#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Финансируемая хакерская группа UNC6148 атакует устройства SonicWall SMA 100, используя скомпрометированные учетные данные, с помощью бэкдора под названием OVERSTEP. Эта вредоносная программа изменяет процессы загрузки для обеспечения постоянного доступа и может использовать нераскрытые уязвимости нулевого дня. Рекомендации включают смену учетных данных и мониторинг необычной сетевой активности для снижения рисков.
-----

Google Threat Intelligence Group (GTIG) сообщила о продолжающейся кампании, приписываемой финансово управляемой хакерской группе, идентифицированной как UNC6148. Эта группа ориентирована на устройства SonicWall для безопасного мобильного доступа (SMA) серии 100, которые полностью исправлены, но срок их службы истек. UNC6148 использует учетные данные и одноразовый пароль (OTP), полученные в результате предыдущих взломов, что позволяет им обходить обновления системы безопасности. Первоначальная причина заражения остается неясной, поскольку вредоносная программа активно удаляет записи журнала, чтобы затруднить судебно-медицинскую экспертизу; однако есть подозрение, что она использует известные уязвимости.

Ключевым элементом этой кампании является внедрение ранее неизвестного бэкдора под названием OVERSTEP. Анализ показывает, что эта вредоносная программа изменяет процесс загрузки устройства для получения постоянного доступа. Предполагается, что UNC6148 мог использовать нераскрытую уязвимость удаленного выполнения кода нулевого дня для установки OVERSTEP на целевые устройства. У кампании могли быть более широкие мотивы, включая кражу данных и потенциальное внедрение программ-вымогателей, о чем свидетельствуют инциденты, когда целевые организации позже появлялись на сайтах с утечкой данных.

Расследование, проведенное компанией Mandiant, показало, что UNC6148 обладает учетными данными локального администратора для устройств SMA, которые, возможно, были получены путем использования нескольких уязвимостей, включая CVE-2021-20038, CVE-2024-38475 и CVE-2021-20035, среди прочих. Примечательно, что CVE-2024-38475 позволяет осуществлять фильтрацию конфиденциальных баз данных SQLite, потенциально предоставляя важные учетные данные и токены для дальнейшего использования.

Оказавшись внутри, UNC6148 установил сеансы SSL VPN, используя учетные данные локального администратора для создания обратных оболочек и управления настройками устройства. Они поддерживали постоянство, внедряя руткит OVERSTEP, изменяя системные файлы для выполнения и используя различные методы, такие как динамическое связывание, для внедрения вредоносных функций в законные процессы. OVERSTEP реализован с помощью общего объектного файла, который подключает стандартные библиотечные функции, чтобы скрыть свое присутствие, одновременно обеспечивая выполнение команд и фильтрацию данных.

Вредоносная программа использует бэкдор для получения команд через сетевые запросы, эффективно используя захваченные функции write API для анализа и выполнения вредоносных команд, одновременно очищая журналы от любых признаков активности. GTIG отметила системный подход к операциям UNC6148, включая возможные совпадения с предыдущими кампаниями, которые привели к внедрению программ-вымогателей.

Рекомендация для организаций, затронутых этой кампанией, предусматривает замену всех учетных данных, даже если устройства выглядят полностью обновленными, из-за постоянного риска, связанного с ранее скомпрометированными учетными данными. Обнаружение индикаторов компрометации включает в себя поиск неожиданных двоичных файлов, изменений в критически важных системных файлах и необычной сетевой активности, предполагающей обратные операции оболочки или утечку данных.

Чтобы смягчить угрозы и усилить защиту, ключевые стратегии включают изоляцию уязвимых устройств, сохранение телеметрии для расследования и потенциальное взаимодействие с группами реагирования на инциденты, такими как Mandiant, для всесторонней оценки и устранения угроз.

