#ParsedReport #CompletenessHigh
25-11-2024

Game of Emperor: Unveiling Long Term Earth Estries Cyber Intrusions

https://www.trendmicro.com/en_us/research/24/k/earth-estries.html

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, financially_motivated)
Unc4841

Threats:
Ghostspider
Masol
Deed_rat
Lolbin_technique
Demodex_tool
Webadmin_tool
Proxylogon_exploit
Frpc_tool
Winmm
Neo-regeorg_tool
Fscan_tool
Shadowpad
Dll_hijacking_technique
Dllsearchorder_hijacking_technique
Crowdoor
Inc_ransomware
Sparrowdoor
Zingdoor
Cobalt_strike
Trillclient
Hemigate

Victims:
Telecommunications companies, Government entities, Consulting firms, Ngos, Military units, Federal government entities, Chemical companies, Transportation industries, Technology companies, Service providers, have more...

Industry:
Government, Ngo, Telco, Chemical, Transport, Military

Geo:
Brazil, Indonesia, Asia-pacific, Middle east, Malaysia, Taiwan, Asia, Pakistan, India, Chinese, Thailand, Vietnam, Philippines, Afghanistan, Taiwanese, South africa, Asian

CVEs:
CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2010, 2013, 2016, 2019)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2010, 2013, 2016, 2019)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1570, T1027, T1105, T1071, T1036, T1018

IOCs:
File: 24
IP: 25
Domain: 18
Hash: 13
Command: 1
Path: 4
Url: 1

Soft:
Linux, Ivanti, Microsoft Exchange, PSEXEC, SoftEther

Algorithms:
aes, sha256, base64, zip, crc-64, crc-32

Languages:
powershell

Platforms:
x64, x86, cross-platform

YARA: Found

Links:
https://gist.github.com/andrew-morris/7679a18ef815068897bf27bf631f2ede

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 6, dump: 3, chart: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что китайская APT-группа Earth Estries проводит агрессивные кибератаки на критически важные отрасли по всему миру, используя сложные методы и новые бэкдоры, нацеливаясь на ключевые секторы, такие как телекоммуникации, государственные учреждения, консалтинговые фирмы и НПО. Группа использует передовые методы атак, множество бэкдоров и инструменты, которыми она делится с другими китайскими APT-группами, демонстрируя высокий уровень сложности и организации своей деятельности. Для организаций крайне важно усилить свою систему кибербезопасности, чтобы защититься от подобных угроз.
-----

С 2023 года китайская APT-группа Earth Estries, также известная как Salt Typhoon, FamousSparrow, GhostEmperor и UNC2286, активно атакует критически важные отрасли промышленности по всему миру, используя сложные технологии и новые бэкдоры. Они были сосредоточены на ключевых секторах, таких как телекоммуникации, государственные учреждения, консалтинговые фирмы и НПО в США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке и в Южной Африке. Группа использует передовые методы атак и множество бэкдоров, включая GHOSTSPIDER, SNAPPYBEE и MASOL RAT, для взлома более 20 организаций в различных отраслях промышленности.

Earth Estries использует уязвимости в общедоступных серверах для получения первоначального доступа, использует удаленные двоичные файлы для перемещения по сетям и внедряет вредоносное ПО для долгосрочных шпионских операций. Операции группы часто пересекаются с тактикой, методами и процедурами (TTP) других китайских APT-групп, что указывает на возможное использование общих инструментов от поставщиков вредоносных программ как услуг. Earth Estries хорошо организована с четким разделением труда, разные участники работают в разных регионах и отраслях, а инфраструктура C&C управляется разными командами, что демонстрирует сложность их операций.

Ключевым результатом недавних расследований стало обнаружение нового бэкдора под названием GHOSTSPIDER, который использовался во время атак на телекоммуникационные компании Юго-Восточной Азии. Бэкдор состоит из нескольких модулей для определенных целей, взаимодействует с C&C-сервером по пользовательскому протоколу, защищенному TLS, и может загружать различные модули в зависимости от потребностей злоумышленника. Было замечено, что Earth Estries использует другой бэкдор, MASOL RAT, на устройствах Linux, нацеленных на правительственные сети Юго-Восточной Азии. Группа демонстрирует высокий уровень сложности в проведении скрытых атак с периферийных устройств на облачные среды.

