#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Aqua Nautilus раскрыли широкомасштабную кампанию DDoS, организованную хакером по имени Matrix, использующим доступные инструменты и методы для выявления уязвимостей в IoT и корпоративных системах с целью получения финансовой выгоды, а также для майнинга криптовалют. Кампания предполагает использование уязвимостей, неправильных настроек и слабых учетных данных на различных устройствах, что приводит к созданию глобальной ботнета под управлением Matrix. Для борьбы с такими угрозами Aqua Nautilus предлагает решения для обеспечения безопасности, такие как CNAPP и DTA, которые помогают организациям укрепить свои позиции в области защиты от возникающих киберугроз.
-----

Исследователи Aqua Nautilus раскрыли широкомасштабную кампанию по борьбе с отказом в обслуживании (DDoS), организованную хакером по имени Matrix. Расследование раскрывает методы, цели и инструментарий Matrix, демонстрируя, как доступные инструменты и минимальные технические знания могут способствовать проведению крупномасштабных кибератак. Кампания нацелена на уязвимости и неправильные настройки в IoT и корпоративных системах, используя общедоступные скрипты, атаки методом перебора и использование слабых учетных данных для создания глобальной ботнет-сети для сбоев.

Кампания Matrix знаменует собой смещение акцента в сторону серверов разработки и производства, что указывает на заинтересованность в использовании корпоративных уязвимостей для DDoS-атак. Хакер использует ряд инструментов и методов для использования слабых мест в различных устройствах и программных системах, демонстрируя ориентацию на финансовую выгоду, а не на политические мотивы. Используя широкий спектр общедоступных скриптов и инструментов, злоумышленники могут получить доступ к целому ряду подключенных к Интернету устройств, включая устройства Интернета вещей, маршрутизаторы, телекоммуникационное оборудование и корпоративные серверы. Примечательно, что значительное количество взломанных устройств по-прежнему использует учетные данные по умолчанию или ненадежные учетные данные, что делает их уязвимыми для использования.

Хакерская кампания включает использование уязвимостей в маршрутизаторах, видеорегистраторах, камерах, телекоммуникационном оборудовании, устройствах Интернета вещей и корпоративных программных системах. Аккаунт Matrix на GitHub демонстрирует использование Python, Shell, Golang и других языков для разработки и модификации вредоносных инструментов. Наблюдаемая схема активности предполагает структурированный подход к созданию и совершенствованию инструментов ботнета при изучении различных областей атак, демонстрируя значительное внимание сканированию, использованию и развертыванию вредоносных программ, в первую очередь для DDoS-атак на устройства и серверы Интернета вещей.

Исследователь обнаружил множество распространенных уязвимостей (CVE), на которые нацелился хакер, в основном на устройствах Интернета вещей, маршрутизаторах и корпоративных серверах. Кампания использует неправильные настройки и слабые учетные данные в качестве начальных средств доступа для компрометации большого количества устройств по всему миру, что потенциально может привести к созданию крупной ботнета под контролем хакера.

Кампания Matrix также включает в себя создание Telegram-бота для продажи услуг DDoS-атак, нацеленных как на атаки уровня 4, так и на атаки уровня 7 с целью перегрузки серверов. Хотя в кампании преобладают финансовые мотивы, хакер также занимается добычей криптовалюты, хотя и с ограниченной финансовой выгодой.

Для борьбы с такими угрозами Aqua Nautilus предлагает платформу облачных приложений (CNAPP) для обеспечения безопасности во время выполнения в облачных средах и динамический анализ угроз (DTA) для анализа вредоносных программ в контейнерных средах. Выявляя и устраняя уязвимости, организации могут укрепить свою систему безопасности против развивающихся киберугроз, подобных той, которую реализует Matrix.