#ParsedReport #CompletenessMedium
16-07-2025

Signed and stealing: uncovering new insights on Odyssey infostealer

https://www.jamf.com/blog/signed-and-stealing-uncovering-new-insights-on-odyssey-infostealer/

Report completeness: Medium

Threats:
Odyssey_stealer
Amos_stealer

Geo:
Dprk

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1056.002, T1059.004, T1070.004, T1071.001, T1105, T1119, T1204.002, have more...

IOCs:
Hash: 10
Url: 8
File: 5
IP: 1

Soft:
macOS, Gatekeeper, Chrome, Opera, Ledger Live, curl

Wallets:
electrum, exodus_wallet

Algorithms:
exhibit, sha256, zip

Languages:
applescript, swift, golang

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последней версии Atomic Stealer (AMOS) теперь есть бэкдор и используется двоичный файл Mach-O, замаскированный под действительный Apple Developer ID. Этот вариант использует социальную инженерию через "техническую панель" для сбора конфиденциальных данных, избегая обнаружения, и реализует постоянные подключения к серверу C2 для постоянной эксплуатации. Исследователи обнаружили сходство с тактикой северокорейских хакеров, что подчеркивает эволюционный характер угроз для macOS.
-----

Недавние результаты показывают, что последняя версия Atomic Stealer, также известная как AMOS, теперь включает в себя бэкдор - разработку, на которую обратили внимание исследователи безопасности из Moonlock. Одновременно с этим Jamf Threat Labs проанализировала образцы, обладающие схожими характеристиками, что позволило лучше понять угрозы, нацеленные на системы macOS. Исследователи все чаще выявляют варианты infostealer, многие из которых используют практически идентичные функции, направленные на обход встроенных механизмов безопасности Apple, таких как XProtect и Gatekeeper.

Одним из примечательных примеров, рассмотренных Jamf Threat Labs, был двоичный файл Mach-O, который был вредоносным по своей природе, но при этом был подписан кодом и нотариально заверен действительным Apple Developer ID. Этот метод маскировки позволяет запускать такие приложения без немедленной пометки, что повышает вероятность успешной атаки. Образец, обманчиво названный "Gmeet_updater.app", был распространен с помощью образа диска (DMG) и основывался на классической тактике манипулирования пользователями, чтобы стимулировать выполнение, несмотря на его действительную подпись.

После запуска этот вариант отличается от предыдущих версий AMOS введением нового интерфейса, стилизованного под "техническую панель", что, вероятно, усиливает аспект социальной инженерии атаки. Эта панель на базе SwiftUI извлекает дополнительную полезную нагрузку AppleScript с удаленного сервера и выполняет ее, запрашивая у пользователей конфиденциальную информацию, такую как учетные данные для входа в macOS, избегая при этом обнаружения за счет сохранения обфускации. Вредоносная программа собирает широкий спектр конфиденциальных данных, нацеливаясь на данные автозаполнения браузера, учетные данные для входа в систему, криптовалютные кошельки и даже личные файлы из каталогов пользователей.

Более того, эта версия содержит полезную нагрузку второго этапа, предназначенную для обеспечения постоянства. Прилагаемый AppleScript регистрируется на сервере управления (C2) и непрерывно запрашивает на нем команды. Этот постоянный бэкдор не только позволяет использовать его в будущем, но и позволяет злоумышленнику беспрепятственно выполнять новые вредоносные задачи. Вредоносная программа реализует структурированный подход к выполнению команд, включая возможность установки прокси-сервера SOCKS5 через двоичный файл Golang, загруженный с сервера C2, что облегчает анонимную маршрутизацию по сети через скомпрометированный хост.

Интересно, что вредоносная программа включает в себя механизмы самоопределения, занесение в черный список сред, подозреваемых в проведении исследований, а не в реальной эксплуатации, что демонстрирует ее адаптивный характер. Лаборатории Jamf Threat Labs выявили несколько образцов infostealer, которые используют один и тот же Team ID, демонстрируя продолжающуюся эволюцию угроз для macOS, которые теперь напоминают тактику, ранее связанную с северокорейскими хакерами. Быстрое развитие этих методов подчеркивает важность того, чтобы полагаться не только на статические средства защиты, но и на усовершенствованные стратегии поведенческого обнаружения. После выявления вредоносных действий Apple отозвала сертификат, связанный со скомпрометированным идентификатором разработчика. Такие меры безопасности, как предотвращение угроз и расширенный контроль угроз, имеют решающее значение для защиты пользователей от этих новых вариантов инфокрадов.

