#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности APT-группы APT-C-36 (Blind Eagle), нацеленной на испаноязычные регионы, такие как Колумбия, их тактике, включающей фишинговые электронные письма с поддельными судебными документами и использование вредоносных инструментов, таких как DcRat, для удаленного управления и кражи данных. Кроме того, в тексте освещаются усилия 360 Threat Intelligence Center и 360 Advanced Threat Research Institute по защите от современных угроз и их исследованию, особенно в контексте национальной сетевой безопасности.
-----

Аналитический центр 360 Threat Intelligence Center - это выдающаяся платформа для обмена информацией об угрозах, ее анализа и раннего предупреждения, использующая обширные хранилища данных о безопасности 360 Security Brain для получения высококачественной аналитической информации. APT-C-36, известная как Blind Eagle, является группировкой APT, которая, как предполагается, происходит из Южной Америки и нацелена на цели в Колумбии и других регионах, таких как Эквадор и Панама. Эта организация с 2018 года проводит целенаправленные атаки против государственных органов, финансового сектора, страховых компаний и крупных компаний Колумбии. Недавно APT-C-36 начал использовать сжатые пакеты UUE для создания поддельных судебных документов, отправляемых юридическим лицам в Колумбии, что привело к внедрению бэкдора DcRat на компьютерах жертв.

Злоумышленники используют фишинговые электронные письма, чтобы обманом заставить пользователей загружать вредоносные файлы, замаскированные под пакеты со сжатием UUE/ZIP, со сторонних облачных платформ. Эти пакеты содержат самораспаковывающиеся EXE-файлы с испанскими названиями, которые выдаются за законные судебные документы. После выполнения эти файлы запускают вредоносные программы для выполнения скриптов и запутанные файлы скриптов (суффикс WSF) в каталоге %TEMP%. Запутанные скрипты содержат специальные символы, которые заменяются для выполнения вредоносных команд, создавая постоянную запланированную задачу с именем "google Update2024 Tas". На следующем этапе используется скрипт sostener.vbs, который продолжает стиль APT-C-36 с запутанным кодом и загружает полезные файлы, такие как AndeLoader и DcRat.

DcRat, также известный как Dark Crystal RAT, представляет собой модульный троян для удаленного управления с открытым исходным кодом, который наблюдается с 2018 года. Он обладает гибкостью в развертывании различных вредоносных функций, таких как регистрация с клавиатуры, скриншоты, кража данных из буфера обмена и выполнение команд. Троянец стратегически выбирает тактику противодействия отладке, основанную на архитектуре системы. Методология атаки APT-C-36 заключается в использовании файлов-ложных сообщений с испанскими названиями, имитирующих документы Министерства юстиции, в соответствии с прошлыми действиями. Методы обфускации и последующая полезная нагрузка совпадают с предыдущей тактикой группы, нацеленной на испаноязычных людей и группы в таких регионах, как Колумбия, Мексика, Эквадор и Турция.

Организация APT-C-36 (Blind Eagle) продолжает совершенствовать свои инструменты и цепочки атак, расширяя свои целевые группы и совершенствуя стратегии атак. 360 Advanced Threat Research Institute, в состав которого входят старшие эксперты по безопасности в рамках 360 Government and Enterprise Security Group, играет жизненно важную роль в обнаружении, защите от, смягчении и исследовании продвинутых угроз. Институт внес значительный вклад в выявление атак нулевого дня по всему миру и раскрытие информации о передовых действиях многочисленных национальных организаций APT, поддерживая усилия 360 по обеспечению национальной сетевой безопасности. Опыт и достижения команды получили признание как в индустрии кибербезопасности, так и за ее пределами.

#ParsedReport #CompletenessLow
02-12-2024

Financially Motivated Threat Actor Leveraged Google Docs and Weebly Services to Target Telecom and Financial Sectors

https://blog.eclecticiq.com/financially-motivated-threat-actor-leveraged-google-docs-and-weebly-services-to-target-telecom-and-financial-sectors

Report completeness: Low

Threats:
Sim_swapping_technique
Credential_harvesting_technique

Victims:
Telecommunications, Financial, Security professionals

Industry:
Financial, Telco

Geo:
Canadian, Emea, Amer, Australian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1078, T1110.003, T1027

