#ParsedReport #CompletenessMedium
26-11-2024

Analysis of Elpaco: a Mimic variant

https://securelist.com/elpaco-ransomware-a-mimic-variant/114635

Report completeness: Medium

Threats:
Elpaco
Mimic_ransomware
Zerologon_vuln
Hidcon
Process_injection_technique
Lolbin_technique
Ransom.win32.generic
Ransom.win32.mimic.gen

Geo:
Romania, United kingdom, Netherlands, Russia, Germany, Korea, Canada, France

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 5
Technics: 13

IOCs:
File: 13
Hash: 2

Soft:
Windows Defender

Algorithms:
exhibit, chacha20, zip, rsa-4096

Functions:
SetSearchW

Win API:
FindFirstFileW, WriteFile, FindNextFileW, ShellExecuteW, LoadLibraryA, BCryptGenRandom

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в реагировании на инцидент, связанный с версией программы-вымогателя Elpaco, когда опытный хакер получил доступ к серверу жертвы с помощью успешной RDP-атаки методом перебора. Злоумышленник использовал уязвимость Zerologon для повышения привилегий и настройки работы вредоносного ПО с помощью графического интерфейса пользователя. Программа-вымогатель Elpaco, упакованная с использованием установщика 7-Zip, шифровала пользовательские данные, требовала выплаты выкупа и использовала расширенные функции, такие как многопоточное шифрование. Вредоносная программа содержала графический интерфейс, позволяющий операторам настраивать свойства программы-вымогателя, параметры шифрования и поведение, что создавало трудности для расшифровки из-за ее алгоритма шифрования и самоудаления после шифрования. Кроме того, правила YARA помогли обнаружить Elpaco dropper и графический интерфейс консоли, что указывает на широкое использование хакерами по всему миру.
-----

Вариант программы-вымогателя Elpaco был использован в недавней атаке, когда хакер получил доступ с помощью успешной RDP-атаки методом перебора.

Злоумышленник воспользовался уязвимостью CVE-2020-1472 (Zerologon) для повышения привилегий.

Версия программы-вымогателя Elpaco использовала библиотеку Everything для настройки операций с помощью графического интерфейса.

Программа-вымогатель была упакована с использованием механизма установки в формате 7-Zip, чтобы избежать обнаружения.

Программы-вымогатели Mimic и Elpaco variant использовали библиотеку Everything для таких вредоносных действий, как шифрование файлов и требование выкупа.

Вредоносная программа Elpaco распаковала необходимые файлы в каталоге %AppData%\Local со случайно сгенерированным UUID.

Основной консолью, используемой вредоносной программой Elpaco, была svhostss.exe, напоминающая законный процесс Windows svchost.exe.

Elpaco включила графический интерфейс под названием gui40.exe для настройки свойств программ-вымогателей, параметров шифрования, уведомлений о требовании выкупа и многого другого.

Elpaco регистрировала свои действия в C:\temp\MIMIC_LOG.txt и надежно удалил себя и связанные с ним файлы, используя команду Del и fsutil LOLBin.

Правила YARA были разработаны для определения Elpaco dropper и графического интерфейса консоли.

Elpaco и другие имитационные образцы использовались в атаках на различные страны, включая Соединенные Штаты, Россию, Нидерланды, Германию, Канаду, Румынию, Южную Корею и Великобританию.

Программа-вымогатель Elpaco создавала трудности для расшифровки из-за своего алгоритма шифрования и самоудаляющегося последующего шифрования, позволяющего избежать обнаружения.

#ParsedReport #CompletenessMedium
27-11-2024

Investigation into Helldown Ransomware

https://www.cyfirma.com/research/investigation-into-helldown-ransomware

Report completeness: Medium

Threats:
Helldown
Shadow_copies_delete_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Industry:
Transport, Healthcare, Energy

Geo:
France, Germany, Usa, Switzerland

CVEs:
CVE-2024-42057 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel zld firmware (<5.39)


TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 6
Hash: 4

Soft:
Linux, Zyxel, Windows Service

Algorithms:
sha256, md5

Win API:
UnhandledExceptionFilter

Platforms:
cross-platform

SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Helldown представляет собой быстро развивающуюся киберугрозу, нацеленную на критически важные отрасли по всему миру, и обладает расширенными возможностями как на платформах Windows, так и Linux. Программа-вымогатель использует шифрование, методы защиты от обнаружения и использует уязвимости, воздействуя на различные отрасли и основные службы по всему миру. Хакеры, стоящие за программой-вымогателем Helldown, активно используют уязвимости в брандмауэрах Zyxel, что приводит к значительным нарушениям и затрагивает жертв во многих странах. Меры по устранению уязвимостей, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для борьбы с этой широко распространенной угрозой.
-----

