#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в отслеживании краудстриков и обсуждении спонсируемого государством китайского кибер-хакера LIMINAL PANDA, нацеленного на телекоммуникационные компании с помощью специальных инструментов для скрытого доступа, командования и контроля, а также утечки данных. Злоумышленник демонстрирует глубокое понимание телекоммуникационных сетей, в частности протоколов мобильной связи, и был связан с кластером LightBasin activity cluster. CrowdStrike предоставляет обновленную информацию о тактике злоумышленника, его целях и текущих вредоносных программах, отмечая, что операции LIMINAL PANDA представляют значительную угрозу для телекоммуникационных компаний и потенциально связаны с кибератаками China-nexus.
-----

С 2020 года LIMINAL PANDA нацелена на телекоммуникационные компании, используя специальные инструменты для скрытого доступа, управления и утилизации данных.

Злоумышленник демонстрирует глубокое понимание телекоммуникационных сетей и использует скомпрометированные серверы для осуществления вторжений к различным провайдерам в разных географических регионах.

Тактика LIMINAL PANDA включает в себя пользовательское вредоносное ПО, общедоступные инструменты и прокси-программное обеспечение для маршрутизации командных сообщений и контроля над ними через различные сегменты сети.

Основными целями противника, по-видимому, являются телекоммуникационные провайдеры в Южной Азии и Африке, оперативные мотивы которых сосредоточены на сборе разведывательных данных, а не на финансовой выгоде.

CrowdStrike Intelligence оценивает деятельность LIMINAL PANDA как потенциально связанную с кибероперациями China-nexus, поскольку она нацелена на страны, связанные с китайской инициативой "Один пояс, один путь", и использует элементы китайского языка в инфраструктуре.

#ParsedReport #CompletenessLow
20-11-2024

FrostyGoop s Zoom-In: A Closer Look into the Malware Artifacts, Behaviors and Network Communications

https://unit42.paloaltonetworks.com/frostygoop-malware-analysis

Report completeness: Low

Threats:
Frostygoop

Victims:
Municipal energy company

Industry:
Ics, Critical_infrastructure, Iot, Energy

Geo:
America, Apac, Japan, China, Russian, Russia, Emea, Romania, Israel, Ukraine

ChatGPT TTPs:
do not use without manual check
T1043, T1049, T1562.001, T1203, T1027, T1105

IOCs:
File: 7
Hash: 8

Algorithms:
aes, sha256

Functions:
writeMultiple

Win API:
IsDebuggerPresent

Languages:
golang, python

Links:
https://github.com/goccy/go-json
https://github.com/rolfl/modbus
have more...
https://github.com/hsblhsn/queues

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в инциденте, связанном с вредоносным по FrostyGoop/BUSTLEBERM, нацеленным на системы операционных технологий (OT) в Украине, что привело к нарушению работы критически важной инфраструктуры, повлияв на электроснабжение и теплоснабжение более чем 600 многоквартирных домов. Вредоносное ПО, распространявшееся через уязвимые маршрутизаторы или незащищенные устройства OT, использовало для атаки протокол Modbus TCP, демонстрируя растущие угрозы, с которыми сталкиваются системы ICS/OT, и важность упреждающих мер кибербезопасности для защиты критически важной инфраструктуры.
-----

В июле 2024 года вредоносное ПО FrostyGoop/BUSTLEBERM было нацелено на операционные технологические системы в Украине, что привело к сбоям в работе критически важной инфраструктуры, нарушив электроснабжение и теплоснабжение более чем 600 многоквартирных домов.

Вредоносное ПО использовало протокол Modbus TCP и распространялось через уязвимость в маршрутизаторе MikroTik или нацеливалось на другие устройства, подключенные к Интернету, при этом атаки были связаны с российскими злоумышленниками.

FrostyGoop использует команды Modbus для устройств промышленных систем управления, нанося ущерб окружающей среде, и может использоваться как внутри взломанной сети, так и за ее пределами, если целевое устройство доступно онлайн.

