#ParsedReport #CompletenessHigh
20-04-2025

DOGE Big Balls Ransomware and the False Connection to Edward Coristine

https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/

Report completeness: High

Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique

Industry:
Government

CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)


TTPs:
Tactics: 9
Technics: 14

IOCs:
Command: 3
Hash: 17
Url: 5
File: 7

Soft:
Windows kernel

Crypto:
monero

Algorithms:
sha256, zip

Win API:
SeLoadDriverPrivilege, NtLoadDriver

Languages:
powershell

Platforms:
intel

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/doge\_Big\_Balls\_ransomware.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, windows: 1

#ParsedReport #CompletenessHigh
20-04-2025

DOGE Big Balls Ransomware and the False Connection to Edward Coristine

https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/

Report completeness: High

Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique

Industry:
Government

CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)


TTPs:
Tactics: 9
Technics: 14

IOCs:
Command: 3
Hash: 17
Url: 5
File: 7

Soft:
Windows kernel

Crypto:
monero

Algorithms:
sha256, zip

Win API:
SeLoadDriverPrivilege, NtLoadDriver

Languages:
powershell

Platforms:
intel

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/doge\_Big\_Balls\_ransomware.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DOGE BIG BALLS использует многогранные методы атаки, включая обманчивое сочетание клавиш LNK для выполнения команд PowerShell для доставки полезной информации в память. Он использует уязвимость в драйвере Intel CVE-2015-2291 для повышения привилегий и применяет меры защиты от обнаружения при регистрации системной информации, чтобы адаптировать свои атаки и облегчить перемещение по сети.
-----

Программа-вымогатель DOGE BIG BALLS - это изощренный хакерский инструмент, предназначенный для шифрования систем жертв и использующий разнообразные методы скрытной атаки. Атака начинается с получения заманчивого ZIP-файла, содержащего обманчивый ярлык LNK, который маскируется под законный документ. При выполнении это сочетание клавиш автоматически запускает цепочку команд PowerShell, которые загружают и выполняют полезную нагрузку программы-вымогателя в память, сводя к минимуму ее воздействие на систему жертвы.

В основе этой программы-вымогателя лежит использование уязвимости в драйвере Intel (CVE-2015-2291) с использованием метода создания собственного уязвимого драйвера (BYOVD). Такой подход позволяет хакеру получить разрешения на уровне ядра для повышения привилегий, что обеспечивает широкий контроль над системой. Полезная нагрузка представляет собой разновидность программы-вымогателя Fog, получившую название "DOGE BIG BALLS Ransomware", которая включает в себя психологические элементы, предназначенные для запутывания или запугивания жертв. В соглашении об именовании программы-вымогателя содержатся ссылки на общественную фигуру, что указывает на преднамеренную стратегию введения в заблуждение или отвлечения внимания во время восстановления.

Атака тщательно спланирована, в качестве организатора выступает скрипт PowerShell "stage1.ps1", который проверяет наличие административных прав. Если они предоставлены, он создает скрытый каталог в папке автозагрузки Windows и загружает вредоносные двоичные файлы, замаскированные под законные приложения. К ним относится полезная нагрузка программы-вымогателя, сохраненная как "Adobe Acrobat.exe", что облегчает выполнение, не вызывая подозрений. Кроме того, скрипт извлекает "ktool.exe", который служит средством эксплойта ядра, которое при запуске использует вышеупомянутый драйвер для дальнейшего повышения привилегий и отключения механизмов ведения журнала безопасности.

Функциональность программы-вымогателя включает в себя сбор обширной системной информации, которая заносится в специальный файл. Этот этап разведки помогает злоумышленникам адаптировать свои действия в зависимости от конкретной среды. После сбора необходимых данных программа приступает к шифрованию файлов в соответствии с предопределенными параметрами, такими как целевые типы файлов и другие рабочие конфигурации.

Важным аспектом этой атаки является встроенный в вредоносный инструментарий маяк Havoc C2, указывающий на возможные будущие действия хакера. Маяк предназначен для обеспечения долгосрочного доступа и контроля после расшифровки, что предполагает расширенные возможности для перемещения в сети жертвы. Сложность работы еще больше подчеркивается использованием мер защиты от обнаружения, таких как защитные барьеры выполнения, которые проверяют контекст выполнения для снижения риска анализа или обнаружения в изолированной среде.

