#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в инциденте, связанном с вредоносным по FrostyGoop/BUSTLEBERM, нацеленным на системы операционных технологий (OT) в Украине, что привело к нарушению работы критически важной инфраструктуры, повлияв на электроснабжение и теплоснабжение более чем 600 многоквартирных домов. Вредоносное ПО, распространявшееся через уязвимые маршрутизаторы или незащищенные устройства OT, использовало для атаки протокол Modbus TCP, демонстрируя растущие угрозы, с которыми сталкиваются системы ICS/OT, и важность упреждающих мер кибербезопасности для защиты критически важной инфраструктуры.
-----

В июле 2024 года вредоносное ПО FrostyGoop/BUSTLEBERM было нацелено на операционные технологические системы в Украине, что привело к сбоям в работе критически важной инфраструктуры, нарушив электроснабжение и теплоснабжение более чем 600 многоквартирных домов.

Вредоносное ПО использовало протокол Modbus TCP и распространялось через уязвимость в маршрутизаторе MikroTik или нацеливалось на другие устройства, подключенные к Интернету, при этом атаки были связаны с российскими злоумышленниками.

FrostyGoop использует команды Modbus для устройств промышленных систем управления, нанося ущерб окружающей среде, и может использоваться как внутри взломанной сети, так и за ее пределами, если целевое устройство доступно онлайн.

Вредоносная программа использует методы обхода, включая обнаружение отладчиком и механизмы обхода в своем коде, а также библиотеки быстрого кодирования/декодирования JSON, совместимые с Golang, и методику отладки, позволяющую избежать обнаружения аналитическими отладчиками.

Аналогичное программное обеспечение под названием go-encrypt.exe, используемое для шифрования и дешифрования файлов JSON, было обнаружено примерно в то же время, что и FrostyGoop, с функциональными возможностями, соответствующими тем, которые требуются для операций FrostyGoop.

Ситуация с кибербезопасностью, связанная с устройствами ICS/OT, становится все более опасной из-за слияния сетей OT и IT, что создает возможности для злоумышленников использовать уязвимости и наносить реальный ущерб.

Для усиления защиты от развивающихся угроз, нацеленных на критически важную инфраструктуру, рекомендуются такие меры безопасности, как Zero Trust OT Security, NGFW и Advanced Threat Prevention.

Исследователи подразделения 42 в Palo Alto Networks активно участвуют в выявлении новых вредоносных угроз и делятся разведывательной информацией с Альянсом по борьбе с киберугрозами (CTA) для быстрого развертывания средств защиты от злоумышленников, подчеркивая важность упреждающих мер кибербезопасности для защиты критически важной инфраструктуры.

#ParsedReport #CompletenessMedium
20-11-2024

Interlock: New Cross-Platform Threat Targets Critical Infrastructure with Double-Extortion Tactics

https://www.secureblink.com/threat-research/interlock-new-cross-platform-threat-targets-critical-infrastructure-with-double-extortion-tactics

Report completeness: Medium

Threats:
Interlock
Systembc
Anydesk_tool
Putty_tool
Logmein_tool
Azcopy_tool
Advanced-port-scanner_tool
Megasync_tool
Credential_stealing_technique
Rhysida

Victims:
Wayne county government services, Technology firms, Manufacturing facilities, Prince george country school, Prospect medical holdings, Insomniac

Industry:
Healthcare, Government, Critical_infrastructure

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1567, T1059.001, T1078, T1080, T1573.002, T1562.001, T1070.004, T1027

IOCs:
File: 1

Soft:
Linux

Algorithms:
cbc

Languages:
powershell, golang

Platforms:
cross-platform

Links:
https://github.com/libtom/libtomcrypt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в программе-вымогателе Interlock, сложной кроссплатформенной угрозе, которая нацелена на критически важную инфраструктуру, используя тактику двойного вымогательства в различных отраслях. Особое внимание в нем уделяется его уникальным аспектам, тактике, методам и необходимости усиления мер защиты для снижения рисков, связанных с такими продвинутыми кампаниями по борьбе с программами-вымогателями.
-----

Программа-вымогатель Interlock - это сложная кроссплатформенная угроза, нацеленная на критически важную инфраструктуру и использующая тактику двойного вымогательства в таких отраслях, как здравоохранение, технологии, государственное управление и производство.