Вредоносная программа использует методы обхода, включая обнаружение отладчиком и механизмы обхода в своем коде, а также библиотеки быстрого кодирования/декодирования JSON, совместимые с Golang, и методику отладки, позволяющую избежать обнаружения аналитическими отладчиками.

Аналогичное программное обеспечение под названием go-encrypt.exe, используемое для шифрования и дешифрования файлов JSON, было обнаружено примерно в то же время, что и FrostyGoop, с функциональными возможностями, соответствующими тем, которые требуются для операций FrostyGoop.

Ситуация с кибербезопасностью, связанная с устройствами ICS/OT, становится все более опасной из-за слияния сетей OT и IT, что создает возможности для злоумышленников использовать уязвимости и наносить реальный ущерб.

Для усиления защиты от развивающихся угроз, нацеленных на критически важную инфраструктуру, рекомендуются такие меры безопасности, как Zero Trust OT Security, NGFW и Advanced Threat Prevention.

Исследователи подразделения 42 в Palo Alto Networks активно участвуют в выявлении новых вредоносных угроз и делятся разведывательной информацией с Альянсом по борьбе с киберугрозами (CTA) для быстрого развертывания средств защиты от злоумышленников, подчеркивая важность упреждающих мер кибербезопасности для защиты критически важной инфраструктуры.

#ParsedReport #CompletenessMedium
20-11-2024

Interlock: New Cross-Platform Threat Targets Critical Infrastructure with Double-Extortion Tactics

https://www.secureblink.com/threat-research/interlock-new-cross-platform-threat-targets-critical-infrastructure-with-double-extortion-tactics

Report completeness: Medium

Threats:
Interlock
Systembc
Anydesk_tool
Putty_tool
Logmein_tool
Azcopy_tool
Advanced-port-scanner_tool
Megasync_tool
Credential_stealing_technique
Rhysida

Victims:
Wayne county government services, Technology firms, Manufacturing facilities, Prince george country school, Prospect medical holdings, Insomniac

Industry:
Healthcare, Government, Critical_infrastructure

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1567, T1059.001, T1078, T1080, T1573.002, T1562.001, T1070.004, T1027

IOCs:
File: 1

Soft:
Linux

Algorithms:
cbc

Languages:
powershell, golang

Platforms:
cross-platform

Links:
https://github.com/libtom/libtomcrypt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в программе-вымогателе Interlock, сложной кроссплатформенной угрозе, которая нацелена на критически важную инфраструктуру, используя тактику двойного вымогательства в различных отраслях. Особое внимание в нем уделяется его уникальным аспектам, тактике, методам и необходимости усиления мер защиты для снижения рисков, связанных с такими продвинутыми кампаниями по борьбе с программами-вымогателями.
-----

Программа-вымогатель Interlock - это сложная кроссплатформенная угроза, нацеленная на критически важную инфраструктуру и использующая тактику двойного вымогательства в таких отраслях, как здравоохранение, технологии, государственное управление и производство.

Группа программ-вымогателей была впервые замечена в сентябре 2024 года и нацелена, в частности, на системы Windows, Linux и FreeBSD, используя стратегии охоты на крупную дичь.

Для компрометации системы Interlock использует инструменты удаленного доступа, такие как SystemBC RAT и credential stealers, с последующим перемещением в сторону с использованием RDP, AnyDesk и PuTTY для доступа к системам Windows и Linux.

Он использует передовые методы шифрования, такие как RSA и CBC, для эффективной блокировки данных, а также использует пользовательские процедуры шифрования и встроенную библиотеку DLL для самоудаления после шифрования, чтобы избежать обнаружения.

Модель двойного вымогательства Interlock предполагает угрозу разглашения конфиденциальной информации в случае неуплаты выкупа, что потенциально может привести к штрафным санкциям регулирующих органов, ущербу репутации и финансовым потерям.

Были выявлены сходства между Interlock и группой программ-вымогателей Rhysida, что позволяет предположить потенциальное сотрудничество или эволюцию этих угроз.