Программа-вымогатель Helldown - это быстро развивающаяся киберугроза, нацеленная на критически важные отрасли по всему миру, с расширенными возможностями как на платформах Windows, так и Linux. Эта программа-вымогатель нарушает работу систем, шифруя файлы и используя уязвимости, используя методы защиты от обнаружения и модульную конструкцию, что свидетельствует о постоянном развитии.

Первоначально идентифицированный CYFIRMA в августе 2024 года, вирус-вымогатель Helldown шифрует файлы, добавляет случайные расширения к именам файлов и оставляет записку с требованием выкупа ("Readme.random_string.txt"). Вредоносная программа проверяет наличие аналитических сред, манипулирует реестрами Windows для изменения настроек VSS, удаляет себя и другие артефакты и перезапускает скомпрометированную систему. Этот вариант программы-вымогателя Helldown представляет собой 64-разрядный исполняемый файл ELF, который загружает данные конфигурации и выполняет команды с помощью интерпретаторов оболочки, избегая обнаружения с помощью таких функций, как touch и sleep.

хакеры активно используют уязвимости в брандмауэрах Zyxel для получения доступа к системам, нацеливаясь на такие уязвимости, как CVE-2024-42057 с оценкой CVSS 8,1. Эти злоумышленники создают несанкционированные учетные записи и загружают вредоносные файлы для взлома систем, при этом поступают сообщения об аналогичных действиях на устройствах с устаревшей прошивкой. Сообщалось о значительных нарушениях, связанных с этими брандмауэрами, при этом некоторые жертвы заменяли устройства после инцидента.

Программа-вымогатель Helldown, несмотря на свою относительную новизну, затронула различные отрасли, в первую очередь недвижимость и строительство, за которыми следуют информационные технологии и производство. Также были затронуты такие важные отрасли, как здравоохранение, энергетика и транспорт, что отражает широкое влияние программы-вымогателя на основные услуги и бизнес по всему миру. Программа-вымогатель затронула жертв в 11 странах, причем наибольшее число случаев заражения зарегистрировано в США, за которыми следуют Германия, Франция и Швейцария, что указывает на глобальный охват и потенциал дальнейшего распространения.

Передовые технологии шифрования, кросс-платформенный таргетинг и использование уязвимостей делают программу-вымогатель Helldown серьезной угрозой для бизнеса по всему миру, особенно в критически важных отраслях. Ее нацеленность на нарушение работы основных служб и операций подчеркивает потенциальную возможность широкого распространения. Упреждающие меры, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для смягчения воздействия программ-вымогателей и предотвращения дальнейшего распространения.

#ParsedReport #CompletenessMedium
27-11-2024

RomCom Backdoor Attacks Use Zero-Day Exploits in Mozilla and Windows (CVE-2024-9680 & CVE-2024-49039)

https://socradar.io/romcom-backdoor-attacks-mozilla-and-windows

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Unc2596

Threats:
Romcom_rat
Redir
Dll_injection_technique

Industry:
Military, Government

Geo:
Ukraine, Russia, America

CVEs:
CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)


ChatGPT TTPs:
do not use without manual check
T1210, T1189

IOCs:
Domain: 9
File: 1
IP: 1
Hash: 6

Soft:
Firefox, Windows Task Scheduler

Languages:
javascript

Links:
https://github.com/eset/malware-ioc/tree/master/romcom

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа RomCom использовала две уязвимости нулевого дня в продуктах Mozilla и Microsoft для развертывания своего бэкдора, продемонстрировав расширенные возможности в глобальной кампании с использованием поддельных веб-сайтов и сложной цепочки атак. Уязвимости позволяли использовать их одним щелчком мыши, что позволяло доставлять вредоносные программы без участия пользователя. Эта кампания была нацелена на жертв по всему миру, в первую очередь в Европе и Северной Америке, демонстрируя сочетание шпионажа и финансово мотивированных атак RomCom с подозрениями в связях с Россией. Бэкдор RomCom, названный Tropical Scorpius, является универсальной и постоянной угрозой, предоставляя злоумышленникам полный контроль над скомпрометированными системами. Группы мониторинга, подобные RomCom, имеют решающее значение для защиты от развивающихся киберугроз.
-----

Хакерская группа RomCom использовала две уязвимости нулевого дня в продуктах Mozilla и Microsoft, CVE-2024-9680 и CVE-2024-49039, чтобы внедрить свой бэкдор с помощью сложной цепочки атак с использованием поддельных веб-сайтов.

