#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе набора эксплойтов MOONSHINE, используемого хакером Earth Minotaur для устранения уязвимостей в приложениях для обмена сообщениями Android, которые в первую очередь затрагивают тибетское и уйгурское сообщества. Набор эксплойтов, обновляемый с 2019 года, представляет значительную угрозу из-за дополнительных эксплойтов и функций, приводящих к установке бэкдоров на устройства жертв. Атака использует тактику социальной инженерии, чтобы обманом заставить жертв переходить по вредоносным ссылкам, а также использует уязвимости в браузерах на базе Chromium и приложениях для Android. Бэкдор DarkNimbus, который можно внедрить с помощью набора эксплойтов, позволяет осуществлять слежку за зараженными устройствами, подчеркивая необходимость регулярного обновления программного обеспечения пользователями и осторожного обращения с сообщениями. Сотрудничество между исследователями в области кибербезопасности имеет важное значение для выявления и анализа продвинутых хакерских атак, организованных такими хакерами, как Earth Minotaur.
-----

Набор эксплойтов MOONSHINE используется хакером Earth Minotaur для поиска уязвимостей в приложениях для обмена сообщениями Android, которые в первую очередь затрагивают тибетское и уйгурское сообщества.

Набор эксплойтов MOONSHINE расширялся с 2019 года, и к 2024 году было идентифицировано более 55 серверов, дополненных дополнительными эксплойтами и функциями.

Земной Минотавр использует тактику социальной инженерии, чтобы обманом заставить жертв переходить по вредоносным ссылкам, которые приводят к установке бэкдора на устройства.

Бэкдор DarkNimbus, передаваемый по протоколу XMPP, может вести наблюдение за зараженными устройствами, используя службу специальных возможностей Android для извлечения данных.

Цепочка атак включает в себя закодированные ссылки для атаки, успешное использование уязвимостей и внедрение бэкдора DarkNimbus, нацеленного на WeChat на Android.

Совместные усилия исследователей в области кибербезопасности из таких организаций, как Trend Micro и Cisco Talos, необходимы для выявления и анализа таких сложных угроз.

Связи между семействами вредоносных программ, такими как Shadowpad и DarkNimbus, подразумевают потенциальное сотрудничество или совместное использование ресурсов хакерами, что подчеркивает взаимосвязанный характер хакеров.

#technique

BootExecuteEDR: The code contained within the project is an example demonstration of exploiting this "feature" to disable Endpoint Security Products before they have a chance to stop us

https://github.com/rad9800/BootExecuteEDR

#technique

Introducing GimmeShelter.py
a situational awareness Python script to help you find where to put your beacons

https://rwxstoned.github.io/2024-12-06-GimmeShelter/

#technique

Process Inject Kit
This is a port of Cobalt Strike's Process Inject Kit from C to the C++ BOF template.

https://github.com/rasta-mouse/process-inject-kit

#ParsedReport #CompletenessHigh
08-12-2024

Black Basta Ransomware Campaign Drops Zbot, DarkGate, and Custom Malware

https://www.rapid7.com/blog/post/2024/12/04/black-basta-ransomware-campaign-drops-zbot-darkgate-and-custom-malware

Report completeness: High

Threats:
Blackbasta
Zeus
Darkgate
Credential_harvesting_technique
Process_hollowing_technique
Microsoft_quick_assist_tool
Anydesk_tool
Teamviewer_tool
Screenconnect_tool
Z_loader
Cobalt_strike
Process_hacker_tool
Shadow_copies_delete_technique
Spear-phishing_technique
Process_injection_technique
Pe_injection_technique
Kerberoasting_technique

TTPs:
Tactics: 7
Technics: 12

IOCs:
Command: 1
File: 37
Registry: 4
Path: 9
Email: 2
Url: 2
Domain: 1
Hash: 3
IP: 1

Soft:
Firefox, Chrome, Opera, AutoHotkey, Microsoft Teams, OpenSSH, Windows Defender, Windows Registry

Algorithms:
base64, sha256, zip, rc4, xor

Functions:
NTAPI

Win API:
NtCreateUserProcess, ResumeThread, MessageBoxA, SetCursorPos, mouse_event, CreateRemoteThread, RtlAdjustPrivilege, NtRaiseHardError, CreateProcessA, EnumDisplayDevicesA, have more...

