#ParsedReport #CompletenessLow
30-11-2024

Ransomware Roundup - Interlock

https://www.fortinet.com/blog/threat-research/ransomware-roundup-interlock

Report completeness: Low

Threats:
Interlock

Industry:
Education, Healthcare, Financial, Government

Geo:
Peru, Japan, Korea, Turkey, India, Italy, Germany

ChatGPT TTPs:
do not use without manual check
T1486, T1105

IOCs:
File: 2
Command: 1
Hash: 7

Algorithms:
aes-cbc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock - это новая заметная угроза, обнаруженная FortiGuard Labs в начале октября 2024 года. Она шифрует файлы на компьютерах жертв и требует выкуп за расшифровку, причем как в версиях для Windows, так и во FreeBSD используются сложные методы шифрования. Программа-вымогатель уже затронула жертв во многих странах в различных секторах, не проявляя дискриминации в отношении своих целей. Кроме того, операторы поддерживают сайт утечки данных в TOR для вымогательства у жертв и потенциальной утечки конфиденциальной информации, если требования не будут выполнены.
-----

Программа-вымогатель Interlock, недавно обнаруженная FortiGuard Labs, представляет собой новый вариант, впервые появившийся в начале октября 2024 года. Она отличается наличием версий как для Windows, так и для FreeBSD, что указывает на изощренный подход ее создателей. Программа-вымогатель шифрует файлы на компьютерах жертв и требует выкуп в обмен на расшифровку, о чем свидетельствуют сброшенные сообщения о требовании выкупа. Хотя первоначальный источник заражения остается неустановленным, есть признаки того, что программа-вымогатель могла распространяться через ранее неизвестный бэкдор, обнаруженный на компьютере жертвы.

Windows-версия Interlock предназначена для шифрования файлов в различных версиях операционной системы Windows и добавляет к зашифрованным файлам расширение ".interlock". Записка с требованием выкупа, оставленная этой версией программы-вымогателя, помечена как "!__README__!.txt". Интересно, что программа-вымогатель исключает из шифрования определенные файлы и их типы, чтобы потенциально избежать повреждения критически важных системных файлов. С другой стороны, версия Interlock для FreeBSD использует алгоритм шифрования AES-CBC для шифрования файлов и добавляет то же расширение ".interlock". Кроме того, в нем остается текстовый файл с тем же уведомлением о требовании выкупа, что и в версии для Windows. Примечательно, что в версии FreeBSD файлы с расширением ".interlock" не подлежат шифрованию, что потенциально указывает на стремление избежать повторного шифрования уже зашифрованных файлов.

Несмотря на то, что Interlock является относительно новой угрозой, она уже затронула жертв во многих странах, включая Соединенные Штаты, Италию, Индию, Японию, Германию, Перу, Южную Корею и Турцию, о чем свидетельствуют материалы, представленные в службы сканирования. Жертвы охватывают различные секторы, включая образование, финансы, государственное управление, здравоохранение и производство, что позволяет предположить, что Interlock не проводит дискриминации по отраслевым целям. Этот подход отличается от подхода некоторых других групп программ-вымогателей, которые избегают нацеливаться на критически важные предприятия или организации.

Операторы программ-вымогателей Interlock поддерживают сайт по утечке данных в TOR, что указывает на стремление к вымогательству у жертв и потенциальной утечке конфиденциальной информации, если требования о выкупе не будут выполнены. Сайт разделен на четыре раздела, что предполагает структурированный и организованный подход к обработке данных жертв и управлению ими.

#ParsedReport #CompletenessMedium
01-12-2024

Remember the evil: Angry Likho's new targeted campaign

https://securelist.ru/angry-likho-another-campaign-with-darktrack-rat/111139

Report completeness: Medium

Actors/Campaigns:
Sticky_werewolf
Uac-0050

Threats:
Darktrack
Ande_loader
Agent_tesla
Nanocore_rat
Redline_stealer
Asyncrat
Remcos_rat
Steganography_technique

Victims:
Russian organizations, Belarusian organizations

Geo:
Belarus, Russian, Ukrainian, Russia, Belarusian

ChatGPT TTPs:
do not use without manual check
T1566, T1036, T1027, T1071.001, T1105