Группа программ-вымогателей была впервые замечена в сентябре 2024 года и нацелена, в частности, на системы Windows, Linux и FreeBSD, используя стратегии охоты на крупную дичь.

Для компрометации системы Interlock использует инструменты удаленного доступа, такие как SystemBC RAT и credential stealers, с последующим перемещением в сторону с использованием RDP, AnyDesk и PuTTY для доступа к системам Windows и Linux.

Он использует передовые методы шифрования, такие как RSA и CBC, для эффективной блокировки данных, а также использует пользовательские процедуры шифрования и встроенную библиотеку DLL для самоудаления после шифрования, чтобы избежать обнаружения.

Модель двойного вымогательства Interlock предполагает угрозу разглашения конфиденциальной информации в случае неуплаты выкупа, что потенциально может привести к штрафным санкциям регулирующих органов, ущербу репутации и финансовым потерям.

Были выявлены сходства между Interlock и группой программ-вымогателей Rhysida, что позволяет предположить потенциальное сотрудничество или эволюцию этих угроз.

Методы обхода защиты Interlock включают отключение систем EDR, использование объектов групповой политики для обеспечения сохраняемости, пользовательских упаковщиков для обфускации и встроенных библиотек DLL для самоочистки после шифрования.

Организациям необходимо усилить меры защиты, сохранять бдительность и совершенствовать возможности реагирования, чтобы снизить риски, связанные с такими изощренными кампаниями программ-вымогателей, нацеленными на критически важную инфраструктуру.

#ParsedReport #CompletenessMedium
20-11-2024

Threat Assessment: Ignoble Scorpius, Distributors of BlackSuit Ransomware

https://unit42.paloaltonetworks.com/threat-assessment-blacksuit-ransomware-ignoble-scorpius

Report completeness: Medium

Actors/Campaigns:
Ignoble_scorpius

Threats:
Blacksuit_ransomware
Royal_ransomware
Rclone_tool
Spear-phishing_technique
As-rep_roasting_technique
Rubeus_tool
Kerberoasting_technique
Aitm_technique
Impacket_tool
Shadow_copies_delete_technique
Supply_chain_technique
Seo_poisoning_technique
Gootkit
Cobalt_strike
Wmiexec_tool
Credential_dumping_technique
Dcsync_technique
Mimikatz_tool
Ntdsutil_tool
Vssadmin_tool
Nanodump_tool
Minidump_tool
Stonestop
Poortry
Systembc
Conti
Smbexec_tool

Victims:
Education, Construction, Manufacturing

Industry:
Education

TTPs:
Tactics: 9
Technics: 35

IOCs:
File: 21

Soft:
ESXi, PSExec, VirtualBox, Active Directory, WinSCP, Linux, TOR browser, Windows File Explorer, OpenSSL, chrome, have more...

Algorithms:
aes, exhibit

Win API:
Pie

Languages:
javascript, powershell

Links:
https://github.com/fortra/nanodump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили значительный рост активности программ-вымогателей BlackSuit, которыми управляет группа, известная как Ignoble Scorpius. Группа атакует организации в основном в строительном и производственном секторах, требуя выкуп в размере около 1,6% от годового дохода жертвы. Подлый Scorpius использует различные изощренные тактики и инструменты для своих атак, включая вывоз данных с использованием законных сервисов. Ребрендинг и присоединение к другим группам программ-вымогателей делают их серьезной угрозой, требуя от организаций использования систем оценки угроз и технологий для разработки стратегий защиты. Защитники могут повысить свою готовность, сопоставляя подробные тактики, методы и процедуры (TTP) с запросами на обнаружение.
-----

Исследователи подразделения 42 выявили всплеск активности программ-вымогателей BlackSuit, начавшийся в марте 2024 года, что свидетельствует об активизации операций.

