#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Helldown представляет собой быстро развивающуюся киберугрозу, нацеленную на критически важные отрасли по всему миру, и обладает расширенными возможностями как на платформах Windows, так и Linux. Программа-вымогатель использует шифрование, методы защиты от обнаружения и использует уязвимости, воздействуя на различные отрасли и основные службы по всему миру. Хакеры, стоящие за программой-вымогателем Helldown, активно используют уязвимости в брандмауэрах Zyxel, что приводит к значительным нарушениям и затрагивает жертв во многих странах. Меры по устранению уязвимостей, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для борьбы с этой широко распространенной угрозой.
-----

Программа-вымогатель Helldown - это быстро развивающаяся киберугроза, нацеленная на критически важные отрасли по всему миру, с расширенными возможностями как на платформах Windows, так и Linux. Эта программа-вымогатель нарушает работу систем, шифруя файлы и используя уязвимости, используя методы защиты от обнаружения и модульную конструкцию, что свидетельствует о постоянном развитии.

Первоначально идентифицированный CYFIRMA в августе 2024 года, вирус-вымогатель Helldown шифрует файлы, добавляет случайные расширения к именам файлов и оставляет записку с требованием выкупа ("Readme.random_string.txt"). Вредоносная программа проверяет наличие аналитических сред, манипулирует реестрами Windows для изменения настроек VSS, удаляет себя и другие артефакты и перезапускает скомпрометированную систему. Этот вариант программы-вымогателя Helldown представляет собой 64-разрядный исполняемый файл ELF, который загружает данные конфигурации и выполняет команды с помощью интерпретаторов оболочки, избегая обнаружения с помощью таких функций, как touch и sleep.

хакеры активно используют уязвимости в брандмауэрах Zyxel для получения доступа к системам, нацеливаясь на такие уязвимости, как CVE-2024-42057 с оценкой CVSS 8,1. Эти злоумышленники создают несанкционированные учетные записи и загружают вредоносные файлы для взлома систем, при этом поступают сообщения об аналогичных действиях на устройствах с устаревшей прошивкой. Сообщалось о значительных нарушениях, связанных с этими брандмауэрами, при этом некоторые жертвы заменяли устройства после инцидента.

Программа-вымогатель Helldown, несмотря на свою относительную новизну, затронула различные отрасли, в первую очередь недвижимость и строительство, за которыми следуют информационные технологии и производство. Также были затронуты такие важные отрасли, как здравоохранение, энергетика и транспорт, что отражает широкое влияние программы-вымогателя на основные услуги и бизнес по всему миру. Программа-вымогатель затронула жертв в 11 странах, причем наибольшее число случаев заражения зарегистрировано в США, за которыми следуют Германия, Франция и Швейцария, что указывает на глобальный охват и потенциал дальнейшего распространения.

Передовые технологии шифрования, кросс-платформенный таргетинг и использование уязвимостей делают программу-вымогатель Helldown серьезной угрозой для бизнеса по всему миру, особенно в критически важных отраслях. Ее нацеленность на нарушение работы основных служб и операций подчеркивает потенциальную возможность широкого распространения. Упреждающие меры, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для смягчения воздействия программ-вымогателей и предотвращения дальнейшего распространения.

#ParsedReport #CompletenessMedium
27-11-2024

RomCom Backdoor Attacks Use Zero-Day Exploits in Mozilla and Windows (CVE-2024-9680 & CVE-2024-49039)

https://socradar.io/romcom-backdoor-attacks-mozilla-and-windows

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Unc2596

Threats:
Romcom_rat
Redir
Dll_injection_technique

Industry:
Military, Government

Geo:
Ukraine, Russia, America

CVEs:
CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)


ChatGPT TTPs:
do not use without manual check
T1210, T1189

IOCs:
Domain: 9
File: 1
IP: 1
Hash: 6

Soft:
Firefox, Windows Task Scheduler

Languages:
javascript

Links:
https://github.com/eset/malware-ioc/tree/master/romcom

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа RomCom использовала две уязвимости нулевого дня в продуктах Mozilla и Microsoft для развертывания своего бэкдора, продемонстрировав расширенные возможности в глобальной кампании с использованием поддельных веб-сайтов и сложной цепочки атак. Уязвимости позволяли использовать их одним щелчком мыши, что позволяло доставлять вредоносные программы без участия пользователя. Эта кампания была нацелена на жертв по всему миру, в первую очередь в Европе и Северной Америке, демонстрируя сочетание шпионажа и финансово мотивированных атак RomCom с подозрениями в связях с Россией. Бэкдор RomCom, названный Tropical Scorpius, является универсальной и постоянной угрозой, предоставляя злоумышленникам полный контроль над скомпрометированными системами. Группы мониторинга, подобные RomCom, имеют решающее значение для защиты от развивающихся киберугроз.
-----