IOCs:
File: 7
Url: 13
IP: 2

Soft:
QEMU, Windows Defender

Algorithms:
base64, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в серии кибератак на российские и белорусские организации, совершенных группой Angry Likho с использованием вредоносного ПО DarkTrack backdoor. В ходе атак использовались сложные фишинговые электронные письма с вложениями с двойным расширением, которые приводили к установке Ande Loader и, в конечном счете, троянской программы удаленного доступа DarkTrack. Злоумышленники использовали многоступенчатую загрузку полезных данных и распространяли вредоносное ПО через веб-сайт nanoshield.pro. Анализ также связывает инфраструктуру группы с другими вредоносными действиями, что указывает на продолжающиеся угрозы организациям в регионе.
-----

В тексте говорится о серии кибератак, направленных против российских и белорусских организаций с середины 2024 года, с использованием вредоносного ПО DarkTrack backdoor, которое впервые появилось девять лет назад. Считается, что атаки были организованы группой, известной как Angry Likho, или Sticky Werewolf, которая действует с 2023 года. Атака начинается с фишинговых электронных писем, содержащих вредоносные вложения, замаскированные под двойные расширения, такие как *.docx.exe или *.pdf.exe. Эти вложения выполняют сценарии, которые проверяют наличие виртуальных сред перед загрузкой загрузчика Ande Loader, компонента, широко используемого при хакерских атаках по всему миру.

Загрузчик Ande загружается в память с использованием кодировки Base64 и сборки отражения, а затем вызывает метод для загрузки URL-адреса полезной нагрузки, в конечном итоге внедряя вредоносный исполняемый файл из семейства троянских программ удаленного доступа DarkTrack. Злоумышленники использовали многоэтапный метод загрузки полезных данных, который применяется с 2020 года, демонстрируя эволюцию и постоянство своей тактики.

Дальнейшее расследование показало, что файл изображения, содержащий модуль, аналогичный загрузчику Ande, был распространен через nanoshield.профессиональный веб-сайт. На этом веб-сайте были представлены зашифрованные файлы различных семейств вредоносных программ, таких как NanoCore, Agent Tesla, RedLine и AsyncRAT. Более того, сообщение на GitHub, инициированное владельцем Nano Shield, запросило разблокировку сайта блокировщиком рекламы и нежелательного контента, что указывает на потенциальный компромисс.

Анализ также связывает инфраструктуру, используемую Angry Likho в этих атаках, с другими вредоносными действиями, включая атаку группы UAC-0050, направленную на различные системы с похожими хранилищами скриптов на bitbucket.org. Несмотря на это сходство, злоумышленники изменили свои каналы распространения, возможно, из-за блокировки веб-сайта Nano Shield для размещения вредоносного ПО.

Метод атаки Angry Likho включает в себя серию скриптов, которые предоставляют бэкдор DarkTrack через установщиков NSIS, демонстрируя способность группы проводить целевые кампании с помощью сложных фишинговых электронных писем и многоэтапных механизмов доставки вредоносного ПО. Пиковое число жертв за последние шесть месяцев свидетельствует об эффективности их стратегий и сохраняющейся угрозе организациям в регионе.

#ParsedReport #CompletenessLow
01-12-2024

Beluga phishing campaign targets OneDrive credentials

https://www.threatdown.com/blog/beluga-phishing-campaign-targets-onedrive-credentials

Report completeness: Low

Actors/Campaigns:
Beluga (motivation: cyber_criminal)

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.001, T1078.003, T1485

IOCs:
File: 2

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания Beluga использует настраиваемые htm-файлы для получения учетных данных компании OneDrive с помощью персонализированных вложений в электронную почту, напоминающих настоящие страницы входа в систему, с целью обмана получателей, чтобы заставить их раскрыть свои учетные данные для входа. Кроме того, киберпреступники все чаще используют Telegram-ботов для сбора украденных данных и осуществления крупномасштабных мошеннических действий, которые могут привести к компрометации конфиденциальной информации и внедрению программ-вымогателей на подключенных устройствах. Организациям следует проявлять бдительность в отношении изощренной тактики фишинга и применять надежные меры безопасности для защиты своих активов и данных.
-----

Фишинговая кампания Beluga использует htm-файлы для получения учетных данных компании OneDrive. Эта конкретная кампания была недавно обнаружена в Интернете и известна своей высокой степенью настройки под учетные записи OneDrive конкретных компаний. Фишинговые электронные письма содержат вложения в формате .htm, имитирующие страницы входа в OneDrive, на которых для большей достоверности отображается адрес электронной почты адресата и логотип компании. Во вложении получателю предлагается авторизоваться для просмотра PDF-файла с именем "Защищенный документ 043.pdf", нажав на кнопку "ПРОСМОТРЕТЬ ДОКУМЕНТ". Одним из признаков мошенничества является то, что кнопки "Войти" и "Создать учетную запись" на поддельной странице не работают должным образом.