IOCs:
Domain: 3
Url: 20
IP: 1

Soft:
Burp Suite

Functions:
AJAX

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Аналитики EclecticIQ обнаружили сложную фишинговую кампанию, нацеленную на телекоммуникационный и финансовый секторы, которая использовала Google Docs и Weebly для эффективного обхода мер безопасности. Хакеры адаптировали фишинговые приманки под конкретные бренды, использовали динамический DNS для ротации поддоменов, использовали тактику обхода многофакторной аутентификации и использовали законные инструменты отслеживания в своих фишинговых наборах для контроля эффективности. Злоумышленники также нацелились на специалистов по безопасности, использовали замену SIM-карты для несанкционированного доступа и централизовали свою инфраструктуру на Weebly, чтобы скрыть фишинговый контент на законной платформе. Для противодействия таким угрозам организациям рекомендуется применять расширенные меры безопасности и обучать пользователей распознавать попытки фишинга.
-----

В конце октября 2024 года аналитики EclecticIQ раскрыли сложную фишинговую кампанию, нацеленную на телекоммуникационный и финансовый секторы.

Злоумышленники использовали документы Google для рассылки фишинговых ссылок, что приводило жертв к поддельным страницам входа в Weebly, чтобы эффективно избежать обнаружения.

Злоумышленники сочли Weebly привлекательным благодаря удобному интерфейсу для размещения фишинговых страниц, а также использованию динамического DNS для смены поддоменов, что затрудняло обнаружение.

Фишинговые приманки были разработаны специально для телекоммуникационного и финансового секторов, имитируя такие сервисы, как AT&T и финансовые учреждения США/Канады.

Злоумышленники использовали тактику обхода MFA и законные инструменты отслеживания, такие как Sentry.io и Datadog, для отслеживания взаимодействия с жертвами для уточнения результатов кампании.

Фишинговая кампания включала страницы на тему PICUS, предназначенные для специалистов по безопасности в Google Docs.

Злоумышленники использовали замену SIM-карты для перехвата SMS-кодов MFA, что подчеркивает необходимость усиления мер безопасности.

Фишинговые наборы полностью имитировали законные порталы входа в систему, использовали функции развертывания Weebly и общие IP-адреса / домены для маскировки фишинговых действий.

Рекомендации включают внедрение передовых решений для фильтрации электронной почты, упреждающий мониторинг DNS, обязательную многофакторную аутентификацию, обучение пользователей распознаванию фишинга и раннее обнаружение артефактов, обнаруженных с помощью фишинговых наборов.

#ParsedReport #CompletenessLow
03-12-2024

Inside Akira Ransomware s Rust Experiment

https://research.checkpoint.com/2024/inside-akira-ransomwares-rust-experiment

Report completeness: Low

Threats:
Akira_ransomware
Pridelocker
Babuk
Ransomware.wins

ChatGPT TTPs:
do not use without manual check
T1059, T1083, T1486

IOCs:
File: 1
Hash: 1

Soft:
Linux, ESXi, unix

Wallets:
harmony_wallet

Algorithms:
sha256, sosemanuk, curve25519

Functions:
available_parallelism, args, next, args_os, quota, count_ones, FnOnce

Languages:
fortran, rust

Platforms:
cross-platform

Links:
https://github.com/rust-lang/rust/blob/b11fbfbf351b94c7eecf9e6749a4544a6d4717fa/library/std/src/sys/pal/unix/thread.rs#L309
https://github.com/rust-lang/rust/blob/db034cee00570a9b82ea8b9e9e95221dbd745698/library/std/src/env.rs#L756
have more...
https://github.com/rust-lang/rust/blob/db034cee00570a9b82ea8b9e9e95221dbd745698/library/std/src/sys/random/linux.rs#L134

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ Rust-версии программы-вымогателя Akira, нацеленной на серверы ESXi, с акцентом на идиомы Rust, стратегии компиляции, сложности ассемблерного кода, логику шифрования, стратегии проектирования, используемые авторами, проблемы при анализе двоичных файлов Rust и последствия применения методов антианализа.
-----

В тексте обсуждается анализ Rust-версии программы-вымогателя Akira, специально предназначенной для серверов ESXi. Анализ посвящен идиомам Rust, стратегиям компиляции и сложностям ассемблерного кода. В отчете излагаются принципы анализа двоичных файлов Rust и освещаются стратегии разработки, используемые авторами вредоносных программ.

Процесс управления программой-вымогателем включает в себя получение аргументов из командной строки, использование определенных функциональных возможностей Rust и использование библиотеки индикаторов для визуального представления статуса выполнения. Анализ кода вредоносного ПО выявляет сложные детали выбора дизайна и стратегий реализации, использованных авторами.