Languages:
autoit, powershell, java

Platforms:
x86

Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/IOCs/BlackBasta\_SocialEngineering\_IOCs.txt
https://github.com/rapid7/Rapid7-Labs/blob/main/Yara/blacklava.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ вредоносных программ и кампании социальной инженерии, проводимой операторами-вымогателями Black Basta, с подробным описанием их тактики, методов доставки, методов обхода защиты и полезной нагрузки. Кроме того, в нем представлены стратегии смягчения последствий, рекомендованные Rapid7 для противодействия угрозе.
-----

Анализ вредоносных программ выявляет сложные функциональные возможности, включая саморепликацию в %APPDATA%, сохранение с помощью ключа запуска или запланированных задач и шифрование данных в разделах реестра.

Вредоносная программа использует "опустошение процесса" для внедрения в приостановленные экземпляры msedge.exe и перезагрузки ntdll.dll для уклонения.

Кампания социальной инженерии, проводимая операторами программ-вымогателей Black Basta, демонстрирует эволюционирующую тактику с усовершенствованными методами доставки и методами уклонения от защиты.

хакеры обманом заставляют пользователей устанавливать средства удаленного управления, используя OpenSSH в качестве обратной оболочки и нацеливаясь на файлы конфигурации VPN и учетные данные пользователя.

Злоумышленники переходят от .exe к инструментам сбора учетных данных библиотеки DLL, выполняемым через rundll32.exe, сохраняя выходные данные в каталоге %TEMP%.

Полезная нагрузка вредоносного ПО включает в себя загрузчики маяков, полезные нагрузки Java с обработчиками учетных данных и многопоточные маяки.

Программа сбора учетных данных, EventCloud.библиотека dll, крадет нажатия клавиш и данные из буфера обмена для удаленного выполнения команд.

Вредоносная программа DarkGate, запущенная в версии 7.0.6, использует настроенный упаковщик для изменения поведения при обнаружении продукта безопасности.

Стратегии смягчения последствий включают ограничение контактов с внешними пользователями, стандартизацию средств удаленного управления, блокирование несанкционированных инструментов, обучение пользователей и стандартизацию доступа к VPN.

#ParsedReport #CompletenessLow
09-12-2024

Dark Web Profile: Ymir Ransomware

https://socradar.io/dark-web-profile-ymir-ransomware

Report completeness: Low

Threats:
Ymir_ransomware
Rusty_stealer

Geo:
Ukraine, Australia, Pakistan, Angola, Congo, African, Colombia

TTPs:
Tactics: 5
Technics: 9

IOCs:
Hash: 9
File: 1
IP: 4

Algorithms:
chacha20

Languages:
powershell, swift

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Появление программы-вымогателя Ymir означает новый уровень изощренности хакеров, бросающий вызов традиционным средствам защиты. Ymir работает скрытно в memory, используя передовые методы шифрования и тактику уклонения, с глобальными последствиями и потенциальными связями со странами Центральной Африки. Эффективные стратегии смягчения последствий включают многоуровневые меры безопасности, такие как MFA, надежные пароли, обучение сотрудников, EDR, внесение приложений в белый список и поведенческую аналитику.
-----

Программа-вымогатель Ymir - это сложная угроза, которая скрытно работает в памяти, что затрудняет ее обнаружение с помощью традиционных средств защиты.

Вирус Ymir был впервые обнаружен в июле 2024 года и быстро распространился, начав атаки на компании по всему миру.

Ymir использует вредоносную программу RustyStealer infostealer для первоначального доступа и проникновения в системы, подчеркивая тенденцию сотрудничества киберпреступников.

Программа-вымогатель использует передовые технологии выполнения в оперативной памяти и уникальные элементы, такие как использование африканского языка лингала в комментариях к коду.

Ymir использует алгоритм шифрования ChaCha20 для быстрого шифрования критически важных файлов и максимального снижения рисков для организаций-жертв.

Ymir обеспечивает постоянство с помощью запланированных задач и может распространяться по сетям, используя собранные учетные данные.

Программа-вымогатель заметает следы своей деятельности, чтобы помешать расследованию.

Ymir оказывает глобальное влияние, затрагивая такие страны, как Колумбия, Пакистан, Австралия и Украина, с потенциальными связями со странами Центральной Африки.

Организациям рекомендуется применять многоуровневые меры безопасности, включая MFA, политику надежного использования паролей, обучение сотрудников, EDR, внесение приложений в белый список и поведенческую аналитику, для защиты от подобных атак программ-вымогателей.