#ParsedReport #CompletenessHigh
19-07-2025

Greedy Sponge Targets Mexico with AllaKore RAT and SystemBC

https://arcticwolf.com/resources/blog/greedy-sponge-targets-mexico-with-allakore-rat-and-systembc/

Report completeness: High

Actors/Campaigns:
Greedy_sponge (motivation: financially_motivated)

Threats:
Allakore_rat
Systembc
Spear-phishing_technique
Uac_bypass_technique

Industry:
Retail, Transport, Financial, Foodtech, Entertainment, Education, Government

Geo:
Mexican, Spanish, Brazil, Mexico

TTPs:
Tactics: 9
Technics: 17

IOCs:
File: 17
Url: 4
Domain: 23
IP: 1
Hash: 42

Soft:
Chrome

Algorithms:
base64, md5, sha256, zip

Languages:
powershell, delphi

YARA: Found

Links:
https://github.com/expl0itabl3/uac-bypass-cmstpl

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Greedy Sponge, финансово мотивированная хакерская группа, действующая с 2021 года, нацелена на мексиканские организации, использующие модифицированное вредоносное ПО AllaKore RAT и SystemBC для финансового мошенничества. Они используют сложные тактики, такие как геозонирование на стороне сервера, фишинг с помощью троянских файлов MSI и методы обхода контроля учетных записей, что представляет серьезную постоянную угрозу для финансовых учреждений Мексики.
-----

Arctic Wolf Labs выявила финансово мотивированную хакерскую группу под названием Greedy Sponge, которая действует с начала 2021 года, в основном нацеливаясь на мексиканские организации. Эта группа использует модифицированные версии вредоносных программ AllaKore RAT и SystemBC, ориентируясь на финансовое мошенничество. Программа AllaKore RAT была значительно изменена для перехвата банковских учетных данных и уникальных аутентификационных данных, что позволяет злоумышленникам передавать конфиденциальную информацию на свой сервер управления (C2). Недавние кампании включают в себя развертывание пользовательских установщиков, содержащих модифицированный RAT, и использование SystemBC в качестве дополнительного инструмента для дальнейшей эксплуатации.

Оперативная тактика Greedy Sponge претерпела изменения, особенно с середины 2024 года, благодаря усовершенствованиям методов геозонирования, которые ограничивают их деятельность мексиканским регионом. Ранее проверки с использованием геозоны выполнялись на начальном этапе с использованием загрузчика .NET, но теперь эти проверки были перенесены на сервер, чтобы усложнить задачу обнаружения. Все фишинговые атаки имитируют местные бизнес-сайты, а их инфраструктура и механизмы доставки адаптированы для испаноязычной аудитории. Механизмы доставки были изменены и теперь включают сжатые ZIP-файлы, содержащие легальный исполняемый файл Chrome proxy и троянский файл MSI, который запускает процесс установки RAT. Файл MSI, созданный с помощью Advanced Installer, запускает загрузчик .NET, который в конечном итоге загружает полезную нагрузку AllaKore RAT.

Вредоносная программа работает с использованием уникального пользовательского агента, специально связанного с образцами загрузчика .NET. После запуска AllaKore RAT обеспечивает ведение кейлогга, захват скриншотов, манипулирование файлами и функции удаленного управления, а механизмы защиты обеспечивают ее сохранность после заражения. Группа также начала использовать метод обхода контроля учетных записей пользователей (UAC) с помощью установщика профилей Microsoft Connection Manager (CMSTP), который позволяет им более беспрепятственно выполнять вредоносные программы.

