#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 4, dump: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе продолжающейся вредоносной кампании, нацеленной на бизнес-профессионалов в Соединенных Штатах, в которой используется многоэтапная операция, организованная хакером для внедрения банковского трояна Ursnif, известного своей кражей конфиденциальной информации. Кампания использует вредоносные LNK-файлы, замаскированные под PDF-файлы, используя certutil.exe и различные методы для выполнения вредоносной полезной нагрузки и установления связи с сервером управления (C&C) для кражи данных. Вредоносная программа Ursnif использует сложные методы обхода, чтобы избежать обнаружения, подчеркивая меняющийся ландшафт угроз и необходимость принятия контрмер, таких как разработка правила Yara для обнаружения.
-----

Исследовательские лаборатории Cyble Research и Intelligence Labs выявили продолжающуюся вредоносную кампанию, направленную против бизнес-профессионалов в Соединенных Штатах, в ходе которой использовалась многоэтапная операция по внедрению банковского трояна Ursnif, известного своей кражей конфиденциальной информации.

Атака начинается с вредоносного файла LNK, замаскированного под PDF, декодируемого с помощью certutil.exe для доставки файла HTML-приложения (HTA) с VBScript, который запускает выполнение документа-приманки, и вредоносной библиотеки DLL, выполняющей роль загрузчика для расшифровки полезной нагрузки и выполнения Ursnif.

Вредоносные файлы LNK, спрятанные в ZIP-архивах, рассылаемые по электронной почте в виде спама, используются в качестве первоначальных источников заражения.

Вредоносная программа Ursnif использует динамическое разрешение API, зашифрованную полезную нагрузку и манипуляции с памятью, чтобы избежать обнаружения и установить соединения с серверами C&C для кражи данных.

Шеллкод использует различные API, такие как VirtualAlloc, VirtualProtect, RtlAddFunctionTable и FlushInstructionCache, для выделения памяти, защиты и выполнения библиотек DLL.

Библиотека DLL второго уровня содержит зашифрованные данные конфигурации, включая сведения о сервере C&C, информацию об агенте пользователя и структуру взаимодействия, что обеспечивает взаимодействие и управление экземплярами.

Формат обмена данными C&C создан и зашифрован с использованием AES, преобразован в BASE64 для передачи, с использованием предопределенного формата, случайной строки, границы и устаревших строк пользовательского агента, используемых для обмена данными.

На Github доступно правило Yara для обнаружения загрузчика Ursnif, позволяющее противостоять этой сложной киберугрозе.

#technique

Special topic on Android malware obfuscation and countermeasures technology

https://mp-weixin-qq-com.translate.goog/s/LIAkPLZ_vVOUGjFymdEH-w?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique #llm

Prompt Jailbreak Manual

https://github.com/Acmesec/PromptJailbreakManual/

#ParsedReport #CompletenessLow
27-11-2024

PSLoramyra: Technical Analysis of Fileless Malware Loader

https://any.run/cybersecurity-blog/psloramyra-malware-technical-analysis

Report completeness: Low

Threats:
Psloramyra
Quasar_rat
Newpe2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1055.001, T1027

IOCs:
File: 6
Hash: 4
Path: 3
Domain: 1
IP: 1

Soft:
Task Scheduler, Windows Task Scheduler, Windows PowerShell, Linux

Functions:
CreateWshShellObj, GetFilePath, GetVisibilitySetting

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, table: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе сложного вредоносного загрузчика под названием PSLoramyra, который работает как безфайловый загрузчик, чтобы избежать традиционных методов обнаружения. Эта вредоносная программа использует скрипты PowerShell, VBS и BAT для внедрения и выполнения вредоносных программ непосредственно в системную память, обеспечивая постоянный доступ и демонстрируя улучшенное поведение за счет динамической загрузки в память своей основной вредоносной программы. Цепочка заражения вредоносного ПО, механизмы сохранения, атрибуты скрытности, методы обфускации и использование внедрения в память способствуют его способности избегать обнаружения и незаметно выполнять вредоносные действия, что подчеркивает его продвинутый характер как загрузчика без файлов.
-----

Вредоносный загрузчик PSLoramyra работает как безфайловый загрузчик, используя сценарии PowerShell, VBS и BAT для внедрения и выполнения вредоносных программ непосредственно в системную память, что позволяет ему осуществлять постоянный доступ, не оставляя значительных следов в системе.