#ParsedReport #CompletenessLow
09-12-2024

LogoFAIL Exploited to Deploy Bootkitty, the first UEFI bootkit for Linux

https://www.binarly.io/blog/logofail-exploited-to-deploy-bootkitty-the-first-uefi-bootkit-for-linux

Report completeness: Low

Threats:
Logofail
Bootkitty
Blacklotus
Finfisher
Moonbounce
Nop_sled_technique

Victims:
Acer, Hp, Fujitsu, Lenovo

CVEs:
CVE-2023-40238 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- insyde insydeh2o (<5.2.05.28.47, <5.3.05.37.47, <5.4.05.45.47, <5.5.05.53.47, <5.6.05.60.47)


ChatGPT TTPs:
do not use without manual check
T1211, T1059.004

IOCs:
File: 4

Soft:
Linux, Linux Ubuntu

Algorithms:
crc-32

Functions:
RLE8ToBlt, LocateProtocol, SetVariable

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, dump: 6, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового загрузчика Linux под названием Bootkitty, использовании им уязвимостей для анализа логофайлов, его способности заражать ядро Linux, обходить защиту при безопасной загрузке и его связи с конкретными устройствами, что подчеркивает меняющийся ландшафт угроз и важность исправлений безопасности встроенного ПО для смягчения последствий. риски, связанные с такими эксплойтами.
-----

Исследователи из Binarly недавно обнаружили существенную связь между недавно обнаруженным загрузочным пакетом Bootkitty для Linux и использованием уязвимостей для анализа изображений LogoFAIL, о которых сообщалось более года назад. Это открытие знаменует собой заметную эволюцию в области угроз, основанных на встроенном ПО, поскольку Bootkitty способен заражать ядро Linux, что является отличием от предыдущих угроз, которые были в основном сосредоточены на экосистеме Windows.

Исследовательская группа Binarly обнаружила, что Bootkitty использует уязвимость, связанную с ошибкой входа в систему (CVE-2023-40238), которая влияет на всю экосистему встроенного по UEFI. Буткит использует эксплойт logoFAIL для выполнения вредоносного шелл-кода с помощью подделанных BMP-файлов, встроенных в прошивку UEFI. Внедряя вредоносные сертификаты в переменную MokList, эксплойт может обходить защиту Secure Boot, что потенциально может повлиять на устройства таких производителей, как Acer, HP, Fujitsu и Lenovo. Несмотря на то, что патч от Insyde устраняет уязвимость, устройства без исправления остаются в зоне риска.

ESET задокументировала открытие Bootkitty, описав его как прототип UEFI bootkit, который представляет собой переход к настройкам Linux Ubuntu. Хотя Bootkitty в настоящее время считается скорее проверкой концепции, чем активной угрозой, его появление сигнализирует о более широкой тенденции распространения атак с использованием bootkit за пределы экосистемы Windows. Анализ показывает, что загрузчики представляют собой значительную область для атак, которую защитники часто упускают из виду, а такие уязвимости, как LogoFAIL и PKfail, подчеркивают проблемы, связанные с повышением сложности.

В ходе дальнейшего расследования Bootkitty были обнаружены два подозрительных файла изображений - logofail.bmp и logofail_fake.bmp - в открытом каталоге, содержащем образцы вредоносных программ. Обнаружение файлов, названных в честь исследования LogoFAIL, представленного на BlackHat EU 23, вызвало опасения по поводу потенциального использования уязвимостей LogoFAIL для развертывания вредоносных программ. В ходе углубленного анализа исследователи выявили шелл-код в файле logofail.bmp, предназначенный для изменения переменной MokList, гарантируя, что буткиту можно доверять во время процесса загрузки. Шелл-код манипулирует BMP-файлом, чтобы перенаправить выполнение во встроенный код, эффективно используя уязвимость.

Изучив ассемблерный код файла образа, исследователи обнаружили сложные детали того, как шелл-код взаимодействует с прошивкой для выполнения эксплойта. Расследование выявило конкретные механизмы, посредством которых шеллкод взаимодействует с прошивкой, подчеркнув важную роль исправлений, таких как те, что разработаны Insyde Software, в снижении риска, связанного с подобными эксплойтами.

Анализ также выявил ссылки в файле bootkit.efi, которые связывали Bootkitty с конкретными устройствами, подверженными уязвимостям LogoFAIL, в частности с устройствами Lenovo, использующими встроенное ПО Insyde. Перезаписывая переменные NVRAM и изменяя системные конфигурации, bootkit может манипулировать процессом загрузки и отображать определенный логотип на зараженных компьютерах. Это открытие позволило сузить круг устройств, на которые нацелен Bootkitty, до моделей Lenovo, которые все еще подвержены сбоям при входе в систему из-за устаревшей прошивки.