Если раньше Greedy Sponge был ориентирован на конкретные секторы, такие как банковское дело, то теперь он расширил сферу своей деятельности, демонстрируя безразличие к отрасли до тех пор, пока существуют финансовые активы, которые можно использовать. Постоянная угроза, исходящая от Greedy Sponge, подчеркивается их постоянной инфраструктурой, размещенной в Техасе, что обеспечивает им относительную безопасность от вторжений местных правоохранительных органов. Очевидные специализированные знания об экономической структуре Мексики и системах регулирования еще больше облегчают их деятельность. В целом, Greedy Sponge демонстрирует устойчивую эволюцию в своей тактике, которая, если ее не смягчать, предполагает сохранение угрозы для финансовых учреждений и бизнеса в Мексике в обозримом будущем.

#ParsedReport #CompletenessMedium
19-07-2025

Masquerade: You Downloaded ScreenConnect not Grok AI!

https://www.nccgroup.com/us/research-blog/masquerade-you-downloaded-screenconnect-not-grok-ai/

Report completeness: Medium

Threats:
Screenconnect_tool
Asyncrat
Credential_harvesting_technique
Donut

TTPs:
Tactics: 7
Technics: 11

IOCs:
Domain: 5
Url: 3
Path: 7
IP: 2
File: 17
Registry: 1

Soft:
OpenAI, Windows Installer, Google Chrome

Algorithms:
sha1, zip, base64

Languages:
php, python, jscript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная цепочка атак с участием AsyncRAT была инициирована путем взлома рекламы на Facebook с использованием инструмента удаленного доступа ScreenConnect. Хакер выполнил запутанные скрипты для установки AsyncRAT для ведения кейлоггинга и сбора учетных данных, установив управление сервером C2 по IP-адресу 185.149.232.197.
-----

В ходе недавнего мероприятия по реагированию на инциденты, проведенного командой цифровой криминалистики и реагирования на инциденты (DFIR) NCC Group, была выявлена сложная цепочка атак с участием AsyncRAT после взлома, вызванного вредоносной рекламой в Facebook. На начальном этапе был запущен ScreenConnect, инструмент удаленного доступа, который был замаскирован под создание искусственного интеллекта Grok. После того, как жертва нажимала на вредоносную рекламу, связанную с доменом canvadreamlab.xyz, на хост-систему устанавливался ScreenConnect, обеспечивающий сохранение и передачу файлов.

Хронология атаки показала, что в течение одной минуты после получения доступа на компьютере жертвы была установлена новая служба ScreenConnect, а команда была отправлена из домена jtsec.innocred.com. Эта служба облегчила передачу AsyncRAT, вредоносного ПО, известного своими возможностями в области кейлоггинга и сбора учетных данных, которое было запущено на следующий день. Первоначальные пути установки и выполнения указывали на сильную координацию действий хакера, который использовал методы обфускации для усложнения анализа.

Примечательно, что вредоносная программа была оборудована для сбора конфиденциальной информации, такой как данные браузера и нажатия клавиш, которые, вероятно, были отфильтрованы. Вредоносная активность включала в себя несколько файлов, включая запутанный пакетный файл с именем 9f.bat, который содержал дополнительные команды для вызова сценариев Python для доставки полезной нагрузки. Пакетный файл использовал функцию base64.b64decode для расшифровки своего содержимого, что отражает попытки хакера скрыть вредоносные намерения.

Анализ среды выявил файл журнала (Log.tmp), содержащий записанные нажатия клавиш и автоматически заполняемые данные из браузеров, таких как Google Chrome. Конкретные файлы, такие как профили Chrome и Edge, а также полный список паролей, продемонстрировали широкий спектр информации, на которую нацелена вредоносная программа.

Инфраструктура, использованная для атаки, включала различные компоненты, такие как допустимые DLL-файлы, связанные с интерпретатором Python (vcruntime140.dll, python310.dll), для поддержания видимости нормальности. Запутанный код на Python в вредоносном пакетном файле инициировал многоэтапный механизм доставки полезной нагрузки, в результате чего был загружен дополнительный вредоносный код, известный как Isrgorpev22.b64, который был идентифицирован как шелл-код, предназначенный для выполнения сложных команд непосредственно в памяти.