#ParsedReport #CompletenessHigh
30-11-2024

RomCom exploits Firefox and Windows zero days in the wild

https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Unc2596 (motivation: cyber_espionage)

Threats:
Romcom_rat
Redir
Dll_injection_technique

Industry:
Energy, Healthcare

Geo:
Russia, Ukraine, Germany, America

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20107)
- microsoft windows 10 1607 (<10.0.14393.6167)
- microsoft windows 10 1809 (<10.0.17763.4737)
- microsoft windows 10 21h2 (<10.0.19044.3324)
- microsoft windows 10 22h2 (<10.0.19044.3324)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)

CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 13
Technics: 31

IOCs:
File: 12
Domain: 9
Url: 1
IP: 10
Hash: 6

Soft:
Firefox, Windows Task Scheduler, Component Object Model, wordpad, Microsoft Word, Tor Browser, task scheduler, Windows security

Algorithms:
sha1, zip

Functions:
getInfo

Win API:
NdrClientCall2

Languages:
javascript, powershell

Links:
https://github.com/monoxgas/sRDI/blob/master/ShellcodeRDI/ShellcodeRDI.c
https://github.com/silverf0x/RpcView
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении критической уязвимости нулевого дня CVE-2024-9680 в продуктах Mozilla, эксплуатируемой хакерской группой RomCom, а также в использовании другой уязвимости нулевого дня в Windows для внедрения бэкдора в системы жертв. Атака включает в себя перенаправление пользователей на поддельный веб-сайт, на котором размещен эксплойт, что позволяет выполнять вредоносный код без участия пользователя. Кроме того, в тексте обсуждается сложность атак RomCom, их сотрудничество с Mozilla для раскрытия информации и важность надежных мер кибербезопасности против APT, использующих уязвимости нулевого дня.
-----

Исследователи ESET обнаружили критическую уязвимость нулевого дня CVE-2024-9680 в продуктах Mozilla, которую использовала связанная с Россией хакерская группа RomCom.

RomCom использовал CVE-2024-9680 для запуска кода в контексте таких браузеров, как Firefox, Thunderbird и Tor Browser.

RomCom также использовал уязвимость Windows нулевого дня CVE-2024-49039, которая в сочетании с уязвимостью Mozilla позволяла выполнять произвольный код в пользовательском контексте.

Жертвы, посещающие скомпрометированные веб-сайты, могут невольно выполнить вредоносный код, который приведет к установке бэкдора RomCom в их системах.

RomCom, также известный как Storm-0978, специализируется на кибершпионаже и оппортунистических кампаниях, нацеленных на конкретные сектора бизнеса.

Эксплуатация включала перенаправление пользователей на поддельный веб-сайт для развертывания бэкдора RomCom с использованием шеллкода.

Mozilla и Microsoft оперативно исправили уязвимости после их обнаружения.

Жертвами нападений были люди в Европе и Северной Америке, причем число жертв в разных странах было разным.

Метод атаки заключался в создании запланированной задачи для повышения привилегий и выхода из изолированной среды браузера.

Совместное использование RomCom двух уязвимостей нулевого дня продемонстрировало высокую степень изощренности, что потребовало принятия надежных мер кибербезопасности для защиты.

#ParsedReport #CompletenessLow
30-11-2024

T-Mobile Thwarts Chinese Hackers: Salt Typhoon Telecom Breach Stopped

https://www.secureblink.com/cyber-security-news/t-mobile-thwarts-chinese-hackers-salt-typhoon-telecom-breach-stopped

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)
Volt_typhoon

Victims:
T-mobile, At&t, Verizon, Lumen technologies

Industry:
Government, Critical_infrastructure, Telco

Geo:
Canada, India, China, Chinese, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1049

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что T-Mobile успешно предотвратила кибератаку, проведенную спонсируемой китайским государством хакерской группой "Salt Typhoon", что подчеркивает более широкую тенденцию кибератак, нацеленных на критически важную инфраструктуру в различных регионах. Атака была нацелена на сеть T-Mobile из-за уязвимостей в маршрутизаторах, но упреждающий мониторинг и защитные механизмы помогли обнаружить и предотвратить значительную компрометацию клиентских данных. Этот инцидент проливает свет на более масштабные телекоммуникационные атаки группы и подчеркивает глобальный охват подобных кампаний, подчеркивая важность раннего обнаружения и надежной защиты от кибербезопасности для борьбы со сложными киберугрозами.
-----