В тексте подчеркиваются сложности, с которыми приходится сталкиваться при анализе двоичных файлов Rust из-за агрессивного встраивания, а также проблемы, связанные с процессами оптимизации языка. В нем обсуждается интеграция сторонних библиотек, использование стандартного кода и применение методов антианализа, оставленных авторами вредоносных программ, экспериментирующими с Rust.

Логика шифрования вредоносной программы предполагает использование асимметричных и симметричных шифров, таких как curve25519 и SOSEMANUK, соответственно. Подробно описаны процесс шифрования, функции поиска файлов и генерация уведомлений о требовании выкупа, демонстрирующие возможности вредоносного ПО в отношении серверов ESXi и сред Linux.

Несмотря на высокую степень освоения Rust, его кроссплатформенная поддержка, эргономичность и доступность библиотек сделали его привлекательным языком для авторов вредоносных программ. Проведенный анализ подчеркивает необходимость в передовых инструментах для решения сложных задач, связанных с двоичными файлами Rust, особенно при работе с сегментами кода с глубокой встраиваемостью и сращиванием.

#ParsedReport #CompletenessMedium
03-12-2024

CrowdStrike Falcon Prevents Multiple Vulnerable Driver Attacks in Real-World Intrusion

https://www.crowdstrike.com/en-us/blog/falcon-prevents-vulnerable-driver-attacks-real-world-intrusion

Report completeness: Medium

Threats:
Byovd_technique
Edrkillshifter_tool
Robinhood
Gmer_tool
Mimikatz_tool

CVEs:
CVE-2018-19322 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (le1.05.21)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19321 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (<19.0422.1)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19320 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (<19.0422.1)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19323 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte gigabyte app center (le1.05.21)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)


ChatGPT TTPs:
do not use without manual check
T1562.001, T1562.001, T1105, T1021.001, T1218.011, T1106

IOCs:
File: 10
Path: 20
Registry: 1
Hash: 28

Soft:
Windows kernel, psexec, UNIX

Win API:
ZwTerminateProcess, WmiPrvSe

Languages:
powershell

Links:
https://github.com/gentilkiwi/mimikatz

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении атак с использованием собственных уязвимых драйверов (BYOVD) в области кибербезопасности, уделяя особое внимание злоумышленникам, использующим уязвимые драйверы ядра для обхода механизмов безопасности и получения глубокого доступа к операционной системе Windows, в частности, к продуктам обнаружения конечных точек и реагирования на них (EDR), таким как CrowdStrike Falcon sensor. В нем рассказывается о том, как злоумышленники используют уязвимые драйверы для выполнения привилегированных операций, обходят меры безопасности, такие как принудительное использование сигнатур драйверов, а также о важности комплексной телеметрии, разведывательных данных и передовых механизмов обнаружения для обнаружения и предотвращения таких атак. Кроме того, в тексте подчеркивается подход CrowdStrike к классификации и защите от злоупотреблений со стороны водителей, а также необходимость внедрения организациями таких функций, как "Предотвращение подозрительных процессов" и "Предотвращение загрузки драйверов", для усиления защиты от атак BYOVD.
-----

В тексте обсуждается растущая распространенность атак с использованием собственного уязвимого драйвера (BYOVD) в сфере кибербезопасности, особенно нацеленных на продукты обнаружения конечных точек и реагирования на них (EDR), такие как датчик CrowdStrike Falcon. Эти атаки связаны с тем, что злоумышленники загружают уязвимые драйверы ядра, чтобы обойти механизмы безопасности и получить глубокий доступ к операционной системе Windows.

Злоумышленники используют уязвимые драйверы для выполнения привилегированных операций, таких как отключение продуктов безопасности, обход защиты от несанкционированного доступа EDR или выполнение вредоносных действий, которые обычно не разрешаются системой. Несмотря на такие меры безопасности, как принудительное использование подписи драйвера (DSE), требующие цифровой подписи для загрузки драйвера, злоумышленники разработали стратегию BYOVD, позволяющую обойти эти меры защиты и использовать уязвимости драйвера в вредоносных целях.