Программа-вымогатель BlackSuit ранее была известна как Royal ransomware до ребрендинга в мае 2023 года.

Группа, ответственная за BlackSuit, отслеживается подразделением 42 как Неблагородный Скорпиус.

С момента проведения ребрендинга по всему миру было зарегистрировано более 93 пострадавших, значительная часть из которых приходится на строительный и производственный секторы.

Подлый Скорпиус требует первоначальный выкуп, обычно эквивалентный примерно 1,6% от годового дохода организации-жертвы.

Группа управляет сайтом утечки данных из темного Интернета, чтобы заставить жертв заплатить выкуп, раскрывая их данные.

"Неблагородный Скорпиус" нацелен на такие секторы, как образование, строительство и производство, уделяя особое внимание жертвам в Соединенных Штатах.

Группа использует такие тактики, как фишинговые кампании, SEO-атаки, злоупотребление учетными данными VPN и атаки на цепочки поставок программного обеспечения.

Инструменты, используемые группой, включают Mimikatz, NanoDump, Impacket и WinRAR для фильтрации данных.

Методы, используемые Подлым Скорпиусом, включают кражу учетных данных, сброс LSASS, атаки DCSync и атаки "противник посередине".

Ignoble Scorpius использует RDP, SMB, PsExec, STONESTOP и POORTRY для бокового перемещения и обхода систем безопасности.

Основная полезная нагрузка программы-вымогателя BlackSuit используется для шифрования файлов и получения выкупа.

Группа внедряет инструменты, специфичные для операционных систем Windows и Linux, ориентированные на серверы VMware ESXi.

Ребрендинг с королевского на черный костюм позволяет Подлому Скорпиусу потенциально избежать обнаружения и изменить восприятие защитников.

Неблагородный Скорпиус, вероятно, связан с другими группами вымогателей, такими как Conti и Royal, что делает их серьезной угрозой.

Организации могут использовать платформу MITRE ATT&CK framework и технологию Palo Alto Networks XDR для оценки угроз и разработки стратегий реагирования.

Защитники могут повысить готовность к атакам BlackSuit, сопоставляя подробные TTP с запросами обнаружения, охватывающими различные аспекты поведения при атаке.

#ParsedReport #CompletenessHigh
20-11-2024

Spot the Difference: Earth Kasha's New LODEINFO Campaign And The Correlation Analysis With The APT10 Umbrella

https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html

Report completeness: High

Actors/Campaigns:
Mirrorface
Stone_panda
Liberalface
Twisted_panda
Ta428
A41apt
Volt_typhoon

Threats:
Lodeinfo
Spear-phishing_technique
Cobalt_strike
Noopdoor
Gosicloader
Dll_sideloading_technique
Lodeinfoldr
Noopldr
Junk_code_technique
Process_injection_technique
Mirrorstealer
Sigloader
Sodamaster
P8rat
Fyanti
Hui_loader
Lilimrat
Downiissa
Lolbin_technique
Windbg_tool
Process_hacker_tool
Procmon_tool

Victims:
Public institutions, Academics, High-profile organizations

Industry:
Transport, Energy, Aerospace, Government

Geo:
Japan, China, Thailand, India, Taiwan

CVEs:
CVE-2013-3900 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 1909 (-)
- microsoft windows 10 20h2 (-)
have more...
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-45727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- northgrid proself (<1.09, <1.66, <5.63)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2023-28461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arraynetworks arrayos ag (le9.4.0.481)

CVE-2023-3466 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-3467 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1210, T1027, T1055, T1112

IOCs:
File: 11
Registry: 2
Hash: 8
Domain: 1
IP: 1

Soft:
Windows Service, Windows Firewall, Chrome, Firefox, Outlook, SQL Server Management Studio, Active Directory

Algorithms:
xor, aes-256-cbc, aes-128-cbc, rc4, sha384, sha1, des, rsa-2048, aes, aes-192-cbc, 3des, sha256