Недавно T-Mobile предотвратила кибератаку, организованную спонсируемой китайским государством хакерской группой, известной как "Солт Тайфун", также известной под псевдонимами Earth Estries, FamousSparrow, Ghost Emperor и UNC2286. Эта атака была частью более широкой тенденции кибератак, нацеленных на критически важную инфраструктуру в регионах, включая Юго-Восточную Азию, Соединенные Штаты и Канаду. Хакеры проникли в сеть T-Mobile через уязвимости в маршрутизаторах компании, потенциально намереваясь переместиться в другое место для поиска других уязвимостей. Однако проактивный мониторинг T-Mobile и надежные защитные механизмы помогли обнаружить нарушение на ранней стадии, предотвратив существенную компрометацию клиентских данных.

Брешь в T-Mobile была обнаружена, когда инженеры заметили необычные команды на маршрутизаторах, которые соответствовали тактике и показателям компрометации, связанным с Salt Typhoon. Этот инцидент пролил свет на более масштабные телекоммуникационные атаки, приписываемые этой группе, которые были направлены против крупных провайдеров, таких как AT&T, Verizon и Lumen Technologies, а также правительственных органов и политических учреждений. Как Агентство кибербезопасности и защиты инфраструктуры США (CISA), так и ФБР подтвердили, что злоумышленники взломали конфиденциальные коммуникации с участием правительственных чиновников, подчеркнув серьезность угрозы.

Более того, обнародование Канадой результатов сканирования сети, связанных с китайскими хакерами, еще раз подчеркнуло глобальный охват таких кампаний, что согласуется со всеобъемлющей стратегией Китая в области кибершпионажа. Хотя китайская группа Volt Typhoon напрямую не связана с Salt Typhoon, она недавно провела атаки на интернет-провайдеров и поставщиков управляемых услуг (MSP) в США и Индии. В этих атаках использовались украденные учетные данные и эксплойты нулевого дня, демонстрирующие высокий уровень изощренности и настойчивости, сродни кампании Salt Typhoon.

Быстрая реакция T-Mobile на взлом служит подтверждением ценности раннего обнаружения и надежной защиты от кибербезопасности для предотвращения крупных инцидентов безопасности. Однако этот инцидент подчеркивает сохраняющуюся уязвимость телекоммуникационного сектора, подчеркивая необходимость укрепления международного сотрудничества и усиления мер кибербезопасности для защиты от сложных угроз, подобных тем, которые исходят от Salt Typhoon и связанных с ними группировок.

#ParsedReport #CompletenessHigh
30-11-2024

The RAT race: What happens when RATs go undetected

https://fieldeffect.com/blog/what-happens-when-rats-go-undetected

Report completeness: High

Threats:
Motw_bypass_technique
Batchshield_tool
Donut
Lazzzy
Dcrat
Asyncrat
Xworm_rat
Purelogs

Industry:
Financial

CVEs:
CVE-2024-38213 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1553.005, T1204.005, T1566.001, T1027, T1059.005, T1027.002, T1140, T1505.001, T1071.001

IOCs:
File: 33
Hash: 49
IP: 11
Domain: 8
Email: 1
Url: 1

Soft:
Windows Defender SmartScreen, Windows Explorer, Selenium, Chrome, Microsoft Edge, TryCloudflare

Algorithms:
zip, sha256, rc4

Languages:
python, javascript, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается инцидент с киберугрозой, в ходе которого было проанализировано вредоносное вложение электронной почты, что привело к обнаружению сложной цепочки атак, включающей использование уязвимости Windows для выполнения множества вредоносных сценариев и полезной нагрузки. Анализ выявил наличие средств удаленного доступа (RATs) и полезной нагрузки для кражи данных, продемонстрировав сложные методы уклонения и использование доменов управления, размещенных на поддоменах Duck DNS. Этот инцидент подчеркивает важность быстрого обнаружения угроз и их сдерживания в условиях растущих киберугроз с акцентом на упреждающие меры кибербезопасности и эффективную аналитику угроз для снижения рисков.
-----

Клиент Field Effect MDR (Managed Detection and Response) получил электронное письмо, содержащее вредоносное вложение, сохраненное во временном каталоге Windows. Несмотря на то, что оно было обнаружено как вредоносное, был рассмотрен гипотетический сценарий, при котором эксплойт обходил функции безопасности. Эксплойт HTML-файла был нацелен на CVE-2024-38213, чтобы обойти защиту Windows MoTW и запустить серию вредоносных скриптов. Файл LNK, замаскированный под PDF, привел к созданию сценария Visual Basic, который запускал цепочку событий для выполнения различных полезных задач.

