#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние атаки на подпольные сети и подчеркивается тенденция использования злоумышленниками уязвимостей VPN и брандмауэра. В нем подчеркиваются риски, связанные с такими маршрутами проникновения, как электронная почта, веб-сайты и социальные сети, которыми часто пренебрегают. Приводится конкретное исследование, проведенное в 2023 году, в котором подробно описывается изощренная атака на веб-сайт университетской лаборатории с использованием тактики социальной инженерии. Злоумышленники использовали вредоносное ПО под названием FlashUpdateInstall.exe для обмана пользователей, что привело к запуску основного вредоносного ПО, system32.dll используя раннюю инъекцию. Злоумышленники использовали сотрудников Cloudflare для общения, и была обнаружена их причастность к многочисленным атакам. Технические подробности о конфигурациях вредоносного ПО, методах связи и деталях HTTP-запросов к серверу C2 приведены в тексте, автором которого является специалист по кибербезопасности, имеющий опыт анализа вредоносных программ и криминалистических расследований.
-----

В тексте обсуждаются недавние атаки, связанные с подпольем, и подчеркивается растущая тенденция использования злоумышленниками уязвимостей в сетях виртуальной сети (VPN) и брандмауэрах. О таких типах инцидентов безопасности обычно сообщается в JPCERT/CC, что указывает на значительный риск, связанный с такими маршрутами проникновения. В то время как многие сосредотачиваются на защите этих уязвимых ресурсов извне, о других путях проникновения, таких как электронная почта, веб-сайты и социальные сети, часто забывают.

В статье приводится пример из 2023 года, когда веб-сайт университетской лаборатории подвергся хакерской атаке. Отличительной особенностью этой атаки является то, что она основывалась на социальной инженерии, а не на использовании уязвимостей, чтобы обманом заставить пользователей загружать и запускать вредоносное ПО самостоятельно. Вредоносная программа с именем FlashUpdateInstall.exe при запуске отображала ложный документ, указывающий на успешное обновление Adobe Flash Player. Затем эта вредоносная программа создала и запустила основную вредоносную программу system32.dll, которая была внедрена в процесс Explorer с помощью Early Bird Injection. Примечательно, что этот DLL-файл имеет характеристики Cobalt Strike Beacon версии 4.5 с водяным знаком 666666.

Группа злоумышленников, ответственная за эти атаки, остается неизвестной. Для передачи данных вредоносное ПО было настроено с помощью Cloudflare Workers, пограничного бессерверного сервиса Cloudflare. Дальнейшее расследование показало, что тот же злоумышленник участвовал и в других атаках. Были обнаружены различные вредоносные программы, одна из которых маскировалась под файл Министерства экономики, торговли и промышленности, чтобы заманить жертв. Другая вредоносная программа, Tips.exe, имела настраиваемые параметры выполнения, позволяющие злоумышленнику задавать различные настройки во время выполнения.

Что касается технических деталей, то в тексте приведены конфигурации, связанные с вредоносным ПО, внедренным во время атаки, включая информацию о каналах связи, путях URI, именах файлов и различных параметрах команд, которые могут быть переданы вредоносному ПО. В тексте также содержится ссылка на строку user-agent и другие данные HTTP-запроса, используемые вредоносной программой при взаимодействии с сервером C2.

Автор статьи - специалист по кибербезопасности, имеющий опыт анализа вредоносных программ и криминалистических расследований, связанных с целенаправленными атаками. Они выступали с докладами на различных конференциях и активно участвуют в жизни сообщества безопасности.

#ParsedReport #CompletenessLow
24-12-2024

WikiKit AiTM Phishing Kit: Where Links Tell Lies

https://trac-labs.com/wikikit-aitm-phishing-kit-where-links-tell-lies-abdea71ba094

Report completeness: Low

Threats:
Wikikit
Aitm_technique
Credential_harvesting_technique

Industry:
Healthcare, Entertainment, Transport

ChatGPT TTPs:
do not use without manual check
T1566, T1071.001, T1204.002, T1078, T1110.001

IOCs:
Url: 2

Soft:
Office_365, outlook.office365

Algorithms:
base64

Functions:
hideOption, function, _0x5e3e02, _0x5152d1

Languages:
javascript

Links:
https://github.com/TRACLabs1/Phishing/blob/main/WikiKit/WikiKit\_IOCs\_12\_2024.txt?source=post\_page-----abdea71ba094--------------------------------