В ходе конкретного инцидента злоумышленники попытались проникнуть в сеть компании, используя уязвимые драйверы и вредоносные двоичные файлы. Они пытались загрузить несколько известных уязвимых драйверов, таких как TfSysMon.sys и aswArPot.sys, для выполнения таких действий, как завершение защищенных процессов или повышение привилегий. Злоумышленники также использовали драйверы, которые можно использовать в качестве оружия, такие как ksapi64.sys, первоначально разработанные для законных целей, но перепрофилированные для вредоносных действий.

CrowdStrike классифицирует уязвимые драйверы на три категории: уязвимые, которые можно использовать в качестве оружия, и вредоносные. Уязвимые драйверы имеют программные недостатки, которые могут быть использованы, в то время как уязвимые драйверы могут быть использованы для вредоносных действий. Вредоносные драйверы, часто загружаемые вслед за уязвимым драйвером, выполняют такие действия, как отключение функций безопасности или сокрытие вредоносных процессов от средств обнаружения.

Для обнаружения и предотвращения атак BYOVD требуется комплексная телеметрия и аналитические данные для выявления новых уязвимых драйверов. В CrowdStrike работает команда инженеров-реинжинирингов, специализирующихся на уязвимых драйверах, для анализа и создания средств защиты от таких угроз. Внедрение таких функций, как "Предотвращение подозрительных процессов" и "Предотвращение загрузки драйверов" в Falcon Prevent, может повысить защиту от атак BYOVD, для чего требуется активная подписка и последняя версия датчика.

Используя передовые механизмы обнаружения и непрерывного мониторинга, организации могут усилить свою защиту от атак BYOVD и снизить риски, связанные с использованием вредоносных драйверов в своих сетях.

#ParsedReport #CompletenessLow
03-12-2024

Report on trends in phishing malware impersonating the National Tax Service

https://asec.ahnlab.com/ko/84912

Report completeness: Low

Threats:
Cloudeye
Loki_bot
Agent_tesla
Dll_hijacking_technique
Formbook
Remcos_rat
Xworm_rat

Victims:
National tax service users

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1203, T1574.001, T1059.005, T1204.002, T1059.001, T1547.001, T1071.001

IOCs:
File: 5
Hash: 5

Soft:
NSIS installer

Algorithms:
md5

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте подчеркивается недавний всплеск фишинговых электронных писем, которые выдают себя за Национальную налоговую службу и нацелены на пользователей во время налоговых отчетных периодов, таких как отчетность по НДС. Эти электронные письма содержат вредоносный код во вложениях или ссылках на веб-сайты, часто используя DLL-файлы в сжатых форматах, замаскированные под настоящие файлы. Выявленная вредоносная программа XWorm способна выполнять различные вредоносные действия, включая мониторинг веб-камер и кейлоггинг. Злоумышленники также используют файлы CHM, содержащие вредоносные скрипты, которые автоматически запускаются, выдавая себя за законные файлы справки. Кампания направлена на то, чтобы использовать интерес пользователей в налоговые периоды, подчеркивая необходимость осторожности и повышения осведомленности пользователей для эффективного противодействия этим хакерам.
-----

В тексте обсуждается недавний рост числа фишинговых электронных писем, выдающих себя за Национальную налоговую службу, в отчетные периоды, например, за отчетный период по НДС. ASEC активно предупреждает пользователей об этих фишинговых электронных письмах, которые содержат вредоносный код либо во вложениях электронной почты, либо по гиперссылкам на веб-сайты. Электронные письма манипулируют адресами отправителей, чтобы казаться законными, и используют различные форматы файлов для вредоносных вложений. Известный метод заключается в использовании DLL-файлов в сжатых файлах с именами NTS_eTaxInvoice.zip, с замаскированными именами файлов, такими как NTS_eTaxInvoice.exe. При запуске эти файлы используют перехват DLL для выполнения вредоносных действий.

Вредоносная программа, идентифицированная в этих фишинговых письмах, называется XWorm и способна отслеживать веб-камеры, вести кейлоггинг, красть системную информацию и данные учетной записи пользователя. Другой метод атаки заключается в использовании вредоносных файлов CHM, замаскированных под обычные файлы справки, но содержащих вредоносные скрипты, которые автоматически запускаются при запуске. Эти файлы часто выдают себя за такие организации, как Национальная налоговая служба или финансовые компании, с именами файлов, такими как NTS_eTaxInvoice.chm. Скрипт внутри файлов CHM выполняет такие функции, как регистрация в реестре запуска, связь с сервером злоумышленника и загрузка дополнительного вредоносного ПО.

