#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Stately Taurus нацелена на организации Юго-Восточной Азии, использующие семейство вредоносных программ PubLoad, которые используют стороннюю загрузку библиотек DLL и маскируют обмен данными C2 под обновления Windows. Анализ выявил связи с вредоносной платформой Bookworm, что указывает на общие методы и постоянные усовершенствования, которые использует этот настойчивый хакер.
-----

Недавний анализ выявил многогранного хакера, связанного с группой Stately Taurus, которая активно атакует организации в Юго-Восточной Азии. Этот хакер использует уникальное семейство вредоносных программ, известное как PubLoad, которое представляет собой тип промежуточного вредоносного ПО, устанавливающего связь с сервером управления (C2) для получения дополнительной полезной нагрузки. Наблюдения показывают, что Stately Taurus использует методы дополнительной загрузки библиотек DLL для запуска вредоносного ПО, в частности, полезной нагрузки, идентифицированной как BrMod104.dll относящейся к семейству PubLoad. Связь с сервером C2 осуществляется через прямое подключение к определенному IP-адресу, где он пытается замаскировать свои HTTP-запросы под законные обновления операционной системы Windows, что еще больше усложняет усилия по обнаружению и смягчению последствий.

Анализ вредоносного ПО Publicload выявил его способность скрывать свои соединения, имитируя законные URL-адреса. Например, оно изменило структуру URL-адресов, связанных с обновлениями Windows, чтобы избежать проверки. Обнаружение этой хитроумной тактики подчеркивает высокую адаптивность вредоносного ПО. Помимо PubLoad, исследование выявило совпадения с платформой вредоносных программ Bookworm, что позволяет предположить связь между двумя семействами и указывает на одного и того же хакера. Оба семейства вредоносных программ демонстрируют сходство в исполнении и коммуникациях C2, что указывает на то, что Stately Taurus со временем совершенствовал свои арсеналы.

Кроме того, это расследование установило историческую преемственность деятельности Stately Taurus, связав воедино ранее не отмеченные атаки на правительственные организации в регионе. Были обнаружены устаревшие версии вредоносного ПО Bookworm с минимальными изменениями по сравнению с предыдущими образцами, что свидетельствует о настойчивости и изобретательности хакера. Гибкость вредоносной программы Bookworm подчеркивается ее модульной конструкцией, позволяющей адаптировать и переупаковывать ее компоненты в соответствии с различными эксплуатационными требованиями, что может свидетельствовать о текущих усовершенствованиях и будущих развертываниях.

В оперативном контексте меры кибербезопасности имеют решающее значение. Передовые технологии предотвращения угроз, такие как Cortex XDR и его функции защиты от поведенческих угроз, предназначены для предотвращения запуска вредоносных программ, включая как известные, так и неизвестные варианты. В систему были интегрированы специальные средства защиты от средств сбора учетных данных и эксплойтов web shell, которые используются хакерами, такими как Stately Taurus. Также следует отметить возможность обнаружения действий после использования, таких как атаки на основе учетных данных, с помощью поведенческой аналитики.

Меняющийся ландшафт хакеров, особенно тот, который представляет собой Stately Taurus, подчеркивает необходимость постоянной бдительности и адаптации стратегий обеспечения безопасности. Поскольку они используют известные уязвимости и изощренные методы, настойчивость таких игроков, как Stately Taurus, в использовании таких инструментов, как PubLoad и Bookworm, делает необходимым развитие систем безопасности и динамичное реагирование на возникающие угрозы. Имеющиеся данные указывают на новые разработки в этом семействе вредоносных программ, подчеркивая, что их использование вполне может продолжиться в будущих кампаниях.

#ParsedReport #CompletenessHigh
21-02-2025

Updated Shadowpad Malware Leads to Ransomware Deployment

https://www.trendmicro.com/en_us/research/25/b/updated-shadowpad-malware-leads-to-ransomware-deployment.html

Report completeness: High

Actors/Campaigns:
Winnti
Axiom
Earth_lusca
Teleboyi

Threats:
Shadowpad
Supply_chain_technique
Dll_sideloading_technique
Antidebugging_technique
Evilextractor
Kodex
Cqhashdump_tool
Impacket_tool
Wmiexec_tool
Ntdsutil_tool
Plugx_rat

Industry:
Transport, Education, Entertainment, Critical_infrastructure, Energy, Healthcare, Financial