Заключительный этап привел к введению запутанного препарата .Сетевой исполняемый файл, идентифицированный как AsyncRAT, устанавливает возможности управления (C2) путем подключения к внешнему серверу по IP-адресу 185.149.232.197 через порт 56001 по протоколу SSL. Этот случай иллюстрирует сложные методологии, используемые хакерами, подчеркивая насущную необходимость в улучшенных стратегиях обнаружения инцидентов и реагирования на них для смягчения последствий таких атак.

#ParsedReport #CompletenessMedium
19-07-2025

Linux SSH server target attack case analysis that installs SVF DDOS BOT

https://asec.ahnlab.com/ko/89074/

Report completeness: Medium

Threats:
Svfbot
Putty_tool
Httpflood_technique
Udpflood_technique

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059.006, T1071.001, T1078, T1090.002, T1105, T1204.002, T1499.001

IOCs:
Url: 3
Hash: 1
IP: 1

Soft:
Linux, Discord, discord discord, curl

Algorithms:
md5

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ASEC сообщает о росте числа DDoS-атак, нацеленных на плохо управляемые серверы Linux с помощью ботнета SVF, вредоносного ПО на основе Python, использующего Discord для C&C. Он использует SSH-логины и выполняет атаки уровня 7 и уровня 4 с использованием прокси-серверов. Рекомендуется применять усиленные меры безопасности для серверов Linux, включая надежные пароли и регулярные обновления программного обеспечения.
-----

Аналитический центр безопасности Ahnlab (ASEC) выявил тревожную тенденцию в атаках, нацеленных на неправильно управляемые серверы Linux. Используя множество уловок, ASEC наблюдала многочисленные попытки из внешних источников взломать эти системы, в частности, с помощью вредоносного ПО для DDoS-ботов, идентифицированного как SVF-ботнет. Эта вредоносная программа, разработанная на Python, использует Discord для управления (C&C) и примечательна своей способностью использовать несколько прокси-серверов во время DDoS-атак.

Процесс атаки начинается с попытки входа на сервер Linux по SSH с использованием скомпрометированных учетных данных. Как только доступ получен, SVF-бот устанавливается с помощью специальных команд для настройки виртуальной среды Python и установки необходимых библиотек, таких как Discord.py и aiohttp. Исходный код бота, принадлежащий группе, известной как "Команда SVF", указывает на то, что он был создан в качестве развлекательного проекта. После запуска бот аутентифицируется на сервере Discord с помощью токена БОТА, что позволяет ему получать команды от злоумышленника.

Бот поддерживает ряд команд для DDoS-атак, в первую очередь нацеленных на HTTP-флуд уровня 7 (L7) и UDP-флуд-атаки уровня 4 (L4). Важным аспектом функциональности SVF-бота является его способность работать через прокси для HTTP-флуд-атак. Он извлекает прокси-адреса из заранее определенных источников и включает их в свою стратегию атаки, регистрируясь в Google с каждым адресом, прежде чем они будут использованы в атаках.

Помимо этих технических деталей, ASEC предоставила рекомендации для администраторов Linux-серверов по повышению их безопасности. Они подчеркивают важность сохранения надежных, непредсказуемых паролей и регулярного их обновления. Кроме того, применение последних исправлений к программному обеспечению имеет решающее значение для предотвращения использования известных уязвимостей. Использование таких мер безопасности, как брандмауэры и протоколы контролируемого доступа, имеет важное значение для серверов, подверженных внешним угрозам. Наконец, ASEC рекомендует постоянно обновлять антивирусные решения, такие как версия 3, чтобы обеспечить эффективную защиту от вредоносных программ. В этом отчете подчеркивается растущий риск DDoS-атак на серверы Linux с помощью SVF-бота, что подчеркивает необходимость применения надежных методов обеспечения безопасности.