Методы обхода защиты Interlock включают отключение систем EDR, использование объектов групповой политики для обеспечения сохраняемости, пользовательских упаковщиков для обфускации и встроенных библиотек DLL для самоочистки после шифрования.

Организациям необходимо усилить меры защиты, сохранять бдительность и совершенствовать возможности реагирования, чтобы снизить риски, связанные с такими изощренными кампаниями программ-вымогателей, нацеленными на критически важную инфраструктуру.

#ParsedReport #CompletenessMedium
20-11-2024

Threat Assessment: Ignoble Scorpius, Distributors of BlackSuit Ransomware

https://unit42.paloaltonetworks.com/threat-assessment-blacksuit-ransomware-ignoble-scorpius

Report completeness: Medium

Actors/Campaigns:
Ignoble_scorpius

Threats:
Blacksuit_ransomware
Royal_ransomware
Rclone_tool
Spear-phishing_technique
As-rep_roasting_technique
Rubeus_tool
Kerberoasting_technique
Aitm_technique
Impacket_tool
Shadow_copies_delete_technique
Supply_chain_technique
Seo_poisoning_technique
Gootkit
Cobalt_strike
Wmiexec_tool
Credential_dumping_technique
Dcsync_technique
Mimikatz_tool
Ntdsutil_tool
Vssadmin_tool
Nanodump_tool
Minidump_tool
Stonestop
Poortry
Systembc
Conti
Smbexec_tool

Victims:
Education, Construction, Manufacturing

Industry:
Education

TTPs:
Tactics: 9
Technics: 35

IOCs:
File: 21

Soft:
ESXi, PSExec, VirtualBox, Active Directory, WinSCP, Linux, TOR browser, Windows File Explorer, OpenSSL, chrome, have more...

Algorithms:
aes, exhibit

Win API:
Pie

Languages:
javascript, powershell

Links:
https://github.com/fortra/nanodump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили значительный рост активности программ-вымогателей BlackSuit, которыми управляет группа, известная как Ignoble Scorpius. Группа атакует организации в основном в строительном и производственном секторах, требуя выкуп в размере около 1,6% от годового дохода жертвы. Подлый Scorpius использует различные изощренные тактики и инструменты для своих атак, включая вывоз данных с использованием законных сервисов. Ребрендинг и присоединение к другим группам программ-вымогателей делают их серьезной угрозой, требуя от организаций использования систем оценки угроз и технологий для разработки стратегий защиты. Защитники могут повысить свою готовность, сопоставляя подробные тактики, методы и процедуры (TTP) с запросами на обнаружение.
-----

Исследователи подразделения 42 выявили всплеск активности программ-вымогателей BlackSuit, начавшийся в марте 2024 года, что свидетельствует об активизации операций.

Программа-вымогатель BlackSuit ранее была известна как Royal ransomware до ребрендинга в мае 2023 года.

Группа, ответственная за BlackSuit, отслеживается подразделением 42 как Неблагородный Скорпиус.

С момента проведения ребрендинга по всему миру было зарегистрировано более 93 пострадавших, значительная часть из которых приходится на строительный и производственный секторы.

Подлый Скорпиус требует первоначальный выкуп, обычно эквивалентный примерно 1,6% от годового дохода организации-жертвы.

Группа управляет сайтом утечки данных из темного Интернета, чтобы заставить жертв заплатить выкуп, раскрывая их данные.

"Неблагородный Скорпиус" нацелен на такие секторы, как образование, строительство и производство, уделяя особое внимание жертвам в Соединенных Штатах.

Группа использует такие тактики, как фишинговые кампании, SEO-атаки, злоупотребление учетными данными VPN и атаки на цепочки поставок программного обеспечения.

Инструменты, используемые группой, включают Mimikatz, NanoDump, Impacket и WinRAR для фильтрации данных.

Методы, используемые Подлым Скорпиусом, включают кражу учетных данных, сброс LSASS, атаки DCSync и атаки "противник посередине".

Ignoble Scorpius использует RDP, SMB, PsExec, STONESTOP и POORTRY для бокового перемещения и обхода систем безопасности.