Geo:
Asia, India, Chinese, Middle east, America

ChatGPT TTPs:
do not use without manual check
T1110, T1078, T1486, T1027, T1070.004, T1003

IOCs:
Domain: 14
File: 17
Hash: 38
IP: 1

Soft:
Active Directory

Algorithms:
sha256, aes

Win API:
NtGlobalFlag, GetTickCount, GetThreadContext, NtQueryInformationProcess

Languages:
python

Platforms:
x86

Links:
https://github.com/BlackDiverX/cqtools

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Shadowpad, модульная вредоносная программа, связанная с APT41, недавно была перепрофилирована на новую разновидность программ-вымогателей, использующую слабые пароли и обходящую MFA. Злоумышленники использовали удаленный доступ к 21 компании-мишеням, используя сложные методы, такие как кейлоггинг, поиск файлов и передовые методы шифрования, что указывает на переход от шпионажа к внедрению программ-вымогателей.
-----

Shadowpad, модульное семейство вредоносных программ, впервые обнаруженное в 2017 году и приписываемое китайскому хакеру APT41, недавно стало основой для развертывания нового, необнаруженного семейства программ-вымогателей. Эта вредоносная программа используется с помощью слабых паролей и обхода многофакторной аутентификации (MFA). Расследование двух отдельных инцидентов показало, что злоумышленники использовали удаленный доступ к сети для проникновения в целевые объекты, в частности, в 21 компанию в различных регионах, включая Европу, Ближний Восток, Азию и Южную Америку.

Злоумышленники получили доступ к сети, подключившись к VPN с использованием учетных записей администратора, защищенных ненадежными учетными данными. В некоторых случаях злоумышленникам удавалось обойти механизмы защиты от несанкционированного доступа, возможно, путем получения действительных сертификатов до начала своих атак. Инциденты включали развертывание вредоносного ПО Shadowpad в сетях-жертвах, включая контроллеры домена. В некоторых случаях операторы вредоносного ПО переходили от классических шпионских действий к развертыванию программ-вымогателей, что является отклонением от обычной тактики. Было отмечено, что это относится к вирусу-вымогателю, о котором ранее не сообщалось, но это согласуется с поведением других известных хакеров, включая APT41, которое ранее было связано с использованием шифровальщика RaaS.

Shadowpad обладает сложными функциями, такими как ведение кейлогга, захват скриншотов и поиск файлов, а полезная информация зашифрована и скрыта в системном реестре с использованием уникального серийного номера тома. Вредоносная программа использует DNS через HTTPS, что усложняет традиционные методы мониторинга сети. Его конструкция включает в себя несколько компонентов: легитимный исполняемый файл с подписью, вредоносную библиотеку DLL для доставки полезной нагрузки и закодированный двоичный файл полезной нагрузки. После выполнения полезная нагрузка декодируется в памяти и перекодируется в реестре, при этом двоичный файл удаляется из файловой системы, чтобы избежать обнаружения.

Методы работы хакера позволяют предположить, что он преследовал цели сбора разведывательной информации, включая потенциальную кражу интеллектуальной собственности, особенно в производственном секторе, который, согласно недавним наблюдениям, подвергся серьезной атаке. Удаленные артефакты, такие как информация Active Directory и создание архивов RAR, указывают на систематическую практику утечки данных. Кроме того, поведение и характеристики этой новой программы-вымогателя, использующей шифрование AES и RSA, отражают высокий уровень сложности, соответствующий стандартам APTS.

Существует слабая связь с хакером Teleboyi, полученная в результате изучения образца PlugX, который использует схожие алгоритмы расшифровки строк и привязки к домену. Однако эта связь остается слабой, поскольку существует неопределенность в отношении преемственности владения доменом. Эволюция Shadowpad включает в себя значительные функции обфускации кода и защиты от отладки, которые затрудняют анализ, демонстрируя адаптивную способность в ответ на меры безопасности.