PSLoramyra динамически загружает свой основной вредоносный код в память, что затрудняет его обнаружение и устранение последствий. В нем используются такие методы, как отражение.Собрание.Загружать и RegSvcs.exe выполнять полезную нагрузку, при этом идентифицированной полезной нагрузкой в конкретном случае является Quasar RAT, популярный инструмент удаленного доступа.

Вредоносная программа обеспечивает постоянство в зараженных системах, создавая в планировщике задач Windows задания для запуска сценариев каждые две минуты, что позволяет вредоносным действиям продолжаться даже после перезагрузки системы. Вредоносная программа также использует методы обфускации, такие как использование символа #, для усложнения обнаружения.

Выполнение вредоносного ПО включает загрузку типа NewPE2.PE из сборки .NET и внедрение вредоносного кода в легитимные процессы, такие как RegSvcs.exe, что позволяет ему скрывать свои действия в рамках, казалось бы, безопасных процессов.

Продвинутый характер PSLoramyra как файлового загрузчика подчеркивает его надежные возможности, опору на автоматизацию и использование механизмов сохранения данных, таких как Windows Task Scheduler, для закрепления на зараженных системах.

Подробный анализ PSLoramyra в среде ANY.RUN sandbox позволяет получить ценную информацию о ее поведении и функциональных возможностях, способствуя эффективному обнаружению угроз и реагированию на инциденты для специалистов по кибербезопасности по всему миру.

#ParsedReport #CompletenessMedium
26-11-2024

Analysis of Elpaco: a Mimic variant

https://securelist.com/elpaco-ransomware-a-mimic-variant/114635

Report completeness: Medium

Threats:
Elpaco
Mimic_ransomware
Zerologon_vuln
Hidcon
Process_injection_technique
Lolbin_technique
Ransom.win32.generic
Ransom.win32.mimic.gen

Geo:
Romania, United kingdom, Netherlands, Russia, Germany, Korea, Canada, France

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 5
Technics: 13

IOCs:
File: 13
Hash: 2

Soft:
Windows Defender

Algorithms:
exhibit, chacha20, zip, rsa-4096

Functions:
SetSearchW

Win API:
FindFirstFileW, WriteFile, FindNextFileW, ShellExecuteW, LoadLibraryA, BCryptGenRandom

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в реагировании на инцидент, связанный с версией программы-вымогателя Elpaco, когда опытный хакер получил доступ к серверу жертвы с помощью успешной RDP-атаки методом перебора. Злоумышленник использовал уязвимость Zerologon для повышения привилегий и настройки работы вредоносного ПО с помощью графического интерфейса пользователя. Программа-вымогатель Elpaco, упакованная с использованием установщика 7-Zip, шифровала пользовательские данные, требовала выплаты выкупа и использовала расширенные функции, такие как многопоточное шифрование. Вредоносная программа содержала графический интерфейс, позволяющий операторам настраивать свойства программы-вымогателя, параметры шифрования и поведение, что создавало трудности для расшифровки из-за ее алгоритма шифрования и самоудаления после шифрования. Кроме того, правила YARA помогли обнаружить Elpaco dropper и графический интерфейс консоли, что указывает на широкое использование хакерами по всему миру.
-----

Вариант программы-вымогателя Elpaco был использован в недавней атаке, когда хакер получил доступ с помощью успешной RDP-атаки методом перебора.

Злоумышленник воспользовался уязвимостью CVE-2020-1472 (Zerologon) для повышения привилегий.

Версия программы-вымогателя Elpaco использовала библиотеку Everything для настройки операций с помощью графического интерфейса.

Программа-вымогатель была упакована с использованием механизма установки в формате 7-Zip, чтобы избежать обнаружения.

Программы-вымогатели Mimic и Elpaco variant использовали библиотеку Everything для таких вредоносных действий, как шифрование файлов и требование выкупа.

Вредоносная программа Elpaco распаковала необходимые файлы в каталоге %AppData%\Local со случайно сгенерированным UUID.

Основной консолью, используемой вредоносной программой Elpaco, была svhostss.exe, напоминающая законный процесс Windows svchost.exe.

