#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: аналитики hacker intelligence раскрыли сложную мошенническую операцию, направленную против пользователей Google Ads. Хакеры использовали мошеннические объявления для получения учетных данных, компрометации учетных записей и потенциального финансового ущерба. В ходе операции были задействованы различные вредоносные кампании, имитирующие законную рекламу Google, при этом группы преступников занимались различными вредоносными действиями, такими как фишинг и распространение вредоносных программ. Аналитики подчеркивают необходимость усиления мер безопасности и принятия упреждающих мер со стороны Google для снижения угрозы, исходящей от этих киберпреступников.
-----

Аналитики Hacker Intelligence определили как наиболее опасную изощренную мошенническую операцию, направленную против частных лиц и компаний, размещающих рекламу через Google Ads. Хакеры, стоящие за этой схемой, использовали мошеннические объявления Google для получения учетных данных, что представляет значительный риск для бизнеса Google и потенциально может повлиять на тысячи клиентов по всему миру. Вредоносная реклама выдает себя за Google Ads и перенаправляет жертв на фишинговую страницу, где они получают свои учетные данные для входа в систему.

Аналитики hacker intelligence обнаружили эту подозрительную активность, связанную с аккаунтами Google, и в конечном итоге отследили ее до рекламы самого Google Ads. Мошеннические результаты "спонсорской" рекламы очень похожи на законную рекламу Google, из-за чего пользователям сложно отличить настоящую рекламу от поддельной. Вредоносная кампания разнообразна: рекламные объявления исходят от разных частных лиц и компаний из разных мест, что еще больше усложняет усилия по обнаружению.

При нажатии на мошеннические объявления жертвы перенаправляются на фишинговую страницу, где JavaScript-код захватывает конфиденциальную информацию, такую как уникальные идентификаторы, файлы cookie и учетные данные. Собранные данные тайно передаются хакерам, что позволяет им взломать аккаунты жертв в Google Ads. Впоследствии хакеры могут добавить нового администратора в учетную запись, используя другой адрес Gmail, что позволит им осуществлять несанкционированные действия и потенциально нанести финансовый ущерб жертвам.

Аналитики выявили две основные группы преступников, вовлеченных в эту мошенническую операцию, при этом одна группа, состоящая преимущественно из носителей португальского языка, вероятно, действовала из Бразилии. Жертвы сообщали о получении подозрительных уведомлений о входе в систему от Google, часто из Бразилии, указывающих на попытки несанкционированного доступа. Несмотря на попытки сообщать о мошеннических объявлениях и удалять их, хакерам удалось сохранить постоянное присутствие, запустив по крайней мере одно вредоносное объявление круглосуточно.

Кроме того, была выявлена третья кампания с другой целью, направленная на распространение вредоносного ПО, что указывает на диверсифицированный подход киберпреступников. Аналитики отметили отличительные особенности каждой группы, подчеркнув сложность и адаптивность этих злоумышленников.

Украденные аккаунты Google Ads представляют большую ценность для хакеров, которые используют взломанные аккаунты рекламодателей для финансирования вредоносных рекламных кампаний, способствующих мошенничеству или распространению вредоносных программ. Такая практика не только использует невинных жертв, но и приносит доход Google, что подчеркивает необходимость более строгих мер безопасности для противодействия таким угрозам. Несмотря на то, что пользователям рекомендуется сохранять бдительность, аналитики подчеркивают важность принятия Google упреждающих мер для замораживания скомпрометированных аккаунтов и предотвращения дальнейших вредоносных атак.