#ParsedReport #CompletenessMedium
20-02-2025

RansomHub: Analyzing the TTPs of One of the Most Notorious Ransomware Variants of 2024

https://www.picussecurity.com/resource/blog/ransomhub

Report completeness: Medium

Threats:
Ransomhub
Spear-phishing_technique
Password_spray_technique
Anydesk_tool
Cyclops_ransomware
Mimikatz_tool
Rclone_tool
Shadow_copies_delete_technique
Eternalblue_vuln
Zerologon_vuln
Angry_ip_scanner_tool
Nmap_tool
Credential_dumping_technique
Vssadmin_tool
Tdsskiller_tool
Uac_bypass_technique
Edrkillshifter_tool
Disabling_antivirus_technique
Byovd_technique
Dumplsass_tool

Industry:
Healthcare, Transport

CVEs:
CVE-2023-22515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, <8.4.3, <8.5.2)
- atlassian confluence server (<8.3.3, <8.4.3, <8.5.2)

CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (<7.0.11, <7.2.3)

CVE-2017-7494 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- samba (<4.4.0, <4.4.14, <4.5.10, <4.6.4)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 11
Command: 4
Path: 3
Registry: 1

Soft:
PsExec, OpenWire, ActiveMQ, Confluence, BIG-IP, Windows Defender, Windows Registry, Windows service

Win Services:
TMBMServer

Languages:
powershell, java

Links:
have more...
https://github.com/evkl1d/CVE-2023-46604
https://github.com/Chocapikk/CVE-2023-22515
https://github.com/BishopFox/CVE-2023-3519

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель RansomHub, разновидность RaaS, использует модель двойного вымогательства, нацеленную на критически важные сектора. Он получает первоначальный доступ с помощью фишинга и использует уязвимости, такие как CVE-2023-3519 и CVE-2023-27997, а также такие инструменты, как Rclone, для фильтрации данных и расширенного шифрования для защиты файлов.
-----

RansomHub - это программа-вымогатель, ранее известная как Cyclops и Knight, предназначенная в первую очередь для критически важных секторов, таких как здравоохранение и транспорт. Она использует модель двойного вымогательства, шифруя и удаляя данные, требуя выкуп. Цепочка заражения начинается с первоначального доступа, который, как правило, достигается с помощью фишинга, использования уязвимостей в интернет-приложениях и разбрасывания паролей.

Аффилированные лица отключают механизмы безопасности с помощью вредоносных скриптов, удаляют логи и маскируют двоичный код программы-вымогателя. Они обеспечивают постоянство, создавая учетные записи пользователей и используя инструменты сброса учетных данных, такие как Mimikatz. Для обнаружения сети они используют такие инструменты, как AngryIPScanner и Nmap, для сканирования, идентификации устройств и построения графиков боковых перемещений.

RansomHub использует несколько уязвимостей для первоначального доступа, включая CVE-2023-3519 и CVE-2023-27997, которые позволяют удаленно выполнять код. Он также использует более старые уязвимости, такие как EternalBlue (CVE-2017-0144) и Zerologon (CVE-2020-1472), причем многие эксплойты доступны на таких платформах, как GitHub.

Во время эксфильтрации используются такие инструменты, как Rclone, для обработки конфиденциальных данных, передаваемых по асимметричным протоколам. Программа-вымогатель использует передовые алгоритмы шифрования, в том числе Curve 25519, что делает восстановление данных практически невозможным без ключей, которые обычно хранятся на взломанных серверах.

Чтобы избежать обнаружения, аффилированные лица манипулируют настройками Windows, выполняют запутанные сценарии PowerShell и используют законные средства удаленного доступа, такие как AnyDesk и PsExec, для перемещения в разные стороны. Они также удаляют журналы и теневые копии томов, что усложняет восстановление для пострадавших организаций.

Рекомендуется использовать надежную многоуровневую защиту, включая обучение пользователей борьбе с фишингом, своевременное внесение исправлений и структурированные планы реагирования на инциденты, чтобы снизить риски, связанные с RansomHub и подобными угрозами.

#ParsedReport #CompletenessHigh
20-02-2025

Blink and Theyre In: How Rapid Phishing Attacks Exploit Weaknesses

https://www.reliaquest.com/blog/blink-and-theyre-in-how-rapid-phishing-attacks-exploit-weaknesses/

Report completeness: High

Threats:
Blackbasta
Microsoft_quick_assist_tool
Dll_sideloading_technique
Process_injection_technique