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового фишингового набора под названием WikiKit, который нацелен на различные отрасли и использует целевые страницы, размещенные на Jimdosite, для сбора корпоративных учетных данных. Хакер, стоящий за кампанией, использует скомпрометированные учетные записи электронной почты и имитирует законные URL-адреса, чтобы повысить доверие к фишинговым письмам. Фишинговый набор настраивает свой метод аутентификации в зависимости от конфигурации жертвы и предлагает несколько механизмов многофакторной аутентификации. Было замечено, что кампания постоянно размещает фишинговые страницы по определенным URL-адресам для сбора учетных данных. Пользователям рекомендуется ознакомиться с разделом "Индикаторы компрометации" (IOCs) для получения более подробной информации об этой фишинговой кампании.
-----

Компания TRAC Labs обнаружила новый набор для фишинга под названием WikiKit, названный так из-за его способности перенаправлять пользователей на страницы Википедии, если JavaScript отключен или если фишинговая ссылка недействительна. Эта фишинговая кампания, нацеленная на различные отрасли, такие как автомобилестроение, производство, медицина, строительство, консалтинг и развлечения, началась в начале октября 2024 года. Уникальным аспектом кампании WikiKit является использование целевых страниц, размещенных на Jimdosite, на которых на заднем плане отображается логотип целевой компании. На этих целевых страницах пользователям предлагается перейти по ссылке "Просмотреть документ здесь", которая затем перенаправляет их на страницу сбора учетных данных.

Хакер, стоящий за кампанией, получает несанкционированный доступ к корпоративным учетным данным, связанным с целевыми страницами, и использует взломанные учетные записи электронной почты для дальнейшего распространения фишинговых ссылок. Фишинговые электронные письма часто содержат "вложение" со встроенной ссылкой, некоторые из которых начинаются с app.salesforceiq.com для придания легитимности. Имитируя законные URL-адреса, такие как hxxps://app.salesforceiq.com/r?target=отредактировано&url=hxxps://домен-двойник жертвы.jimdosite.com, злоумышленники повышают доверие к своим фишинговым письмам.

Ранее кампания использовала сервисы Google Ads для перенаправления, но в настоящее время она использует href.сервис анонимизации li для перенаправления. Фишинговый набор использует различные параметры, такие как live, grablogo, email, значок и фон для настройки фишинговых страниц. Существует функция _0x5152d1(), которая создает бесконечный цикл, если входной параметр _0x1001fa имеет строковый тип, чтобы предотвратить любые попытки отладчиков вмешаться в процесс выполнения.

WikiKit настраивает свой метод аутентификации в зависимости от конфигурации жертвы, предлагая три основных метода: PhoneAppNotification, PhoneAppOTP и OneWaySMS, соответствующие различным механизмам многофакторной аутентификации (MFA). Каждый метод отправляет определенные параметры на сервер управления (C2), включая auth=verify_app, auth=verify_code или auth=verify_sms, вместе с адресом электронной почты жертвы и кодом подтверждения.

В ходе последней кампании, проведенной в декабре 2024 года, фишинговые страницы постоянно размещались по URL-адресу yugaljeeautomotive.com/z/pro/mentanance/auth для сбора учетных данных. Такое постоянство в использовании URL-адреса помогает хакерам поддерживать последовательность в своих атаках. Пользователи могут ознакомиться с подробным списком показателей, связанных с этой фишинговой кампанией, в разделе Индикаторы компрометации (IOCs).

#ParsedReport #CompletenessMedium
24-12-2024

What's Behind the Mask: FACCT Forensics Analyzes Attacks by New Masque Ransomware Group

https://www-facct-ru.translate.goog/blog/masque/?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Head_mare
Morlock
Masque

Threats:
Masque
Mystiqueloader
Log4shell_vuln
Xenallpasswordspro_tool
Smbexec_tool
Anydesk_tool
Tdsskiller_tool
Password_spray_technique
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Winrm_tool
Chisel_tool
Lockbit
Babuk
Conti
Localtonet_tool
Impacket_tool

Victims:
Russian businesses

Geo:
Russian

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.2, <2.15.0, 2.0)


TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 6
Command: 1
Path: 2

Soft:
Unix, Windows Service, PsExec, docker, Process Explorer, ESXi, VMware Horizon, XenAllPasswordPro, Telegram, Viber, have more...