Основная полезная нагрузка программы-вымогателя BlackSuit используется для шифрования файлов и получения выкупа.

Группа внедряет инструменты, специфичные для операционных систем Windows и Linux, ориентированные на серверы VMware ESXi.

Ребрендинг с королевского на черный костюм позволяет Подлому Скорпиусу потенциально избежать обнаружения и изменить восприятие защитников.

Неблагородный Скорпиус, вероятно, связан с другими группами вымогателей, такими как Conti и Royal, что делает их серьезной угрозой.

Организации могут использовать платформу MITRE ATT&CK framework и технологию Palo Alto Networks XDR для оценки угроз и разработки стратегий реагирования.

Защитники могут повысить готовность к атакам BlackSuit, сопоставляя подробные TTP с запросами обнаружения, охватывающими различные аспекты поведения при атаке.

#ParsedReport #CompletenessHigh
20-11-2024

Spot the Difference: Earth Kasha's New LODEINFO Campaign And The Correlation Analysis With The APT10 Umbrella

https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html

Report completeness: High

Actors/Campaigns:
Mirrorface
Stone_panda
Liberalface
Twisted_panda
Ta428
A41apt
Volt_typhoon

Threats:
Lodeinfo
Spear-phishing_technique
Cobalt_strike
Noopdoor
Gosicloader
Dll_sideloading_technique
Lodeinfoldr
Noopldr
Junk_code_technique
Process_injection_technique
Mirrorstealer
Sigloader
Sodamaster
P8rat
Fyanti
Hui_loader
Lilimrat
Downiissa
Lolbin_technique
Windbg_tool
Process_hacker_tool
Procmon_tool

Victims:
Public institutions, Academics, High-profile organizations

Industry:
Transport, Energy, Aerospace, Government

Geo:
Japan, China, Thailand, India, Taiwan

CVEs:
CVE-2013-3900 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 1909 (-)
- microsoft windows 10 20h2 (-)
have more...
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-45727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- northgrid proself (<1.09, <1.66, <5.63)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2023-28461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arraynetworks arrayos ag (le9.4.0.481)

CVE-2023-3466 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-3467 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1210, T1027, T1055, T1112

IOCs:
File: 11
Registry: 2
Hash: 8
Domain: 1
IP: 1

Soft:
Windows Service, Windows Firewall, Chrome, Firefox, Outlook, SQL Server Management Studio, Active Directory

Algorithms:
xor, aes-256-cbc, aes-128-cbc, rc4, sha384, sha1, des, rsa-2048, aes, aes-192-cbc, 3des, sha256

Functions:
ESET

Win API:
NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

#ParsedReport #CompletenessHigh
19-11-2024

Suspected Nation-State Adversary Targets Pakistan Navy in Cyber Espionage Campaign

https://blogs.blackberry.com/en/2024/11/suspected-nation-state-adversary-targets-pakistan-navy-in-cyber-espionage-campaign

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage)
Sidewinder (motivation: cyber_espionage)

Threats:
Seo_poisoning_technique
Typosquatting_technique
Black-shell
Whispergate
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Pakistan navy

Industry:
Government, Maritime

Geo:
Asia, China, Chinese, Bangladesh, Indian, Pakistani, Pakistan, Asian, Ukrainian

TTPs:
Tactics: 8
Technics: 25

IOCs:
Url: 11
File: 11
Domain: 6
Command: 12
Path: 8
IP: 6
Hash: 22

Soft:
mac os, Microsoft Access, curl, Component Object Model

Algorithms:
zip, xor, base64

Functions:
downloadFile, getS, atob

Win API:
ReadFile, CreateMutexA, VirtualAlloc, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpAddRequestHeadersA, HttpSendRequestW, InternetReadFile, InternetCloseHandle, have more...