Industry:
Critical_infrastructure

TTPs:
Tactics: 8
Technics: 4

IOCs:
File: 2
Domain: 2
Hash: 1

Soft:
Microsoft Teams, SoftPerfect Network Scanner, WinSCP, Qemu

Algorithms:
exhibit

Languages:
swift, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее нарушение в производственном секторе, приписываемое группе программ-вымогателей Black Basta, продемонстрировало быструю эксплуатацию с помощью фишинга и дополнительной загрузки DLL-файлов, что привело к утечке данных за 30 часов. Злоумышленники использовали социальную инженерию для получения доступа и внедрили протокол RDP с PowerShell для горизонтального перемещения, подчеркнув необходимость усовершенствованного автоматизированного реагирования на угрозы и улучшения видимости мер безопасности.
-----

Хакерская атака в производственном секторе, связанная с фишингом и утечкой данных, была приписана группе программ-вымогателей Black Basta. Время взлома составило 48 минут, что свидетельствует о превосходстве скорости над возможностями защиты. Более 15 пользователей подверглись рассылке спама по электронной почте, предположительно, с законного адреса "onmicrosoft.com". Злоумышленники использовали социальную инженерию, выдавая себя за сотрудника службы технической поддержки. По крайней мере двух пользователей убедили воспользоваться инструментом удаленного доступа Quick Assist, что позволило злоумышленникам обойти методы обнаружения. Злоумышленники использовали дополнительную загрузку библиотеки DLL, поместив вредоносную библиотеку DLL "winhttp.dll" в файл обновления OneDrive, чтобы избежать обнаружения. Связь между командно-диспетчерским пунктом (C2) была установлена по протоколу HTTPS, и перемещение в другую сторону произошло в течение нескольких минут после первоначального доступа. Когда распространение библиотеки DLL завершилось неудачей, злоумышленники прибегли к протоколу удаленного рабочего стола (RDP) и PowerShell для создания запланированных задач с использованием скомпрометированных учетных записей администратора. Такие инструменты, как сетевой сканер SoftPerfect, использовались для выявления уязвимых объектов и сбора конфиденциальных данных. Утечка данных была выполнена с использованием WinSCP, что позволило устранить кражу в течение 30 часов. Рекомендации включают усовершенствование процедур проверки, обеспечение безопасности средств удаленного мониторинга, расширение обнаружения конечных точек и усиление контроля приложений. Интеграция автоматизации в меры безопасности имеет решающее значение для сокращения времени сдерживания и эффективного противодействия сложным методам атаки.

#ParsedReport #CompletenessLow
20-02-2025

DPRK DriverEasy & ChromeUpdate Deep Dive

https://blog.kandji.io/drivereasy

Report completeness: Low

Actors/Campaigns:
Contagious_interview

Geo:
North korea, Dprk

ChatGPT TTPs:
do not use without manual check
T1204.002, T1567.002, T1082

IOCs:
File: 4
Hash: 4

Soft:
macOS, Dropbox, Chrome, Google Chrome

Algorithms:
sha256, zip

Functions:
sub_1000049d4, runModal, sub_100004e0c, sub_1000051ec, sub_10000525c, swift_allocObject, print, callToQueryIP_1000067cc, callToQueryIP, createPassword, have more...

Languages:
objective_c, python, swift

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе недавних кибератак в Северной Корее использовались вредоносные приложения, такие как DriverEasy, которые маскируются под законные инструменты для получения учетных данных пользователей с помощью вводящих в заблуждение запросов. Эти приложения передают украденную информацию в Dropbox, используя OAuth 2.0 для извлечения токенов, что указывает на сложный метод утечки данных.
-----

В последние месяцы был выявлен ряд вредоносных приложений, связанных с кибероперациями Северной Кореи, в частности, тактика "Contagious Interview". Эти приложения, маскирующиеся под инструменты, связанные с фальшивыми собеседованиями при приеме на работу, предназначены для получения учетных данных пользователей с помощью вводящих в заблуждение запросов. Примечательно, что SentinelOne уже обсуждал "Flexible Ferret" и другие связанные с ним приложения, включая ChromeUpdate и CameraAccess. Более подробное техническое исследование другого приложения под названием DriverEasy выявило вредоносные функциональные возможности, присущие этим инструментам.

DriverEasy.app разработан с использованием Swift и Objective-C и работает под видом законного приложения Google. Приложение использует пользовательские подсказки, чтобы обманом заставить пользователей ввести свои пароли. После ввода пароля приложение передает эту информацию в учетную запись Dropbox с помощью API-интерфейсов Dropbox. Процесс включает в себя создание приглашения, которое ложно информирует пользователей о необходимых разрешениях, используя узнаваемый бренд Google Chrome для повышения надежности.

