CTT Report Hub
#ParsedReport 15-02-2023 GuLoader a highly effective and versatile malware that can evade detection https://cybersecurity.att.com/blogs/security-essentials/guloader-a-highly-effective-and-versatile-malware-that-can-evade-detection Threats: Cloudeye Pro…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
GuLoader — это вредоносный загрузчик, используемый для распространения других вредоносных программ, таких как программы-вымогатели и банковские трояны, которые используются для уклонения от обнаружения.
Обычно он распространяется посредством фишинговых кампаний или загрузок из машины.
Он использует упаковку и шифрование, а также законные веб-сайты и службы в качестве серверов управления и контроля (C2), чтобы оставаться незамеченным.
Он использует передовые методы защиты от отладки и анализа, чтобы затруднить обратный инжиниринг и анализ.
Он успешно использовался в громких атаках, таких как атака программы-вымогателя Ryuk, и был нацелен на правительственные учреждения и организации здравоохранения, а также на частных лиц и малый бизнес.
Для борьбы с этим вредоносным ПО организациям необходимо внедрить комбинацию межсетевого экрана следующего поколения (NGFW), решений безопасности для управления информацией и событиями (SIEM) и EDR, а также передовые методы обеспечения безопасности на каждом уровне своей инфраструктуры.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
GuLoader — это вредоносный загрузчик, используемый для распространения других вредоносных программ, таких как программы-вымогатели и банковские трояны, которые используются для уклонения от обнаружения.
Обычно он распространяется посредством фишинговых кампаний или загрузок из машины.
Он использует упаковку и шифрование, а также законные веб-сайты и службы в качестве серверов управления и контроля (C2), чтобы оставаться незамеченным.
Он использует передовые методы защиты от отладки и анализа, чтобы затруднить обратный инжиниринг и анализ.
Он успешно использовался в громких атаках, таких как атака программы-вымогателя Ryuk, и был нацелен на правительственные учреждения и организации здравоохранения, а также на частных лиц и малый бизнес.
Для борьбы с этим вредоносным ПО организациям необходимо внедрить комбинацию межсетевого экрана следующего поколения (NGFW), решений безопасности для управления информацией и событиями (SIEM) и EDR, а также передовые методы обеспечения безопасности на каждом уровне своей инфраструктуры.
CTT Report Hub
#ParsedReport 15-02-2023 GuLoader a highly effective and versatile malware that can evade detection https://cybersecurity.att.com/blogs/security-essentials/guloader-a-highly-effective-and-versatile-malware-that-can-evade-detection Threats: Cloudeye Pro…
chatgpt_summary_eng.txt
2.7 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
5.3 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes
https://asec.ahnlab.com/en/47739
Threats:
Lockbit
Trojan/win.generic.r553808
Ransomware/mdp.command.m1751
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 3
Command: 1
Hash: 2
Softs:
bcdedit
15-02-2023
Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes
https://asec.ahnlab.com/en/47739
Threats:
Lockbit
Trojan/win.generic.r553808
Ransomware/mdp.command.m1751
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 3
Command: 1
Hash: 2
Softs:
bcdedit
ASEC BLOG
Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes - ASEC BLOG
The ASEC analysis team has identified that Lockbit 2.0 is being distributed in a MalPE format instead of the NSIS format which the team had introduced it with previously. The MalPE format is a type of packing method that disrupts the analysis of the actual…
CTT Report Hub
#ParsedReport 15-02-2023 Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes https://asec.ahnlab.com/en/47739 Threats: Lockbit Trojan/win.generic.r553808 Ransomware/mdp.command.m1751 TTPs: Tactics: 1 Technics: 0 IOCs: File: 3 Command:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Lockbit 2.0 — это тип программы-вымогателя, который с января 2021 года распространяется через электронные письма, замаскированные под заявления о приеме на работу.
Он имеет несколько характеристик, которые отличают его от других типов вредоносного программного обеспечения, в том числе измененный значок, напоминающий хангыль, удаление журналов событий и создание примечания о выкупе с именем файла Restore-My-Files.txt.
Компании должны убедиться, что их программное обеспечение для защиты от вредоносных программ обновлено, а пользователи должны принимать дополнительные меры предосторожности при работе с незнакомыми электронными письмами.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Lockbit 2.0 — это тип программы-вымогателя, который с января 2021 года распространяется через электронные письма, замаскированные под заявления о приеме на работу.
Он имеет несколько характеристик, которые отличают его от других типов вредоносного программного обеспечения, в том числе измененный значок, напоминающий хангыль, удаление журналов событий и создание примечания о выкупе с именем файла Restore-My-Files.txt.
Компании должны убедиться, что их программное обеспечение для защиты от вредоносных программ обновлено, а пользователи должны принимать дополнительные меры предосторожности при работе с незнакомыми электронными письмами.
