#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer - это новая угроза, использующая Telegram-каналы для распространения вредоносного ПО, нацеленного на пользователей в Индии, США и Европе. McAfee предлагает передовые решения в области безопасности для обнаружения и устранения этой угрозы, используя аналитику угроз, поведенческий анализ и мониторинг в режиме реального времени. Вредоносное ПО использует различные тактики для кражи конфиденциальной информации и нарушения конфиденциальности пользователей, что подчеркивает адаптивность киберугроз. Для пользователей крайне важно поддерживать комплексную антивирусную защиту и сохранять бдительность для защиты личных данных и конфиденциальности в условиях растущих киберугроз.
-----

Lumma Stealer - это мощная вредоносная программа для кражи информации, которая недавно была идентифицирована как новая угроза, использующая для распространения популярные платформы, такие как Telegram-каналы. Передовые решения McAfee в области безопасности позволяют обнаруживать и устранять такие угрозы, как Lumma Stealer, с помощью передовой аналитики угроз, поведенческого анализа и мониторинга в режиме реального времени. Вредоносное ПО маскируется под программы для взлома Telegram-каналов с большим количеством подписчиков, таких как "hitbase" и "sharmamod". McAfee обнаруживает эти поддельные программы для взлома как "Trojan:Win/Lummastealer".SD", а данные телеметрии показывают, что Индия больше всего пострадала от этой угрозы, за ней следуют США и Европа.

Злоумышленник Lumma Stealer использует различные тактики, методы и процедуры (TTP) для кражи конфиденциальной информации и нарушения конфиденциальности пользователей. Он сохраняет расшифрованные данные в переменной с именем "uiOAshyuxgYUA" и выполняет вызовы API для внедрения процессов, ориентируясь на такие программы, как RegAsm.exe for injection. Вредоносная программа записывает полезную информацию в папку AppData\Roaming в виде .NET-файлов с именами "XTb9DOBjB3.exe" (Lumma_stealer) и "bTkEBBlC4H.exe" (clipper). Он извлекает имя учетной записи Steam, изначально затемняет его и расшифровывает, чтобы выявить домен C2 для установления соединения с сервером злоумышленника.

После установления соединения с сервером C2 программа Lumma Stealer извлекает данные конфигурации в формате, закодированном в Base64, декодирует их в двоичный формат и передает через процедуру дешифрования для восстановления открытого текста. Вредоносная программа также собирает системную информацию и отправляет ее на сервер C2. Она устанавливает атрибуты для файлов, чтобы защитить себя, например, удаляет статус скрытого и устанавливает себя в качестве системного файла.

Распространение Lumma Stealer по каналам Telegram подчеркивает адаптивность киберугроз и легкость, с которой хакеры могут использовать популярные платформы для распространения вредоносного кода. Усовершенствованные механизмы обнаружения угроз и проактивной защиты McAfee обеспечивают пользователям жизненно важную защиту от возникающих угроз благодаря мониторингу в режиме реального времени, поведенческому анализу и непрерывным обновлениям для противодействия новым TTP. В быстро меняющемся киберпространстве для пользователей крайне важно обеспечить комплексную антивирусную защиту для защиты личных данных, финансовой информации и конфиденциальности. Сохранение бдительности и наличие надлежащих решений для обеспечения безопасности гарантирует, что пользователи будут готовы эффективно противостоять новейшим угрозам.

#ParsedReport #CompletenessLow
22-11-2024

"Not what the doctor ordered": Silent Push maps out illegal pharmacy infrastructure. 2,500+ active IOFA domains and dedicated IPs discovered, primarily served via US-based hosts.

https://www.silentpush.com/blog/illegal-pharmacies

Report completeness: Low

Threats:
Blackseo_technique

Industry:
Healthcare

Geo:
Russian

IOCs:
Domain: 20
IP: 9
Email: 1

#ParsedReport #CompletenessHigh
22-11-2024

HEXON STEALER: THE LONG JOURNEY OF COPYING, HIDING, AND REBRANDING

https://www.cyfirma.com/research/hexon-stealer-the-long-journey-of-copying-hiding-and-rebranding