Earth Estries известна тем, что использует известные уязвимости и общедоступные инструменты совместного использования, такие как SNAPPYBEE, в своей деятельности по кибершпионажу. Они создают оперативные сети, эффективно скрывающие свои атаки, что затрудняет их обнаружение. Для организаций крайне важно сохранять бдительность и укреплять свою защиту от подобных угроз. Анализ угроз в рамках Trend Micro Vision One предоставляет исчерпывающую информацию о хакерах и их деятельности, помогая организациям опережать киберугрозы и быть лучше подготовленными к снижению рисков и эффективному реагированию на возникающие угрозы.

#ParsedReport #CompletenessLow
25-11-2024

Microsoft shares latest intelligence on North Korean and Chinese threat actors at CYBERWARCON

https://www.microsoft.com/en-us/security/blog/2024/11/22/microsoft-shares-latest-intelligence-on-north-korean-and-chinese-threat-actors-at-cyberwarcon

Report completeness: Low

Actors/Campaigns:
Bluenoroff
Storm-2077 (motivation: information_theft)
Tag-100

Threats:
Supply_chain_technique
Teamviewer_tool

Victims:
Multiple companies, Aerospace and defense-related organizations, Government agencies, Non-governmental organizations

Industry:
Financial, Aerospace, Ngo, Government, Telco

Geo:
Korean, Dprk, China, North korea, Chinese, Korea, Russia, North korean

ChatGPT TTPs:
do not use without manual check
T1598.002, T1105, T1078, T1566, T1059.005, T1543.003

Soft:
Microsoft Defender, Telegram, Twitter

Languages:
visual_basic, ruby

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются основные кибер-хакеры Sapphire Sleet и Ruby Sleet, их тактика и действия, приписываемые Северной Корее и Китаю соответственно. В нем также освещаются проблемы, связанные с отслеживанием этих хакеров, их операций, а также дается информация о другом китайском хакере, спонсируемом государством, Storm-2077. В тексте подчеркивается необходимость того, чтобы организации проявляли бдительность, обучали персонал и принимали меры для защиты от возникающих киберугроз.
-----

В тексте обсуждаются два крупных кибер-хакера: Sapphire Sleet и Ruby Sleet, связанные с Северной Кореей и Китаем соответственно. В нем рассказывается о тактике социальной инженерии, используемой Sapphire Sleet, включая маскировку под венчурного инвестора или рекрутера, чтобы обманом заставить жертв загрузить вредоносное ПО, позволяющее им красть криптовалюту. Microsoft отслеживала деятельность Sapphire Sleet как минимум с 2020 года, подсчитав, что этот хакер украл криптовалюту на сумму более 10 миллионов долларов.

Ruby Sleet, с другой стороны, является изощренным фишинговым хакером, который значительно расширил свои операции, используя законные сертификаты, полученные от скомпрометированных жертв, распространяя вредоносное программное обеспечение и проводя целенаправленные атаки на организации, связанные с аэрокосмической и оборонной деятельностью. Microsoft наблюдала за атакой Ruby Sleet по цепочке поставок на корейскую строительную компанию, что потенциально способствовало усилиям Северной Кореи по наращиванию своего оружейного потенциала.

Кроме того, в тексте подробно описывается стратегия Северной Кореи по отправке ИТ-специалистов за границу для получения дохода для режима. Эти ИТ-работники занимаются различными видами деятельности, такими как создание поддельных профилей, кража личных данных и использование инструментов искусственного интеллекта, таких как Faceswap, для манипулирования изображениями в мошеннических целях. Microsoft отмечает трудности с отслеживанием деятельности северокорейских ИТ-работников из-за их изощренной тактики и привлечения фасилитаторов, которые помогают им получить доступ к платформам для удаленной работы.