#ParsedReport #CompletenessMedium
21-04-2025

Lumma Stealer Tracking distribution channels

https://securelist.com/lumma-fake-captcha-attacks-analysis/116274/

Report completeness: Medium

Threats:
Lumma_stealer
Dll_sideloading_technique
Anydesk_tool

Industry:
E-commerce

Geo:
Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1059.001, T1140, T1574.002, T1203, T1112, T1027, T1071.001

IOCs:
File: 12
Url: 4
Path: 1
Registry: 1
Domain: 20

Soft:
Telegram, Windows Registry, nsis installer, KeePass

Wallets:
metamask

Crypto:
binance, ethereum

Algorithms:
zip, lznt1, rc4, base64

Languages:
autoit, powershell, javascript, python

Links:
https://github.com/digitalsleuth/autoit-extractor

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 9, dump: 1

#ParsedReport #CompletenessMedium
21-04-2025

Lumma Stealer Tracking distribution channels

https://securelist.com/lumma-fake-captcha-attacks-analysis/116274/

Report completeness: Medium

Threats:
Lumma_stealer
Dll_sideloading_technique
Anydesk_tool

Industry:
E-commerce

Geo:
Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1059.001, T1140, T1574.002, T1203, T1112, T1027, T1071.001

IOCs:
File: 12
Url: 4
Path: 1
Registry: 1
Domain: 20

Soft:
Telegram, Windows Registry, nsis installer, KeePass

Wallets:
metamask

Crypto:
binance, ethereum

Algorithms:
zip, lznt1, rc4, base64

Languages:
autoit, powershell, javascript, python

Links:
https://github.com/digitalsleuth/autoit-extractor

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 9, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer, которая с 2022 года является частью Malware-a-a-Service, распространяется с помощью фишинга, троянского программного обеспечения и наборов эксплойтов, используя социальную инженерию. Он использует дополнительную загрузку библиотек DLL и сложные многоступенчатые методы заражения для извлечения конфиденциальных данных, маскируя их трафик, чтобы избежать обнаружения.
-----

Распространение вредоносного ПО как услуги (MaaS) способствовало распространению программ, похищающих информацию, в частности Lumma Stealer, которое получило значительную популярность с момента своего запуска в 2022 году группой, известной как Lumma. Изначально разработанный под брендом LummaC2, этот изощренный взломщик уже утвердился на рынках даркнета и Telegram, цены на него начинаются примерно с 250 долларов, а растущая база пользователей превысила тысячу подписчиков по состоянию на март 2025 года. Методы доставки Lumma часто требуют взаимодействия с человеком, когда пользователей вводят в заблуждение и заставляют выполнять вредоносные команды с помощью таких тактик, как поддельные страницы с капчей и троянское программное обеспечение.

Основными причинами заражения Lumma являются тактика фишинга, распространение с помощью вредоносных вложений или ссылок, а также компрометация законных приложений. Кроме того, для обхода мер безопасности используются наборы эксплойтов и социальная инженерия. Особенно эффективный метод распространения включает создание клонированных веб-сайтов для пиратского контента, которые при доступе перенаправляют пользователей на вредоносную капчу, предназначенную для извлечения команды PowerShell в буфер обмена. После выполнения этой команды, обычно загружаемой с удаленного сервера, вредоносное ПО устанавливается и запускается автоматически.

Цепочка заражения Lumma Stealer чрезвычайно сложна и включает в себя различные методы обфускации и стратегии доставки полезной информации. Одним из распространенных методов является дополнительная загрузка DLL, при которой вредоносная библиотека DLL запускается вместе с легитимными приложениями, используя их доверительный контекст. Другой метод заключается во внедрении вредоносного кода в раздел наложения законных программных приложений, сохраняя видимость нормальной функциональности при выполнении вредоносных операций в фоновом режиме.

Детальное изучение образца Lumma показало, что в нем используется многоступенчатый подход к заражению. Исходная полезная нагрузка маскируется под законный исполняемый файл, извлекая и запуская архив, содержащий программу установки Nullsoft Scriptable Install System (NSIS). Этот установщик закладывает основу для последующих компонентов вредоносного ПО, включая сценарии автоматической загрузки, ответственные за организацию процесса заражения. Эти сценарии разработаны таким образом, чтобы избежать обнаружения путем сканирования программного обеспечения безопасности на компьютере жертвы, при необходимости откладывая выполнение, чтобы избежать использования изолированных сред.

