает вредоносный файл jli.dll и вызывает его функцию экспорта. Проблема заключается в том, что все функции экспорта в этой вредоносной библиотеке DLL имеют одинаковые адреса, что позволяет выполнять определенные злоумышленником функции при вызове любой произвольной функции в ней. Кроме того, файл concrt140e.dll, также входящий в состав дистрибутива, представляет собой зашифрованную полезную информацию, которая расшифровывается во время атаки, вводится в обычный файл aspnet_wp.exe и впоследствии выполняется. Эта внедренная вредоносная программа работает как XLoader, извлекая конфиденциальные пользовательские данные, такие как информация о компьютере и браузере, а также участвуя в таких действиях, как загрузка дальнейшего вредоносного программного обеспечения.

Примечательно, что большинство файлов в дистрибутиве имеют действительные сертификаты Eclipse Foundation, что создает ложное ощущение безопасности. Однако крайне важно соблюдать осторожность, поскольку вредоносные библиотеки DLL запускаются с помощью, казалось бы, безобидных исполняемых файлов. Пользователям настоятельно рекомендуется проявлять осторожность при работе с распространяемыми файлами, которые поставляются в комплекте с исполняемыми компонентами, чтобы не стать жертвами подобных киберугроз.

#ParsedReport #CompletenessLow
16-11-2024

Thanos Operator Targets Police Department in United Arab Emirates

https://blog.sonicwall.com/en-us/2024/11/thanos-operator-targets-police-in-united-arab-emirates

Report completeness: Low

Threats:
Redrum

Victims:
Sharjah police force

Geo:
United arab emirates, Arab emirates

ChatGPT TTPs:
do not use without manual check
T1027, T1016, T1584

IOCs:
File: 1

Crypto:
bitcoin

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз SonicWall Capture Labs выявила новый вариант программы-вымогателя Thanos, нацеленной на полицейское управление в ОАЭ, обнаружила методы ее распространения и обфускации, связала ее с полицейскими силами Шарджи и оперативно разработала сигнатуру для защиты от этого специфического вируса. В тексте также подчеркивается решающая роль команды в сборе информации об угрозах и внесении вклада в более широкое сообщество по кибербезопасности путем обмена информацией, позволяющей защитникам противостоять развивающимся киберугрозам.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила новый вариант программы-вымогателя Thanos, который был специально нацелен на полицейское управление в Объединенных Арабских Эмиратах (ОАЭ). Thanos ransomware - это программа-вымогатель как услуга (RaaS), известная своей простотой настройки и адаптации, позволяющая киберпреступникам создавать и внедрять программы-вымогатели, соответствующие их конкретным потребностям. Эта вредоносная программа печально известна своими возможностями кражи данных, способностью распространяться по сетям и изощренными методами уклонения, предназначенными для того, чтобы избежать обнаружения.

Версия программы-вымогателя Thanos, нацеленная на полицейское управление ОАЭ, написана на .NET и использует методы обфускации, чтобы скрыть свои злонамеренные намерения. Однако после разборки исследователи обнаружили, что обфускацию было относительно легко обойти, поскольку она в основном опиралась на кодировку base64 для обфускации своих строк. Используя простой скрипт, исследователи смогли расшифровать все строки, закодированные в base64, и раскрыть основные функциональные возможности вредоносного ПО. Анализ деобфусцированного кода показал, что вредоносная программа предназначена для сканирования внутренней сети в поисках подключенных к Сети компьютеров, что указывает на ее намерение распространяться в целевой сети.

Исследователи обнаружили в вредоносном ПО подсказки, которые заставили их предположить, что этот конкретный вариант был разработан специально для полиции Шарджи в ОАЭ. Примечательно, что вредоносное ПО использовало определенную комбинацию имени пользователя и пароля, связанную с полицейским управлением. В ответ на эту угрозу SonicWall Capture Labs оперативно создала сигнатуру для защиты от этого специфического вида программ-вымогателей Thanos.