Elpaco включила графический интерфейс под названием gui40.exe для настройки свойств программ-вымогателей, параметров шифрования, уведомлений о требовании выкупа и многого другого.

Elpaco регистрировала свои действия в C:\temp\MIMIC_LOG.txt и надежно удалил себя и связанные с ним файлы, используя команду Del и fsutil LOLBin.

Правила YARA были разработаны для определения Elpaco dropper и графического интерфейса консоли.

Elpaco и другие имитационные образцы использовались в атаках на различные страны, включая Соединенные Штаты, Россию, Нидерланды, Германию, Канаду, Румынию, Южную Корею и Великобританию.

Программа-вымогатель Elpaco создавала трудности для расшифровки из-за своего алгоритма шифрования и самоудаляющегося последующего шифрования, позволяющего избежать обнаружения.

#ParsedReport #CompletenessMedium
27-11-2024

Investigation into Helldown Ransomware

https://www.cyfirma.com/research/investigation-into-helldown-ransomware

Report completeness: Medium

Threats:
Helldown
Shadow_copies_delete_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Industry:
Transport, Healthcare, Energy

Geo:
France, Germany, Usa, Switzerland

CVEs:
CVE-2024-42057 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel zld firmware (<5.39)


TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 6
Hash: 4

Soft:
Linux, Zyxel, Windows Service

Algorithms:
sha256, md5

Win API:
UnhandledExceptionFilter

Platforms:
cross-platform

SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Helldown представляет собой быстро развивающуюся киберугрозу, нацеленную на критически важные отрасли по всему миру, и обладает расширенными возможностями как на платформах Windows, так и Linux. Программа-вымогатель использует шифрование, методы защиты от обнаружения и использует уязвимости, воздействуя на различные отрасли и основные службы по всему миру. Хакеры, стоящие за программой-вымогателем Helldown, активно используют уязвимости в брандмауэрах Zyxel, что приводит к значительным нарушениям и затрагивает жертв во многих странах. Меры по устранению уязвимостей, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для борьбы с этой широко распространенной угрозой.
-----

Программа-вымогатель Helldown - это быстро развивающаяся киберугроза, нацеленная на критически важные отрасли по всему миру, с расширенными возможностями как на платформах Windows, так и Linux. Эта программа-вымогатель нарушает работу систем, шифруя файлы и используя уязвимости, используя методы защиты от обнаружения и модульную конструкцию, что свидетельствует о постоянном развитии.

Первоначально идентифицированный CYFIRMA в августе 2024 года, вирус-вымогатель Helldown шифрует файлы, добавляет случайные расширения к именам файлов и оставляет записку с требованием выкупа ("Readme.random_string.txt"). Вредоносная программа проверяет наличие аналитических сред, манипулирует реестрами Windows для изменения настроек VSS, удаляет себя и другие артефакты и перезапускает скомпрометированную систему. Этот вариант программы-вымогателя Helldown представляет собой 64-разрядный исполняемый файл ELF, который загружает данные конфигурации и выполняет команды с помощью интерпретаторов оболочки, избегая обнаружения с помощью таких функций, как touch и sleep.

хакеры активно используют уязвимости в брандмауэрах Zyxel для получения доступа к системам, нацеливаясь на такие уязвимости, как CVE-2024-42057 с оценкой CVSS 8,1. Эти злоумышленники создают несанкционированные учетные записи и загружают вредоносные файлы для взлома систем, при этом поступают сообщения об аналогичных действиях на устройствах с устаревшей прошивкой. Сообщалось о значительных нарушениях, связанных с этими брандмауэрами, при этом некоторые жертвы заменяли устройства после инцидента.

Программа-вымогатель Helldown, несмотря на свою относительную новизну, затронула различные отрасли, в первую очередь недвижимость и строительство, за которыми следуют информационные технологии и производство. Также были затронуты такие важные отрасли, как здравоохранение, энергетика и транспорт, что отражает широкое влияние программы-вымогателя на основные услуги и бизнес по всему миру. Программа-вымогатель затронула жертв в 11 странах, причем наибольшее число случаев заражения зарегистрировано в США, за которыми следуют Германия, Франция и Швейцария, что указывает на глобальный охват и потенциал дальнейшего распространения.