В ходе анализа были обнаружены запутанные файлы на Python, в которых использовались инструменты удаленного доступа (RATs), такие как DcRAT, AsyncRAT и XWorm, а также a.NET полезная нагрузка, использующая программу PureLog Stealer для кражи данных. В полезной нагрузке использовались различные методы обхода, шифрования и выполнения в памяти, чтобы избежать обнаружения. Запуск RATs был основан на обнаружении антивирусного программного обеспечения в целевой системе, что обеспечивало избыточность при выполнении полезной нагрузки.

Кроме того, домены command и control для RATs и PureLog Stealer указывали на поддомены DNS Duck, направляющие трафик на IP-адреса, размещенные AT&T в США. Поддомены часто включали имена RAT для целей отслеживания. Интересно, что вредоносные файлы были размещены в каталогах WebDAV, а URL-адреса были быстро настроены и удалены с помощью сервиса TryCloudflare от Cloudflare для обеспечения анонимности.

Гипотетический сценарий продемонстрировал потенциальное воздействие, если хакер получит удаленный доступ, подчеркнув необходимость быстрого обнаружения и сдерживания угроз. Несмотря на сложную цепочку атак, Field Effect MDR успешно перехватила и нейтрализовала угрозу на ранней стадии, предотвратив потенциальное внедрение программ-вымогателей или утечку данных.

В ходе анализа были идентифицированы конкретные файлы, связанные с каждым RAT и полезной нагрузкой, что демонстрирует разнообразные возможности развернутого вредоносного ПО. Использование злоумышленниками различных методов уклонения и сохранения информации подчеркивает сложность и адаптивность современных киберугроз. На протяжении всего анализа подчеркивается важность упреждающих мер кибербезопасности и эффективного анализа угроз для их устранения.

#ParsedReport #CompletenessLow
30-11-2024

Uncovering Threat Actor Tactics: How Open Directories Provide Insight into XWorm Delivery Strategies

https://hunt.io/blog/uncovering-threat-actor-tactics-xworm-delivery-strategies

Report completeness: Low

Threats:
Xworm_rat
Supply_chain_technique

Industry:
Healthcare

Geo:
Thailand, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1036, T1562.001

IOCs:
IP: 6
File: 8
Hash: 1

Soft:
chrome, Google Chrome, Windows Defender, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте рассказывается о том, как хакеры используют открытые каталоги с плохими методами обеспечения безопасности для распространения троянца удаленного доступа XWorm (RAT), замаскированного под обычное программное обеспечение, освещается тактика, применяемая злоумышленниками, и дается представление об их методах нацеливания. В анализе также представлены такие инструменты, как AttackCapture, для выявления вредоносных серверов, на которых размещен XWorm, и подчеркивается важность мониторинга открытых каталогов для обнаружения таких угроз и эффективного реагирования на них.
-----

Открытые каталоги используются хакерами для распространения троянца удаленного доступа XWorm, замаскированного под обычное программное обеспечение.

Вирус XWorm RAT распространяется через открытые каталоги с использованием обманчивых методов, позволяющих обмануть потенциальных жертв.

Платформа AttackCapture предлагает подробный список открытых каталогов с системой тегов для идентификации вредоносных серверов.

Образцы XWorm были обнаружены в каталогах по всему миру, где злоумышленники использовали различные маскировки и тактики.

В качестве конкретных примеров можно привести серверы в Таиланде и Южной Корее с подозрительными файлами и скриптами, предназначенными для отключения мер безопасности.