Когда цель нажимает кнопку "ПРОСМОТРЕТЬ ДОКУМЕНТ", она перенаправляется на персонализированную форму входа в систему с уже заполненным адресом электронной почты и логотипом связанной с ней компании. Эта форма входа не позволяет изменять адрес электронной почты, что еще больше разоблачает мошенничество. Кампания Beluga направлена на то, чтобы обманом заставить получателей ввести свои учетные данные, что потенциально позволит хакерам получить доступ к конфиденциальной информации, хранящейся в целевых учетных записях OneDrive.

Более того, киберпреступники, в частности фишеры, все чаще используют Telegram-ботов для сбора украденных учетных данных и проведения крупномасштабных мошеннических операций. Эти боты позволяют хакерам эффективно собирать украденные данные и управлять ими, а также автоматизировать различные аспекты своих фишинговых операций. Используя Telegram, злоумышленники могут просматривать скомпрометированные учетные записи OneDrive в поисках ценных данных, таких как конфиденциальные документы, финансовые отчеты и интеллектуальная собственность. Они также могут использовать функцию синхронизации OneDrive для проникновения на подключенные устройства и потенциального развертывания программ-вымогателей для шифрования критически важных файлов или удаления резервных копий, хранящихся в скомпрометированной учетной записи.

Таким образом, фишинговая кампания Beluga использует обманчивые htm-файлы для получения учетных данных компании OneDrive с помощью специальных вложений в электронную почту, напоминающих страницы для входа в систему. Заманивая получателей персонализированным контентом и приглашениями получить доступ к якобы защищенным документам, киберпреступники пытаются обманом заставить людей раскрыть свои учетные данные для входа. Кроме того, использование Telegram-ботов расширяет возможности хакеров по эффективному управлению украденными данными и проведению крупномасштабных фишинговых атак, что потенциально может привести к компрометации конфиденциальной информации и внедрению программ-вымогателей на подключенные устройства. Организациям следует сохранять бдительность в отношении такой изощренной тактики фишинга и применять надежные меры безопасности для защиты своих активов и данных.

FYI

https://isc.sans.edu/diary/rss/31476

The strange case of disappearing Russian servers

#technique

Loads a drivers through NtLoadDriver by setting up the service registry key directly. To be used in engagement for BYOVD, where service creation creates an alert.

https://github.com/ioncodes/SilentLoad

Dissecting JA4H for improved Sliver C2 detections

https://blog.webscout.io/dissecting-ja4h-for-improved-sliver-c2-detections/

#technique #llm

InputSnatch: Stealing Input in LLM Services via Timing Side-Channel Attacks

https://arxiv.org/pdf/2411.18191

#technique

Unexplored LOLBAS Technique: Wevtutil.exe

https://denwp.com/unexplored-lolbas-technique-wevtutil-exe/

#technique

EDR Silencers and Beyond: Exploring Methods to Block EDR Communication - Part 1

https://cloudbrothers.info/en/edr-silencers-exploring-methods-block-edr-communication-part-1/

#ParsedReport #CompletenessMedium
02-12-2024

Stealth in the Cloud: How APT36's ElizaRAT is Redefining Cyber Espionage

https://www.reco.ai/blog/how-apt36-elizarat-redefines-cyber-espionage

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Steppy_kavach

Threats:
Elizarat
Credential_harvesting_technique
Mythic_c2
Costura_tool
Apolostealer
Apollostealer

Victims:
Indian government agencies, Diplomatic personnel, Military installations

Industry:
Government, Military

Geo:
India, Pakistan, Indian, Afghanistan, Pakistani, Israeli

ChatGPT TTPs:
do not use without manual check
T1021, T1055, T1105, T1071, T1568, T1027