Установлено, что приложение подписано adhoc, что накладывает ограничения на его работоспособность в macOS. Анализ показывает соответствующие данные из Info.plist приложения, указывающие на идентификатор пакета, который имитирует Google Chrome, аналогичный ChromeUpdate. Использование инструмента командной строки otool указывает на сочетание Swift и Objective-C в его кодовой базе с акцентом на строки Swift, которые помогают анализировать поведение приложения.

Часть вредоносного потока включает в себя инициализацию запроса об ошибке, в котором пользователю предлагается ввести пароль своей учетной записи Google. Успешная отправка запускает внутреннюю процедуру, в ходе которой вводимые данные сохраняются, преобразуются из Objective-C в формат Swift и впоследствии подготавливаются для обмена с Dropbox. Примечательно, что приложение запрашивает общедоступный IP-адрес пользователя, еще больше встраиваясь в легитимный контекст.

Приложение не только перехватывает пароль, но и устанавливает связь с Dropbox для загрузки украденных учетных данных. Оно подготавливает запрос API на токен с использованием OAuth 2.0 и обрабатывает полученный объект JSON для извлечения токена доступа, необходимого для последующей загрузки. Подробное взаимодействие с API-интерфейсами Dropbox означает надежный метод эксфильтрации, поскольку пароли систематически загружаются с проверками для подтверждения успешных операций.

Сравнение DriverEasy с ChromeUpdate и CameraAccess показывает согласованную реализацию API Dropbox, что подтверждает предположение о том, что эти приложения, скорее всего, являются производными одного и того же семейства вредоносных программ, использующих общий код и методы кражи учетных данных. Настойчивость северокорейских киберпреступников в применении подобных схем подчеркивает острую необходимость в передовых мерах обнаружения для противодействия их попыткам перехвата конфиденциальных пользовательских данных. Понимание механизмов, лежащих в основе этих приложений, является обязательным условием для повышения защиты кибербезопасности от таких обманчивых тактик.

#ParsedReport #CompletenessLow
20-02-2025

Posteler, a Rhadamanthys distributed through the MSC extension

https://asec.ahnlab.com/ko/86354/

Report completeness: Low

Threats:
Postealer
Rhadamanthys

CVEs:
CVE-2024-43572 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20796)
- microsoft windows 10 1607 (<10.0.14393.7428)
- microsoft windows 10 1809 (<10.0.17763.6414)
- microsoft windows 10 21h2 (<10.0.19044.5011)
- microsoft windows 10 22h2 (<10.0.19045.5011)
have more...

ChatGPT TTPs:
do not use without manual check
T1036.005, T1105, T1059.001, T1204.002

IOCs:
File: 4
Hash: 3
Url: 2

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный файл MSC, замаскированный под документ MS Word, загружает скрипт PowerShell, который извлекает вредоносную программу Rhadamanthys, получая привилегии на выполнение в системе и сохраняя постоянство. Это демонстрирует эволюционирующую тактику хакеров, использующих социально адаптированные форматы файлов для обхода мер безопасности.
-----

Недавний анализ безопасности выявил вредоносный файл MSC, который маскируется под документ MS Word для обмана пользователей. При открытии этого файла запускается загрузка сценария PowerShell из внешнего источника. Загруженный скрипт имеет решающее значение, поскольку он облегчает запуск вредоносного исполняемого файла с именем Rhadamanthys. Этот метод демонстрирует распространенный метод атаки, при котором злоумышленники используют социально адаптированные форматы файлов, чтобы обойти контроль пользователей и меры безопасности.

Механизм действия этой угрозы заключается в выполнении сценария PowerShell из внешнего хранилища, который впоследствии загружает Rhadamanthys и сохраняет его в локальном каталоге данных приложения пользователя. Этот метод не только сохраняет постоянство, но и позволяет вредоносному ПО выполнять команды с правами пользователя, эффективно увеличивая потенциальное воздействие атаки.

Такая тактика иллюстрирует постоянно меняющиеся стратегии, используемые хакерами для распространения вредоносных программ, подчеркивая важность осведомленности пользователей и строгих мер безопасности для обнаружения этих сложных методов проникновения и реагирования на них. Пользователи должны сохранять бдительность, особенно при работе с файлами, предположительно полученными из надежных источников, поскольку они могут содержать скрытые скрипты, способные выполнять вредоносные действия в их системах. Кроме того, организациям следует внедрять надежные меры защиты конечных устройств и регулярно проводить обучение по безопасности, чтобы снизить риски, связанные с такими продвинутыми угрозами.