Более 300 образцов XWorm доступны для анализа, позволяющего выявить поведение злоумышленников и стратегии распространения.

Сервер в Соединенных Штатах был вовлечен в аферу, рекламирующую поддельные подарочные карты, доставляя XWorm с помощью скрытого пакетного скрипта.

Мониторинг открытых каталогов имеет решающее значение для понимания тактики злоумышленников и внедрения эффективных мер защиты, таких как внесение в список разрешенных приложений и EDR-решения.

#ParsedReport #CompletenessLow
30-11-2024

Earth Estries Hackers Backdoor Telecoms with New GhostSpider Malware

https://www.secureblink.com/cyber-security-news/earth-estries-hackers-backdoor-telecoms-with-new-ghost-spider-malware

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Ghostspider
Deed_rat
Masol
Lolbin_technique
Demodex_tool
Proxylogon_exploit
Dll_hijacking_technique
Shadowpad

Victims:
Verizon, At&t, Lumen technologies, T-mobile

Industry:
Telco, Critical_infrastructure, Government, Ngo, Chemical, Transport

Geo:
Taiwan, Asia-pacific, Asia, Africa, Malaysia, Vietnam, Brazil, Afghanistan, Indonesia, Thailand, Middle east, South africa, Asian, Pakistan, Taiwanese, Americas, Chinese, Philippines, India

CVEs:
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)


ChatGPT TTPs:
do not use without manual check
T1574.001, T1105, T1027, T1078, T1505.003

IOCs:
File: 2

Soft:
Linux, Ivanti, Microsoft Exchange, PSEXEC

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Earth Estries, китайская группировка APT, проводит сложные кампании кибершпионажа, нацеленные на критически важные сектора по всему миру, уделяя особое внимание телекоммуникациям и государственным структурам. Их операции включают в себя использование продвинутых бэкдоров, таких как GHOSTSPIDER и MASOL RAT, использование уязвимостей сервера и развертывание LOLBINs для бокового перемещения. Заметные нарушения включают в себя компрометацию крупных телекоммуникационных провайдеров, таких как Verizon и AT&T, что демонстрирует их намерения по постоянному шпионажу и слежке. Их организационная структура включает в себя различные кампании, несколько команд, управляющих сложной инфраструктурой C&C, и общую тактику с другими группами APT, что подчеркивает взаимосвязанный характер китайских хакеров. Усовершенствованные меры кибербезопасности и возможности анализа угроз имеют решающее значение для эффективной борьбы с постоянными и скрытными операциями Earth Estries.
-----

Earth Estries, китайская группировка APT, нацелена на критически важные сектора, такие как телекоммуникации и государственные учреждения по всему миру, и нарушения затронули более 20 организаций.

Они используют сложные бэкдоры, такие как GHOSTSPIDER, SNAPPYBEE и MASOL RAT, для кампаний кибершпионажа.

Последние разработки включают в себя развертывание MASOL RAT на устройствах Linux, использование автономных двоичных файлов для горизонтального перемещения и управление сложной инфраструктурой командования и контроля.

Заметные нарушения связаны с компрометацией поставщиков телекоммуникационных услуг, таких как Verizon, AT&T и T-Mobile в США.

Их операции включают использование уязвимостей сервера, использование LOLBINs и развертывание вредоносных программ, таких как SNAPPYBEE, DEMODEX и GHOSTSPIDER.

Earth Estries организует кампании, подобные кампаниям "Альфа" и "Бета", с конкретными целями, подчеркивая их организационную структуру и разделение труда.

Группа демонстрирует потенциал сотрудничества или обмена ресурсами с другими китайскими группами APT, такими как FamousSparrow и GhostEmperor.

Earth Estries представляет собой серьезную глобальную киберугрозу, требующую усиления мер кибербезопасности и возможностей анализа угроз для эффективного смягчения последствий.