Хакерская группа RomCom использовала две уязвимости нулевого дня в продуктах Mozilla и Microsoft, CVE-2024-9680 и CVE-2024-49039, чтобы внедрить свой бэкдор с помощью сложной цепочки атак с использованием поддельных веб-сайтов.

Первая уязвимость, CVE-2024-9680, критическая ошибка в функции временной шкалы анимации Firefox, позволяющая злоумышленникам выполнять произвольный код в таких браузерах, как Firefox, Thunderbird и Tor.

Вторая уязвимость, CVE-2024-49039, связанная с повышением привилегий в службе Windows Task Scheduler, позволила злоумышленникам обойти защиту Firefox Sandbox и повысить привилегии в системах жертв.

В период с 10 октября по 4 ноября 2024 года RomCom атаковал жертв по всему миру, уделяя особое внимание Европе и Северной Америке, используя фишинговые домены, такие как redircorrectiv.com и devolredir.com, для обмана жертв.

Бэкдор RomCom предоставлял злоумышленникам полный контроль над скомпрометированными системами, позволяя выполнять такие действия, как выполнение команд, кража данных и дальнейшее развертывание вредоносного ПО.

RomCom - это изощренная хакерская группа, подозреваемая в связях с Россией, также известная как Tropical Scorpius, Storm-0978 или UNC2596, сочетающая шпионаж с финансово мотивированными атаками на военные, правительственные и политические организации в Украине и странах, входящих в НАТО.

#ParsedReport #CompletenessMedium
27-11-2024

Rockstar 2FA: A Driving Force in Phishing-as-a-Service (PaaS)

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rockstar-2fa-a-driving-force-in-phishing-as-a-service-paas

Report completeness: Medium

Actors/Campaigns:
Storm-1575

Threats:
Rockstar_2fa_tool
Aitm_technique
Dadsec_tool
Phoenix_keylogger
Antibot
Bec_technique

Victims:
Microsoft user accounts

ChatGPT TTPs:
do not use without manual check
T1566.002, T1556.004, T1071.001, T1203

IOCs:
Domain: 11
Url: 34

Soft:
Telegram, Cloudflare Turnstile, Microsoft OneDrive

Algorithms:
aes, pbkdf2, aes-cbc

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фишинговая кампания под названием Rockstar 2FA, нацеленная на пользователей Microsoft с помощью поддельных страниц входа в систему, использующая продвинутые методы "злоумышленник посередине" для обхода 2FA и кражи сеансовых файлов cookie. В рамках кампании используются различные тактики, позволяющие избежать обнаружения, воздействовать на пользователей в разных секторах и регионах и способствовать вторичным атакам, таким как захват учетных записей и компрометация деловой электронной почты. Trustwave предлагает решения в области кибербезопасности для борьбы с подобными угрозами, а блог намекает на продолжение, посвященное более подробным фишинговым кампаниям, связанным с Rockstar 2FA.
-----

В блоге обсуждается фишинговая кампания, основанная на атаке "противник посередине" (AiTM), известной как Rockstar 2FA, которая нацелена на пользователей Microsoft с помощью поддельных страниц входа в систему Microsoft 365 (O365). Фишинговый набор Rockstar 2FA - это обновленная версия набора DadSec/Phoenix, которая теперь работает по модели PaaS и доступна на таких платформах, как ICQ, Telegram и Mail.ru. Набор может похвастаться такими функциями, как обход 2FA, сбор файлов cookie, защита от ботов и FUD-ссылки, которые предлагаются по доступным ценам, начиная с 200 долларов США за двухнедельную подписку.

Фишинговые электронные письма в рамках этой кампании рассылаются через скомпрометированные аккаунты и легальные сервисы, что затрудняет их обнаружение. Атаки затронули пользователей из разных секторов и регионов, используя различные шаблоны для привлечения жертв. Фишинговые страницы полностью имитируют страницы входа в систему Microsoft, используя обфускации в HTML-коде для сокрытия злонамеренных намерений. Как только пользователи попадают на фишинговую страницу после прохождения проверки через турникет Cloudflare, их учетные данные немедленно отправляются на сервер AiTM, что позволяет украсть сессионные файлы cookie.