В дополнение к обсуждению деятельности этих хакеров, в тексте также содержится информация о Storm-2077, китайском хакере, спонсируемом государством, идентифицированном Microsoft. Storm-2077 нацелен на правительственные учреждения, неправительственные организации и различные отрасли промышленности по всему миру, уделяя особое внимание сбору разведывательной информации с помощью фишинговых электронных писем и кражи учетных данных для доступа к конфиденциальным данным, таким как сообщения электронной почты. Корпорация Майкрософт обращает внимание на сложности отслеживания и идентификации киберопераций, проводимых из Китая, особенно в связи с дублирующейся тактикой, применяемой различными хакерами.

Для борьбы с этими киберугрозами организациям рекомендуется следовать рекомендациям соответствующих правительственных учреждений по выявлению северокорейских ИТ-работников, обучать персонал выявлению подозрительных действий и применять нетехнические меры, такие как периодическая проверка камеры и ознакомление ИТ-работников с пошаговыми инструкциями по коду. Корпорация Майкрософт подчеркивает важность сохранения бдительности и проактивности при защите от возникающих киберугроз различного уровня сложности и мотивации.

#ParsedReport #CompletenessLow
25-11-2024

Perfctl Campaign Exploits Millions of Linux Servers for Crypto Mining and Proxyjacking

https://socradar.io/perfctl-campaign-exploits-millions-of-linux-servers-for-crypto-mining-and-proxyjacking

Report completeness: Low

Threats:
Perfctl
Proxyjacking_technique
Process_injection_technique

Victims:
Cryptocurrency platforms, Software development

Industry:
Software_development

Geo:
Germany, Korea

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit project polkit (<121)

CVE-2023-33246 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache rocketmq (<4.9.7, <5.1.2)


TTPs:

IOCs:
Hash: 3

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Perfctl - это очень сложная и малозаметная вредоносная программа, нацеленная на серверы Linux по всему миру и предназначенная для майнинга криптовалют и взлома прокси-серверов. Она представляет серьезную угрозу для организаций, особенно в отраслях с высокими вычислительными требованиями. Его передовые технологии, в том числе методы заражения без использования файлов, затрудняют обнаружение с помощью традиционных средств защиты. Для борьбы с Perfctl специалисты по безопасности должны применять многоуровневый подход, включающий мониторинг, повышение надежности системы и упреждающий анализ угроз.
-----

Perfctl, очень сложная и уязвимая вредоносная программа, нацелена на серверы Linux по всему миру, представляя серьезную угрозу для организаций в различных секторах. Эта вредоносная кампания использует передовые методы для скрытного проникновения на серверы, фокусируясь на добыче криптовалют и прокси-взломе, которые используют ресурсы сервера для вредоносных действий. Одна из ключевых сильных сторон Perfctl заключается в его способности избегать обнаружения традиционными средствами защиты с помощью методов безфайлового заражения, сочетаясь с законными системными процессами. В результате это может повлиять на производительность сервера, оставаясь незамеченным, что подчеркивает необходимость надежных мер обнаружения в инфраструктурах Linux.

Влияние Perfctl распространяется по всему миру, в частности, на такие страны, как США, Германия и Южная Корея, которые особенно сильно зависят от серверов Linux, особенно в облачных и корпоративных средах. Вредоносное ПО в первую очередь нацелено на отрасли с высокими вычислительными требованиями, включая криптовалютные платформы и сектора разработки программного обеспечения. Платформы криптовалюты и NFT были естественными мишенями для Perfctl, учитывая ее деятельность по криптомайнингу, в то время как сектора разработки программного обеспечения и публикации уязвимы из-за распространения вредоносного ПО через форумы разработчиков и репозитории.