Как только Lumma Stealer запускается, он устанавливает связь с серверами управления для извлечения украденной информации, которая может включать в себя ряд конфиденциальных данных, таких как учетные данные криптовалюты, токены двухфакторной аутентификации и сохраненные пароли от различных приложений. Сообщения вредоносного ПО часто маскируются под законный трафик, чтобы обойти системы сетевого мониторинга.

#ParsedReport #CompletenessLow
21-04-2025

MS-SQL server target attack case installing Ammyy Admin

https://asec.ahnlab.com/ko/87590/

Report completeness: Low

Threats:
Ammyyadmin_tool
Anydesk_tool
Todesk_tool
Teamviewer_tool
Gotohttp_tool
Netstat_tool
Petitpotato_tool
Ammyyrat
Porttranc_tool

Victims:
Ms-sql servers

ChatGPT TTPs:
do not use without manual check
T1078, T1059.001, T1110, T1105

IOCs:
File: 2
Path: 2
Url: 9
Hash: 4

Soft:
MS-SQL

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки на серверы MS-SQL используют слабые средства аутентификации и удаленного управления, такие как AnyDesk и Ammyy Admin, в качестве бэкдоров. Злоумышленники устанавливают вредоносный код для получения контроля, часто используя такие инструменты, как GOTOHTTP и PetitPotato, для использования неправильно настроенных учетных записей. Внедрение политики надежного использования паролей и обновление программного обеспечения имеют решающее значение для защиты.
-----

Недавние случаи атак на серверы MS-SQL продемонстрировали, как инструменты удаленного управления, такие как Anydesk и Ammyy Admin, могут быть использованы аналогично бэкдорам и троянам удаленного доступа (RAT). Уязвимость в основном связана с ненадлежащим образом защищенными серверами MS-SQL, которые могут быть просканированы и скомпрометированы злоумышленниками. Как только злоумышленник обнаруживает уязвимый сервер, он часто устанавливает вредоносный код, использующий слабые учетные данные для аутентификации.

В задокументированных атаках злоумышленники использовали протокол GOTOHTTP в качестве точки входа, подчеркивая риск, который представляют системы, подключенные к Интернету и использующие скомпрометированные учетные данные. Злоумышленник часто использует команды для сбора информации о зараженной системе после взлома. Например, Ammyy Admin, в частности, такой версии, как V3.10, служит инструментом удаленного рабочего стола, который позволяет злоумышленникам получить контроль над зараженными системами, используя конфигурационный файл "Settings3.bin". Этот файл содержит важную информацию, такую как "Идентификатор клиента", который позволяет получить удаленный доступ после извлечения из памяти системы.

Кроме того, злоумышленники использовали PetitPotato в качестве средства для активации службы протокола удаленного рабочего стола (RDP) путем добавления новых учетных записей пользователей. Тактика, используемая в этих атаках, часто включает в себя "брутфорсинг" и атаки по словарю против плохо настроенных учетных записей. Для снижения рисков администраторам крайне важно внедрять сложные политики паролей и периодически менять пароли, тем самым защищая сервер базы данных от попыток несанкционированного доступа.

Кроме того, для предотвращения заражения вредоносными программами необходимо постоянно обновлять программное обеспечение удаленного управления до последних версий. Сетевые средства защиты, такие как брандмауэры, должны быть настроены таким образом, чтобы контролировать доступ к серверам баз данных, особенно к тем, которые доступны извне. Несоблюдение этих превентивных мер может привести к продолжительным атакам и потенциальному распространению вредоносного ПО в уязвимой инфраструктуре.