Команда исследователей угроз SonicWall Capture Labs играет решающую роль в сборе, анализе и проверке достоверности информации об угрозах, поступающей из сети SonicWall Capture Threat network, которая включает более 1 миллиона датчиков безопасности, установленных почти в 200 странах и территориях по всему миру. Эта команда ежедневно проводит углубленные исследования с целью выявления и устранения критических уязвимостей и вредоносных программ, гарантируя, что клиенты SonicWall будут обеспечены необходимой защитой от возникающих киберугроз.

Более того, помимо обеспечения безопасности сетей по всему миру, исследовательская группа также вносит свой вклад в более широкое сообщество аналитиков угроз, публикуя еженедельные подробные технические анализы значимых угроз, особенно тех, которые представляют значительный риск для малого бизнеса. Делясь такими идеями, команда стремится наделить правозащитников знаниями и инструментами, необходимыми для эффективной защиты их сетей.

#ParsedReport #CompletenessLow
16-11-2024

Fake North Korean IT Worker Linked to BeaverTail Video Conference App Phishing Attack

https://unit42.paloaltonetworks.com/fake-north-korean-it-worker-activity-cluster

Report completeness: Low

Actors/Campaigns:
Cl-sta-0237
Contagious_interview
Lazarus
Wagemole

Threats:
Beavertail
Invisibleferret
Supply_chain_technique
Residential_proxy_technique

Industry:
Financial

Geo:
Russia, Apac, America, North korea, Japan, Emea, North korean, Dprk, Laos, China

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1078, T1105, T1090

IOCs:
IP: 1
Domain: 7
Email: 37

Soft:
MiroTalk

Crypto:
ethereum

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили северокорейский кластер ИТ-специалистов, известный как CL-STA-0237, который участвует в фишинговых атаках с использованием приложений для видеоконференций, зараженных вредоносным ПО. Этот кластер работает из Лаоса, поддерживая незаконную деятельность Северной Кореи, такую как оружейные программы. Отмечен переход от деятельности, направленной на получение стабильного дохода, к агрессивным кампаниям по распространению вредоносного ПО, что свидетельствует о глобальном охвате северокорейских ИТ-специалистов. Изучается связь между кампанией по распространению вредоносного ПО для собеседований и деятельностью ИТ-работников Северной Кореи, в частности, кампанией Wagemole. Подробно описывается причастность CL-STA-0237 к краже информации у американской компании и к атаке вредоносного ПО на соискателей работы. Кроме того, финансовая связь между кампанией Wagemole и лицом, находящимся под санкциями в отношении Северной Кореи, подчеркивает получение доходов от незаконной деятельности. В тексте подчеркивается постоянная угроза, исходящая от северокорейских киберпреступников, и рекомендуются механизмы защиты. Также упоминаются совместные усилия по борьбе со злоумышленными киберпреступниками.
-----

Северокорейский кластер ИТ-специалистов CL-STA-0237 работает из Лаоса и был вовлечен в недавние фишинговые атаки с использованием приложений для видеоконференций, зараженных вредоносными программами.

Этот кластер является частью более широкой сети северокорейских ИТ-специалистов, поддерживающих незаконную деятельность, такую как программы создания оружия массового уничтожения и баллистических ракет.

Изменение активности связано с переходом от деятельности, направленной на получение стабильного дохода, к более агрессивным кампаниям по борьбе с вредоносным ПО.

В кампании "Заразительные собеседования" участвовали северокорейские хакеры, выдававшие себя за фальшивых работодателей, предлагавших ИТ-специалистам работу для распространения вредоносного ПО.

CL-STA-0237 заражал соискателей работы вредоносными программами, представляясь американской компанией, предоставляющей ИТ-услуги для малого и среднего бизнеса, и используя украденную информацию.

Кластер использовал местные IP-адреса в Лаосе, что потенциально указывало на физическое присутствие в Лаосе.

Был получен доступ к системе единого входа компании, что свидетельствует о детальном проникновении в инфраструктуру компании.

Транзакции с кошелька Ethereum связывали кампанию Wagemole с находящимся под санкциями лицом из Северной Кореи, причастным к незаконной деятельности в России и Лаосе.