Успех кампании обусловлен ее методами AiTM, которые обходят MFA и открывают возможности для вторичных атак, таких как захват учетных записей и компрометация деловой электронной почты (BEC). Количество фишинговых атак, связанных с Rockstar 2FA, увеличилось, что свидетельствует о необходимости постоянного мониторинга и принятия мер по смягчению последствий. Используются сложные тактические приемы, такие как FUD-ссылки, QR-коды и вызовы, такие как Cloudflare Turnstile, что указывает на эволюционирующий характер этих киберугроз.

Широкий охват и воздействие кампании указывают на распространенность атак товарного фишинга, что еще раз подчеркивает важность мер кибербезопасности для борьбы с такими угрозами. Trustwave, лидер в области кибербезопасности, упомянутый в тексте, предлагает комплексные решения в области кибербезопасности для эффективного обнаружения и реагирования на возникающие киберриски. В блоге содержится намек на вторую часть, посвященную более подробным фишинговым кампаниям, связанным с Rockstar 2FA, в которой подчеркивается постоянная угроза, исходящая от таких вредоносных действий.

#ParsedReport #CompletenessMedium
27-11-2024

New "CleverSoar" Installer Targets Chinese and Vietnamese Users

https://www.rapid7.com/blog/post/2024/11/27/new-cleversoar-installer-targets-chinese-and-vietnamese-users

Report completeness: Medium

Threats:
Cleversoar
Nidhogg
Winos
Valleyrat
Raspberry_robin
Uacme
Dll_injection_technique
Pchunter_tool

Industry:
Entertainment

Geo:
Vietnamese, Chinese

TTPs:

IOCs:
File: 17
Registry: 2
IP: 1

Soft:
QEMU, windows defender, Windows Security, Windows firewall

Functions:
Termination

Win API:
GetTokenInformation, ShellExecuteA, GetSystemFirmwareTable, GetVersionExW, GetTickCount64, IsDebuggerPresent, IsProcessorFeaturePresent, DeviceIoControl

Win Services:
msmpeng, mcshield, mfemms, ekrn

Platforms:
x86

Links:
https://github.com/Idov31/Nidhogg
https://github.com/hfiref0x/UACME/blob/master/Source/Shared/windefend.c

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый и продвинутый установщик вредоносного ПО CleverSoar, предназначенный для жертв, говорящих на китайском и вьетнамском языках, демонстрирующий сложные возможности, такие как сбор данных, слежка и тактика уклонения. Кампания, стоящая за CleverSoar, по-видимому, является частью длительной шпионской деятельности высококвалифицированного хакера, и ее сходство с другими кампаниями, о которых сообщалось, намекает на потенциальные связи. Rapid7 Labs рекомендует использовать Insight Agent для улучшения защиты от таких угроз, в то время как организациям в пострадавших регионах следует сохранять бдительность и быть готовыми к обнаружению и снижению потенциальных рисков, связанных с CleverSoar.
-----

Rapid7 Labs обнаружила новый сложный установщик вредоносного ПО под названием CleverSoar, предназначенный для жертв, говорящих на китайском и вьетнамском языках.

CleverSoar использует вредоносные компоненты, такие как Winos4.0 framework и руткит Nidhogg, для таких функций, как регистрация нажатий клавиш, утечка данных, обход системы безопасности и скрытый контроль системы.

Кампания CleverSoar, вероятно, является частью длительных шпионских усилий, направленных на сбор данных и расширенное наблюдение.

Установщик CleverSoar появился на VirusTotal в конце июля, большинство связанных с ним двоичных файлов были обнаружены в ноябре 2024 года, и предназначен для пользователей в зависимости от языковых настроек.

Сходство с кампанией ValleyRAT и другими кампаниями предполагает потенциальную связь, указывая на то, что за CleverSoar стоит очень способный хакер.

CleverSoar использует передовые знания в области протоколов Windows и продуктов безопасности, включая методы защиты от виртуальных машин, проверки обхода и индивидуальные методы обхода.