#ParsedReport #CompletenessLow
21-04-2025

FOG Ransomware Spread by Cybercriminals Claiming Ties to DOGE

https://www.trendmicro.com/en_us/research/25/d/fog-ransomware-concealed-within-binary-loaders-linking-themselve.html

Report completeness: Low

Threats:
Fog_ransomware
ransomware.additionally
Ransom.win32.fog.smypefg

Industry:
Education, Retail, Healthcare, Government, Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1497, T1486

IOCs:
File: 7
Url: 5
Coin: 1
Hash: 6

Crypto:
monero

Algorithms:
base64, xor, zip

Functions:
Get-GatewayMACs

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель FOG распространяется с помощью фишинговых электронных писем, выдающих себя за правительственные ссылки. Она использует многоэтапную цепочку заражения, инициируемую файлом LNK, который запускает сценарии PowerShell для загрузки дополнительных вредоносных исполняемых файлов. Вредоносная программа проводит проверку в изолированной среде перед развертыванием, регистрирует события шифрования и нацелена на несколько секторов, жертвами которых, по сообщениям, стали более 100 человек.
-----

Исследование нескольких образцов вредоносного ПО показало, что в настоящее время программа-вымогатель FOG распространяется с помощью методов социальной инженерии, которые используют ссылки правительства. В частности, анализ был сосредоточен на девяти образцах, обнаруженных на сайте VirusTotal, которые включают файл LNK, встроенный в ZIP-архив с именем "Pay Adjustment.zip". Эти образцы рассылаются по фишинговым электронным письмам, предназначенным для пользователей, которые ссылаются на связи с Департаментом эффективности государственного управления (DOGE), входящим в состав нынешней администрации США.

Было отмечено, что программа-вымогатель FOG, отличающаяся скрытными методами распространения, содержит многоэтапную цепочку заражения. При запуске файл LNK запускает сценарий PowerShell под названием "stage1.ps1", который отвечает за дальнейшие действия. Скрипт загружает различные исполняемые файлы, такие как загрузчик программ-вымогателей (cwiper.exe) и ktool.exe, а также другие вспомогательные скрипты PowerShell. Примечательно, что "stage1.ps1" также имеет особенность открывать видеоролики на политическую тематику на YouTube и встраивать в свой код политические комментарии.

Прежде чем запустить программу-вымогатель, вредоносное программное обеспечение проводит проверку, чтобы определить, работает ли оно в изолированной среде, оценивая такие параметры, как количество процессоров, объем оперативной памяти и MAC-адреса. Если эти проверки указывают на отсутствие изолированной среды, вредоносная программа регистрирует этот факт и продолжает свою работу. В случае сбоя этих проверок вредоносная программа завершает работу преждевременно. Загрузчик также создает файл журнала (dbgLog.sys) для документирования событий шифрования в соответствии с поведением, наблюдавшимся в более ранних версиях программы-вымогателя FOG.

Исследованные образцы содержали записку с требованием выкупа, которая совпадает с предыдущими сообщениями, связанными с программой-вымогателем FOG, что подтверждает ее идентичность. Сообщается, что это конкретное семейство программ-вымогателей было нацелено на различные сектора, включая технологии, образование, производство и транспорт. По последним данным, жертвами программы-вымогателя FOG стали по меньшей мере 100 человек, причем пики активности отмечались в определенные месяцы. Окончательная полезная нагрузка вредоносной программы была подтверждена как Ransom.Win32.FOG.SMYPEFG, причем различные образцы отличались только используемыми ключами расшифровки.

Эта продолжающаяся тенденция подчеркивает адаптивные стратегии, используемые хакерами для облегчения своих кампаний по распространению программ-вымогателей, в которых могут участвовать не только первоначальные операторы FOG, но и потенциально другие противники, внедряющие программы-вымогатели в свои собственные сети. Такие изменения в методах распространения вредоносных программ делают значительный акцент на осведомленности пользователей и необходимости принятия надежных мер защиты от фишинга и программ-вымогателей.

#ParsedReport #CompletenessMedium
22-04-2025

The Bad Seeds: Malicious npm and PyPI Packages Pose as Developer Tools to Steal Wallet Credentials

https://socket.dev/blog/malicious-npm-and-pypi-packages-steal-wallet-credentials

Report completeness: Medium

Threats:
Typosquatting_technique
Credential_harvesting_technique
Credential_stealing_technique
Supply_chain_technique
Spear-phishing_technique

Victims:
React-native-scrollpageviewtest, Web3x, Herewalletbot

Industry:
Financial

TTPs:

IOCs:
File: 12
Email: 1
Url: 1

Soft:
Telegram, Outlook, elegram bo, Chrome

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
base64

Functions:
getSaf, main

Languages:
python, javascript