Report completeness: High

Threats:
Hexon
Stealit
Jsconfuser_tool
Jsobfuscator_tool
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Industry:
Entertainment

Geo:
Turkish

TTPs:
Tactics: 8
Technics: 15

IOCs:
Hash: 3
Domain: 3
IP: 5
File: 3

Soft:
Telegram, Discord, NSIS installer, Chromium, Node.js

Wallets:
coinbase, exodus_wallet

Algorithms:
sha256, md5, zip

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, windows: 3, code: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе и характеристиках вредоносного программного обеспечения, известного как Hexon Stealer, включая его возможности, методы распространения, профиль разработчика, используемые каналы связи, историю ребрендинга и текущие проблемы, связанные с развитием киберугроз.
-----

В отчете CYFIRMA представлен анализ Hexon Stealer, вредоносного программного обеспечения, способного извлекать конфиденциальную информацию из браузеров, включая учетные данные, данные автозаполнения и данные криптовалютного кошелька. Разработчик вредоносного ПО использует различные каналы для продвижения Hexon Stealer, предлагая пользователям панель входа для удаленного управления скомпрометированными системами.

Появление Telegram-канала под названием "Hexon Stealer" показало, что вредоносная программа может извлекать широкий спектр данных, таких как токены Discord, резервные коды 2FA, информацию о кредитных картах и многое другое. Это предоставляет злоумышленникам полный удаленный доступ к скомпрометированным системам, позволяя им отслеживать экраны, управлять входными данными, выполнять команды и даже участвовать в переговорах о выкупе. Использование платформы Coinbase для криптовалютных платежей затрудняет отслеживание транзакций с требованием выкупа.

В отчете подробно описывается переход оригинального Telegram-канала Hexon Stealer на новый, который называется Hexon Grabber. Программа Hexon Stealer основана на формате установщика NSIS и в основном предназначена для кражи файлов cookie браузера, учетных данных и крипто-кошельков. Он известен как ребрендированная версия Stealit Stealer, исходный код которой был опубликован для публичного анализа на GitHub после того, как был удален исследователями безопасности.

Hexon Stealer использует платформу Electron для создания интерфейса своего настольного приложения, который позволяет разработчикам создавать кроссплатформенные настольные приложения с использованием веб-технологий, таких как HTML, CSS и JavaScript. Вредоносная программа использует NSIS для упаковки и распространения своей вредоносной полезной нагрузки.

Возможности вредоносного ПО включают внедрение Discord для извлечения конфиденциальной информации, компрометацию игровых аккаунтов, кражу криптовалютных кошельков и реализацию аутентификации по HWID для ограниченного доступа. Hexon Stealer удаляет дополнительный исполняемый файл с именем saa.exe, который основан на платформе electron. Он может использовать методы манипулирования поведением системы или уклонения от обнаружения средствами безопасности, например, запутывать свой код с помощью таких инструментов, как JSConfuser, чтобы усложнить анализ.

В отчете подчеркивается, что разработчик Hexon Stealer, скорее всего, турецкий, и есть средняя степень уверенности в том, что группа, стоящая за этим, является ребрендингом Stealit Stealer group. Каналы коммуникации, используемые для продвижения вредоносного ПО, такие как Telegram и Signal, указывают на растущую тенденцию к тому, что неквалифицированные киберпреступники собирают и продвигают старые коды для кражи данных под новыми именами. В частности, все большее распространение получают хакеры Discord, которые нацелены на конфиденциальные данные, такие как учетные данные и игровые аккаунты.

В результате изучения доменов, каналов связи и анализа кода в отчете делается вывод о том, что Hexon Stealer, вероятно, имеет общее происхождение с предыдущими вариантами вредоносного ПО, такими как Stealit Stealer и Less Stealer, что указывает на турецкого разработчика или группу, стоящую за его созданием. Ребрендинг и эволюция этих вредоносных инструментов подчеркивают сохраняющиеся проблемы, связанные с киберугрозами, и необходимость принятия надежных мер кибербезопасности для противодействия им.