Кампания CleverSoar представляет собой целенаправленную угрозу с использованием специально разработанных компонентов вредоносного ПО и сложных средств защиты от обнаружения.

В число рекомендаций входит использование Insight Agent для улучшения защиты от таких угроз, как CleverSoar. Организациям следует осознавать потенциальные риски и проявлять бдительность в отношении тактики хакеров.

#ParsedReport #CompletenessLow
26-11-2024

Caught in the Net: Unmasking Advanced Phishing Tactics

https://www.varonis.com/blog/advanced-phishing-tactics

Report completeness: Low

Threats:
Glitch

Victims:
U.k.-based insurance customer

Industry:
Transport

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1027

IOCs:
Domain: 6
IP: 1

Soft:
Microsoft Office, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - детальное расследование и анализ сложной фишинговой атаки, нацеленной на клиента страховой компании из Великобритании, который использовал передовые тактики, такие как использование надежных адресов отправителей, создание поддельных страниц аутентификации и использование законных платформ для обхода систем безопасности электронной почты. Инцидент был частью более широкой кампании, нацеленной на несколько компаний, подчеркивающей важность информированности пользователей, лучших практик борьбы с фишинговыми атаками и внедрения технических мер для усиления защиты от подобных угроз.
-----

Команда криминалистов Varonis недавно расследовала сложную фишинговую атаку, направленную на клиента страховой компании из Великобритании. Атака началась с правила удаления, созданного на основе IP-адреса в США в почтовом ящике исполнительного менеджера, в результате чего электронные письма, содержащие определенное ключевое слово в адресе электронной почты, были удалены безвозвратно. Фишинговое электронное письмо, озаглавленное "ML Payment #05323", по всей видимости, было отправлено генеральным директором крупной международной судоходной компании, доверенным отправителем, с которым клиент общался ранее. В электронном письме содержалась ссылка на PDF-файл, размещенный на сервере AWS, который был представлен как официальное сообщение OneDrive. Ссылка на PDF-файл содержала фразу "atoantibot", которая, по-видимому, указывала на защиту от захвата учетной записи, но на самом деле была частью попытки фишинга.

Злоумышленник использовал общедоступную платформу Render для создания поддельной страницы аутентификации Microsoft, перенаправляя жертв на "login.siffinance.com", чтобы украсть их учетные данные. Используя легальные платформы, злоумышленник стремился обойти системы защиты электронной почты. После ввода учетных данных жертва была перенаправлена на официальный сайт Microsoft Office, выдав инцидент за обычный сбой. Несмотря на то, что злоумышленник деактивировал вредоносный домен, доступ к нему был перенаправлен на интернет-розыгрыш. Жертва также необъяснимым образом ответила на электронное письмо злоумышленника, и успешный вход в систему с IP-адреса в США подтвердил несанкционированный доступ злоумышленника из Великобритании.

Этот фишинговый инцидент был частью более широкой кампании, нацеленной на несколько компаний, которые использовали передовые тактики для сокрытия своих следов, использования надежных адресов отправителей, использования законных платформ, таких как AWS и Render, и создания сложных вложенных ссылок, чтобы скрыть конечный фишинговый сайт. Стратегия злоумышленника усложнила задачу обнаружения и расследования, подчеркнув важность осведомленности пользователей и передовых методов борьбы с фишинговыми атаками.

Чтобы усилить защиту от фишинга и атак с целью захвата учетных записей, организации могут внедрять технические меры, такие как мониторинг электронной почты и активности в интернете в режиме реального времени, поведения пользователей и взаимодействия с данными, используя такие инструменты, как Varonis. Обучение пользователей навыкам работы с электронной почтой, проверке ссылок, защите учетных данных и распознаванию фишинга также может помочь снизить риски, связанные с изощренными фишинговыми кампаниями. Повышая осведомленность и внедряя превентивные меры безопасности, организации могут усилить свою защиту от возникающих киберугроз.