Perfctl использует сложные тактические приемы для проникновения на серверы Linux и поддержания контроля над ними, что делает его устойчивой угрозой, с которой сложно бороться. Для защиты от Perfctl специалисты по безопасности должны применять многоуровневый подход, включающий мониторинг, повышение надежности системы и упреждающий анализ угроз. Ключевые шаги по снижению рисков включают мониторинг сетевого трафика и системных ресурсов на предмет необычных действий, строгий контроль доступа, регулярное внесение исправлений и обновление систем, развертывание решений для обнаружения конечных точек и реагирования на них (EDR) с возможностями машинного обучения, проведение аудитов безопасности и анализ угроз с помощью таких платформ, как SOCRadar, для получения информации о возникающих угрозах в режиме реального времени.

Продолжающаяся кампания Perfctl против серверов Linux подчеркивает растущую сложность вредоносных программ, нацеленных на серверные среды. Уделяя особое внимание использованию уязвимостей в регионах, сильно зависящих от Linux, команды по кибербезопасности должны сохранять бдительность и внедрять надежные меры обнаружения и смягчения последствий для защиты своих Linux-сред от продвинутых угроз, таких как Perfctl.

#ParsedReport #CompletenessLow
25-11-2024

Blogs. When Guardians Become Predators: How Malware Corrupts the Protectors

https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors

Report completeness: Low

Threats:
Byovd_technique

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1215, T1562.009, T1106, T1574.005

IOCs:
File: 4
Path: 1
Hash: 2

Soft:
Windows kernel

Win API:
DeviceIoControl, KeAttachProcess, ZwTerminateProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании вредоносной кампании, которая использует легальный драйвер Avast Anti-Rootkit для получения глубокого доступа к системе, прерывания процессов безопасности и установления контроля над зараженной системой. Вредоносная программа использует драйвер для воздействия на определенные процессы безопасности и рекомендует внедрять механизмы защиты BYOVD для защиты систем от таких продвинутых атак на основе драйверов.
-----

В тексте описывается вредоносная кампания, раскрытая командой Центра передовых исследований Trellix, которая использует законный драйвер для защиты от руткитов Avast (aswArPot.sys) для осуществления деструктивных действий. Вместо того чтобы обходить защиту, эта вредоносная программа манипулирует драйвером, чтобы получить глубокий доступ к системе и выполнить вредоносные действия. Вредоносная программа помещает законный драйвер в определенный каталог, создает для него службу с помощью Service Control (sc.exe) и получает доступ на уровне ядра для завершения процессов безопасности и получения контроля над зараженной системой. Такой подход вызывает беспокойство, поскольку он злоупотребляет доверием, связанным с драйверами режима ядра, предназначенными для защиты ядра системы.

Цепочка заражения вредоносной программы, называемая kill-floor.exe, включает удаление драйвера Avast из каталога, создание для него службы и получение доступа на уровне ядра. Драйвер предоставляет вредоносной программе неограниченный доступ к критически важным частям операционной системы, позволяя ей прерывать процессы обеспечения безопасности. Вредоносная программа содержит список из 142 жестко закодированных названий процессов защиты антивирусных и EDR-решений. Он постоянно отслеживает запущенные процессы в системе, сравнивает их со списком процессов безопасности и, если найдено совпадение, использует драйвер Avast для завершения идентифицированного процесса безопасности на уровне ядра путем передачи кода IOCTL.

Драйвер Avast Anti-Rootkit интерпретирует IOCTL-код, предоставляемый вредоносной программой, как команду для завершения определенных процессов безопасности. Драйвер использует функции ядра Windows для выполнения этих действий по завершению работы от имени вредоносной программы. Для защиты систем от атак с использованием уязвимых драйверов, таких как драйвер Avast Anti-Rootkit, в тексте предлагается внедрить механизмы защиты BYOVD (Приведите свой собственный уязвимый драйвер). Эти механизмы включают в себя внедрение экспертных правил для идентификации и блокировки конкретных уязвимых драйверов на основе их уникальных сигнатур или хэшей.