Передовые технологии шифрования, кросс-платформенный таргетинг и использование уязвимостей делают программу-вымогатель Helldown серьезной угрозой для бизнеса по всему миру, особенно в критически важных отраслях. Ее нацеленность на нарушение работы основных служб и операций подчеркивает потенциальную возможность широкого распространения. Упреждающие меры, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для смягчения воздействия программ-вымогателей и предотвращения дальнейшего распространения.

#ParsedReport #CompletenessMedium
27-11-2024

RomCom Backdoor Attacks Use Zero-Day Exploits in Mozilla and Windows (CVE-2024-9680 & CVE-2024-49039)

https://socradar.io/romcom-backdoor-attacks-mozilla-and-windows

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Unc2596

Threats:
Romcom_rat
Redir
Dll_injection_technique

Industry:
Military, Government

Geo:
Ukraine, Russia, America

CVEs:
CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)


ChatGPT TTPs:
do not use without manual check
T1210, T1189

IOCs:
Domain: 9
File: 1
IP: 1
Hash: 6

Soft:
Firefox, Windows Task Scheduler

Languages:
javascript

Links:
https://github.com/eset/malware-ioc/tree/master/romcom

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа RomCom использовала две уязвимости нулевого дня в продуктах Mozilla и Microsoft для развертывания своего бэкдора, продемонстрировав расширенные возможности в глобальной кампании с использованием поддельных веб-сайтов и сложной цепочки атак. Уязвимости позволяли использовать их одним щелчком мыши, что позволяло доставлять вредоносные программы без участия пользователя. Эта кампания была нацелена на жертв по всему миру, в первую очередь в Европе и Северной Америке, демонстрируя сочетание шпионажа и финансово мотивированных атак RomCom с подозрениями в связях с Россией. Бэкдор RomCom, названный Tropical Scorpius, является универсальной и постоянной угрозой, предоставляя злоумышленникам полный контроль над скомпрометированными системами. Группы мониторинга, подобные RomCom, имеют решающее значение для защиты от развивающихся киберугроз.
-----

Хакерская группа RomCom использовала две уязвимости нулевого дня в продуктах Mozilla и Microsoft, CVE-2024-9680 и CVE-2024-49039, чтобы внедрить свой бэкдор с помощью сложной цепочки атак с использованием поддельных веб-сайтов.

Первая уязвимость, CVE-2024-9680, критическая ошибка в функции временной шкалы анимации Firefox, позволяющая злоумышленникам выполнять произвольный код в таких браузерах, как Firefox, Thunderbird и Tor.

Вторая уязвимость, CVE-2024-49039, связанная с повышением привилегий в службе Windows Task Scheduler, позволила злоумышленникам обойти защиту Firefox Sandbox и повысить привилегии в системах жертв.

В период с 10 октября по 4 ноября 2024 года RomCom атаковал жертв по всему миру, уделяя особое внимание Европе и Северной Америке, используя фишинговые домены, такие как redircorrectiv.com и devolredir.com, для обмана жертв.

Бэкдор RomCom предоставлял злоумышленникам полный контроль над скомпрометированными системами, позволяя выполнять такие действия, как выполнение команд, кража данных и дальнейшее развертывание вредоносного ПО.

RomCom - это изощренная хакерская группа, подозреваемая в связях с Россией, также известная как Tropical Scorpius, Storm-0978 или UNC2596, сочетающая шпионаж с финансово мотивированными атаками на военные, правительственные и политические организации в Украине и странах, входящих в НАТО.

#ParsedReport #CompletenessMedium
27-11-2024

Rockstar 2FA: A Driving Force in Phishing-as-a-Service (PaaS)

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rockstar-2fa-a-driving-force-in-phishing-as-a-service-paas

Report completeness: Medium

Actors/Campaigns:
Storm-1575

Threats:
Rockstar_2fa_tool
Aitm_technique
Dadsec_tool
Phoenix_keylogger
Antibot
Bec_technique

Victims:
Microsoft user accounts

ChatGPT TTPs:
do not use without manual check
T1566.002, T1556.004, T1071.001, T1203

IOCs:
Domain: 11
Url: 34

Soft:
Telegram, Cloudflare Turnstile, Microsoft OneDrive

Algorithms:
aes, pbkdf2, aes-cbc

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4