#ParsedReport #CompletenessLow
22-11-2024

APT-K-47 Threat Disclosure: The Past and Present of Asyncshell

https://paper.seebug.org/3240

Report completeness: Low

Actors/Campaigns:
Mysterious_elephant
Sidewinder
Apt59

Threats:
Asyncshell
Confuserex_tool
Orpcbackdoor
Walkershell
Msmqspy
Lastopenspy

Geo:
Turkey, Bangladesh, Asia, Pakistan

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.003, T1071.001, T1140, T1204.002

IOCs:
File: 6
Email: 1
Hash: 3

Algorithms:
base64, aes, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе кампании атак, проведенной группой APT-K-47, с особым упором на использование ими варианта вредоносного ПО Asynshell и эволюцию их тактики и методов с течением времени. В тексте обсуждается использование группой замаскированных запросов на обслуживание для связи C2, разработка различных версий Asynshell, происхождение и история группы, а также стратегические изменения в методологии атак. В конечном счете, в тексте освещаются усилия команды Knowsec 404 Advanced Threat Intelligence по отслеживанию и анализу вредоносных инструментов и действий APT-K-47.
-----

Команда Knowsec 404 Advanced Threat Intelligence обнаружила кампанию атак APT-K-47, связанную с "Hajj", которая использовала файл CHM для выполнения вредоносной полезной нагрузки в том же каталоге.

Команда обнаружила обновленный образец, Asynshell-v4, который использует алгоритм base64 variant для обфускации строк, маскируется под обычный запрос сетевой службы для связи C2 и не содержит обширной информации журнала.

APT-K-47, известная под псевдонимом "Таинственный слон", возможно, родом из Южной Азии, имеет историю нападений, начиная с 2022 года, и имеет сходство с такими группами APT, как Sidewinder, Confucius и Bitter из этого региона.

Policy_Formulation_Committee.exe расшифровывает адрес, замаскированный под обычный запрос сетевой службы, для установления соединения с сервером C2 для выполнения командной строки, помогая динамически изменять адреса соединений для длительного контроля над хостами-жертвами.

С момента своего открытия Asyncshell эволюционировал до четырех версий, демонстрируя совершенствование методологии атаки и структуры полезной нагрузки, при этом группа успешно перешла от фиксированных подходов к передаче данных C2 к переменным.

Команда Knowsec 404 отслеживает арсенал вредоносных программ APT-K-47, включая такие инструменты, как ORPCBackdoor, walkershell, Asyncshell, MSMQSPY и LastopenSpy, чтобы получить представление о деятельности и методологиях группы.

#ParsedReport #CompletenessHigh
22-11-2024

#StopRansomware: BianLian Ransomware Group

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/stopransomware-bianlian-ransomware-group

Report completeness: High

Actors/Campaigns:
Bianlian (motivation: financially_motivated, cyber_criminal)

Threats:
Bianlian_ransomware
Credential_harvesting_technique
Rclone_tool
Proxyshell_vuln
Atera_tool
Teamviewer_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Upx_tool
Advanced-port-scanner_tool
Sharpshares_tool
Pingcastle_tool
Rdp_recognizer_tool
Impacket_tool
Sessiongopher_tool
Supply_chain_technique
Bianlian_encryptor
Credential_dumping_technique
Minidump_tool
Mstsc_tool
Nltest_tool
Tightvnc_tool

Victims:
Organizations, Private enterprises, Critical infrastructure organization

Industry:
Critical_infrastructure, Healthcare

Geo:
Russia, Australian, Australia

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2022-37969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19444)
- microsoft windows 10 1607 (<10.0.14393.5356)
- microsoft windows 10 1809 (<10.0.17763.3406)
- microsoft windows 10 20h2 (<10.0.19042.2006)
- microsoft windows 10 21h1 (<10.0.19043.2006)
have more...
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 8
Technics: 47

IOCs:
File: 15
Url: 3
Email: 3
Domain: 1
Command: 7
Path: 6
Registry: 4
Hash: 4

Soft:
Windows Powershell, ESXi, Windows defender, Windows Registry, SoftPerfect Network Scanner, Active Directory, Local Security Authority, PsExec, Windows firewall, Azure AD, have more...