#ParsedReport #CompletenessLow
19-07-2025

Formbook spread via Macro Office: companies involved in competitions and projects in the sights

https://cert-agid.gov.it/news/formbook-diffuso-via-macro-office-nel-mirino-aziende-coinvolte-in-gare-e-progetti/

Report completeness: Low

Threats:
Formbook

Victims:
Large italian company, Potential customers, Other companies

Industry:
Energy

Geo:
Italian, Italy

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1584.001, T1584.004

IOCs:
Hash: 5
Domain: 21
Url: 47

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью кибератаки на энергетический сектор Италии является вредоносное ПО Formbook, рассылаемое по фишинговым электронным письмам, имитирующим крупную энергетическую компанию. В ходе атаки используются недавно зарегистрированные домены для облегчения установки вредоносных компонентов, а также корпоративные методы для снижения защиты и повышения успешности внедрения вредоносного ПО.
-----

Недавно Cert-Agid обнаружил продолжающуюся киберкампанию, направленную на энергетический сектор Италии, в частности, направленную на распространение вредоносного ПО Formbook с помощью тщательно разработанных фишинговых электронных писем. Электронные письма, по-видимому, предназначены для привлечения внимания потенциальных клиентов известной итальянской энергетической компании. При анализе кода вредоносного ПО было выявлено, что при атаке используется методичная цепочка доставки. Эта цепочка методично облегчает установку Formbook, загружая и запуская вредоносные компоненты с недавно зарегистрированных доменов, имитируя названия целевой компании. Кроме того, кампания использовала скомпрометированные итальянские домены, которые, скорее всего, были законными и принадлежали другим компаниям в том же секторе.

В основе атаки лежит простой, но эффективный метод, использующий общепринятые корпоративные практики, такие как участие в тендерах, ведение конфиденциальных проектов и приглашение к участию в коммерческой деятельности. Такой реалистичный подход значительно снижает защиту пользователей, поскольку получатели этих электронных писем могут быть более склонны открывать их, тем самым увеличивая риск получения полезной информации, скрытой в документах. Кампания подчеркивает тот факт, что опасность заключается не в технической сложности вредоносного ПО, а скорее в том, насколько легко атака может соответствовать операционным потребностям и ожиданиям целевой аудитории. Эффективно маскируя свои намерения и обращаясь к привычному корпоративному контексту, хакер значительно повышает вероятность успешного внедрения вредоносного ПО.

#ParsedReport #CompletenessHigh
19-07-2025

Dark Web Profile: CrazyHunter Ransomware

https://socradar.io/dark-web-profile-crazyhunter-ransomware/

Report completeness: High

Threats:
Crazyhunter_ransomware
Byovd_technique
Zemana_tool
Prince_ransomware
Avkiller
Zammocide_tool
Sharpgpoabuse_tool
Godzilla_webshell
Regeorg_tool
Impacket_tool
Ntlmrelayx_tool
Secretsdump_tool
Donut
Cobalt_strike_tool
Domain_fronting_technique
Dev_tunnels_tool
Petitpotam_vuln
Certipy_tool

Victims:
Mackay memorial hospital, Changhua christian hospital, Asia university hospital, Zuni data, Analog integrations corporation, Netronix inc, Huacheng electric, Kd panels, Asia university

Industry:
Education, Healthcare, Energy

Geo:
Taiwanese, Taiwan, Asia

TTPs:
Tactics: 11
Technics: 12

IOCs:
File: 5
Hash: 21

Soft:
Microsoft AD, Microsoft Defender, Active Directory

Algorithms:
chacha20, md5

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
9 февраля 2025 года тайваньская больница MacKay Memorial Hospital подверглась атаке программы-вымогателя CrazyHunter через USB-соединение, в результате чего было зашифровано более 500 компьютеров. Вредоносная программа использовала стратегию BYOVD, используя законный драйвер для повышения привилегий и шифрование ChaCha20. Атака подчеркивает тенденцию группы атаковать тайваньское здравоохранение, используя передовые методы, такие как использование объектов групповой политики, и требует принятия надежных превентивных мер.
-----