#ParsedReport #CompletenessLow
30-11-2024

Ransomware Roundup - Interlock

https://www.fortinet.com/blog/threat-research/ransomware-roundup-interlock

Report completeness: Low

Threats:
Interlock

Industry:
Education, Healthcare, Financial, Government

Geo:
Peru, Japan, Korea, Turkey, India, Italy, Germany

ChatGPT TTPs:
do not use without manual check
T1486, T1105

IOCs:
File: 2
Command: 1
Hash: 7

Algorithms:
aes-cbc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock - это новая заметная угроза, обнаруженная FortiGuard Labs в начале октября 2024 года. Она шифрует файлы на компьютерах жертв и требует выкуп за расшифровку, причем как в версиях для Windows, так и во FreeBSD используются сложные методы шифрования. Программа-вымогатель уже затронула жертв во многих странах в различных секторах, не проявляя дискриминации в отношении своих целей. Кроме того, операторы поддерживают сайт утечки данных в TOR для вымогательства у жертв и потенциальной утечки конфиденциальной информации, если требования не будут выполнены.
-----

Программа-вымогатель Interlock, недавно обнаруженная FortiGuard Labs, представляет собой новый вариант, впервые появившийся в начале октября 2024 года. Она отличается наличием версий как для Windows, так и для FreeBSD, что указывает на изощренный подход ее создателей. Программа-вымогатель шифрует файлы на компьютерах жертв и требует выкуп в обмен на расшифровку, о чем свидетельствуют сброшенные сообщения о требовании выкупа. Хотя первоначальный источник заражения остается неустановленным, есть признаки того, что программа-вымогатель могла распространяться через ранее неизвестный бэкдор, обнаруженный на компьютере жертвы.

Windows-версия Interlock предназначена для шифрования файлов в различных версиях операционной системы Windows и добавляет к зашифрованным файлам расширение ".interlock". Записка с требованием выкупа, оставленная этой версией программы-вымогателя, помечена как "!__README__!.txt". Интересно, что программа-вымогатель исключает из шифрования определенные файлы и их типы, чтобы потенциально избежать повреждения критически важных системных файлов. С другой стороны, версия Interlock для FreeBSD использует алгоритм шифрования AES-CBC для шифрования файлов и добавляет то же расширение ".interlock". Кроме того, в нем остается текстовый файл с тем же уведомлением о требовании выкупа, что и в версии для Windows. Примечательно, что в версии FreeBSD файлы с расширением ".interlock" не подлежат шифрованию, что потенциально указывает на стремление избежать повторного шифрования уже зашифрованных файлов.

Несмотря на то, что Interlock является относительно новой угрозой, она уже затронула жертв во многих странах, включая Соединенные Штаты, Италию, Индию, Японию, Германию, Перу, Южную Корею и Турцию, о чем свидетельствуют материалы, представленные в службы сканирования. Жертвы охватывают различные секторы, включая образование, финансы, государственное управление, здравоохранение и производство, что позволяет предположить, что Interlock не проводит дискриминации по отраслевым целям. Этот подход отличается от подхода некоторых других групп программ-вымогателей, которые избегают нацеливаться на критически важные предприятия или организации.

Операторы программ-вымогателей Interlock поддерживают сайт по утечке данных в TOR, что указывает на стремление к вымогательству у жертв и потенциальной утечке конфиденциальной информации, если требования о выкупе не будут выполнены. Сайт разделен на четыре раздела, что предполагает структурированный и организованный подход к обработке данных жертв и управлению ими.

#ParsedReport #CompletenessMedium
01-12-2024

Remember the evil: Angry Likho's new targeted campaign

https://securelist.ru/angry-likho-another-campaign-with-darktrack-rat/111139

Report completeness: Medium

Actors/Campaigns:
Sticky_werewolf
Uac-0050

Threats:
Darktrack
Ande_loader
Agent_tesla
Nanocore_rat
Redline_stealer
Asyncrat
Remcos_rat
Steganography_technique

Victims:
Russian organizations, Belarusian organizations

Geo:
Belarus, Russian, Ukrainian, Russia, Belarusian

ChatGPT TTPs:
do not use without manual check
T1566, T1036, T1027, T1071.001, T1105

IOCs:
File: 7
Url: 13
IP: 2

Soft:
QEMU, Windows Defender

Algorithms:
base64, zip

Languages:
powershell