Algorithms:
base32, crc-32, xor

Win API:
NtAllocateVirtualMemory

Win Services:
bits

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: киберпреступная группировка Masque, нацеленная в первую очередь на российские предприятия, использует программы-вымогатели, такие как LockBit 3 и Babuk, для компрометации систем путем использования уязвимостей, развертывания средств удаленного доступа, создания сетевых туннелей и использования специального набора инструментов для перемещения по скомпрометированным сетям. Методы группы включают использование уникальных инструментов, таких как MystiqueLoader, заимствование методов из других проектов и маскировку своей деятельности с помощью методов шифрования и обфускации.
-----

The Masque group - русскоязычная киберпреступная организация, преследующая финансовые цели в отношении российских компаний с помощью программ-вымогателей, таких как LockBit 3 (Black) и Babuk (ESXi). Чтобы скомпрометировать свои цели, Masque использует уязвимость CVE-2021-44228 в библиотеке log4j, специально предназначенную для общедоступных сервисов, таких как VMware Horizon. После взлома Masque устанавливает средства удаленного доступа, такие как AnyDesk, для обеспечения сохранности и повышает привилегии на взломанных серверах путем создания локальных и доменных учетных записей. Они используют различные инструменты, такие как mimikatz, ProcDump и comsvcs.библиотека dll для настройки и распространения программ-вымогателей.

Masque создает сетевые туннели, используя такие инструменты, как chisel и LocaltoNet, для связи со своими командными центрами и создания альтернативных каналов доступа в скомпрометированных сетях. Для перемещения по сети в поперечном направлении Masque использует комбинацию методов, включая RDP, SSH, WinRM и SMBExec из платформы Impacket framework. Примечательно, что Masque не тратит много времени на изучение инфраструктуры жертвы, часто оставляя резервные копии нетронутыми, а некоторые данные незашифрованными. Их набор инструментов не отличается разнообразием, и AnyDesk является ключевым инструментом наряду с chisel, LocaltoNet и mimikatz.

Используемые Masque программы-вымогатели LockBit 3 (Black) и Babuk (ESXi) используются для шифрования данных с использованием просочившейся версии builder, датированной 13 сентября 2022 года. Как правило, киберпреступные группы, нацеленные на российские компании с помощью программ-вымогателей, обычно не используют сложные или патентованные инструменты. Однако в случае с Masque они, как выяснилось, используют интересные инструменты, такие как dwm.exe, обнаруженные в ходе расследования. Эта программа, развертываемая на хосте с помощью однострочной команды PowerShell в контексте системной учетной записи, действует как агент загрузки, который извлекает и запускает программные модули PE из Интернета под управлением управляющего сервера по протоколу DNS.

Им MystiqueLoader программа dwm.exe взаимодействует с сервером управления через зашифрованные конфигурационные данные, содержащиеся в теле программы, хранящиеся в виде строк с IPv6-адресами. Во время работы MystiqueLoader шифрует и расшифровывает адреса C2 в памяти по мере необходимости, облегчая связь с управляющим сервером посредством DNS-запросов AAAA для поддоменов, сформированных с использованием XOR-шифрования и Base32-кодирования. После успешного подключения агент получает идентификаторы сеанса от C2, что позволяет выполнять команды и получать обратную связь о состоянии.

Автор MystiqueLoader позаимствовал методы из проекта AtomLdr, реализовав пользовательский алгоритм вычисления хэш-суммы и методы шифрования. Чтобы еще больше замаскировать свою деятельность, MystiqueLoader использует значок законной программы Microsoft (Netplwiz) и маскирует свои коммуникации с помощью DNS-запросов и зашифрованного обмена данными с сервером C2.

Для тех, кто ищет подробную техническую информацию о программах-вымогателях и киберпреступных группах, дополнительную информацию можно найти в тематических репозиториях GitHub, таких как <https://github.com/facct-ransomware>. Будьте в курсе и будьте бдительны в отношении новых хакеров.