9 февраля 2025 года тайваньская больница MacKay Memorial Hospital стала жертвой атаки программы-вымогателя, приписываемой CrazyHunter, которая значительно нарушила работу служб неотложной помощи и амбулаторных служб в кампусах в Тайбэе и Тамсуи. Атака была инициирована после того, как сотрудник по неосторожности подключил USB-накопитель к больничному компьютеру, что привело к проникновению в систему программы-вымогателя CrazyHunter. Вредоносная программа использовала стратегию BYOVD (Приведите свой собственный уязвимый драйвер), используя законные zam64.sys драйвер от Zemana AntiMalware для повышения привилегий, отключения механизмов защиты конечных устройств и попыток несанкционированного доступа к учетным записям Microsoft Active Directory с использованием ненадежных паролей. В результате более 500 компьютеров в больнице были зашифрованы, что привело к повсеместному операционному хаосу.

CrazyHunter свидетельствует о растущей тенденции среди хакеров использовать общедоступные инструменты и коды для проведения атак. Он был создан с использованием генератора под названием "Prince Ransomware", доступ к которому доступен на GitHub. Группировка, которая, по—видимому, сосредоточена на тайваньских организациях — 90% зарегистрированных жертв проживают на Тайване, - расширила масштабы своих атак, прежде всего, в сфере здравоохранения и технологий, включая многочисленные больницы и образовательные учреждения. Атака на мемориальную больницу Маккея была частью более масштабной кампании, и многие организации на Тайване столкнулись с подобными инцидентами, связанными с программами-вымогателями.

Методы работы, используемые CrazyHunter, подчеркивают его сложный подход, включающий комбинацию пакетных сценариев и расширенных функциональных возможностей вредоносного ПО. Злоумышленники использовали пакетную настройку сценариев для отключения мер безопасности, развертывания программы-вымогателя и обеспечения запасных вариантов в случае неудачи на начальных этапах. Сама вредоносная программа использует шифрование файлов ChaCha20 и использует ECIES для асимметричного шифрования, при этом уязвимые файлы имеют расширение .Hunter. Примечательно, что программа-вымогатель избегает шифрования критически важных системных каталогов и определенных типов файлов, сохраняя скрытность во время своих атак.

Ключевая тактика, применяемая группой CrazyHunter, заключается в использовании уязвимостей в объектах групповой политики (GPO), что позволяет повысить привилегии и облегчает развертывание вредоносных скриптов в сетях. Кроме того, для достижения своих целей они использовали инструменты и методы, связанные со службами сертификации Active Directory. Для защиты от программ-вымогателей CrazyHunter организациям рекомендуется блокировать несанкционированное использование USB-накопителей, использовать надежные средства обнаружения конечных точек и реагирования на них, внедрять надежные стратегии защиты личных данных и отслеживать сетевую активность на предмет необычного поведения, связанного с известными тактиками и методами группы. Регулярное обучение сотрудников распознаванию попыток фишинга и программ-вымогателей, а также своевременное устранение уязвимостей имеют решающее значение для защиты от таких сложных угроз.

#ParsedReport #CompletenessLow
19-07-2025

NailaoLocker Ransomwares Cheese

https://www.fortinet.com/blog/threat-research/nailaolocker-ransomware-cheese

Report completeness: Low

Threats:
Nailaolocker
Dll_sideloading_technique
Nailaoloader

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.001, T1070.004, T1083, T1218.011, T1486

IOCs:
File: 5
Hash: 3

Soft:
OpenSSL

Algorithms:
xor, sha256, aes, aes-256-cbc

Functions:
EVP_PKEY_CTX_new, EVP_EncryptInit_ex, EVP_EncryptUpdate, EVP_EncryptFinal_ex, EVP_DecryptInit_ex, EVP_DecryptUpdate, EVP_DecryptFinal_ex

Win API:
CreateIoCompletionPort, GetSystemInfo, BCryptGenRandom

Platforms:
x86