#ParsedReport #CompletenessMedium
20-02-2025

LummaC2 malware disguised as Total Commander Crack

https://asec.ahnlab.com/ko/86396/

Report completeness: Medium

Threats:
Lumma_stealer

Industry:
Religion

ChatGPT TTPs:
do not use without manual check
T1204.001, T1027, T1041

IOCs:
File: 1
IP: 1
Command: 3
Hash: 5
Url: 5

Soft:
Total Commander, TOTALCOMMANDER

Algorithms:
md5

Win Services:
ekrn

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lummac2 - это вредоносная программа для кражи информации, распространяемая через взломанные версии TOTAL Commander и продвигающая загрузку по вводящим в заблуждение ссылкам. Она использует файлы AutoIt и CMD для извлечения конфиденциальных данных из браузеров, электронной почты и криптовалютных кошельков, загружая их на C&C серверы злоумышленников.
-----

Аналитический центр безопасности Ahnlab (ASEC) обнаружил вредоносный код, известный как Lummac2, который распространяется с помощью инструмента под названием TOTAL Commander. Это программное обеспечение, которое предоставляет возможности управления файлами в Windows, часто требует от пользователей оплаты полной версии после первого месяца бесплатного использования. Киберпреступники используют стремление пользователей к бесплатному программному обеспечению, продвигая взломанные версии в Интернете. Когда пользователи ищут "Total Commander Crack" на таких платформах, как Google, они попадают на контент, который в конечном итоге подключает их к Google Colab drive, поощряя загрузку вредоносного ПО, замаскированного под crack.

Эта стратегия распространения вредоносного ПО основана на активном участии пользователя; автоматическое перенаправление не происходит. Вместо этого пользователи должны переходить по гиперссылкам в сообщениях, чтобы получить доступ к вредоносному контенту. Интернет-сообщества, включая Reddit, еще больше облегчают эту задачу, добавляя ссылки в комментарии, связанные с запросами на взломанное программное обеспечение.

Технический анализ показывает, что Lummac2 использует комбинацию исполняемых файлов, созданных с помощью AutoIt, языка сценариев, а также один CMD-файл, созданный NSIS (Nullsoft Scriptable Install System). Сценарии .A3X — скомпилированные сценарии AutoIt — предназначены для запуска встроенного вредоносного ПО. При запуске вредоносное ПО расшифровывает закодированные двоичные файлы в памяти и загружает шеллкод, что свидетельствует о современной тактике, используемой злоумышленниками.

Lummac2 относится к категории вредоносных программ для кражи информации и начал активно распространяться в начале 2023 года. Он маскируется под нелегальное программное обеспечение, такое как взломщики и генераторы ключей, и нацелен на людей, которые ищут несанкционированные версии приложений. После заражения Lummac2 извлекает конфиденциальную информацию, хранящуюся в браузерах, учетных записях электронной почты, криптовалютных кошельках и других учетных данных для автоматического входа в систему, которые затем загружаются на сервер управления (C&C), управляемый злоумышленниками. Скорее всего, эта информация продается в даркнете или используется повторно для дальнейших атак.

Последствия Lummac2 распространяются и на корпоративные системы; конфиденциальная информация, полученная с персональных компьютеров, может привести к нарушениям и поставить под угрозу безопасность предприятия. Таким образом, Lummac2 представляет серьезную угрозу из-за своих изощренных методов распространения и конфиденциальной информации, на которую он нацелен, что подчеркивает необходимость проявлять бдительность в отношении такой тактики в поисках свободного программного обеспечения.

#ParsedReport #CompletenessLow
21-02-2025

Russian Threat Group CryptoBytes is Still Active in the Wild with UxCryptor

https://www.sonicwall.com/blog/russian-threat-group-cryptobytes-is-still-active-in-the-wild-with-uxcryptor

Report completeness: Low

Actors/Campaigns:
Cryptobytes (motivation: financially_motivated, cyber_criminal)

Threats:
Uxcryptor

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1486, T1497.001

IOCs:
Path: 1
File: 2

Soft:
VirtualBox, Discord, Zoom