#ParsedReport #CompletenessHigh
24-12-2024

Rhadamanthys Stealer Spoofs Emails to Attack Switzerland and the United Kingdom

https://www.forcepoint.com/blog/x-labs/rhadamanthys-stealer-phishing-switzerland-united-kingdom

Report completeness: High

Threats:
Rhadamanthys
Xworm_rat
Agent_tesla
Typosquatting_technique
Dotnet_reactor_tool

Victims:
Hotels, Restaurants, Businesses

Industry:
Entertainment

Geo:
Switzerland, United kingdom

ChatGPT TTPs:
do not use without manual check
T1189, T1140, T1059.001, T1055.012, T1071.001, T1083, T1027, T1547.001

IOCs:
Path: 1
Url: 2
Hash: 1
File: 7
Command: 1
IP: 2
Domain: 2

Soft:
task scheduler, net reactor, Chrome

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и подробном анализе Rhadamanthys infostealer - сложной вредоносной программы, нацеленной на предприятия гостиничного сектора, в частности на отели и рестораны в Швейцарии и Соединенном Королевстве. Вредоносная программа использует передовые методы социальной инженерии, такие как электронные письма, генерируемые искусственным интеллектом, и домены с опечатками, чтобы обмануть пользователей и украсть конфиденциальную информацию. В рамках кампании используются вредоносные PDF-вложения с запутанным кодом JavaScript и PowerShell для загрузки дополнительной полезной информации и установления связи с сервером управления для утечки данных. Защитные меры, принимаемые компанией Forcepoint, направлены на смягчение угрозы, исходящей от этого скрытого инфокрада.
-----

Вредоносная программа XWorm, нацеленная на гостиничный сектор, была освещена в блоге Лидии.

Информационный агент Rhadamanthys активно атакует предприятия в Швейцарии и Великобритании, в частности отели и рестораны, используя поддельные электронные письма якобы от Booking.com.

Кампания Радаманта имеет сходство с действиями агента Tesla в 2024 году, что наводит на мысль о потенциальной связи между хакерами.

В кампании Rhadamanty использовались передовые методы социальной инженерии, в том числе подозрительные электронные письма, созданные с помощью искусственного интеллекта, и опечатки законных доменов, таких как Booking.com.

Вредоносные электронные письма содержат вложения в формате PDF, выдающие себя за поддельные счета-фактуры или предупреждающие сообщения, которые запускают вредоносные действия при открытии.

Вредоносная программа использует методы обфускации, такие как длинные имена переменных и функций, что затрудняет анализ и обнаружение.

Код PowerShell запускает загрузку дополнительных полезных файлов, размещенных в blogspot.com и облачных репозиториях.

Rhadamanthys infostealer устанавливает связь с командно-контрольным сервером и пытается извлечь конфиденциальную информацию, собрать сведения о системе и установить постоянство в системе.

Защитные меры, принимаемые Forcepoint, включают в себя идентификацию и блокировку вредоносных PDF-вложений, предотвращение перенаправлений на подозрительные URL-адреса, блокирование известных файлов-дропперов и перехват сообщений с серверов C2 для защиты клиентов от угрозы.

#ParsedReport #CompletenessLow
24-12-2024

Blogs. Hacktivist Groups: The Shadowy Links to Nation-State Agendas. Hacktivist Groups: The Shadowy Links to Nation-State Agendas

https://www.trellix.com/blogs/research/hacktivist-groups-the-shadowy-links-to-nation-state-agendas

Report completeness: Low

Actors/Campaigns:
Sandworm (motivation: hacktivism, propaganda)
Cyberarmyofrussia (motivation: hacktivism)
Xaknet (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Irgc (motivation: hacktivism)
Marnanbridge (motivation: hacktivism)
Altoufan
Amc239
Anzu_team
Byte_blitz
Cyber_cheetahs
Menelaus
Sangkancil
Mosesstaff (motivation: hacktivism)
Cyber_av3ngers (motivation: hacktivism)
Soldiers_of_solomon (motivation: hacktivism)
Blackshadow (motivation: hacktivism)
Malek_team (motivation: hacktivism)
Unc5174 (motivation: hacktivism)

Threats:
Ddosia_botnet
Blackmagic
Moneybird

Industry:
Transport, Government

Geo:
Israeli, Japanese, Iran, Yemen, Middle east, Iranians, Deus, Russian, Israel, Russia, Chinese, China, Ukraine, Ukrainian, Iranian, Palestine, Australian

CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


ChatGPT TTPs:
do not use without manual check
T1498, T1190, T1485

IOCs:
Url: 1

Soft:
Telegram, Instagram, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в росте хактивизма, особенно в контексте того, что различные группы, связанные с национальными государствами по всему миру, совершают кибератаки в политических и социальных целях. В тексте освещается деятельность групп хактивистов из России, Ирана и Китая, их тактика, такая как DDoS-атаки, фальсификация, утечка информации и распространение пропаганды, а также их связи с государственными структурами, такими как команда Sandworm. Меняющийся ландшафт угроз, создаваемый группами хактивистов, создает риски, варьирующиеся от нарушения работы онлайн-систем до более разрушительных атак, таких как программы-вымогатели и вредоносные программы-очистители.
-----

Хактивизм - это растущая тенденция, когда хакерские методы используются в целях активизма, разрушения онлайн-систем или манипулирования ими в социальных или политических целях.

Число хактивистских групп, связанных с Россией, увеличилось, причем некоторые группы действуют независимо, поддерживая интересы России, и в то же время имеют потенциальную связь с правительством через посредников, таких как команда Sandworm.

CARR - это группа, специализирующаяся на DDoS-атаках и распространении информации, потенциально сотрудничающая с такими организациями, как XakNet и Infoccentr. Между CARR и NoName057(16) существуют тесные связи, что указывает на их связь с командой Sandworm.

NoName057(16) фокусируется на DDoS-атаках и хакерской атаке на страны, поддерживающие правительства Украины и Израиля, со связями с предыдущими администраторами CARR.

Поддерживаемые Ираном группировки хактивистов нацелены на Израиль и Соединенные Штаты с помощью атак типа "отказ в обслуживании", фальсификации, утечки информации и распространения пропаганды. Эменнет Пасаргад координирует группы хактивистов для таких организаций, как КСИР.

Moses Staff, CyberAveng3rs и Soldiers of Solomon - иранские хактивистские группировки, связанные с КСИР и занимающиеся операциями по взлому и утечке информации. Agrius, связанная с иранским MOIS, атакует израильские организации, используя программы-вымогатели и вредоносные программы-очистители.

Uteus (UNC5174) - это поддерживаемый правительством Китая брокер начального доступа, эксплуатирующий системы по всему миру с использованием эксплойтов N-day.

Группы хактивистов, связанные с национальными государствами, представляют собой динамичный ландшафт угроз, способный перейти от традиционных атак к более разрушительным формам, таким как программы-вымогатели и вредоносные программы-очистители.

#ParsedReport #CompletenessMedium
24-12-2024

ICS Threat Analysis: New, Experimental Malware Can Kill Engineering Processes

https://www.forescout.com/blog/ics-threat-analysis-new-experimental-malware-can-kill-engineering-processes

Report completeness: Medium

Actors/Campaigns:
Chaya_002

Threats:
Ramnit
Chaya_003
Frostygoop
Aisuru
Kaiten
Bashlite
Phoenix_keylogger
Zeus
Bumblebee
Sality
Virut
Expiro
Jeefo
Neshta
Parite
Floxif
Upx_tool
Asyncrat
Wacapew

Victims:
Mitsubishi, Siemens

Industry:
Ics, Iot, Financial

Geo:
Belgium, Dutch, Spanish, Canada

ChatGPT TTPs:
do not use without manual check
T1105, T1082

IOCs:
Hash: 15
Domain: 5
File: 8
Command: 1
IP: 1

Soft:
Discord, curl, chatgpt, Twitter

Algorithms:
exhibit, sha256

Functions:
Win32

Win API:
CreateToolhelp32Snapshot, Process32First

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние инциденты, связанные с вредоносным ПО, нацеленным на инженерные рабочие станции в среде OT/ICS, с выделением различных образцов и штаммов вредоносного ПО, таких как Chaya_003 и Ramnit. В нем подчеркивается важность безопасности OT, исследуется наличие вредоносных программ, специфичных для OT, автоматизированные ботнеты, нацеленные на устройства OT, и разрабатывается правило YARA для обнаружения вредоносных файлов. В ходе обсуждения также рассматриваются поведение и эволюция вредоносного ПО Chaya_003, рекомендации по устранению последствий и основные исходные векторы атак при инцидентах с системами OT/control.
-----