Северокорейские хакеры добились успеха в получении доходов от незаконной деятельности с помощью новых тактик, таких как инсайдерские угрозы и вредоносные атаки.

Компаниям рекомендуется внедрять такие механизмы защиты, как Cortex XDR, XSIAM и Prisma Cloud, для защиты от продвинутых киберугроз.

#ParsedReport #CompletenessMedium
15-11-2024

Sailing Into Danger: DONOT APT s Attack on Maritime & Defense Manufacturing

https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing

Report completeness: Medium

Actors/Campaigns:
Donot

Victims:
Karachi shipyard & engineering works

Industry:
Military, Government, Maritime

Geo:
Asia, Pakistan

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 5
Url: 3
Domain: 2
Hash: 2

Soft:
Microsoft Office

Algorithms:
aes, xor, base64, exhibit, hmac, sha256

Languages:
powershell

Links:
https://github.com/CRIL-Threat-Intelligence/Sigma\_rules/blob/main/Detection%20of%20Suspicious%20PowerShell.exe%20Copy%20and%20Command%20Execution.txt
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Donot\_APT.txt

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберкампании, нацеленной на промышленную промышленность Пакистана с целью поддержки морского и оборонного секторов, организованной APT group DONOT. Кампания включает в себя сложные методы, такие как использование замаскированных файлов LNK, команд PowerShell, методов шифрования и специальных отраслевых документов-приманок. Злоумышленники сосредотачиваются на сборе системной информации, использовании передовых коммуникационных стратегий и разработке своей тактики для доставки и поддержания полезной нагрузки, подчеркивая при этом важность эффективных мер кибербезопасности для противодействия таким угрозам, нацеленным на критически важные сектора.
-----

Анализ, проведенный Cyble Research and Intelligence Labs (CRIL), выявил киберкампанию, направленную против обрабатывающей промышленности Пакистана для поддержки морского и оборонного секторов, организованную группой APT, известной как DONOT (также известной как APT-C-35). У DONOT есть опыт атак на правительственные и военные объекты по всей Южной Азии. В этой кампании злоумышленники использовали сложный метод, используя вредоносный файл LNK, замаскированный под документ в формате RTF, содержащий зашифрованные данные. Файл LNK при запуске запускает серию команд с использованием PowerShell для доставки RTF-документа и полезной нагрузки. Чтобы обеспечить постоянство, вредоносная программа создает запланированную задачу, которая выполняется каждые пять минут. Связь с сервером управления (C&C) запутывается с помощью шифрования AES и кодирования Base64, чтобы избежать обнаружения.

Заметные изменения, наблюдаемые в этой кампании, включают в себя новый метод шифрования для передачи данных C&C, при котором ключ дешифрования для полезной нагрузки второго этапа теперь содержится в загруженном двоичном коде, а не в жестком коде. Злоумышленники собирают системную информацию перед отправкой конечной полезной нагрузки, чтобы определить ценность цели. Переменные среды используются для хранения важных сведений о конфигурации, таких как адреса C&C и информация о задачах.

Первоначальным источником заражения в этой кампании было использование замаскированного файла LNK, отправленного по электронной почте в виде спама в архиве RAR. После запуска файла LNK программа PowerShell запускает дополнительные команды, что приводит к установке более распространенного вредоносного ПО для сохранения. Интересным аспектом является включение специального документа, связанного с верфью и инженерными работами в Карачи, что указывает на особое внимание к отраслям, поддерживающим оборонный сектор в Пакистане.

Взаимодействие C&C включает в себя создание случайных доменов для серверов резервного копирования, что повышает уровень сложности и устойчивости к атаке. Вредоносное ПО использует методы шифрования для связи и доставки полезной нагрузки, при этом TA контролирует ключевые аспекты поведения вредоносного ПО с помощью расшифрованных данных конфигурации JSON, полученных с сервера C&C.