Первая уязвимость, CVE-2024-9680, критическая ошибка в функции временной шкалы анимации Firefox, позволяющая злоумышленникам выполнять произвольный код в таких браузерах, как Firefox, Thunderbird и Tor.

Вторая уязвимость, CVE-2024-49039, связанная с повышением привилегий в службе Windows Task Scheduler, позволила злоумышленникам обойти защиту Firefox Sandbox и повысить привилегии в системах жертв.

В период с 10 октября по 4 ноября 2024 года RomCom атаковал жертв по всему миру, уделяя особое внимание Европе и Северной Америке, используя фишинговые домены, такие как redircorrectiv.com и devolredir.com, для обмана жертв.

Бэкдор RomCom предоставлял злоумышленникам полный контроль над скомпрометированными системами, позволяя выполнять такие действия, как выполнение команд, кража данных и дальнейшее развертывание вредоносного ПО.

RomCom - это изощренная хакерская группа, подозреваемая в связях с Россией, также известная как Tropical Scorpius, Storm-0978 или UNC2596, сочетающая шпионаж с финансово мотивированными атаками на военные, правительственные и политические организации в Украине и странах, входящих в НАТО.

#ParsedReport #CompletenessMedium
27-11-2024

Rockstar 2FA: A Driving Force in Phishing-as-a-Service (PaaS)

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rockstar-2fa-a-driving-force-in-phishing-as-a-service-paas

Report completeness: Medium

Actors/Campaigns:
Storm-1575

Threats:
Rockstar_2fa_tool
Aitm_technique
Dadsec_tool
Phoenix_keylogger
Antibot
Bec_technique

Victims:
Microsoft user accounts

ChatGPT TTPs:
do not use without manual check
T1566.002, T1556.004, T1071.001, T1203

IOCs:
Domain: 11
Url: 34

Soft:
Telegram, Cloudflare Turnstile, Microsoft OneDrive

Algorithms:
aes, pbkdf2, aes-cbc

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фишинговая кампания под названием Rockstar 2FA, нацеленная на пользователей Microsoft с помощью поддельных страниц входа в систему, использующая продвинутые методы "злоумышленник посередине" для обхода 2FA и кражи сеансовых файлов cookie. В рамках кампании используются различные тактики, позволяющие избежать обнаружения, воздействовать на пользователей в разных секторах и регионах и способствовать вторичным атакам, таким как захват учетных записей и компрометация деловой электронной почты. Trustwave предлагает решения в области кибербезопасности для борьбы с подобными угрозами, а блог намекает на продолжение, посвященное более подробным фишинговым кампаниям, связанным с Rockstar 2FA.
-----

В блоге обсуждается фишинговая кампания, основанная на атаке "противник посередине" (AiTM), известной как Rockstar 2FA, которая нацелена на пользователей Microsoft с помощью поддельных страниц входа в систему Microsoft 365 (O365). Фишинговый набор Rockstar 2FA - это обновленная версия набора DadSec/Phoenix, которая теперь работает по модели PaaS и доступна на таких платформах, как ICQ, Telegram и Mail.ru. Набор может похвастаться такими функциями, как обход 2FA, сбор файлов cookie, защита от ботов и FUD-ссылки, которые предлагаются по доступным ценам, начиная с 200 долларов США за двухнедельную подписку.

Фишинговые электронные письма в рамках этой кампании рассылаются через скомпрометированные аккаунты и легальные сервисы, что затрудняет их обнаружение. Атаки затронули пользователей из разных секторов и регионов, используя различные шаблоны для привлечения жертв. Фишинговые страницы полностью имитируют страницы входа в систему Microsoft, используя обфускации в HTML-коде для сокрытия злонамеренных намерений. Как только пользователи попадают на фишинговую страницу после прохождения проверки через турникет Cloudflare, их учетные данные немедленно отправляются на сервер AiTM, что позволяет украсть сессионные файлы cookie.