В тексте содержится подробная информация о недавних инцидентах, связанных с вредоносным ПО, нацеленным на инженерные рабочие станции в среде OT/ICS (Операционные технологии/промышленные системы управления). В нем сообщается об обнаружении различных образцов вредоносного ПО, таких как test.exe, Isass.exe и elsass.exe, отправленных из Бельгии, а также о новом штамме вредоносного ПО под названием Chaya_003, который способен прерывать технологические процессы Siemens.

Анализ выявил постоянный поток вредоносных программ OT/ICS с акцентом на инциденты, связанные с рабочими станциями Mitsubishi и Siemens engineering, зараженными червем Ramnit. Кроме того, в тексте указывается на существование вредоносных программ, специфичных для OT, таких как FrostyGoop и BUSTLEBERM, что подчеркивает важность обеспечения безопасности OT, учитывая распространенность вредоносных программ, нацеленных на рабочие станции инженеров.

В ходе исследования были выявлены семейства автоматизированных ботнетов, таких как Aisuru, Kaiten и Gafgyt, в общедоступном хранилище вредоносных программ VirusTotal. Эти ботнеты обычно используют учетные данные устройств OT по умолчанию для получения первоначального доступа или предоставления инструкций по удалению конфиденциальных данных из каталогов. В отчете Института SANS отмечается, что подключенные устройства являются одним из основных первоначальных векторов атак при инцидентах с системами OT/control, а компрометация инженерных рабочих станций занимает четвертое место по распространенности.

Кроме того, в тексте обсуждается разработка правила YARA для обнаружения потенциально вредоносных файлов, предназначенных для взаимодействия с инженерным программным обеспечением. С помощью этого правила были выявлены совпадения для артефактов Phoenix Contact, Mitsubishi и Siemens, при этом особое внимание было уделено двум кластерам Ramnit, заражающим рабочие станции инженеров. Вредоносная программа Ramnit, изначально являвшаяся банковским трояном, превратилась в модульную платформу, способную выполнять различные вредоносные действия, включая удаленный рабочий стол и захват скриншотов.

Дальнейшие находки раскрывают поведение и эволюцию вредоносного кластера Chaya_003, который использует инфраструктуру C2 с использованием веб-узлов Discord для разведки системы и нарушения процессов. В тексте приводятся указания разработчиков на местоположение и детали инфраструктуры, что указывает на потенциальную связь с известными вредоносными действиями.

Что касается смягчения последствий, в тексте рекомендуются такие рекомендации, как предотвращение прямого доступа инженерных рабочих станций к Интернету, правильное сегментирование сетей, ограничение сетевых подключений разрешенными устройствами и внедрение решений мониторинга для обнаружения вредоносных индикаторов.

#ParsedReport #CompletenessHigh
25-12-2024

DarkVision RAT: A Persistent Threat Delivered via PureCrypter

https://socradar.io/darkvision-rat-a-threat-delivered-via-purecrypter

Report completeness: High

Threats:
Darkvisionrat
Purecryptor
Process_injection_technique

Industry:
Financial, Healthcare, Government

TTPs:
Tactics: 1
Technics: 6

IOCs:
Hash: 3
Url: 1
Domain: 1

Soft:
Windows Defender, Windows Registry

Win API:
NtMapViewOfSection, NtCreateSection

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа DarkVision RAT, распространяемая с помощью загрузчика PureCrypter, представляет серьезную угрозу для организаций в различных секторах, предоставляя злоумышленникам широкие возможности удаленного доступа и используя сложные методы обфускации, чтобы избежать обнаружения. Для защиты от этой угрозы организациям рекомендуется применять строгие меры безопасности, усиливать защиту конечных устройств и активно отслеживать подозрительные действия и изменения в реестре. В случае заражения следует незамедлительно предпринять действия по устранению неполадок, уделяя особое внимание использованию системных журналов, средств обнаружения конечных точек и постоянному мониторингу для эффективной борьбы с DarkVision RAT и подобными угрозами. Использование таких решений, как SOCRadar, может помочь в обнаружении подобных кампаний и реагировании на них, повысив общую безопасность и защищенность от продвинутых хакеров.
-----

Вредоносная программа DarkVision RAT, использующая загрузчик PureCrypter, представляет серьезную угрозу для организаций в различных секторах, таких как финансы, здравоохранение и правительство. Эта сложная атака распространяется с помощью фишинга и использует передовые методы обфускации, чтобы избежать обнаружения. DarkVision RAT предоставляет злоумышленникам удаленный доступ к скомпрометированным системам, позволяя выполнять такие действия, как ведение кейлогга, захват экрана и аудио, манипулирование системными процессами и изменение записей реестра для обеспечения сохраняемости.