Languages:
php, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда BlackBerry по исследованию угроз и разведке раскрыла сложную и целенаправленную киберкампанию против ВМС Пакистана, организованную хакерами с использованием передовых методов, направленных на шпионаж и сбор конфиденциальной информации. Злоумышленники использовали различные тактические приемы, такие как поддельные веб-сайты, вредоносные расширения Thunderbird и запутанный JavaScript, для компрометации пользователей и взаимодействия с серверами управления. В ходе кампании были выявлены совпадения с известными хакерскими группами, но определить их принадлежность было сложно из-за использования злоумышленниками ложных сообщений и сложных методов обфускации. Расследование выявило растущую сложность и постоянство современных киберугроз, нацеленных на правительственный и оборонный секторы.
-----

Команда BlackBerry по исследованию угроз и разведке обнаружила вредоносный PDF-файл, предназначенный для ВМС Пакистана, что привело к созданию поддельного веб-сайта и распространению вредоносного расширения Thunderbird под названием Sync-Scheduler.

Вредоносная программа Sync-Scheduler обладала широкими возможностями уклонения и взаимодействовала с сервером управления.

Недавно выявленная вредоносная программа под названием Black-Shell была отнесена к категории бэкдоров с обратной оболочкой, облегчающих обмен данными между скомпрометированными устройствами и серверами, контролируемыми злоумышленниками.

Кампания включала в себя выдачу себя за законное расширение для подписи электронной почты под названием PN Mailbox E-signer, предназначенное для пользователей Thunderbird в ВМС Пакистана.

Анализ сети выявил, что серверы C2 updateschedulers.com и packageupdates.net использовались в вредоносной кампании, аналогичной образцу WhisperGate, и выполняли функцию загрузчика вредоносного ПО Sync-Scheduler.

Установление авторства было сложной задачей из-за использования ложных сигналов и методов обфускации, но TTP были связаны с опытными хакерами, мотивированными шпионажем, потенциально связанными с известными хакерскими группами, такими как SideWinder и APT Bitter.

#ParsedReport #CompletenessHigh
18-11-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/darkhotel-a-cluster-of-groups-united-by-common-techniques

Report completeness: High

Actors/Campaigns:
Camouflaged_hunter
Darkhotel
Tiger_hibiscus
Shadowtiger
Apt-q-14
Apt-q-15
Utg-q-005

Threats:
Spyglace
Motw_bypass_technique
Antidebugging_technique
Goldbar
Spear-phishing_technique
Trojan.win32.generic.a

Industry:
Semiconductor_industry, Government

Geo:
Chinese, Asia, Korea, Asian, Asia-pacific

TTPs:
Tactics: 8
Technics: 22

IOCs:
Path: 9
File: 29
Registry: 3
Url: 11
Hash: 17
IP: 1

Soft:
FTK Imager, Microsoft Exchange, outlook, Gmail, Process Explorer, curl, Component Object Model

Algorithms:
zip, base64, md5, rc4, aes, xor

Functions:
findDirCount

Win API:
ExpandEnvironmentStringsW, LoadLibraryW, CreateThread, GetProcAddress, GetComputerNameW, GetUserNameW, GetTickCount, WinHttpConnect, WinHttpOpenRequest, WinHttpSendRequest, have more...

Languages:
powershell

YARA: Found

Links:
https://github.com/volatilityfoundation/volatility3
https://github.com/ReFirmLabs/binwalk/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности групп кибершпионажа, в частности APT-C-60, APT-Q-12 (псевдо-охотник) и DarkHotel, нацеленных на азиатские страны с помощью различных стратегий атак с использованием вредоносных программ, таких как SpyGlace. Об обнаружении APT-C-60 новой атаки с использованием виртуального диска VHDX, связях между группами APT, развитии тактики и важности постоянного мониторинга для отслеживания и понимания этих киберугроз в регионе.
-----

Группа APT-C-60 была идентифицирована как исполнитель новой атаки с использованием виртуального диска VHDX для запуска цепочки атак. Атака в основном направлена на азиатские страны, но не ограничивается этим регионом. Данные указывают на связь между группами APT-C-60 и DarkHotel, основанную на общих ключах декодирования полезной нагрузки и именах исполняемых файлов. Последней полезной нагрузкой атаки стала вредоносная программа SpyGlace, связанная с группой APT-C-60.