Успех кампании обусловлен ее методами AiTM, которые обходят MFA и открывают возможности для вторичных атак, таких как захват учетных записей и компрометация деловой электронной почты (BEC). Количество фишинговых атак, связанных с Rockstar 2FA, увеличилось, что свидетельствует о необходимости постоянного мониторинга и принятия мер по смягчению последствий. Используются сложные тактические приемы, такие как FUD-ссылки, QR-коды и вызовы, такие как Cloudflare Turnstile, что указывает на эволюционирующий характер этих киберугроз.

Широкий охват и воздействие кампании указывают на распространенность атак товарного фишинга, что еще раз подчеркивает важность мер кибербезопасности для борьбы с такими угрозами. Trustwave, лидер в области кибербезопасности, упомянутый в тексте, предлагает комплексные решения в области кибербезопасности для эффективного обнаружения и реагирования на возникающие киберриски. В блоге содержится намек на вторую часть, посвященную более подробным фишинговым кампаниям, связанным с Rockstar 2FA, в которой подчеркивается постоянная угроза, исходящая от таких вредоносных действий.

#ParsedReport #CompletenessMedium
27-11-2024

New "CleverSoar" Installer Targets Chinese and Vietnamese Users

https://www.rapid7.com/blog/post/2024/11/27/new-cleversoar-installer-targets-chinese-and-vietnamese-users

Report completeness: Medium

Threats:
Cleversoar
Nidhogg
Winos
Valleyrat
Raspberry_robin
Uacme
Dll_injection_technique
Pchunter_tool

Industry:
Entertainment

Geo:
Vietnamese, Chinese

TTPs:

IOCs:
File: 17
Registry: 2
IP: 1

Soft:
QEMU, windows defender, Windows Security, Windows firewall

Functions:
Termination

Win API:
GetTokenInformation, ShellExecuteA, GetSystemFirmwareTable, GetVersionExW, GetTickCount64, IsDebuggerPresent, IsProcessorFeaturePresent, DeviceIoControl

Win Services:
msmpeng, mcshield, mfemms, ekrn

Platforms:
x86

Links:
https://github.com/Idov31/Nidhogg
https://github.com/hfiref0x/UACME/blob/master/Source/Shared/windefend.c

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый и продвинутый установщик вредоносного ПО CleverSoar, предназначенный для жертв, говорящих на китайском и вьетнамском языках, демонстрирующий сложные возможности, такие как сбор данных, слежка и тактика уклонения. Кампания, стоящая за CleverSoar, по-видимому, является частью длительной шпионской деятельности высококвалифицированного хакера, и ее сходство с другими кампаниями, о которых сообщалось, намекает на потенциальные связи. Rapid7 Labs рекомендует использовать Insight Agent для улучшения защиты от таких угроз, в то время как организациям в пострадавших регионах следует сохранять бдительность и быть готовыми к обнаружению и снижению потенциальных рисков, связанных с CleverSoar.
-----

Rapid7 Labs обнаружила новый сложный установщик вредоносного ПО под названием CleverSoar, предназначенный для жертв, говорящих на китайском и вьетнамском языках.

CleverSoar использует вредоносные компоненты, такие как Winos4.0 framework и руткит Nidhogg, для таких функций, как регистрация нажатий клавиш, утечка данных, обход системы безопасности и скрытый контроль системы.

Кампания CleverSoar, вероятно, является частью длительных шпионских усилий, направленных на сбор данных и расширенное наблюдение.

Установщик CleverSoar появился на VirusTotal в конце июля, большинство связанных с ним двоичных файлов были обнаружены в ноябре 2024 года, и предназначен для пользователей в зависимости от языковых настроек.

Сходство с кампанией ValleyRAT и другими кампаниями предполагает потенциальную связь, указывая на то, что за CleverSoar стоит очень способный хакер.

CleverSoar использует передовые знания в области протоколов Windows и продуктов безопасности, включая методы защиты от виртуальных машин, проверки обхода и индивидуальные методы обхода.

Кампания CleverSoar представляет собой целенаправленную угрозу с использованием специально разработанных компонентов вредоносного ПО и сложных средств защиты от обнаружения.

В число рекомендаций входит использование Insight Agent для улучшения защиты от таких угроз, как CleverSoar. Организациям следует осознавать потенциальные риски и проявлять бдительность в отношении тактики хакеров.