Crypto:
bitcoin

Functions:
All, GetWmiObject

Win Services:
SAVService

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в совместном рекомендательном документе по кибербезопасности, выпущенном ФБР, CISA и ACSC в качестве руководства по борьбе с программой-вымогателем BianLian, нацеленной на критически важные инфраструктурные организации в США и Австралии. В рекомендациях подробно описываются тактика, методы и процедуры, используемые BianLian group, даются рекомендации не платить выкуп и излагаются стратегии смягчения последствий для повышения уровня кибербезопасности от угроз программ-вымогателей.
-----

Группа BianLian, занимающаяся вымогательством данных и программ-вымогателей, предположительно базирующаяся в России, с июня 2022 года атакует организации в критически важных инфраструктурных секторах США и Австралии.

Первоначально BianLian использовала метод двойного вымогательства, но к январю 2024 года перешла к вымогательству, основанному исключительно на эксфильтрации, угрожая обнародовать конфиденциальные данные, если требования о выкупе не будут выполнены.

Они получают доступ с помощью скомпрометированных учетных данных RDP, инструментов с открытым исходным кодом и сценариев командной строки для обнаружения и сбора учетных данных. Фильтрация данных осуществляется с помощью FTP, Rclone или Mega services.

Злоумышленники из Китая внедряют пользовательские бэкдоры, программное обеспечение для удаленного управления, такое как TeamViewer, Atera Agent, и изменяют учетные записи локальных администраторов для обеспечения сохранности и контроля. Они используют уязвимости, такие как CVE-2022-37969.

Для горизонтального перемещения они используют действительные учетные данные, такие инструменты, как PsExec и RDP, а также методы сбора учетных данных из памяти и контроллеров домена, используя уязвимости, подобные CVE-2020-1472.

Они используют вредоносное ПО для подсчета значений реестра и файлов, копирования данных из буфера обмена, сжатия/шифрования собранных данных и поиска конфиденциальных файлов для последующей фильтрации. Уведомления о требовании выкупа угрожают утечкой данных, если требования о выкупе не будут выполнены.

ФБР рекомендует не платить выкуп, подчеркивая необходимость оперативного информирования властей об инцидентах для снижения рисков и излагая стратегии смягчения последствий, направленные на уменьшение воздействия программ-вымогателей.

#ParsedReport #CompletenessLow
22-11-2024

The Nearest Neighbor Attack: How A Russian APT Weaponized Nearby Wi-Fi Networks for Covert Access

https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Nearest_neighbor_attack_technique
Lolbin_technique
Password_spray_technique
Vssadmin_tool
Shadow_copies_delete_technique
Gooseegg_tool

Geo:
Ukraine, Ukrainian, Russia, Russian

CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19507)
- microsoft windows 10 1607 (<10.0.14393.5427)
- microsoft windows 10 1809 (<10.0.17763.3532)
- microsoft windows 10 20h2 (<10.0.19042.2130)
- microsoft windows 10 21h1 (<10.0.19043.2130)
have more...

ChatGPT TTPs:
do not use without manual check
T1078, T1110.003, T1112, T1027, T1003.003, T1059.001, T1203

IOCs:
Path: 8
File: 9
Registry: 3
Command: 6

Soft:
active directory, Windows Print Spooler

Algorithms:
zip, exhibit

Win API:
NetBIOS

Languages:
powershell

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-11-22%20GruesomeLarch/wifi\_ps1\_redacted.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание сложной кибератаки, проведенной российской APT-группой GruesomeLarch, с особым упором на использование ими технологии атаки "Ближайший сосед" для атаки на работу и проекты, связанные с Украиной, перед российским вторжением в Украину в начале февраля 2022 года. Атака включала в себя использование скомпрометированных сетей Wi-Fi и соседних организаций для проникновения в сеть цели, демонстрируя творческий подход, находчивость и решимость хакера достичь своих целей в области кибершпионажа с помощью инновационных методов и инструментов.
-----

В тексте описывается изощренная кибератака, проведенная российской APT-группой GruesomeLarch, целью которой были работы и проекты, связанные с Украиной, непосредственно перед российским вторжением в Украину в начале февраля 2022 года. Компания Volexity, занимающаяся кибербезопасностью, провела тщательное расследование после обнаружения подозрительной активности на сайте клиента, известном как "Организация А". В ходе атаки была использована новая технология, получившая название "Атака ближайшего соседа", при которой хакер использовал сети Wi-Fi в непосредственной близости от цели, скомпрометировав несколько организаций поблизости, чтобы в конечном итоге проникнуть в систему. сеть объекта.