Обнаруженная в 2021 году группа кибершпионажа APT-C-60 group нацелена на промышленные организации, в частности на производителей полупроводников в Южной Корее и Восточной Азии. Они используют фишинговые электронные письма с вредоносными файлами и уязвимости в программном обеспечении, такие как в WPS Office, для установки вредоносного ПО SpyGlace. APT-Q-12, также известный как Псевдо-охотник, нацелен на азиатские торговые компании с помощью кибершпионажа. Программа DarkHotel, обнаруженная Касперским в 2014 году, ориентирована на высокопоставленных чиновников в различных секторах Азиатско-Тихоокеанского региона, занимающихся кибершпионажем и слежкой. SpyGlace, RAT, используемый APT-C-60, предлагает широкий спектр возможностей, включая загрузку файлов, сбор данных и выполнение команд.

В начале сентября 2024 года эксперты по анализу угроз из Positive Technologies обнаружили подозрительный виртуальный диск формата VHDX, принадлежащий группе APT-C-60. Анализ выявил отличия от предыдущей кампании, проведенной в июле 2023 года, что указывает на изменение стратегии атаки. Были подробно описаны структура файлов на виртуальном диске, анализ цепочки атак и подключения к группе DarkHotel.

Исследователь Уилл Дорманн обратил внимание на использование VHDX в Windows для распространения вредоносных программ из-за его сходства с ZIP-архивами, обеспечивающими легкий доступ к файлам. В отличие от традиционных архивов, файлы VHDX не имеют веб-маркировки, что влияет на безопасность системы. В ходе анализа были сравнены форматы VHDX и ISO, были отмечены ограничения антивируса при анализе файлов VHDX.

Анализ образца документа выявил, что в качестве отправной точки для атаки использовался вредоносный файл-приманка. Подробное изучение метаданных и операций с файлами пролило свет на методологию атаки, включая сборку дропперов, сетевые взаимодействия и выполнение полезной нагрузки. Вредоносная программа использует различные функции, такие как CreateThread, GetProcAddress и LoadLibraryW, для выполнения вредоносных действий.

Были выявлены существенные закономерности, связывающие анализируемую атаку с предыдущими действиями DarkHotel и SpyGlace, что усиливает связь между группами APT. Распространенные методы включали использование VHD/VHDX для доставки вредоносного ПО, сборку дропперов, взаимодействие с сервисами Bitbucket и StatCounter и развертывание модифицированного бэкдора SpyGlace.

Выявление и группировка групп APT в Азиатском регионе требуют тщательной оценки. Выявленные связи между группами APT-C-60, APT-Q-12 и DarkHotel предполагают наличие общих тактик и процедур. Постоянный мониторинг имеет решающее значение для отслеживания действий групп и изменений в их тактике борьбы с вредоносным ПО. Использование нетрадиционных методов, таких как виртуальные диски, подчеркивает эволюционирующий характер киберугроз в регионе, несмотря на случайные ошибки, такие как включение метаданных в зараженные файлы, которые помогают в установлении авторства.

#ParsedReport #CompletenessHigh
20-11-2024

ELPACO-team Ransomware: A New Variant of the MIMIC Ransomware Family

https://www.cyfirma.com/research/elpaco-team-ransomware-a-new-variant-of-the-mimic-ransomware-family

Report completeness: High

Threats:
Mimic_ransomware
Conti
Credential_dumping_technique
Mimikatz_tool
Dosvc

Industry:
Critical_infrastructure

Geo:
Korea, Russia

TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 23
Hash: 17
Email: 2
Path: 3
Command: 2
Registry: 2
Url: 1

Soft:
Windows Defender, Sysinternals, bcdedit, MSSQL, Microsoft Visual C++, BOOTNXT, Chrome, Firefox, Mozilla Firefox, Internet Explorer, Tor Browser, have more...