#ParsedReport #CompletenessLow
26-11-2024

Caught in the Net: Unmasking Advanced Phishing Tactics

https://www.varonis.com/blog/advanced-phishing-tactics

Report completeness: Low

Threats:
Glitch

Victims:
U.k.-based insurance customer

Industry:
Transport

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1027

IOCs:
Domain: 6
IP: 1

Soft:
Microsoft Office, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - детальное расследование и анализ сложной фишинговой атаки, нацеленной на клиента страховой компании из Великобритании, который использовал передовые тактики, такие как использование надежных адресов отправителей, создание поддельных страниц аутентификации и использование законных платформ для обхода систем безопасности электронной почты. Инцидент был частью более широкой кампании, нацеленной на несколько компаний, подчеркивающей важность информированности пользователей, лучших практик борьбы с фишинговыми атаками и внедрения технических мер для усиления защиты от подобных угроз.
-----

Команда криминалистов Varonis недавно расследовала сложную фишинговую атаку, направленную на клиента страховой компании из Великобритании. Атака началась с правила удаления, созданного на основе IP-адреса в США в почтовом ящике исполнительного менеджера, в результате чего электронные письма, содержащие определенное ключевое слово в адресе электронной почты, были удалены безвозвратно. Фишинговое электронное письмо, озаглавленное "ML Payment #05323", по всей видимости, было отправлено генеральным директором крупной международной судоходной компании, доверенным отправителем, с которым клиент общался ранее. В электронном письме содержалась ссылка на PDF-файл, размещенный на сервере AWS, который был представлен как официальное сообщение OneDrive. Ссылка на PDF-файл содержала фразу "atoantibot", которая, по-видимому, указывала на защиту от захвата учетной записи, но на самом деле была частью попытки фишинга.

Злоумышленник использовал общедоступную платформу Render для создания поддельной страницы аутентификации Microsoft, перенаправляя жертв на "login.siffinance.com", чтобы украсть их учетные данные. Используя легальные платформы, злоумышленник стремился обойти системы защиты электронной почты. После ввода учетных данных жертва была перенаправлена на официальный сайт Microsoft Office, выдав инцидент за обычный сбой. Несмотря на то, что злоумышленник деактивировал вредоносный домен, доступ к нему был перенаправлен на интернет-розыгрыш. Жертва также необъяснимым образом ответила на электронное письмо злоумышленника, и успешный вход в систему с IP-адреса в США подтвердил несанкционированный доступ злоумышленника из Великобритании.

Этот фишинговый инцидент был частью более широкой кампании, нацеленной на несколько компаний, которые использовали передовые тактики для сокрытия своих следов, использования надежных адресов отправителей, использования законных платформ, таких как AWS и Render, и создания сложных вложенных ссылок, чтобы скрыть конечный фишинговый сайт. Стратегия злоумышленника усложнила задачу обнаружения и расследования, подчеркнув важность осведомленности пользователей и передовых методов борьбы с фишинговыми атаками.

Чтобы усилить защиту от фишинга и атак с целью захвата учетных записей, организации могут внедрять технические меры, такие как мониторинг электронной почты и активности в интернете в режиме реального времени, поведения пользователей и взаимодействия с данными, используя такие инструменты, как Varonis. Обучение пользователей навыкам работы с электронной почтой, проверке ссылок, защите учетных данных и распознаванию фишинга также может помочь снизить риски, связанные с изощренными фишинговыми кампаниями. Повышая осведомленность и внедряя превентивные меры безопасности, организации могут усилить свою защиту от возникающих киберугроз.

#ParsedReport #CompletenessLow
27-11-2024

Dozens of Machines Infected: Year-Long NPM Supply Chain Attack Combines Crypto Mining and Data Theft

https://checkmarx.com/blog/dozens-of-machines-infected-year-long-npm-supply-chain-attack-combines-crypto-mining-and-data-theft

Report completeness: Low

Threats:
Supply_chain_technique
Xmrig_miner

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1070, T1036, T1564, T1553, T1587, T1049, T1496

IOCs:
File: 4
Url: 3
Coin: 1

Soft:
Dropbox, Node.js, WordPress, Linux, systemd

Crypto:
monero

Languages:
javascript

Links:
https://github.com/hpc20235/yawpp