Functions:
ESET

Win API:
NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

#ParsedReport #CompletenessHigh
19-11-2024

Suspected Nation-State Adversary Targets Pakistan Navy in Cyber Espionage Campaign

https://blogs.blackberry.com/en/2024/11/suspected-nation-state-adversary-targets-pakistan-navy-in-cyber-espionage-campaign

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage)
Sidewinder (motivation: cyber_espionage)

Threats:
Seo_poisoning_technique
Typosquatting_technique
Black-shell
Whispergate
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Pakistan navy

Industry:
Government, Maritime

Geo:
Asia, China, Chinese, Bangladesh, Indian, Pakistani, Pakistan, Asian, Ukrainian

TTPs:
Tactics: 8
Technics: 25

IOCs:
Url: 11
File: 11
Domain: 6
Command: 12
Path: 8
IP: 6
Hash: 22

Soft:
mac os, Microsoft Access, curl, Component Object Model

Algorithms:
zip, xor, base64

Functions:
downloadFile, getS, atob

Win API:
ReadFile, CreateMutexA, VirtualAlloc, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpAddRequestHeadersA, HttpSendRequestW, InternetReadFile, InternetCloseHandle, have more...

Languages:
php, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда BlackBerry по исследованию угроз и разведке раскрыла сложную и целенаправленную киберкампанию против ВМС Пакистана, организованную хакерами с использованием передовых методов, направленных на шпионаж и сбор конфиденциальной информации. Злоумышленники использовали различные тактические приемы, такие как поддельные веб-сайты, вредоносные расширения Thunderbird и запутанный JavaScript, для компрометации пользователей и взаимодействия с серверами управления. В ходе кампании были выявлены совпадения с известными хакерскими группами, но определить их принадлежность было сложно из-за использования злоумышленниками ложных сообщений и сложных методов обфускации. Расследование выявило растущую сложность и постоянство современных киберугроз, нацеленных на правительственный и оборонный секторы.
-----

Команда BlackBerry по исследованию угроз и разведке обнаружила вредоносный PDF-файл, предназначенный для ВМС Пакистана, что привело к созданию поддельного веб-сайта и распространению вредоносного расширения Thunderbird под названием Sync-Scheduler.

Вредоносная программа Sync-Scheduler обладала широкими возможностями уклонения и взаимодействовала с сервером управления.

Недавно выявленная вредоносная программа под названием Black-Shell была отнесена к категории бэкдоров с обратной оболочкой, облегчающих обмен данными между скомпрометированными устройствами и серверами, контролируемыми злоумышленниками.

Кампания включала в себя выдачу себя за законное расширение для подписи электронной почты под названием PN Mailbox E-signer, предназначенное для пользователей Thunderbird в ВМС Пакистана.

Анализ сети выявил, что серверы C2 updateschedulers.com и packageupdates.net использовались в вредоносной кампании, аналогичной образцу WhisperGate, и выполняли функцию загрузчика вредоносного ПО Sync-Scheduler.

Установление авторства было сложной задачей из-за использования ложных сигналов и методов обфускации, но TTP были связаны с опытными хакерами, мотивированными шпионажем, потенциально связанными с известными хакерскими группами, такими как SideWinder и APT Bitter.

#ParsedReport #CompletenessHigh
18-11-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/darkhotel-a-cluster-of-groups-united-by-common-techniques

Report completeness: High

Actors/Campaigns:
Camouflaged_hunter
Darkhotel
Tiger_hibiscus
Shadowtiger
Apt-q-14
Apt-q-15
Utg-q-005

Threats:
Spyglace
Motw_bypass_technique
Antidebugging_technique
Goldbar
Spear-phishing_technique
Trojan.win32.generic.a

Industry:
Semiconductor_industry, Government

Geo:
Chinese, Asia, Korea, Asian, Asia-pacific

TTPs:
Tactics: 8
Technics: 22

IOCs:
Path: 9
File: 29
Registry: 3
Url: 11
Hash: 17
IP: 1

Soft:
FTK Imager, Microsoft Exchange, outlook, Gmail, Process Explorer, curl, Component Object Model

Algorithms:
zip, base64, md5, rc4, aes, xor

Functions:
findDirCount

Win API:
ExpandEnvironmentStringsW, LoadLibraryW, CreateThread, GetProcAddress, GetComputerNameW, GetUserNameW, GetTickCount, WinHttpConnect, WinHttpOpenRequest, WinHttpSendRequest, have more...