#ParsedReport #CompletenessHigh
17-01-2025

MintsLoader: StealC and BOINC Delivery

https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery

Report completeness: High

Actors/Campaigns:
Plymouth

Threats:
Mintsloader
Stealc
Boinc_tool
Warmcookie
Clickfix_technique
Amsi_bypass_technique
Arkei_stealer

Industry:
Petroleum

Geo:
Uzbekistan, Ukraine, Kazakhstan, Belarus, Russia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1083, T1059.001, T1562, T1071.001

IOCs:
File: 6
Domain: 60
Hash: 3
IP: 4
Url: 3

Soft:
curl

Algorithms:
sha256, base64, xor

Functions:
Get-MpComputerStatus, Get-Random

Languages:
jscript, powershell, python

Platforms:
intel

Links:
https://github.com/eSentire/iocs/blob/main/MintsLoader/MintsLoader\_Stealc\_01\_14\_2025.txt
https://github.com/eSentire/iocs/blob/main/Stealc/stealc\_hwid.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2025 года была обнаружена кибератака с использованием MintsLoader, загрузчика вредоносного ПО на основе PowerShell. Кампания нацелена главным образом на организации в отраслях электроэнергетики, нефтегазовой промышленности в США и Европе. MintsLoader распространяется через спам-рассылки и использует передовые методы, такие как алгоритм генерации доменов (DGA) и методы противодействия виртуальным машинам, чтобы избежать обнаружения. Он доставляет полезные нагрузки, такие как Stealc, программа-угонщик информации, предназначенная для кражи конфиденциальных данных из браузеров, приложений, криптокошельков и почтовых клиентов.
-----

В начале января 2025 года была обнаружена вызывающая беспокойство кампания с участием MintsLoader, которая предоставляла полезную нагрузку второго этапа, такую как Stealc и клиент Berkeley Open Infrastructure for Network Computing (BOINC). MintsLoader - это вредоносный загрузчик на базе PowerShell, распространяемый с помощью спам-рассылок, которые ведут на страницы Kongtuke/ClickFix или в файл JScript. В нем используется алгоритм генерации домена (DGA), а также методы защиты от виртуальных машин. Примечательно, что эта кампания оказала влияние на организации электроэнергетической, нефтегазовой отраслей в Соединенных Штатах и Европе.

Процесс заражения MintsLoader заключается в загрузке файла JScript с определенным шаблоном регулярных выражений, выполнении команд PowerShell для извлечения этапов и использовании методов обфускации. Stealc, производное от Arkei, - это программа для кражи информации, предназначенная для обработки конфиденциальных данных из веб-браузеров, приложений, крипто-кошельков и почтовых клиентов перед отправкой отфильтрованных данных на сервер управления (C2). Чтобы избежать статического анализа, Stealc использует зашифрованные строки XOR, расшифровывает их во время выполнения и включает в себя подпрограммы защиты от отладки/антианализа. Кроме того, он включает проверки, позволяющие избежать систем с определенными атрибутами, такими как идентификаторы языка, процессорных ядер, памяти и высоты разрешения. Кроме того, Stealc создает идентификатор оборудования (HWID) на основе серийного номера тома диска C:\ для фильтрации украденных журналов и обхода безопасных сред. После генерации HWID с сервера C2 поступает конфигурация в кодировке base64 для фильтрации собранных данных с помощью HTTP POST-запросов.

Кампания MintsLoader представляет собой серьезную угрозу из-за ее скрытого характера, особенно для организаций в Соединенных Штатах и Европе. Она распространяется преимущественно через спам-письма, содержащие ссылку на файл JScript, или через ClickFix/KongTuke. В сочетании с такими похитителями информации, как StealC, кампания усиливается, создавая повышенный риск для конфиденциальности и целостности конфиденциальных данных в этих целевых отраслях.

#ParsedReport #CompletenessMedium
17-01-2025

Sliver Implant Targets German Entities with DLL Sideloading and Proxying Techniques

https://cyble.com/blog/sliver-implant-targets-german-entities-with-dll-sideloading-and-proxying-techniques

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Dll_sideloading_technique
Sliver_c2_tool

Victims:
German citizens, Organizations in germany

Geo:
Germany, German

TTPs:
Tactics: 6
Technics: 6

IOCs:
File: 8
Path: 1
Url: 2
Hash: 4

Algorithms:
exhibit, sha256

Win API:
CryptAcquireContextW, CryptCreateHash, CryptHashData, CryptDeriveKey, CryptDecrypt

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Detect\_malicious\_IPHLPAPI.txt
https://github.com/CRIL-Threat-Intelligence/Sigma\_rules/blob/main/Detects\_DLL\_SideLoading\_using\_wksprt.exe.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, table: 1, code: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ сложной кибератаки, нацеленной на граждан Германии, с использованием передовых методов, таких как загрузка DLL-файлов, проксирование DLL-файлов и внедрение Sliver для получения доступа, выполнения вредоносных действий и установления контроля над скомпрометированными системами. Атака включает в себя многоэтапную кампанию с использованием вводящего в заблуждение файла LNK, запускающего загрузку вредоносных библиотек DLL для выполнения шелл-кода и развертывания имплантата Sliver, что указывает на эволюцию тактики хакеров по уклонению от обнаружения. Проведенный анализ подчеркивает необходимость усовершенствованных стратегий обнаружения и защиты для эффективного противодействия таким изощренным хакерам.
-----

В тексте описывается подробный анализ кибератаки, нацеленной на граждан Германии, проведенной в рамках кампании, включающей загрузку DLL-файлов, проксирование DLL-файлов и использование имплантата Sliver. Атака начинается с вредоносного файла LNK, встроенного в архив, который, вероятно, распространяется по электронной почте с помощью фишинга. При запуске файл LNK запускает загрузку законных исполняемых файлов, которые загружают вредоносную библиотеку DLL, ответственную за выполнение шеллкода в фоновом режиме. Этот шеллкод расшифровывает и запускает конечную полезную нагрузку - имплантат Sliver, который позволяет хакерам установить связь со взломанной системой для дальнейших вредоносных действий.

В рамках кампании используется архивный файл под названием "Homeoffice-Vereinbarung-2025.7z", содержащий различные компоненты, включая документ-приманку, легальные исполняемые файлы, вредоносные DLL-файлы и зашифрованный DAT-файл. Файл LNK в архиве инициирует атаку, что приводит к созданию каталога с именем "InteI" в локальной папке данных приложения пользователя. В этот каталог копируются законные файлы Windows, а также скрытые вредоносные файлы. Документ-приманка маскируется под соглашение с Министерством внутренних дел, написанное на немецком языке, что указывает на целенаправленный подход к отдельным лицам или организациям в Германии.

Вредоносный DLL-файл с именем IPHLPAPI.dll, загружаемый законным исполняемым файлом wksprt.exe, действует как прокси-сервер для перехвата вызовов функций и выполнения собственного кода при сохранении нормального поведения приложения. Он считывает и расшифровывает кэш-память файла.dat, который содержит шелл-код, ответственный за выполнение имплантата Sliver. Имплантат устанавливает соединения с удаленными серверами, позволяя хакерам выполнять дальнейшие вредоносные операции в системе жертвы.

Хотя эту кампанию нельзя однозначно отнести к какой-либо конкретной хакерской группе, сходство в используемых методах позволяет предположить сходство с предыдущими кампаниями APT29. Примечательно, что использование DLL-прокси в этой кампании означает эволюцию тактики по сравнению с предыдущими операциями, которые приписывались APT29. Эта атака подчеркивает изощренность хакеров в уклонении от обнаружения и необходимость усовершенствованных стратегий обнаружения и защиты для эффективного противодействия таким многоэтапным кибератакам.

Таким образом, в кибератаке, нацеленной на граждан Германии, использовались передовые методы, такие как дополнительная загрузка DLL-файлов, проксирование DLL-файлов и внедрение Sliver для получения первоначального доступа, выполнения вредоносных действий и установления контроля над скомпрометированными системами. Подробный анализ подчеркивает сложность и адаптивность хакерских операций, подчеркивая важность надежных мер кибербезопасности для снижения рисков, связанных с такими изощренными атаками.

#ParsedReport #CompletenessLow
16-01-2025

Threat Bulletin: Weaponized Software Targets Chinese-Speaking Organizations

https://intezer.com/blog/malware-analysis/weaponized-software-targets-chinese

Report completeness: Low

Actors/Campaigns:
Silver_fox

Threats:
Pngplug
Valleyrat
Junk_code_technique
Gh0st_rat

Geo:
Hong kong, Taiwan, China, Israel

ChatGPT TTPs:
do not use without manual check
T1055, T1140, T1204, T1027, T1083, T1566, T1129, T1574.009

IOCs:
File: 7
Registry: 1
IP: 2
Hash: 50

Soft:
Windows Installer

Algorithms:
xor

Platforms:
x86

Links:
https://github.com/hasherezade/pe\_to\_shellcode/tree/a2458c96619b721677af0f9b906cd6a229364b4c

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются кибератаки, направленные на китайскоязычные организации в таких регионах, как Гонконг, Тайвань и Китай, с использованием многоступенчатого загрузчика PNGPlug для доставки вредоносного ПО ValleyRAT. Злоумышленники используют методы фишинга, чтобы обманом заставить жертв загружать вредоносное программное обеспечение, замаскированное под законные приложения. Загрузчик PNGPlug выполняет различные вредоносные действия, включая внедрение в память, установку исправлений ntdll.dll и обнаружение антивирусного программного обеспечения, в то время как вредоносная программа ValleyRAT использует передовые технологии для контроля зараженных систем. Злоумышленники сосредотачиваются на пробелах в работе организаций и используют легальное программное обеспечение для распространения вредоносных программ, подчеркивая необходимость в усовершенствованных механизмах обнаружения и предотвращения новых атак хакеров. Кампания, проводимая Silver Fox APT group, подчеркивает важность надежных мер кибербезопасности для борьбы с изощренными хакерами.
-----

В тексте описывается серия кибератак, нацеленных на организации в китайскоязычных регионах, таких как Гонконг, Тайвань и Китай, с использованием многоступенчатого загрузчика PNGPlug для доставки вредоносного ПО ValleyRAT. Атака начинается с фишинговой веб-страницы, которая обманом заставляет жертву загрузить вредоносный пакет MSI, замаскированный под легальное программное обеспечение. Этот пакет MSI содержит загрузчик PNGPlug, который извлекает зашифрованный архив, содержащий компоненты вредоносного ПО. Основная функция загрузчика заключается в установке исправлений ntdll.dll для внедрения в память, анализе аргументов командной строки и обнаружении антивирусного программного обеспечения перед выполнением вредоносных процессов.

Загрузчик расшифровывает путь к реестру и загружает в память файлы, такие как aut.png и view.png, маскируя их под изображения в формате PNG с закодированной вредоносной полезной нагрузкой. Он также проверяет наличие 360 Total Security, чтобы в дальнейшем избежать обнаружения. Вредоносная программа ValleyRAT, приписываемая Silver Fox APT group, использует передовые методы, такие как выполнение шеллкода, обфускация, повышение привилегий и механизмы сохранения для поддержания контроля над зараженными системами. Этапы создания вредоносной программы включают начальное выполнение, развертывание запутанного шелл-кода и получение дополнительных компонентов с сервера управления.

Кампания, нацеленная на организации, говорящие на китайском языке, демонстрирует целенаправленный подход в разных регионах, который обычно рассматривается в сообществе безопасности отдельно. Злоумышленники используют потенциальные пробелы в работе организаций, особенно связанные с инструментами сотрудников и использованием свободного программного обеспечения. Они также используют легальное программное обеспечение в качестве средства доставки вредоносных программ, смешивая вредоносные действия с безопасными приложениями. Модульная конструкция загрузчика PNGPlug усиливает угрозу, позволяя настраивать ее для нескольких кампаний и иллюстрируя эволюцию хакеров, которым требуются усовершенствованные механизмы обнаружения и предотвращения.

В тексте подчеркивается уникальная нацеленность злоумышленников на организации, говорящие на китайском языке, использование фишинговых методов и инструментов шпионажа, таких как ValleyRAT, для отслеживания действий и установки дополнительных полезных программ. Кампания проводится группой Silver Fox APT group на основе данных о виктимологии, переносчиках инфекции и наблюдаемой полезной нагрузке, что подчеркивает важность надежных мер кибербезопасности против изощренных хакеров. Адаптивность и скрытный характер атак иллюстрируют необходимость постоянного совершенствования средств защиты от кибербезопасности для эффективного противодействия развивающимся угрозам.

#ParsedReport #CompletenessLow
17-01-2025

New Star Blizzard spear-phishing campaign targets WhatsApp accounts

https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts

Report completeness: Low

Actors/Campaigns:
Seaborgium

Threats:
Spear-phishing_technique

Victims:
Journalists, Think tanks, Non-governmental organizations, Government or diplomacy, Defense policy researchers, International relations researchers

Industry:
Ngo, Government

Geo:
Ukraine, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1566.002

IOCs:
Domain: 3

Soft:
WhatsApp, Microsoft Defender for Endpoint, Microsoft Defender, Twitter

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила изменение тактики российского хакера Star Blizzard в кампании фишинга, нацеленной на правительственные, дипломатические, оборонные и исследовательские организации, связанные с Россией и Украиной. Несмотря на сбои, Star Blizzard продемонстрировала адаптивность, перейдя на новые домены и взломав учетные записи WhatsApp. Корпорация Майкрософт продолжает отслеживать и сообщать о своей деятельности, чтобы повысить осведомленность и помочь организациям в усилении их защиты.
-----

Недавно, в середине ноября 2024 года, Microsoft Threat Intelligence обнаружила изменение тактики российского хакера, известного как Star Blizzard. Хакер, нацеленный на организации, связанные с правительством, дипломатией, оборонной политикой, исследователями международных отношений, специализирующимися на России, и источниками помощи Украине, инициировал фишинговую кампанию, предлагая получателям возможность присоединиться к группе в WhatsApp, что отличалось от их обычных методов. Ранее Star Blizzard проводила целенаправленные фишинговые кампании против организаций гражданского общества, что приводило к утечке конфиденциальных данных и нарушению деятельности. После скоординированных действий Microsoft и Министерства юстиции США по удалению более 180 связанных веб-сайтов Star Blizzard быстро адаптировалась, перейдя на новые домены, продемонстрировав свою устойчивость к сбоям в работе.

Переход к компрометации учетных записей WhatsApp, вероятно, был вызван разоблачением их тактики различными организациями, включая Microsoft Threat Intelligence. Несмотря на очевидное сворачивание кампании к концу ноября, это изменение тактики служит предупреждающим знаком о способности хакеров приспосабливаться и упорстве в уклонении от обнаружения. Корпорация Майкрософт продолжает отслеживать деятельность Star Blizzard и сообщать о ней, чтобы повысить осведомленность и помочь организациям в усилении их защиты от подобных угроз.

В рамках фишинговой кампании Star Blizzard, проводимой с использованием WhatsApp, хакер, выдававший себя за представителя правительства США, отправлял первые электронные письма своим жертвам, а затем отправлял второе электронное письмо, содержащее вредоносную ссылку. В электронном письме получатели приглашались присоединиться к группе WhatsApp, которая якобы поддерживает украинские НПО, используя нечитаемый QR-код для быстрого получения ответов. Впоследствии сокращенный URL-адрес с безопасными ссылками направлял адресатов на веб-страницу, где им предлагалось отсканировать QR-код, чтобы присоединиться к группе. Однако вредоносный QR-код облегчил доступ к учетной записи WhatsApp жертвы, позволив хакеру извлекать данные с помощью плагинов для браузера, предназначенных для экспорта сообщений из учетных записей, к которым был получен доступ через WhatsApp Web.

Microsoft Threat Intelligence рекомендует пользователям, особенно в секторах, на которые обычно нацелена Star Blizzard, проявлять осторожность при работе с электронными письмами, содержащими внешние ссылки. Среди рекомендаций - сохранять бдительность и использовать Microsoft Defender XDR для комплексной защиты от подобных угроз. Клиентам рекомендуется ознакомиться с применимыми средствами обнаружения в Microsoft Defender XDR, чтобы определить активность потенциальных угроз, связанную с Star Blizzard. Кроме того, отчеты в продуктах Microsoft содержат актуальную аналитическую информацию, сведения о защите и предлагаемые действия по предотвращению, смягчению последствий или реагированию на угрозы, исходящие от хакеров.

Для дальнейшего взаимодействия и обновления информации пользователям рекомендуется подписаться на Microsoft Threat Intelligence в LinkedIn и X (ранее Twitter).

#ParsedReport #CompletenessLow
18-01-2025

Fatal UEFI Secure Boot Flaw (CVE-2024-7344) Exposes Millions to Hackers

https://www.secureblink.com/cyber-security-news/fatal-uefi-secure-boot-flaw-cve-2024-7344-exposes-millions-to-hackers

Report completeness: Low

Threats:
Bootkitty
Blacklotus

CVEs:
CVE-2024-7344 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1542.002, T1078

IOCs:
File: 3

Soft:
Linux

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и раскрытии критической уязвимости (CVE-2024-7344) в UEFI Secure Boot, которая позволяет выполнять вредоносный код во время загрузки в обход средств защиты Secure Boot. Уязвимость позволяет злоумышленникам развертывать загрузчики UEFI, такие как Bootkitty или BlackLotus, заменяя загрузчик по умолчанию скомпрометированным двоичным файлом, что приводит к потенциальным угрозам безопасности для различных современных систем. Процесс раскрытия информации включал координацию с поставщиками для принятия мер по смягчению последствий, что привело к отзыву уязвимых двоичных файлов в обновлении Microsoft Patch Tuesday.
-----

Исследователи обнаружили чрезвычайно важную уязвимость, известную как CVE-2024-7344, которая представляет серьезную угрозу для UEFI Secure Boot, важнейшей меры безопасности, предназначенной для поддержания целостности процессов загрузки системы. Эта уязвимость позволяет выполнять вредоносный код во время загрузки, даже при активной безопасной загрузке, создавая значительные угрозы безопасности для широкого спектра современных систем. Этот эксплойт открывает возможности для развертывания загрузчиков UEFI, таких как Bootkitty или BlackLotus, что еще больше усугубляет потенциальное воздействие.

Атака включает замену загрузчика по умолчанию на скомпрометированный двоичный файл с именем reloader.efi. Злоумышленники внедряют вредоносную полезную нагрузку, размещая созданный файл с именем cloak.dat, содержащий неподписанные двоичные файлы, в системном разделе EFI (ESP). После перезагрузки системы вредоносный двоичный файл запускается без соблюдения политик безопасной загрузки. Хотя для этой атаки требуются повышенные привилегии, такие как права локального администратора в Windows или root-доступ в Linux, она может быть выполнена в системах, которые доверяют сертификату UEFI стороннего производителя Microsoft.

Система UEFI Secure Boot работает путем сверки двоичных файлов с двумя важными базами данных для обеспечения целостности процесса загрузки. Раскрытие этой уязвимости последовало за структурированным процессом, направленным на координацию действий поставщиков и оперативное внедрение мер по устранению уязвимостей. Ключевые этапы процесса раскрытия информации включают обнаружение уязвимости исследователями 8 июля 2024 года, представление отчетности в Координационный центр сертификации (CERT/CC) 9 июля, взаимодействие CERT/CC с пострадавшими поставщиками 5 августа, первоначальные проверки исправлений с выявлением дополнительных недостатков 20 августа, перенос сроков обновления. раскрытие информации должно соответствовать срокам исправления 23 сентября, а также отзыву уязвимых двоичных файлов в обновлении Microsoft Patch Tuesday от 14 января 2025 года.

#ParsedReport #CompletenessLow
18-01-2025

Grixba s disguise: Play Ransomware impersonates SentinelOne for stealth recon

https://fieldeffect.com/blog/grixba-play-ransomware-impersonates-sentinelone

Report completeness: Low

Threats:
Playcrypt
Grixba

ChatGPT TTPs:
do not use without manual check
T1082, T1046, T1140, T1027

IOCs:
Path: 1
File: 6
IP: 1
Hash: 3

Soft:
NET Framework

Algorithms:
base64, xor, zip

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности средств разведки в преддверии атак программ-вымогателей с акцентом на обнаружение таких средств и упреждающее реагирование на них для разрушения цепочек атак и усиления защиты от кибербезопасности.
-----

Внедрение средств разведки является важным предвестником атак программ-вымогателей, позволяя хакерам собирать важную информацию о среде, в которой они находятся. Эти средства помогают идентифицировать программное обеспечение, службы, меры безопасности, открытые порты, активные службы и потенциальные векторы атак в сети. Недавно компания Field Effect MDR вмешалась в игровую атаку программ-вымогателей с использованием разведывательного инструмента Grixba, который продемонстрировал новые характеристики, ранее публично не раскрывавшиеся. Атака была инициирована путем установки Grixba по протоколу удаленного рабочего стола (RDP) на сервер Windows под видом законного программного обеспечения под названием SentinelOne Compatibility Wizard. Хакер подключился с IP-адреса, связанного с VPN-сервисом Private Internet Access (PIA).

После анализа было обнаружено, что образец Grixba представляет собой запутанное приложение на базе .NET, ориентированное на .NET Framework 4.6.2. Grixba запрашивает аргумент командной строки в кодировке base64 и ключ XOR при выполнении, что позволяет ему декодировать data.dat и получать доступ к inf_g.dll содержащий логику разведки. Восстановленный ключ XOR позволил Field Effect MDR продолжить анализ inf_g.dll, обнаружив различные аргументы командной строки для настройки параметров сканирования и параметров вывода. Инструмент может быть сконфигурирован для сканирования в различных областях, при этом результаты сохраняются в архивном файле с именем exportData.db, который упорядочивает данные сканирования в 18 таблицах с подробным описанием таких аспектов, как активные хосты, история веб-браузера, установленное программное обеспечение и сетевые маршруты.

Обнаружение Grixba с помощью Field Effect MDR и проактивное реагирование подчеркивают важность раннего выявления средств разведки для разрушения цепочек атак программ-вымогателей, предотвращения их перемещения в сторону и снижения рисков. Организациям настоятельно рекомендуется использовать решения по управляемому обнаружению и реагированию (MDR), способные обнаруживать такие инструменты и противодействовать им, для усиления защиты кибербезопасности от развивающихся угроз.

Средства разведки, такие как Grixba, являются не только ключевыми предшественниками, но и неотъемлемой частью успеха атак программ-вымогателей. Их использование позволяет точно определять цели, минимизировать риски обнаружения и максимизировать воздействие программ-вымогателей, обеспечивая стратегическое развертывание для максимального разрушения системы. Организации должны внедрять упреждающие меры, такие как раннее обнаружение таких инструментов, как Grixba, чтобы разорвать цепочки атак, предотвратить перемещение по сети и помешать полномасштабному внедрению программ-вымогателей. Такая упреждающая позиция играет решающую роль в укреплении защиты от изощренных хакеров.

#ParsedReport #CompletenessLow
18-01-2025

Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344

https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344

Report completeness: Low

Threats:
Blacklotus
Bootkitty

Victims:
Howyar technologies inc., Greenware technologies, Radix technologies ltd., Sanfong inc., Wasay software technology inc., Computer education system inc., Signal computer gmbh

Industry:
Education

Geo:
Ukraine

CVEs:
CVE-2024-7344 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34302 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- horizondatasys uefi bootloader (<2022-06-01)


ChatGPT TTPs:
do not use without manual check
T1542, T1098

IOCs:
File: 2

Soft:
Linux

Algorithms:
xor

Functions:
LoadImage

Languages:
powershell