В тексте рекомендуется использовать экспертные правила BYOVD для предотвращения использования вредоносными программами уязвимых драйверов в вредоносных целях. Интеграция этих правил в средства обнаружения и реагирования на конечные точки (EDR) или антивирусные решения может эффективно блокировать попытки использования уязвимых драйверов, добавляя важный уровень защиты от продвинутых атак на основе драйверов. Следуя этой рекомендации и защищая системы от вредоносных атак в режиме ядра, пользователи могут предотвратить использование злоумышленниками уязвимых драйверов, таких как aswArPot.sys, для компрометации своих систем.

#ParsedReport #CompletenessLow
25-11-2024

Blov HTML Crypter: Phishing Evasion Through Encryption and Obfuscation

https://slashnext.com/blog/blov-html-crypter-phishing

Report completeness: Low

Threats:
Blov_html_crypter

ChatGPT TTPs:
do not use without manual check
T1027, T1140

Soft:
Twitter

Algorithms:
aes, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют такие инструменты, как Blov HTML Crypter, для усиления тактики фишинга, скрывая вредоносный HTML-контент, что затрудняет его обнаружение системами безопасности. Этот инструмент использует такие методы, как минимизация, шифрование и кодировка, для преобразования HTML-файлов, что позволяет злоумышленникам распространять их по различным каналам и избегать обнаружения в течение длительного времени. Используя шифрование AES, Blov HTML Crypter создает проблемы для обнаружения, что делает фишинговые атаки более успешными. Для противодействия этим развивающимся методам фишинга необходимы передовые методы, такие как поведенческий анализ и мониторинг процесса выполнения JavaScript.
-----

Киберпреступники используют Blov HTML Crypter для улучшения тактики фишинга, изменяя HTML-файлы, чтобы обойти сканеры безопасности с помощью таких методов, как минимизация, шифрование и кодирование.

Измененные HTML-файлы могут распространяться по различным каналам, таким как вложения в электронную почту, ссылки на чат-сервисы, сообщения в социальных сетях или облачные платформы, и оставаться незамеченными в течение длительного времени.

HTML-фишинг предполагает внедрение скрытого кода в обычные веб-файлы с целью обмана отдельных лиц с целью раскрытия конфиденциальной информации, которая обычно используется в фишинговых электронных письмах, чтобы мошенничество выглядело законным.

Blov HTML Crypter поддерживает различные форматы файлов на основе HTML и использует минимизацию CSS и HTML, обфускацию JavaScript и шифрование AES для сокрытия вредоносного кода, что затрудняет обнаружение вредоносного кода средствами безопасности.

Использование шифрования AES в Blov HTML Crypter сопряжено со значительными трудностями при обнаружении, поскольку зашифрованный контент отображается в виде случайных данных, что позволяет обойти традиционные инструменты статического анализа.

#ParsedReport #CompletenessLow
25-11-2024

Evolving Threats: The Adaptive Design of XWorm Malware

https://www.seqrite.com/blog/evolving-threats-the-adaptive-design-of-xworm-malware

Report completeness: Low

Threats:
Xworm_rat
Process_injection_technique

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 2
Hash: 2

Algorithms:
base64, md5, aes

Languages:
visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается XWorm, сложная и легко адаптируемая вредоносная программа с тактикой уклонения и модульной конструкцией. Она использует методы обфускации, взаимодействует с сервером управления и демонстрирует стратегическое поведение, позволяющее избежать обнаружения. XWorm собирает системную информацию, манипулирует настройками DNS, самообновляется и может удалять следы, чтобы избежать обнаружения. Понимание возможностей XWorm имеет решающее значение для борьбы с этим устойчивым и адаптируемым вредоносным ПО.
-----

XWorm - это сложная и легко адаптируемая вредоносная программа, известная своей тактикой обхода и модульной конструкцией. Она использует методы обфускации, чтобы избежать обнаружения, и взаимодействует с сервером управления (C2) для выполнения вредоносных действий. После запуска вредоносная программа расшифровывает свои настройки конфигурации и устанавливает скрытое присутствие, создавая мьютекс для предотвращения конфликтов с несколькими экземплярами. Связь с сервером C2 зашифрована с помощью AES, что позволяет удаленно отслеживать зараженные системы и выдавать команды.