Languages:
powershell

YARA: Found

Links:
https://github.com/volatilityfoundation/volatility3
https://github.com/ReFirmLabs/binwalk/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности групп кибершпионажа, в частности APT-C-60, APT-Q-12 (псевдо-охотник) и DarkHotel, нацеленных на азиатские страны с помощью различных стратегий атак с использованием вредоносных программ, таких как SpyGlace. Об обнаружении APT-C-60 новой атаки с использованием виртуального диска VHDX, связях между группами APT, развитии тактики и важности постоянного мониторинга для отслеживания и понимания этих киберугроз в регионе.
-----

Группа APT-C-60 была идентифицирована как исполнитель новой атаки с использованием виртуального диска VHDX для запуска цепочки атак. Атака в основном направлена на азиатские страны, но не ограничивается этим регионом. Данные указывают на связь между группами APT-C-60 и DarkHotel, основанную на общих ключах декодирования полезной нагрузки и именах исполняемых файлов. Последней полезной нагрузкой атаки стала вредоносная программа SpyGlace, связанная с группой APT-C-60.

Обнаруженная в 2021 году группа кибершпионажа APT-C-60 group нацелена на промышленные организации, в частности на производителей полупроводников в Южной Корее и Восточной Азии. Они используют фишинговые электронные письма с вредоносными файлами и уязвимости в программном обеспечении, такие как в WPS Office, для установки вредоносного ПО SpyGlace. APT-Q-12, также известный как Псевдо-охотник, нацелен на азиатские торговые компании с помощью кибершпионажа. Программа DarkHotel, обнаруженная Касперским в 2014 году, ориентирована на высокопоставленных чиновников в различных секторах Азиатско-Тихоокеанского региона, занимающихся кибершпионажем и слежкой. SpyGlace, RAT, используемый APT-C-60, предлагает широкий спектр возможностей, включая загрузку файлов, сбор данных и выполнение команд.

В начале сентября 2024 года эксперты по анализу угроз из Positive Technologies обнаружили подозрительный виртуальный диск формата VHDX, принадлежащий группе APT-C-60. Анализ выявил отличия от предыдущей кампании, проведенной в июле 2023 года, что указывает на изменение стратегии атаки. Были подробно описаны структура файлов на виртуальном диске, анализ цепочки атак и подключения к группе DarkHotel.

Исследователь Уилл Дорманн обратил внимание на использование VHDX в Windows для распространения вредоносных программ из-за его сходства с ZIP-архивами, обеспечивающими легкий доступ к файлам. В отличие от традиционных архивов, файлы VHDX не имеют веб-маркировки, что влияет на безопасность системы. В ходе анализа были сравнены форматы VHDX и ISO, были отмечены ограничения антивируса при анализе файлов VHDX.

Анализ образца документа выявил, что в качестве отправной точки для атаки использовался вредоносный файл-приманка. Подробное изучение метаданных и операций с файлами пролило свет на методологию атаки, включая сборку дропперов, сетевые взаимодействия и выполнение полезной нагрузки. Вредоносная программа использует различные функции, такие как CreateThread, GetProcAddress и LoadLibraryW, для выполнения вредоносных действий.

Были выявлены существенные закономерности, связывающие анализируемую атаку с предыдущими действиями DarkHotel и SpyGlace, что усиливает связь между группами APT. Распространенные методы включали использование VHD/VHDX для доставки вредоносного ПО, сборку дропперов, взаимодействие с сервисами Bitbucket и StatCounter и развертывание модифицированного бэкдора SpyGlace.