Algorithms:
md5, zip, sha256

Functions:
setZeroData

Win API:
arc

Win Services:
db2, WSearch, SDRSVC, Wecsvc, wbengine, PcaSvc, WerSvc, AppIDSvc, BITS, DiagTrack, have more...

Languages:
powershell

Platforms:
intel

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания по разведке киберугроз обнаружила очень сложный вариант программы-вымогателя под названием "ELPACO-team", который представляет значительную угрозу для частных лиц и организаций по всему миру. Программа-вымогатель использует многогранный подход к компрометации систем, использует как вредоносные, так и законные инструменты, шифрует файлы и обеспечивает их сохранность. Анализ показывает сложность и техническое совершенство программ-вымогателей, подчеркивая необходимость в надежных стратегиях защиты и упреждающих мерах для защиты от появляющихся угроз со стороны программ-вымогателей.
-----

Исследовательская группа CYFIRMA обнаружила сложный двоичный код-дроппер, предназначенный для развертывания программы-вымогателя "ELPACO-team", нового варианта программы-вымогателя "MIMIC". Эта программа-вымогатель отличается высокой степенью сложности и представляет серьезную угрозу как для частных лиц, так и для организаций. Он использует многогранный подход к компрометации систем, используя как вредоносные, так и законные средства для отключения защиты, шифрования файлов и обеспечения их сохранности. Программа-вымогатель нацелена на критически важные файлы на локальных и сетевых дисках, оставляя жертвам уведомление о требовании выкупа, но исключая важные системные файлы для поддержания работоспособности системы.

Основной двоичный файл, ELPACO-teamv.exe, действует как загрузчик и извлекает дополнительную полезную информацию с помощью таких инструментов, как 7za.exe. Он включает в себя легальные утилиты и вредоносные программы для получения выкупа, такие как xdel.exe и ELPACO-team.exe. После выполнения он отключает функции восстановления системы, изменяет конфигурации и предотвращает работу виртуальной машины. Программа-вымогатель шифрует различные типы файлов с расширением ELPACO-team, присваивает каждой жертве уникальный идентификатор для расшифровки и отправляет сообщение о требовании оплаты. Он изменяет реестр для обеспечения сохраняемости, изменяет конфигурации загрузки и использует скрытые методы, препятствующие восстановлению и судебно-медицинскому анализу.

Программы-вымогатели, включая семейство "MIMIC", такое как "ELPACO-team", по-прежнему представляют собой распространенную угрозу, нацеленную на организации по всему миру и приводящую к финансовым потерям, сбоям в работе и юридическим осложнениям. Распространение программ-вымогателей как услуг (RaaS) снизило барьер для проникновения злоумышленников, что привело к более изощренным и широкомасштабным атакам. APT-группы и киберпреступные синдикаты часто организуют атаки с использованием программ-вымогателей, преследуя геополитические цели или финансовую выгоду. В настоящее время эти угрозы включают в себя утечку данных и публичные угрозы, что повышает риски для жертв.

Анализ программы-вымогателя "ELPACO-team" показывает, что она использует легальные инструменты и пользовательскую полезную нагрузку для проведения скрытых кибератак. Она может отключать функции безопасности, изменять конфигурации и эффективно шифровать файлы, демонстрируя высокий уровень технического мастерства. Программа-вымогатель обеспечивает непрерывную работу с помощью постоянных механизмов и тактики защиты от отключения, нацеливаясь на важные пользовательские данные и исключая критические системные файлы. Организации должны применять надежные стратегии защиты, включая обнаружение конечных точек и регулярное резервное копирование данных, чтобы смягчить последствия таких атак. Для защиты от появляющихся угроз со стороны программ-вымогателей необходимы упреждающие меры, такие как обучение пользователей и повышение надежности системы.

#ParsedReport #CompletenessLow
20-11-2024

SVG(Scalable Vector Graphics)

https://asec.ahnlab.com/ko/84646

Report completeness: Low

Threats:
Asyncrat

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1105, T1027

IOCs:
Hash: 4

Soft:
Dropbox

Algorithms:
base64, md5