Вредоносная программа демонстрирует стратегическое поведение, при котором она сначала находится в спящем режиме в течение трех секунд, прежде чем расшифровать свои параметры конфигурации, которые включают такие важные данные, как хост, порт, ключ и версия. После расшифровки XWorm создает мьютекс для обеспечения одиночного выполнения и завершает работу, если мьютекс уже существует. Такой подход сводит к минимуму риск обнаружения средствами защиты. Кроме того, он устанавливает соединение по TCP-сокету с сервером C2, обеспечивая передачу и прием данных. Вредоносная программа поддерживает активное соединение, отправляя ping-сообщения через регулярные промежутки времени, и ожидает ответа pong для обеспечения бесперебойной связи с сервером C2.

XWorm собирает исчерпывающую системную информацию с компьютера жертвы, включая имя хоста, имя пользователя, сведения о драйвере и технические характеристики оборудования, такие как информация о процессоре и графическом процессоре GPU. Сбор этих данных помогает злоумышленникам анализировать систему и планировать дальнейшие вредоносные действия. Собранная информация шифруется с использованием AES-шифрования перед отправкой на сервер C2, что повышает безопасность при передаче. Затем вредоносная программа обрабатывает ответы с сервера C2, расшифровывая их и сравнивая с жестко заданными значениями, чтобы определить последующие действия.

Одной из примечательных функций XWorm является его способность манипулировать настройками DNS, считывая и изменяя файл hosts жертвы. Эта возможность позволяет проводить атаки с использованием DNS-манипуляций, позволяя вредоносному ПО отправлять копию файла hosts злоумышленнику, получать изменения и подтверждать успешные операции. XWorm также может самостоятельно обновлять и удалять следы из системы, чтобы избежать обнаружения. Записывая файлы во временный каталог, создавая пакетные файлы для самоудаления и используя модульную структуру для управления функциональностью, XWorm может адаптироваться к различным средам и оставаться скрытым в зараженных системах.

Методы обхода вредоносного ПО подчеркивают важность надежных мер безопасности, постоянного мониторинга и упреждающего обнаружения угроз для защиты от таких сложных угроз. Гибкость в добавлении или удалении функциональных возможностей в виде плагинов подчеркивает динамичный характер XWorm, что делает его серьезной угрозой, требующей тщательного подхода к кибербезопасности. Понимание возможностей и тактики работы XWorm имеет решающее значение для эффективной борьбы с этим устойчивым и адаптируемым вариантом вредоносного ПО.

#ParsedReport #CompletenessMedium
25-11-2024

CyberVolk \| A Deep Dive into the Hacktivists, Tools and Ransomware Fueling Pro-Russian Cyber Attacks

https://www.sentinelone.com/labs/cybervolk-a-deep-dive-into-the-hacktivists-tools-and-ransomware-fueling-pro-russian-cyber-attacks

Report completeness: Medium

Actors/Campaigns:
Cybervolk (motivation: hacktivism, politically_motivated)
Doubleface (motivation: hacktivism)
Moroccan_dragons
Lapsus
Noname057
Mosesstaff (motivation: hacktivism)
Rippersec (motivation: hacktivism)
Hunt3r_kill3rs

Threats:
Azzasec
Hexalocker
Paraodeus
Lockbit
Cybervolk_ransomware
Avkiller
Amsi_bypass_technique
Process_injection_technique
Uac_bypass_technique
Screenlocker
Lbx_grabber
Blx_stealer

Industry:
Government, Petroleum

Geo:
Russian, India, Spain

ChatGPT TTPs:
do not use without manual check
T1027, T1562, T1083

IOCs:
File: 6
Hash: 30
Domain: 1

Soft:
Telegram, Visual Studio, Discord, CPanel, WordPress

Algorithms:
aes-128, base64, aes, rsa-2048, aes-256, rsa-4096

Languages:
php, golang, python