#ParsedReport #CompletenessLow
27-11-2024

Dozens of Machines Infected: Year-Long NPM Supply Chain Attack Combines Crypto Mining and Data Theft

https://checkmarx.com/blog/dozens-of-machines-infected-year-long-npm-supply-chain-attack-combines-crypto-mining-and-data-theft

Report completeness: Low

Threats:
Supply_chain_technique
Xmrig_miner

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1070, T1036, T1564, T1553, T1587, T1049, T1496

IOCs:
File: 4
Url: 3
Coin: 1

Soft:
Dropbox, Node.js, WordPress, Linux, systemd

Crypto:
monero

Languages:
javascript

Links:
https://github.com/hpc20235/yawpp

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 10, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследовательская группа Checkmarx обнаружила постоянную и изощренную атаку на цепочку поставок с использованием вредоносного пакета NPM @0xengine/xmlrpc, который из-за частых обновлений перешел от законной функциональности к вредоносной, что привело к краже данных, добыче криптовалюты и компрометации системы. Этот инцидент подчеркивает важность бдительности при проверке проектов с открытым исходным кодом, внедрении мер безопасности, мониторинге обновлений пакетов и проведении регулярных аудитов для снижения рисков атак на цепочку поставок.
-----

Исследовательская группа Checkmarx обнаружила постоянную и изощренную атаку на цепочку поставок с использованием вредоносного пакета NPM @0xengine/xmlrpc, который был активен с октября 2023 по ноябрь 2024 года. Несмотря на то, что изначально пакет представлялся как легальная реализация XML-RPC, в более поздних версиях был внедрен вредоносный код, приводящий к краже данных и майнингу криптовалют в зараженных системах. Вредоносная программа осуществляет эксфильтрацию данных через Dropbox и file.io, а также использует методы обхода, чтобы избежать обнаружения, такие как мониторинг системной активности. Атака распространялась через прямые установки NPM и как скрытая зависимость в, казалось бы, законном репозитории GitHub под названием "yawpp". Эта стратегия использовала доверие разработчиков к зависимостям пакетов, что привело к непреднамеренной установке вредоносного пакета.

Эволюция вредоносного пакета примечательна тем, что, начиная с версии 1.3.4, он стратегически перешел от легальной функциональности к вредоносной, и в октябре 2024 года было выпущено в общей сложности 16 обновлений вплоть до версии 1.3.18. Эта схема непрерывного обновления поддерживала иллюзию законного обслуживания, скрывая при этом истинную природу программного обеспечения. Атака осуществлялась с помощью многоэтапного подхода, активируясь либо с помощью выполнения определенных команд, либо как зависимость от инструмента WordPress "yawpp". После запуска вредоносная программа собирает системную информацию, запускает операции по добыче криптовалюты с помощью XMRig для майнинга Monero и устанавливает постоянство через systemd как "Xsession.auth", чтобы обеспечить долгосрочную работу зараженных систем.

Чтобы избежать обнаружения, вредоносная программа включает в себя усовершенствованную систему мониторинга, которая проверяет наличие средств мониторинга и отслеживает активность пользователей с помощью xprintidle, чтобы определить оптимальное время для майнинга. Это гарантирует, что процесс майнинга выполняется только в периоды бездействия пользователя, чтобы уменьшить подозрения. Кроме того, вредоносная программа реализует систему сбора и эксфильтрации данных, которая срабатывает каждые 12 часов, систематически собирая конфиденциальную информацию для эксфильтрации по различным каналам.

Атака на цепочку поставок, организованная с помощью @0xengine/xmlrpc, демонстрирует постоянную угрозу в цепочках поставок программного обеспечения и подчеркивает необходимость постоянной бдительности при проверке проектов с открытым исходным кодом. Этот инцидент подчеркивает риски, связанные как с изначально вредоносными пакетами, так и с законными, которые со временем становятся уязвимыми. Разработчикам и организациям рекомендуется применять надежные меры безопасности, отслеживать обновления пакетов и проводить регулярные проверки зависимостей, чтобы снизить угрозу атак на цепочки поставок.

#ParsedReport #CompletenessLow
27-11-2024

Bootkitty: Analyzing the first UEFI bootkit for Linux

https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux

Report completeness: Low

Threats:
Bootkitty
Bcdropper
Bcobserver
Efiguard
Especter
Finfisher
Blacklotus
Blackcat
Dynamic_linker_hijacking_technique

Victims:
Ubuntu versions

Geo:
Ukraine

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Hash: 3

Soft:
Linux, Ubuntu, systemd

Win API:
decompress

Languages:
rust

Links:
https://github.com/ajkhoury/UEFI-Bootkit
have more...
https://github.com/Cr4sh/s6\_pcie\_microblaze/tree/master/python/payloads/DmaBackdoorBoot
https://github.com/Mattiwatti/EfiGuard

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 1, schema: 1