DarkVision RAT, распространяемый через PureCrypter, запускает цепочку заражения, расшифровывая и запуская вредоносное ПО через загрузчик. Этот троянец, известный своей способностью избегать обнаружения, использует такие тактические приемы, как вызовы API, внедрение процессов и маскировку под законные задачи. Командная и управляющая связь вредоносного ПО осуществляется через нестандартные порты, что затрудняет обнаружение его присутствия в стандартных конфигурациях брандмауэра. Организациям настоятельно рекомендуется использовать платформу SOCRadar XTI для изучения раздела "Кампании", чтобы собрать информацию о DarkVision RAT и аналогичных угрозах, подчеркивая важность упреждающих мер безопасности.

Чтобы защититься от DarkVision RAT, организации должны применять строгие меры безопасности, укреплять защиту конечных устройств и постоянно отслеживать подозрительные действия и изменения в реестре. Реализация следующих стратегий снижения рисков может помочь организациям помешать распространению DarkVision RAT и значительно снизить риски компрометации. Эти стратегии нацелены на наиболее часто применяемую тактику DarkVision RAT, подчеркивая проактивный подход к кибербезопасности.

В случае заражения систем DarkVision RAT организации должны незамедлительно предпринять действия по исправлению ситуации, чтобы обнаружить и уничтожить вредоносное ПО. Подчеркивая важность системных журналов, средств обнаружения конечных точек и постоянного мониторинга, организации могут эффективно устранить DarkVision RAT. Сохранение бдительности и принятие ключевых мер по устранению неполадок имеет решающее значение для смягчения последствий этой вредоносной кампании.

Кампания DarkVision RAT служит суровым напоминанием о серьезной угрозе, которую представляют продвинутые трояны для удаленного доступа, передаваемые через загрузчики, такие как PureCrypter. Благодаря широкому спектру возможностей, включая кейлоггинг, захват видео и внедрение процессов, DarkVision RAT позволяет хакерам получить значительный контроль над скомпрометированными системами. Для борьбы с этими угрозами необходим комплексный подход, включающий защиту конечных точек, внесение приложений в белый список и мониторинг в режиме реального времени. Использование передовых решений, таких как SOCRadar, может помочь организациям выявлять кампании, подобные DarkVision RAT, и реагировать на них, тем самым укрепляя их общую систему безопасности и защищая от изощренных хакеров.

#ParsedReport #CompletenessMedium
25-12-2024

Androxgh0st Malware: Unmasking the Silent Threat to Cloud and Web Security

https://www.picussecurity.com/resource/blog/androxgh0st-malware-cloud-web-security-threat

Report completeness: Medium

Actors/Campaigns:
Duke
Fox_kitten
Andariel

Threats:
Androxgh0st
Credential_harvesting_technique
Spear-phishing_technique
Ransomhub

Industry:
Military, Critical_infrastructure

Geo:
Iranian, North korean, Russian

CVEs:
CVE-2021-41773 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http server (2.4.49)

CVE-2024-9474 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimanager (<6.2.13, <6.4.15, <7.0.13, <7.2.8, <7.4.5)
- fortinet fortimanager cloud (le6.4.7, <7.0.13, <7.2.8, <7.4.5)

CVE-2024-0012 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-38063 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2018-15133 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel (le5.5.40, le5.6.29)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit project phpunit (le4.8.27, <5.6.3)


TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 4

Soft:
Laravel, Office 365, SendGrid, Microsoft Office 365, PHPUnit, Apache Struts, curl

Algorithms:
exhibit, base64

Functions:
CreateUser, DeleteAccessKey, AWS, GetSendQuota

Languages:
python, php