Злоумышленник использовал атаки с использованием паролей против общедоступной службы в сети организации А, чтобы получить действительные учетные данные, которые затем были использованы для получения доступа к корпоративной сети Wi-Fi Организации А. Несмотря на внедрение многофакторной аутентификации (MFA) для государственных служб, злоумышленник успешно проник в несколько организаций, расположенных поблизости, чтобы достичь своей цели. Злоумышленник использовал систему с двумя домами в соседней организации для подключения к сети Wi-Fi организации А.

Расследование показало, что злоумышленник взломал учетные данные, позволяющие получить доступ к VPN-системам без защиты MFA, и подключался к Wi-Fi организации A через сети других близлежащих организаций. Методы злоумышленника включали стандартные протоколы Microsoft и горизонтальное перемещение по сетям, что позволяло избежать развертывания вредоносного ПО, чтобы избежать обнаружения продуктами endpoint detection and response (EDR).

Кроме того, злоумышленник попытался украсть базу данных active Directory, создав теневую копию тома, что является распространенным методом, наблюдавшимся в ходе инцидента. Поначалу Volexity изо всех сил пыталась приписать вторжение конкретному хакеру из-за использования методов "жизни за пределами земли" и запутывания инструментария и IP-адресов. Однако дальнейший анализ привел к идентификации GruesomeLarch, также известного как APT28, Forest Blizzard, Sofacy и Fancy Bear, в качестве ответственного хакера.

Кроме того, атака была связана с использованием уязвимости CVE-2022-38028, позволяющей повысить привилегии с нулевого дня, в службе диспетчера очереди печати Microsoft Windows, с использованием средства для устранения неполадок под названием GooseEgg. Исследование Microsoft, посвященное Forest Blizzard, проведенное в апреле 2024 года, подтвердило связь с GruesomeLarch, подчеркнув настойчивость хакеров и использование уникальных инструментов для достижения своих целей в области кибершпионажа.

В тексте подчеркивается сложный характер атаки "Ближайший сосед", подчеркивается творческий подход хакера, его находчивость и решимость достичь своих целей, не приближаясь к ним физически, что снижает риск идентификации или захвата. Методология злоумышленника включала в себя передачу доступа от организации к организации без развертывания вредоносного ПО, полагаясь исключительно на действительные учетные данные пользователя и методы "жизни вне дома", позволяющие оставаться незамеченными мерами безопасности.

#ParsedReport #CompletenessMedium
20-11-2024

Threat Actors Hijack Misconfigured Servers for Live Sports Streaming

https://www.aquasec.com/blog/threat-actors-hijack-misconfigured-servers-for-live-sports-streaming

Report completeness: Medium

Industry:
Entertainment, Government, Software_development

Geo:
Donetsk

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 1
IP: 2

Soft:
Jupyter Notebooks, Jupyter Notebook, Jupyter, Linux, Docker, Unix

Algorithms:
md5

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, windows: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
22-11-2024

Dark Web Profile: Moonstone Sleet

https://socradar.io/dark-web-profile-moonstone-sleet

Report completeness: Medium

Actors/Campaigns:
Moonstone_sleet (motivation: cyber_espionage, information_theft, financially_motivated)
Kimsuky (motivation: cyber_espionage)
Lazarus
Detankwar
Jade_sleet

Threats:
Spear-phishing_technique
Fakepenny
Cobalt_strike
Supply_chain_technique
Putty_tool
Splitloader
Credential_dumping_technique
Mimikatz_tool

Victims:
Technology companies, Financial institutions, Cryptocurrency platforms, Software supply chains, It infrastructures

Industry:
Software_development, Critical_infrastructure

Geo:
North korean, North korea

TTPs:
Tactics: 9
Technics: 15

IOCs:
File: 3

Soft:
Telegram, Linux

Crypto:
bitcoin

Algorithms:
zip, xor

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4