Выявление и группировка групп APT в Азиатском регионе требуют тщательной оценки. Выявленные связи между группами APT-C-60, APT-Q-12 и DarkHotel предполагают наличие общих тактик и процедур. Постоянный мониторинг имеет решающее значение для отслеживания действий групп и изменений в их тактике борьбы с вредоносным ПО. Использование нетрадиционных методов, таких как виртуальные диски, подчеркивает эволюционирующий характер киберугроз в регионе, несмотря на случайные ошибки, такие как включение метаданных в зараженные файлы, которые помогают в установлении авторства.

#ParsedReport #CompletenessHigh
20-11-2024

ELPACO-team Ransomware: A New Variant of the MIMIC Ransomware Family

https://www.cyfirma.com/research/elpaco-team-ransomware-a-new-variant-of-the-mimic-ransomware-family

Report completeness: High

Threats:
Mimic_ransomware
Conti
Credential_dumping_technique
Mimikatz_tool
Dosvc

Industry:
Critical_infrastructure

Geo:
Korea, Russia

TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 23
Hash: 17
Email: 2
Path: 3
Command: 2
Registry: 2
Url: 1

Soft:
Windows Defender, Sysinternals, bcdedit, MSSQL, Microsoft Visual C++, BOOTNXT, Chrome, Firefox, Mozilla Firefox, Internet Explorer, Tor Browser, have more...

Algorithms:
md5, zip, sha256

Functions:
setZeroData

Win API:
arc

Win Services:
db2, WSearch, SDRSVC, Wecsvc, wbengine, PcaSvc, WerSvc, AppIDSvc, BITS, DiagTrack, have more...

Languages:
powershell

Platforms:
intel

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания по разведке киберугроз обнаружила очень сложный вариант программы-вымогателя под названием "ELPACO-team", который представляет значительную угрозу для частных лиц и организаций по всему миру. Программа-вымогатель использует многогранный подход к компрометации систем, использует как вредоносные, так и законные инструменты, шифрует файлы и обеспечивает их сохранность. Анализ показывает сложность и техническое совершенство программ-вымогателей, подчеркивая необходимость в надежных стратегиях защиты и упреждающих мерах для защиты от появляющихся угроз со стороны программ-вымогателей.
-----

Исследовательская группа CYFIRMA обнаружила сложный двоичный код-дроппер, предназначенный для развертывания программы-вымогателя "ELPACO-team", нового варианта программы-вымогателя "MIMIC". Эта программа-вымогатель отличается высокой степенью сложности и представляет серьезную угрозу как для частных лиц, так и для организаций. Он использует многогранный подход к компрометации систем, используя как вредоносные, так и законные средства для отключения защиты, шифрования файлов и обеспечения их сохранности. Программа-вымогатель нацелена на критически важные файлы на локальных и сетевых дисках, оставляя жертвам уведомление о требовании выкупа, но исключая важные системные файлы для поддержания работоспособности системы.

Основной двоичный файл, ELPACO-teamv.exe, действует как загрузчик и извлекает дополнительную полезную информацию с помощью таких инструментов, как 7za.exe. Он включает в себя легальные утилиты и вредоносные программы для получения выкупа, такие как xdel.exe и ELPACO-team.exe. После выполнения он отключает функции восстановления системы, изменяет конфигурации и предотвращает работу виртуальной машины. Программа-вымогатель шифрует различные типы файлов с расширением ELPACO-team, присваивает каждой жертве уникальный идентификатор для расшифровки и отправляет сообщение о требовании оплаты. Он изменяет реестр для обеспечения сохраняемости, изменяет конфигурации загрузки и использует скрытые методы, препятствующие восстановлению и судебно-медицинскому анализу.