IOCs:
File: 15
IP: 9
Path: 1

Soft:
Linux, Android, Windows Remote Access, Telegram, Slack

Algorithms:
md5

Functions:
ReceiveMsgsInList, SendMsg, SendFile, DownloadFile

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT36, также известная как Transparent Tribe, является хакерской группой из Пакистана, которая атакует правительственные учреждения Индии, дипломатический персонал и военные объекты. Недавно группа пополнила свой арсенал сложным троянцем для удаленного доступа к Windows (RAT) под названием ElizaRAT, который демонстрирует передовые методы уклонения, расширенные возможности командования и контроля и использует различные тактики для проведения целенаправленного кибершпионажа. Вредоносная программа взаимодействует через такие платформы, как Slack и Google Cloud, что затрудняет ее обнаружение из-за смешения вредоносного трафика с законной сетевой активностью.
-----

APT36, также известная как Transparent Tribe, является крупной хакерской группой из Пакистана, нацеленной на правительственные учреждения Индии, дипломатический персонал и военные объекты. Известная своей постоянной и развивающейся тактикой, APT36 расширила зону своих атак, нацелившись на системы Windows, Linux и Android. Недавно группа обновила свой арсенал более совершенным трояном удаленного доступа к Windows (RAT) под названием ElizaRAT.

Элизарат был впервые обнаружен в 2023 году и с тех пор претерпел несколько преобразований, продемонстрировав новые методы уклонения и расширенные возможности командования и контроля (C2). Вредоносная программа предназначена для целенаправленного кибершпионажа, используя различные тактики, такие как сбор учетных данных, атаки на распространение вредоносного ПО, специально разработанные инструменты для удаленного администрирования в Windows и облегченные инструменты для Windows и Linux. Для выполнения своих операций он также использует оружейные платформы с открытым исходным кодом и троянские программы установки приложений правительства Индии.

Ключевая особенность ElizaRAT заключается в использовании коммуникационной платформы Slack для операций C2, использующей частные каналы Slack в качестве командных центров для отправки инструкций на зараженные компьютеры. Вредоносное ПО распространяется через CPL-файлы, замаскированные под файлы панели управления, что позволяет хакерам обманом заставить жертв выполнить вредоносную загрузку. ElizaRAT постоянно проверяет определенные каналы Slack на наличие команд и использует токены ботов и идентификаторы жертв для аутентификации и связи.

Кроме того, ElizaRAT эволюционировал в различные версии, такие как ApoloStealer и Circle ElizaRAT, с каждой итерацией добавляя новые функциональные возможности для повышения скрытности и стойкости. В этих новых версиях используются другие методы, в том числе использование папки %appdata%\SlackAPI в качестве рабочего каталога и использование виртуальных частных серверов (VPS) для повышения контроля и гибкости.

Вредоносная программа ElizaRAT взаимодействует с хакером по каналам Google Cloud C2, получая команды для загрузки полезной информации с различных VPS-серверов. Кроме того, анализ связанных IP-адресов выявляет многочисленные случаи вредоносной активности, и поставщики систем безопасности отмечают эти IP-адреса как наиболее опасные для вредоносных кампаний. Использование вредоносной программой облачных платформ, таких как Google Drive, Telegram и Slack, в своей структуре C2 затрудняет обнаружение из-за сочетания вредоносного трафика с законной сетевой активностью.

#ParsedReport #CompletenessLow
02-12-2024

UDRL, SleepMask, and BeaconGate

https://rastamouse.me/udrl-sleepmask-and-beacongate

Report completeness: Low

Threats:
Sleepmask
Beacongate
Cobalt_strike
Dll_injection_technique
Reflectiveloader
Malleable_c2_tool
Hellsgate_technique
Syswhispers_tool
Vulcanraven_technique
Silentmoonwalk_technique
Sleepgate

ChatGPT TTPs:
do not use without manual check
T1055.001, T1027, T1574.002, T1218

IOCs:
File: 7

Functions:
GetLocation, FindBufferBaseAddress, GetPEBAddress, DLL_BEACON_USER_DATA

Win API:
VirtualAlloc, NtFlushInstructionCache, ntAllocateVirtualMemory, ntGetContextThread, ntSetContextThread, ntClose, ntMapViewOfSection, ntQueryVirtualMemory, ntWriteVirtualMemory, ntCreateFile, have more...

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection