#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют рекламу Google для распространения вредоносного ПО SecTopRAT с помощью мошеннического установщика Chrome, используя тактику обмана, чтобы избежать обнаружения. Вредоносное ПО взаимодействует с внешним сервером и может извлекать конфиденциальные данные, маскируясь под законное программное обеспечение.
-----

Киберпреступники используют рекламу Google для распространения вредоносного ПО, вводя пользователей в заблуждение и заставляя их загружать мошенническую версию браузера Google Chrome. В этой кампании используется страница-посредник, размещенная на сайтах Google, что очень напоминает более ранние попытки фишинга с использованием учетных данных учетной записи Google. Когда пользователи ищут "скачать Google Chrome", рекламное объявление перенаправляет их на этот вредоносный сайт, где в качестве законного установщика Chrome предлагается исполняемый файл.

При подключении к этому исполняемому файлу, помеченному как GoogleChrome.exe, устанавливается соединение с hxxps://launchapps.site/getCode.php, где вредоносная программа получает дальнейшие инструкции по эксплуатации. Установщик пытается запустить программу с правами администратора для выполнения действий, требующих повышенных прав. Важный шаг включает в себя команду PowerShell, предназначенную для создания исключения в каталоге %appdata%\Roaming, что эффективно предотвращает обнаружение вредоносного ПО защитником Windows в процессе его извлечения.

После запуска вредоносная программа помещает файл с именем decrypted.exe в каталог %\AppData%\Roaming\BackupWin\, который распаковывает настоящую полезную нагрузку, waterfox.exe. Этот исполняемый файл маскируется под законный браузер Waterfox, тем самым добавляя еще один уровень обмана. Затем вредоносная программа внедряет свой вредоносный код в легитимный процесс MSBuild.exe, устанавливая связь с сервером управления атакующими, расположенным по IP-адресу 45.141.84.208. Извлеченная вредоносная программа идентифицирована как SecTopRAT, троянец удаленного доступа, обладающий возможностями для утечки конфиденциальной информации.

В качестве дополнительной тактики обмана поддельный установщик завершает загрузку и установку подлинного браузера Google Chrome, гарантируя, что жертвы не будут знать о лежащем в его основе компрометирующем средстве. Этот инцидент выявил критическую уязвимость в цепочке поставок программного обеспечения, когда скомпрометированная реклама Google служит источником распространения вредоносного ПО, используя доверие пользователей к поисковой системе. Принятые меры безопасности, такие как Malwarebytes Browser Guard и Premium Security Antivirus, были эффективны в блокировании вредоносной рекламы и обнаружении вредоносной полезной нагрузки, однако кампания подчеркивает постоянные угрозы, исходящие от злоумышленников, способных манипулировать надежными платформами в неблаговидных целях.

#ParsedReport #CompletenessMedium
21-02-2025

Fake DeepSeek Site Infects Mac Users with Poseidon Stealer

https://www.esentire.com/blog/fake-deepseek-site-infects-mac-users-with-poseidon-stealer

Report completeness: Medium

Actors/Campaigns:
Rodrigo4

Threats:
Poseidon
Meteor_wiper
Clickfix_technique

Victims:
Mac users

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1059.002, T1059.004, T1189, T1497.001, T1005, T1041

IOCs:
Coin: 19
Domain: 2
Url: 1

Soft:
DeepSeek, Bitwarden, Telegram, Mac OS, GateKeeper, macOS, Firefox, Ledger Live, curl, Chromium, have more...

Wallets:
aptos_wallet, finnie, bitfinity_wallet, zilpay, kardiachain, cyano, hycon, xverse_wallet, abc_wallet, solflare_wallet, have more...

Crypto:
bitcoin, ethereum, tezos, casper, solana, monero, dogecoin

Algorithms:
zip, exhibit, base64

Functions:
ptrace, sysctl, getpid, system

Languages:
applescript

Platforms:
apple

Links:
https://github.com/eSentire/iocs/blob/main/PoseidonStealer/PoseidonStealer-2-12-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Poseidon Stealer - это новая вредоносная программа, нацеленная на macOS и использующая для заражения AppleScript через osascript. Она собирает конфиденциальные данные браузера и продается в Telegram, используя тактику защиты от отладки и фишинговые методы для сбора учетных данных, избегая обнаружения.
-----

В начале февраля 2025 года была обнаружена новая вредоносная программа, известная как Poseidon Stealer, использующая команду osascript для выполнения AppleScript в рамках процесса заражения. Эта вредоносная программа продается в Telegram как вредоносная программа как услуга, доступная за абонентскую плату в размере 3000 долларов в месяц. Poseidon Stealer в первую очередь нацелен на конфиденциальную информацию, хранящуюся в веб-браузерах Chromium и Firefox, с целью извлечения таких данных, как данные кредитной карты, пароли, закладки и информация о криптовалютном кошельке.

Цепочка заражения начинается с того, что пользователь перенаправляется на поддельный веб-сайт, который очень похож на законный сайт. Это приводит к загрузке файла DMG, содержащего вредоносный сценарий оболочки. Когда скрипт запускается в терминале, он запускает загрузку и выполнение двоичного файла Poseidon Stealer. Чтобы обойти исследователей и меры безопасности, вредоносная программа оснащена функциями защиты от отладки, используя системный вызов ptrace() для определения того, выполняется ли ее отладка. Если он идентифицирует известные имена пользователей исследователя безопасности, он завершает работу, чтобы предотвратить дальнейший анализ.

Poseidon Stealer выполняет обширный сбор данных, включая учетные данные пользователя, файлы cookie, конфиденциальные файлы и системную информацию. Затем украденные данные упаковываются в zip-архив и отправляются на сервер управления (C2). Примечательно, что вредоносная программа включает в себя механизм фишинга, при котором пользователю предлагается ввести свои учетные данные для входа в систему. Если введена неверная информация, вредоносная программа будет повторно запрашивать пароль, что увеличивает шансы на успешный сбор учетных данных.

Атака, продемонстрированная Poseidon Stealer, подчеркивает постоянную угрозу, исходящую от пользователей macOS, в частности, с помощью обманчивых методов, которые используют доверие пользователей к законным веб-сервисам. Внедрение такого вредоносного ПО подчеркивает важность бдительности и упреждающих мер безопасности для защиты от изощренных фишинговых атак и попыток утечки данных.

#ParsedReport #CompletenessHigh
20-02-2025

Weak Passwords Led to (SafePay) RansomwareYet Again

https://www.nccgroup.com/us/research-blog/weak-passwords-led-to-safepay-ransomware-yet-again/

Report completeness: High

Threats:
Safepay
Screenconnect_tool
Qdoor
Upx_tool
Runpe_tool
Process_hollowing_technique
Blacksuit_ransomware
Credential_dumping_technique
Shadow_copies_delete_technique

Geo:
Belarusian, Azerbaijani, Georgian, Russian, Ukrainian

TTPs:
Tactics: 8
Technics: 14

IOCs:
Path: 3
IP: 1
File: 2
Command: 1
Hash: 3
Email: 2
Url: 1

Soft:
Windows Service, Microsoft Defender, bcdedit

Wallets:
safepay

Algorithms:
ecdh, sha1, chacha20, sha256, curve25519

Win API:
DllRegisterServer, DllUnregisterServer, CryptGenRandom

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель SafePay использовала неправильно настроенный брандмауэр Fortigate для обхода MFA, используя слабые пароли для доступа администратора домена. Злоумышленники внедрили бэкдор (QDoor) и использовали пакетные файлы для распространения программы-вымогателя, которая шифровала файлы с помощью ChaCha20, оставляя заметки и воздействуя на гипервизоры. Дизайн программы-вымогателя предполагает географический таргетинг и потенциальное уклонение от обнаружения, что указывает на сложную операцию.
-----

Недавний инцидент с программой-вымогателем SafePay, расследованный командой цифровой криминалистики и реагирования на инциденты (DFIR) NCC Group, выявил критические уязвимости, используемые хакерами. Злоумышленники получили доступ через неправильно настроенный брандмауэр Fortigate, который позволял локальным учетным записям обходить требования многофакторной аутентификации (MFA). Эта неправильная настройка в сочетании с использованием ненадежных паролей позволила хакерам пройти аутентификацию от имени администратора домена и скомпрометировать среду. Злоумышленники использовали устройство, связанное с инфраструктурой виртуального частного сервера Vultr, что свидетельствует о сложном планировании и исполнении.

Получив доступ, хакеры приступили к различным действиям, включая внедрение механизмов сохранения данных. Они создали службу, связанную с ScreenConnect, приложением удаленного доступа, которое, вероятно, служило для поддержания доступа к скомпрометированным системам. Кроме того, был обнаружен вредоносный файл с именем soc.dll, который функционирует как бэкдор QDoor. Этот файл был упакован с использованием Upx-программы с открытым исходным кодом, чтобы скрыть его содержимое. Работа бэкдора была инициирована с помощью средства командной строки Windows regsvr32, позволяющего хакеру выполнять код под прикрытием законных системных процессов с помощью метода "опустошения процесса".

После получения постоянного доступа злоумышленники использовали пакетные файлы для взаимодействия с серверами и общими файловыми ресурсами, а затем выполняли процесс шифрования с использованием двоичного кода программы-вымогателя, идентифицированного как 1.exe. Вредоносные пакетные файлы были разработаны для рассылки этой программы-вымогателя на многочисленные серверы без разбора. Шифровальщик использовал ChaCha20, симметричный алгоритм шифрования, для уникального шифрования файлов для каждого отдельного файла. Зашифрованные файлы были переименованы с расширением .safepay, а в конструкцию программы-вымогателя была встроена проверка для определения языка системы, что эффективно предотвращало запуск в русскоязычных странах, что могло свидетельствовать о географических предпочтениях хакеров.

Программа-вымогатель использовала несколько команд, которые отключали механизмы восстановления и функциональные возможности, которые могли повлиять на ее выполнение. Файлы шифровались блоками, определяемыми конкретными аргументами командной строки, при этом анализ образца позволил предположить, что использовался механизм частичного шифрования. Этот процесс включал в себя генерацию пар открытых и закрытых ключей, используемых для защиты зашифрованных файлов, а также хэшей проверки для обеспечения целостности при расшифровке.

Сообщения о требовании выкупа, оставленные на зараженных системах, подтвердили, что атака была совершена группой программ-вымогателей SafePay. Примечательно, что программа-вымогатель также шифровала гипервизоры, что делало виртуальные машины неэффективными и распространяло воздействие атаки не только на отдельные файлы. Хотя сравнение с известными разновидностями программ-вымогателей, такими как Blacksuit, выявило незначительное сходство кода, расследование не смогло однозначно отнести программу-вымогателя к какой-либо известной хакерской группе, оставляя открытой возможность того, что она представляет собой новый вариант или полностью переписана, чтобы избежать обнаружения.

#ParsedReport #CompletenessMedium
20-02-2025

Bloody Wolf evolution: newtargets,newtools

https://bi.zone/eng/expertise/blog/evolyutsiya-bloody-wolf-novye-tseli-novye-sredstva-ataki/

Report completeness: Medium

Actors/Campaigns:
Bloody_wolf

Threats:
Strrat
Netsupportmanager_rat
Spear-phishing_technique
Dead_drop_technique

Geo:
Kazakhstan, Russian, Russia

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 4
Url: 2
Path: 4
Hash: 4
Domain: 7

Soft:
Telegram

Functions:
getFileUrlsFromPastebin

Languages:
java

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Bloody Wolf перешла от использования вредоносного ПО STRRAT к использованию законного удаленного инструмента NetSupport, нацелившись на более чем 400 систем в Казахстане и России с помощью фишинговой тактики. Они распространяют вредоносные документы, заставляя жертв загружать JAR-файлы, в которых содержатся компоненты NetSupport, предоставляя злоумышленникам широкий контроль над скомпрометированными системами.
-----

Хакерская группа, известная как Bloody Wolf, изменила свою тактику, заменив ранее использовавшуюся вредоносную программу STRRAT на законный инструмент удаленного администрирования NetSupport. Это изменение, по-видимому, является стратегическим шагом, позволяющим избежать обнаружения с помощью обычных мер безопасности. Недавние действия группы были нацелены не только на организации в Казахстане, где они взломали более 400 систем, но и на организации в России. Злоумышленники используют методы фишинга для распространения вредоносного контента, в частности, используя документы, замаскированные под уведомления о соблюдении требований законодательства или постановления суда, которые содержат вредоносные ссылки.

В ходе своих последних кампаний Bloody Wolf рассылала PDF-документы, содержащие фишинговые ссылки, в результате чего жертвы непреднамеренно загружали вредоносные JAR-файлы с конкретными названиями NCALayerUpdatedRU.jar для Казахстана и ReshenieJCP.jar для России. После загрузки эти файлы JAR будут проверять наличие определенных каталогов в папке AppData пользователя, создавая их, если они ранее не существовали. Затем они будут использовать ссылку из Pastebin для получения URL-адресов для загрузки компонентов программного обеспечения NetSupport в эти папки. Основные компоненты, update.bat и run.bat, были запущены впоследствии; update.bat запускал клиент NetSupport, в то время как run.bat обеспечивал сохранение в зараженной системе.

В этой кампании использовалась версия NetSupport 11.42. Это легальное программное обеспечение предназначено для удаленного управления, поддержки и образовательных целей. Однако, при использовании злоумышленниками, оно предоставляет им полный доступ к скомпрометированным системам, что позволяет манипулировать данными и красть их. Более того, операции координируются с тем, что злоумышленники отправляют названия скомпрометированных систем в специальный Telegram-канал, что указывает на структурированный подход к управлению обнаруженными системами.

Ретроспективный анализ выявил присутствие Bloody Wolf в Казахстане и России, продемонстрировав их методичное использование фишинговых атак и законных инструментов для компрометации своих целей. Это мероприятие демонстрирует значительную эволюцию тактики, направленной на использование растущей зависимости от инструментов удаленного администрирования в связи с увеличением удаленной работы, что создает новые уязвимости.

Для выявления и смягчения угроз, исходящих от Bloody Wolf и аналогичных субъектов, организациям рекомендуется внедрять надежные методы обнаружения конечных точек и реагирования на них. Необходимость раннего распознавания таких атак имеет первостепенное значение для защиты от потенциальных нарушений, которые могут нарушить целостность операционной системы. Понимание ландшафта основных угроз имеет решающее значение для подготовки эффективной защиты от этих развивающихся угроз.

#ParsedReport #CompletenessHigh
21-02-2025

Stately Taurus Activity in Southeast Asia Links to Bookworm Malware

https://unit42.paloaltonetworks.com/stately-taurus-uses-bookworm-malware/

Report completeness: High

Actors/Campaigns:
Red_delta
Lazarus

Threats:
Bookworm
Dll_sideloading_technique
Toneshell
Proxyshell_vuln
Proxylogon_exploit
Pubload

Victims:
Government organizations

Industry:
Government

Geo:
Australia, Asia, Asian, Myanmar, India, Middle east, Japan

ChatGPT TTPs:
do not use without manual check
T1073, T1055, T1071.001, T1190, T1505.003, T1003

IOCs:
File: 4
Hash: 39
IP: 5
Url: 1
Path: 3
Domain: 9

Algorithms:
base64

Functions:
DllEntryPoint, ProgramStartup

Win API:
UuidFromStringA, HeapCreate, HeapAlloc, EnumChildWindows, EnumSystemLanguageGroupsA, EnumSystemLocalesA

Links:
https://gist.github.com/rxwx/c5e0e5bba8c272eb6daa587115ae0014

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Stately Taurus нацелена на организации Юго-Восточной Азии, использующие семейство вредоносных программ PubLoad, которые используют стороннюю загрузку библиотек DLL и маскируют обмен данными C2 под обновления Windows. Анализ выявил связи с вредоносной платформой Bookworm, что указывает на общие методы и постоянные усовершенствования, которые использует этот настойчивый хакер.
-----

Недавний анализ выявил многогранного хакера, связанного с группой Stately Taurus, которая активно атакует организации в Юго-Восточной Азии. Этот хакер использует уникальное семейство вредоносных программ, известное как PubLoad, которое представляет собой тип промежуточного вредоносного ПО, устанавливающего связь с сервером управления (C2) для получения дополнительной полезной нагрузки. Наблюдения показывают, что Stately Taurus использует методы дополнительной загрузки библиотек DLL для запуска вредоносного ПО, в частности, полезной нагрузки, идентифицированной как BrMod104.dll относящейся к семейству PubLoad. Связь с сервером C2 осуществляется через прямое подключение к определенному IP-адресу, где он пытается замаскировать свои HTTP-запросы под законные обновления операционной системы Windows, что еще больше усложняет усилия по обнаружению и смягчению последствий.

Анализ вредоносного ПО Publicload выявил его способность скрывать свои соединения, имитируя законные URL-адреса. Например, оно изменило структуру URL-адресов, связанных с обновлениями Windows, чтобы избежать проверки. Обнаружение этой хитроумной тактики подчеркивает высокую адаптивность вредоносного ПО. Помимо PubLoad, исследование выявило совпадения с платформой вредоносных программ Bookworm, что позволяет предположить связь между двумя семействами и указывает на одного и того же хакера. Оба семейства вредоносных программ демонстрируют сходство в исполнении и коммуникациях C2, что указывает на то, что Stately Taurus со временем совершенствовал свои арсеналы.

Кроме того, это расследование установило историческую преемственность деятельности Stately Taurus, связав воедино ранее не отмеченные атаки на правительственные организации в регионе. Были обнаружены устаревшие версии вредоносного ПО Bookworm с минимальными изменениями по сравнению с предыдущими образцами, что свидетельствует о настойчивости и изобретательности хакера. Гибкость вредоносной программы Bookworm подчеркивается ее модульной конструкцией, позволяющей адаптировать и переупаковывать ее компоненты в соответствии с различными эксплуатационными требованиями, что может свидетельствовать о текущих усовершенствованиях и будущих развертываниях.

В оперативном контексте меры кибербезопасности имеют решающее значение. Передовые технологии предотвращения угроз, такие как Cortex XDR и его функции защиты от поведенческих угроз, предназначены для предотвращения запуска вредоносных программ, включая как известные, так и неизвестные варианты. В систему были интегрированы специальные средства защиты от средств сбора учетных данных и эксплойтов web shell, которые используются хакерами, такими как Stately Taurus. Также следует отметить возможность обнаружения действий после использования, таких как атаки на основе учетных данных, с помощью поведенческой аналитики.

Меняющийся ландшафт хакеров, особенно тот, который представляет собой Stately Taurus, подчеркивает необходимость постоянной бдительности и адаптации стратегий обеспечения безопасности. Поскольку они используют известные уязвимости и изощренные методы, настойчивость таких игроков, как Stately Taurus, в использовании таких инструментов, как PubLoad и Bookworm, делает необходимым развитие систем безопасности и динамичное реагирование на возникающие угрозы. Имеющиеся данные указывают на новые разработки в этом семействе вредоносных программ, подчеркивая, что их использование вполне может продолжиться в будущих кампаниях.

#ParsedReport #CompletenessHigh
21-02-2025

Updated Shadowpad Malware Leads to Ransomware Deployment

https://www.trendmicro.com/en_us/research/25/b/updated-shadowpad-malware-leads-to-ransomware-deployment.html

Report completeness: High

Actors/Campaigns:
Winnti
Axiom
Earth_lusca
Teleboyi

Threats:
Shadowpad
Supply_chain_technique
Dll_sideloading_technique
Antidebugging_technique
Evilextractor
Kodex
Cqhashdump_tool
Impacket_tool
Wmiexec_tool
Ntdsutil_tool
Plugx_rat

Industry:
Transport, Education, Entertainment, Critical_infrastructure, Energy, Healthcare, Financial

Geo:
Asia, India, Chinese, Middle east, America

ChatGPT TTPs:
do not use without manual check
T1110, T1078, T1486, T1027, T1070.004, T1003

IOCs:
Domain: 14
File: 17
Hash: 38
IP: 1

Soft:
Active Directory

Algorithms:
sha256, aes

Win API:
NtGlobalFlag, GetTickCount, GetThreadContext, NtQueryInformationProcess

Languages:
python

Platforms:
x86

Links:
https://github.com/BlackDiverX/cqtools

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Shadowpad, модульная вредоносная программа, связанная с APT41, недавно была перепрофилирована на новую разновидность программ-вымогателей, использующую слабые пароли и обходящую MFA. Злоумышленники использовали удаленный доступ к 21 компании-мишеням, используя сложные методы, такие как кейлоггинг, поиск файлов и передовые методы шифрования, что указывает на переход от шпионажа к внедрению программ-вымогателей.
-----

Shadowpad, модульное семейство вредоносных программ, впервые обнаруженное в 2017 году и приписываемое китайскому хакеру APT41, недавно стало основой для развертывания нового, необнаруженного семейства программ-вымогателей. Эта вредоносная программа используется с помощью слабых паролей и обхода многофакторной аутентификации (MFA). Расследование двух отдельных инцидентов показало, что злоумышленники использовали удаленный доступ к сети для проникновения в целевые объекты, в частности, в 21 компанию в различных регионах, включая Европу, Ближний Восток, Азию и Южную Америку.

Злоумышленники получили доступ к сети, подключившись к VPN с использованием учетных записей администратора, защищенных ненадежными учетными данными. В некоторых случаях злоумышленникам удавалось обойти механизмы защиты от несанкционированного доступа, возможно, путем получения действительных сертификатов до начала своих атак. Инциденты включали развертывание вредоносного ПО Shadowpad в сетях-жертвах, включая контроллеры домена. В некоторых случаях операторы вредоносного ПО переходили от классических шпионских действий к развертыванию программ-вымогателей, что является отклонением от обычной тактики. Было отмечено, что это относится к вирусу-вымогателю, о котором ранее не сообщалось, но это согласуется с поведением других известных хакеров, включая APT41, которое ранее было связано с использованием шифровальщика RaaS.

Shadowpad обладает сложными функциями, такими как ведение кейлогга, захват скриншотов и поиск файлов, а полезная информация зашифрована и скрыта в системном реестре с использованием уникального серийного номера тома. Вредоносная программа использует DNS через HTTPS, что усложняет традиционные методы мониторинга сети. Его конструкция включает в себя несколько компонентов: легитимный исполняемый файл с подписью, вредоносную библиотеку DLL для доставки полезной нагрузки и закодированный двоичный файл полезной нагрузки. После выполнения полезная нагрузка декодируется в памяти и перекодируется в реестре, при этом двоичный файл удаляется из файловой системы, чтобы избежать обнаружения.

Методы работы хакера позволяют предположить, что он преследовал цели сбора разведывательной информации, включая потенциальную кражу интеллектуальной собственности, особенно в производственном секторе, который, согласно недавним наблюдениям, подвергся серьезной атаке. Удаленные артефакты, такие как информация Active Directory и создание архивов RAR, указывают на систематическую практику утечки данных. Кроме того, поведение и характеристики этой новой программы-вымогателя, использующей шифрование AES и RSA, отражают высокий уровень сложности, соответствующий стандартам APTS.

Существует слабая связь с хакером Teleboyi, полученная в результате изучения образца PlugX, который использует схожие алгоритмы расшифровки строк и привязки к домену. Однако эта связь остается слабой, поскольку существует неопределенность в отношении преемственности владения доменом. Эволюция Shadowpad включает в себя значительные функции обфускации кода и защиты от отладки, которые затрудняют анализ, демонстрируя адаптивную способность в ответ на меры безопасности.

#ParsedReport #CompletenessMedium
20-02-2025

RansomHub: Analyzing the TTPs of One of the Most Notorious Ransomware Variants of 2024

https://www.picussecurity.com/resource/blog/ransomhub

Report completeness: Medium

Threats:
Ransomhub
Spear-phishing_technique
Password_spray_technique
Anydesk_tool
Cyclops_ransomware
Mimikatz_tool
Rclone_tool
Shadow_copies_delete_technique
Eternalblue_vuln
Zerologon_vuln
Angry_ip_scanner_tool
Nmap_tool
Credential_dumping_technique
Vssadmin_tool
Tdsskiller_tool
Uac_bypass_technique
Edrkillshifter_tool
Disabling_antivirus_technique
Byovd_technique
Dumplsass_tool

Industry:
Healthcare, Transport

CVEs:
CVE-2023-22515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, <8.4.3, <8.5.2)
- atlassian confluence server (<8.3.3, <8.4.3, <8.5.2)

CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (<7.0.11, <7.2.3)

CVE-2017-7494 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- samba (<4.4.0, <4.4.14, <4.5.10, <4.6.4)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 11
Command: 4
Path: 3
Registry: 1

Soft:
PsExec, OpenWire, ActiveMQ, Confluence, BIG-IP, Windows Defender, Windows Registry, Windows service

Win Services:
TMBMServer

Languages:
powershell, java

Links:
have more...
https://github.com/evkl1d/CVE-2023-46604
https://github.com/Chocapikk/CVE-2023-22515
https://github.com/BishopFox/CVE-2023-3519

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель RansomHub, разновидность RaaS, использует модель двойного вымогательства, нацеленную на критически важные сектора. Он получает первоначальный доступ с помощью фишинга и использует уязвимости, такие как CVE-2023-3519 и CVE-2023-27997, а также такие инструменты, как Rclone, для фильтрации данных и расширенного шифрования для защиты файлов.
-----

RansomHub - это программа-вымогатель, ранее известная как Cyclops и Knight, предназначенная в первую очередь для критически важных секторов, таких как здравоохранение и транспорт. Она использует модель двойного вымогательства, шифруя и удаляя данные, требуя выкуп. Цепочка заражения начинается с первоначального доступа, который, как правило, достигается с помощью фишинга, использования уязвимостей в интернет-приложениях и разбрасывания паролей.

Аффилированные лица отключают механизмы безопасности с помощью вредоносных скриптов, удаляют логи и маскируют двоичный код программы-вымогателя. Они обеспечивают постоянство, создавая учетные записи пользователей и используя инструменты сброса учетных данных, такие как Mimikatz. Для обнаружения сети они используют такие инструменты, как AngryIPScanner и Nmap, для сканирования, идентификации устройств и построения графиков боковых перемещений.

RansomHub использует несколько уязвимостей для первоначального доступа, включая CVE-2023-3519 и CVE-2023-27997, которые позволяют удаленно выполнять код. Он также использует более старые уязвимости, такие как EternalBlue (CVE-2017-0144) и Zerologon (CVE-2020-1472), причем многие эксплойты доступны на таких платформах, как GitHub.

Во время эксфильтрации используются такие инструменты, как Rclone, для обработки конфиденциальных данных, передаваемых по асимметричным протоколам. Программа-вымогатель использует передовые алгоритмы шифрования, в том числе Curve 25519, что делает восстановление данных практически невозможным без ключей, которые обычно хранятся на взломанных серверах.

Чтобы избежать обнаружения, аффилированные лица манипулируют настройками Windows, выполняют запутанные сценарии PowerShell и используют законные средства удаленного доступа, такие как AnyDesk и PsExec, для перемещения в разные стороны. Они также удаляют журналы и теневые копии томов, что усложняет восстановление для пострадавших организаций.

Рекомендуется использовать надежную многоуровневую защиту, включая обучение пользователей борьбе с фишингом, своевременное внесение исправлений и структурированные планы реагирования на инциденты, чтобы снизить риски, связанные с RansomHub и подобными угрозами.