В случае успешного развертывания полезной нагрузки или сбоя вредоносная программа stager регистрирует подробную системную информацию, обменивается данными с сервером управления и контроля и сохраняет зашифрованные записи для соответствующих данных в переменных среды. Кампания демонстрирует эволюцию тактики, переходя от файлов Microsoft Office к файлам LNK в качестве основного источника заражения и внедряя усовершенствованные стратегии передачи данных и шифрования на различных этапах.

Использование динамической генерации доменов, обновленных методов шифрования и внедрение специальных отраслевых приманок подчеркивают передовой характер этой киберкампании. Анализ подчеркивает меняющийся ландшафт угроз, создаваемых APT-группами, такими как DONOT, и необходимость принятия строгих мер кибербезопасности для обнаружения и смягчения таких изощренных атак, нацеленных на критически важные секторы, такие как оборонная и морская промышленность.

#ParsedReport #CompletenessMedium
15-11-2024

Babble Babble Babble Babble Babble Babble BabbleLoader

https://intezer.com/blog/research/babble-babble-babble-babble-babble-babble-babbleloader

Report completeness: Medium

Threats:
Babbleloader
Junk_code_technique
Donut
Furtim
Raspberry_robin
Latrodectus
Whitesnake_stealer
Whitesnake
Meduza

Industry:
Entertainment, Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1106, T1140, T1036, T1055, T1082, T1573

IOCs:
Hash: 84
File: 3

Soft:
DirectX, Windows Defender

Algorithms:
xor

Functions:
GetDesc

Win API:
NtCreateSection, NtMapViewOfSection, NtUnmapViewOfSection, NtClose, NTQuerySystemInformation, RtlAllocateHeap, RtlFreeHeap, CreateDXGIFactory, GetProcAddress

Platforms:
intel

Links:
https://github.com/TheWover/donut
https://github.com/matinrco/tor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается эволюционирующий характер рынка обнаружения вредоносных программ в связи со все более уклончивыми и мощными программами, разрабатываемыми кибер-хакерами. В нем подчеркивается роль загрузчиков, в частности BabbleLoader, в операциях по борьбе с киберпреступностью, поскольку они доставляют вредоносные программы, такие как похитители информации и программы-вымогатели, обходя традиционную антивирусную защиту с помощью различных передовых методов. Функции BabbleLoader включают вставку нежелательного кода, метаморфические преобразования, динамическое разрешение API, меры по защите от "песочницы" и многое другое, все это предназначено для того, чтобы препятствовать обнаружению и анализу со стороны поставщиков средств безопасности. хакеры постоянно совершенствуют свои вредоносные программы с помощью нескольких уровней защиты, чтобы противостоять методам обнаружения, что приводит к непрекращающейся гонке вооружений между атакующими и защитниками в условиях киберугроз.
-----

Рынок обнаружения вредоносных программ развивается в связи со все более уклончивыми и мощными программами, разрабатываемыми кибер-хакерами.

Загрузчики играют решающую роль в операциях по борьбе с киберпреступностью, предоставляя вредоносные программы, такие как программы-похитители информации или программы-вымогатели, обходя традиционную антивирусную защиту с помощью таких методов, как выполнение в памяти и функции антианализа.

"BabbleLoader" - это чрезвычайно маневренный загрузчик с защитными механизмами, предназначенными для обхода антивирусных программ и изолированных сред, чтобы обеспечить проникновение злоумышленников в память.

Ключевые функции BabbleLoader включают вставку нежелательного кода, метаморфические преобразования, динамическое разрешение API, загрузку шеллкода и расшифровку, чтобы запутать полезную нагрузку и избежать обнаружения на основе сигнатур, искусственного интеллекта и поведения.

Включение нежелательного кода в BabbleLoader сбивает с толку аналитиков, перегружает инструменты дизассемблирования и декомпиляции, бросает вызов моделям искусственного интеллекта, что приводит к пропущенным обнаружениям, ложным срабатываниям и увеличению вычислительных и финансовых затрат на анализ с помощью искусственного интеллекта.

BabbleLoader использует методы защиты от "песочницы", такие как разрешение указателей для импорта, сравнение идентификатора поставщика с белым списком, проверка VDLL, запуск анализа процессов и загрузчик Donut для распаковки и выполнения окончательной полезной нагрузки, WhiteSnake stealer с уникальной связью C2 через TOR.