Эта фишинговая кампания использует интерес пользователей в налоговые периоды для обмана жертв. Подчеркивается, что пользователям следует быть осторожными, особенно в периоды уплаты налогов, поскольку злоумышленники могут отправлять электронные письма, выдавая их за законные рекомендации Национальной налоговой службы. В тексте содержатся технические подробности о характеристиках и методах этих фишинговых атак, призывающие пользователей к повышению осведомленности и бдительности для эффективной борьбы с хакерами.

#ParsedReport #CompletenessHigh
03-12-2024

Threat Assessment: Howling Scorpius (Akira Ransomware)

https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware

Report completeness: High

Actors/Campaigns:
Akira_ransomware (motivation: financially_motivated)

Threats:
Akira_ransomware
Lazagne_tool
Megazord
Mimikatz_tool
Spear-phishing_technique
Minidump_tool
Kerberoasting_technique
Netscan_tool
Zemana_tool
Rclone_tool
Shadow_copies_delete_technique

Victims:
Small to medium-sized businesses

Industry:
Retail, Healthcare, Education, Telco, Government

Geo:
America, Australia

CVEs:
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4)

CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.2.3.16, <6.3.0.6, <6.4.0.9, <6.5.0.5)
- cisco adaptive security appliance software (<9.8.4.20, <9.9.2.67, <9.10.1.40, <9.12.3.9, <9.13.1.10)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 7
Command: 34
Hash: 44

Soft:
ESXi, Linux, Tor browser, PsExec, Active Directory, Windows Defender, WinSCP, ESXCLI, Telegram

Algorithms:
camellia, chacha20, aes, des, sha256

Win API:
arc

Win Services:
db2, IISADMIN, MSExchangeIS, MSExchangeSA, MSSQLServerADHelper100, QBCFMonitorService, QBVSS, SQLBrowser, SQLWriter, ShadowProtectSvc, have more...

Languages:
powershell, rust

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-02-27-IOCs-for-Akira-Ransomware.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании атаки программы-вымогателя Akira, организованной группой программ-вымогателей Howling Scorpius, которая использует стратегию двойного вымогательства, нацеленную на малый и средний бизнес в различных секторах Северной Америки, Европы и Австралии. В тексте также описываются различные методы и тактики, используемые Howling Scorpius на протяжении всего жизненного цикла кибератаки, включая методы первоначального доступа, методы доступа к учетным данным, горизонтальное перемещение по сетям, утечку данных, процессы шифрования и эволюцию программ-вымогателей, таких как Megazord и Akira_v2. Кроме того, это подчеркивает постоянную разработку группой новых штаммов и возможностей для усиления воздействия и обхода мер безопасности.
-----

Программа-вымогатель Akira, разработанная группой Howling Scorpius, использует стратегию двойного вымогательства, извлекая данные перед шифрованием, чтобы заставить жертв заплатить выкуп.

Howling Scorpius управляет сайтами утечек и переговоров на базе Tor для жертв и в первую очередь нацелен на малый и средний бизнес в Северной Америке, Европе и Австралии.

Методы, используемые Howling Scorpius, включают в себя использование уязвимостей VPN-сервиса, RDP-таргетинг, фишинг с использованием spear-фишинга, методы доступа к учетным данным, атаку с использованием Kerberoasting и компрометацию экземпляров vCenter для обеспечения сохраняемости.

Горизонтальное перемещение включает в себя использование протоколов RDP и SMB, команд PowerShell, злоупотребление драйверами защиты от вредоносных программ, попытки отключить средства безопасности и запуск программ-вымогателей путем создания виртуальных машин.

Используемые инструменты для фильтрации данных включают WinRAR и FTP.

Программа-вымогатель Akira использует различные подходы к шифрованию для систем Windows и Linux, при этом уязвимость в шифровании Windows исправлена, а в обновлениях добавлена поддержка алгоритма KCipher2.

Программа-вымогатель Megazord, похожая на Akira, появилась в 2023 году на основе Rust и требует ввода пароля для запуска, а в 2024 году появились новые варианты, позволяющие злоумышленникам корректировать процесс выполнения.

Версия Akira для Linux/ESXi, Akira_v2, была идентифицирована в апреле 2024 года с расширенными возможностями, предназначенными специально для файлов виртуальных машин, с использованием другого файла с уведомлением о требовании выкупа и изменением расширения зашифрованных файлов на .akiranew.

Howling Scorpius фокусируется на разработке новых технологий, улучшении функций шифрования и нацеливании на узлы виртуализации для обхода мер безопасности.