Программы-вымогатели, включая семейство "MIMIC", такое как "ELPACO-team", по-прежнему представляют собой распространенную угрозу, нацеленную на организации по всему миру и приводящую к финансовым потерям, сбоям в работе и юридическим осложнениям. Распространение программ-вымогателей как услуг (RaaS) снизило барьер для проникновения злоумышленников, что привело к более изощренным и широкомасштабным атакам. APT-группы и киберпреступные синдикаты часто организуют атаки с использованием программ-вымогателей, преследуя геополитические цели или финансовую выгоду. В настоящее время эти угрозы включают в себя утечку данных и публичные угрозы, что повышает риски для жертв.

Анализ программы-вымогателя "ELPACO-team" показывает, что она использует легальные инструменты и пользовательскую полезную нагрузку для проведения скрытых кибератак. Она может отключать функции безопасности, изменять конфигурации и эффективно шифровать файлы, демонстрируя высокий уровень технического мастерства. Программа-вымогатель обеспечивает непрерывную работу с помощью постоянных механизмов и тактики защиты от отключения, нацеливаясь на важные пользовательские данные и исключая критические системные файлы. Организации должны применять надежные стратегии защиты, включая обнаружение конечных точек и регулярное резервное копирование данных, чтобы смягчить последствия таких атак. Для защиты от появляющихся угроз со стороны программ-вымогателей необходимы упреждающие меры, такие как обучение пользователей и повышение надежности системы.

#ParsedReport #CompletenessLow
20-11-2024

SVG(Scalable Vector Graphics)

https://asec.ahnlab.com/ko/84646

Report completeness: Low

Threats:
Asyncrat

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1105, T1027

IOCs:
Hash: 4

Soft:
Dropbox

Algorithms:
base64, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что наблюдается всплеск распространения вредоносного ПО SVG (масштабируемая векторная графика) кибератаками, которые используют уникальные характеристики файлов SVG для распространения вредоносных программ-загрузчиков и фишинговых программ с помощью фишинговых электронных писем. Вредоносные файлы SVG содержат встроенные гиперссылки или запутанный JS-код, которые могут привести к загрузке дополнительных вредоносных программ или утечке конфиденциальной информации. Пользователям рекомендуется проявлять осторожность при открытии вложений электронной почты в формате SVG, чтобы не стать жертвами этих угроз.
-----

ASEC подтвердила всплеск распространения вредоносного ПО SVG (Scalable Vector Graphics). Файлы SVG - это формат файлов на основе XML, используемый для масштабируемой векторной графики, такой как значки, диаграммы и графические изображения, с уникальной возможностью включения CSS и JS в их код. Киберпреступники используют эти характеристики для распространения различных типов вредоносных программ в формате SVG, которые обычно включаются в виде вложений в фишинговые электронные письма.

Когда пользователи открывают SVG-файл, он обычно отображается в веб-браузере. Недавно распространенное вредоносное ПО SVG делится на две основные категории: тип загрузчика и тип фишинга. Тип загрузчика предлагает пользователям загружать PDF-файлы, используя гиперссылки в SVG-коде, в то время как тип фишинга обманывает пользователей, заставляя их предоставлять информацию об учетной записи под видом проверки документов Excel.

Анализ внутреннего кода распространяемого вредоносного по SVG позволяет выявить особенности его работы. Тип загрузчика включает гиперссылки в элемент содержимого изображения для загрузки дополнительного вредоносного ПО с хостинговых сервисов, таких как Dropbox и Bitbucket. Загруженные файлы представляют собой защищенные паролем сжатые архивы, содержащие вредоносное ПО AsyncRat, известное своими функциями утечки данных и бэкдора. С другой стороны, тип фишинга включает в себя запутанный JS-код внутри элементов содержимого изображения, который кодирует введенную информацию учетной записи в Base64 и отправляет ее на сервер злоумышленника.

Эти вредоносные коды в формате SVG предназначены для того, чтобы избежать обнаружения, смешивая свои вредоносные функции с элементами графического контента, что затрудняет для обычных пользователей идентификацию их как вредоносных. В связи с растущей тенденцией создания вредоносных кодов в различных форматах, включая SVG, пользователям рекомендуется проявлять осторожность при работе с вложениями электронной почты из неизвестных источников, особенно в формате SVG.