хакеры включают в свои сборки несколько уровней защиты, чтобы противостоять методам обнаружения, используемым поставщиками систем безопасности, что приводит к гонке вооружений между атакующими и защищающимися.

BabbleLoader нацелен на защиту от различных методов обнаружения за счет высоких затрат для поставщиков средств безопасности, используя передовые методы обхода, которые создают проблемы для точного обнаружения вредоносных программ в меняющемся ландшафте киберугроз.

#ParsedReport #CompletenessLow
16-11-2024

The latest Patchwork (White Elephant) Protego remote control Trojan will be unable to respond to subsequent remote control commands after receiving a remote control command

https://www.ctfiot.com/215643.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Protego

IOCs:
Hash: 1

Soft:
WeChat

Algorithms:
base64, xor

Functions:
CreateThreadshellcode

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе уязвимостей и недостатков в работе троянца Protego remote control, используемого APT-организацией Patchwork (White Elephant). Основные выводы включают логические ошибки, влияющие на команды удаленного управления, проблемы с шифрованием и передачей файлов, недостатки в функциональности команды enablecmd, использование объекта mutex для скрытности и сведения о языке программирования.
-----

В тексте обсуждаются результаты, связанные с троянцем Protego remote control, используемым организацией Patchwork (White Elephant) APT. Аналитик обнаружил множество логических ошибок в трояне, которые потенциально могут сделать его невосприимчивым к командам удаленного управления в будущем. Троянец выполняет алгоритм дешифрования для расшифровки шелл-кода из своего раздела, после чего запускает окончательный троян Protego remote control.

После запуска троянец Protego remote control создает мьютекс-объект, гарантирующий, что на хосте будет работать только один экземпляр, что повышает скрытность и возможности управления. После успешного онлайн-подключения к хосту загружается зашифрованная информация о хосте, включающая такие сведения о системе, как версия, имена хоста и пользователей, путь к троянской программе, IP-адрес, информация об антивирусном программном обеспечении и установленных программах.

Анализ также выявил недостаток в функциональности передачи файлов троянца. При загрузке указанного файла из контролируемой системы было отмечено, что переданный сжатый файл значительно превышает первоначальный размер. Процесс передачи данных включает в себя сегментацию, при этом троянец каждый раз считывает 1048576 байт данных, шифрует и отправляет их. Однако неэффективное тестирование передачи файлов, проведенное разработчиком, привело к аномальному сжатию, что привело к увеличению размера файла по сравнению с ожидаемым.

Кроме того, была выявлена проблема с функциональностью команды enablecmd. Было замечено, что выполнение этой команды не соответствует ее назначению. После выполнения троянец удаленного управления перестал отвечать на последующие команды удаленного управления от злоумышленника. Логика кода команды enablecmd нарушает поток ответов троянца на команды, что приводит к прекращению ответа после активации режима cmd.

Кроме того, анализ выявил, что язык программирования троянца Protego remote control - .NET, что очевидно при просмотре через модули обработки. Троянец использует методы извлечения памяти для идентификации и анализа присутствия троянца Protego remote control в PE-файле. Эти данные позволяют получить важнейшее представление об уязвимостях и недостатках в работе троянской программы дистанционного управления APT organization Patchwork (White Elephant).

#ParsedReport #CompletenessLow
16-11-2024

ShrinkLocker Ransomware Threatens Global Cybersecurity with BitLocker Exploit in 2024

https://www.secureblink.com/cyber-security-news/shrink-locker-ransomware-threatens-global-cybersecurity-with-bit-locker-exploit-in-2024

Report completeness: Low

Threats:
Shrinklocker
Supply_chain_technique
Chaos_ransomware

Victims:
Healthcare company

Industry:
Financial, Healthcare, Critical_infrastructure

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1222, T1218, T1021, T1021.001

Soft:
BitLocker, Active Directory, Active Directory Domain Services

Algorithms:
ecc, rsa-2048, ecdh