#ParsedReport #CompletenessLow
03-12-2024

Python Crypto Library Updated to Steal Private Keys

https://blog.phylum.io/python-crypto-library-updated-to-steal-private-keys

Report completeness: Low

Threats:
Aiocpa_stealer
Supply_chain_technique

Victims:
Pypi users

ChatGPT TTPs:
do not use without manual check
T1020, T1562.001, T1027

IOCs:
File: 5
Hash: 4

Soft:
Telegram

Wallets:
mainnet

Algorithms:
sha256, base64

Languages:
python

Links:
https://github.com/vovchic17/aiocpa?ref=blog.phylum.io

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается недавний инцидент, когда было обнаружено, что пакет aiocpa PyPI содержит вредоносный код, предназначенный для кражи закрытых ключей. Злоумышленник стратегически поддерживал чистоту репозитория GitHub, распространяя зараженный пакет через PyPI, подчеркивая важность тщательного изучения кода пакета в экосистемах с открытым исходным кодом и необходимость постоянной бдительности и надежных методов обеспечения безопасности.
-----

Платформа автоматизированного обнаружения рисков Phylum недавно обнаружила, что пакет aiocpa PyPI был обновлен и теперь содержит вредоносный код, предназначенный для кражи закрытых ключей. Злоумышленник, стоявший за этим действием, специально выбрал способ утечки закрытых ключей через Telegram, когда пользователи инициализировали криптотеку. Интересно, что, хотя вредоносное обновление было установлено на PyPI, злоумышленник предпринял преднамеренные меры, чтобы сохранить репозиторий пакета на GitHub свободным от любого подозрительного кода, чтобы избежать обнаружения.

Aiocpa описывается как синхронный и асинхронный клиент Crypto Pay API. Примечательно, что при сравнении целевой страницы PyPI для aiocpa с соответствующим файлом в репозитории GitHub становится очевидным, что в последнем отсутствует запутанная полезная нагрузка. Это несоответствие указывает на то, что злоумышленник сначала ввел вредоносную полезную нагрузку в локальную копию репозитория, прежде чем отправить зараженный пакет в PyPI, тем самым сохранив чистый внешний вид репозитория GitHub при распространении вредоносного кода через платформу PyPI.

Популярность этой библиотеки, о которой свидетельствуют 17 звезд на GitHub и почти 4 тыс. загрузок за последний месяц до ее удаления, усугубляет серьезность инцидента. Эта ситуация подчеркивает два важных урока безопасности. Во-первых, в нем подчеркивается важность тщательного изучения фактического кода, включенного в пакеты в экосистемах с открытым исходным кодом, а не полагаться исключительно на просмотр репозиториев исходных текстов. Как показано в этом примере, злоумышленники могут манипулировать кодом, чтобы обмануть проверки безопасности, не допуская попадания опасных элементов в общедоступные хранилища и распространяя скомпрометированные версии по официальным каналам. Во-вторых, этот инцидент служит напоминанием о том, что надежность пакета в прошлом не гарантирует его безопасность в будущем. Независимо от личности человека, ответственного за загрузку вредоносных версий, будь то первоначальный разработчик или скомпрометированная организация, явным намерением было использовать пакет в качестве оружия с целью кражи секретного ключа.

Этот инцидент подчеркивает необходимость постоянной бдительности и надежных методов обеспечения безопасности при взаимодействии с зависимостями с открытым исходным кодом. Он демонстрирует потенциальные риски, связанные с атаками на цепочки поставок программного обеспечения, и важную роль отдельных лиц, таких как хакеры, специалисты по обработке данных и инженеры, в выявлении и нейтрализации таких угроз в экосистеме. Для снижения рисков, связанных с вредоносными действиями в киберпространстве, крайне важно сохранять активную позицию в области безопасности и принимать строгие меры.

#ParsedReport #CompletenessLow
03-12-2024

Storm-1811 exploits RMM tools to drop Black Basta ransomware

https://redcanary.com/blog/threat-intelligence/storm-1811-black-basta

Report completeness: Low

Actors/Campaigns:
Storm_1811 (motivation: financially_motivated)

Threats:
Blackbasta
Microsoft_quick_assist_tool
Anydesk_tool
Teamviewer_tool

ChatGPT TTPs:
do not use without manual check
T1078, T1076, T1078, T1090, T1018

Soft:
Microsoft Teams, Google Chrome

Functions:
Teams