CTT Report Hub
#ParsedReport 15-02-2023 Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes https://asec.ahnlab.com/en/47739 Threats: Lockbit Trojan/win.generic.r553808 Ransomware/mdp.command.m1751 TTPs: Tactics: 1 Technics: 0 IOCs: File: 3 Command:…
chatgpt_summary_eng.txt
1.5 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.1 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator
https://asec.ahnlab.com/en/47789
Threats:
Pybot
Vidar_stealer
Cryptbot_stealer
Redline_stealer
Mirai
Bashlite
Tsunami_botnet
Tcpsynflood_technique
Trojan/lnk.runner
Dropper/win.agent.c5377911
Dropper/win.agent.c5377914
Industry:
Iot
IOCs:
File: 6
Hash: 6
Url: 3
Domain: 1
Softs:
discord, nitro generator, discord nitro generator, pyinstaller, bat2exe, curl
Languages:
python
15-02-2023
PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator
https://asec.ahnlab.com/en/47789
Threats:
Pybot
Vidar_stealer
Cryptbot_stealer
Redline_stealer
Mirai
Bashlite
Tsunami_botnet
Tcpsynflood_technique
Trojan/lnk.runner
Dropper/win.agent.c5377911
Dropper/win.agent.c5377914
Industry:
Iot
IOCs:
File: 6
Hash: 6
Url: 3
Domain: 1
Softs:
discord, nitro generator, discord nitro generator, pyinstaller, bat2exe, curl
Languages:
python
ASEC BLOG
PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator - ASEC BLOG
A major method through which threat actors distribute malware is by uploading them to sites disguised as cracks or illegal software. After a threat actor uploads their malware disguised as a crack or serial keygen for some paid software, users become infected…
CTT Report Hub
#ParsedReport 15-02-2023 PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator https://asec.ahnlab.com/en/47789 Threats: Pybot Vidar_stealer Cryptbot_stealer Redline_stealer Mirai Bashlite Tsunami_botnet Tcpsynflood_technique…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Наиболее важные факты из этого текста:.
Злоумышленники используют взломщики и серийные генераторы ключей для нелегального программного обеспечения как способ распространения вредоносного ПО.
Pybot, вредоносное ПО DDoS Bot с открытым исходным кодом, разработанное с помощью Python, распространяется через эти нелегальные программы.
Вредонос скачивается в виде установщика и запускается под именем азот.exe или ntrg.exe.
Недавно PYbot был обнаружен вместе с нелегальной программой, связанной с платным сервисом Discord под названием Nitro.
Системы пользователей могут использоваться в качестве ботов для выполнения DDoS-атак против определенных целей по команде злоумышленника.
Важно соблюдать осторожность при загрузке программ из неизвестных источников и постоянно обновлять антивирусную защиту, чтобы свести к минимуму риск заражения.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Наиболее важные факты из этого текста:.
Злоумышленники используют взломщики и серийные генераторы ключей для нелегального программного обеспечения как способ распространения вредоносного ПО.
Pybot, вредоносное ПО DDoS Bot с открытым исходным кодом, разработанное с помощью Python, распространяется через эти нелегальные программы.
Вредонос скачивается в виде установщика и запускается под именем азот.exe или ntrg.exe.
Недавно PYbot был обнаружен вместе с нелегальной программой, связанной с платным сервисом Discord под названием Nitro.
Системы пользователей могут использоваться в качестве ботов для выполнения DDoS-атак против определенных целей по команде злоумышленника.
Важно соблюдать осторожность при загрузке программ из неизвестных источников и постоянно обновлять антивирусную защиту, чтобы свести к минимуму риск заражения.
CTT Report Hub
#ParsedReport 15-02-2023 PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator https://asec.ahnlab.com/en/47789 Threats: Pybot Vidar_stealer Cryptbot_stealer Redline_stealer Mirai Bashlite Tsunami_botnet Tcpsynflood_technique…
chatgpt_summary_eng.txt
1.4 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
2.9 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Anti-forensic techniques used by the Lazarus group
https://asec.ahnlab.com/ko/47820
Actors/Campaigns:
Lazarus
Threats:
Steganography_technique
Lazarshell
Lazarloader
Lazardoor
IOCs:
Path: 2
File: 2
Hash: 22
Softs:
windows file system
15-02-2023
Anti-forensic techniques used by the Lazarus group
https://asec.ahnlab.com/ko/47820
Actors/Campaigns:
Lazarus
Threats:
Steganography_technique
Lazarshell
Lazarloader
Lazardoor
IOCs:
Path: 2
File: 2
Hash: 22
Softs:
windows file system
ASEC
라자루스 그룹이 사용한 안티 포렌식 기법 - ASEC
라자루스 그룹이 사용한 안티 포렌식 기법 ASEC
CTT Report Hub
#ParsedReport 15-02-2023 Anti-forensic techniques used by the Lazarus group https://asec.ahnlab.com/ko/47820 Actors/Campaigns: Lazarus Threats: Steganography_technique Lazarshell Lazarloader Lazardoor IOCs: Path: 2 File: 2 Hash: 22 Softs: windows file…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Lazarus Group — это группа вредоносных атак, которая была обнаружена в различных компаниях.
Аналитическая группа ASEC AhnLab следит за группой и связанными с ней тактиками, методами и процедурами (TTP).
Lazarus Group применяет антикриминалистические методы, чтобы избежать обнаружения и сбора доказательств.
Эти методы включают сокрытие данных, стирание артефактов, запутывание следов, манипулирование временем и предотвращение восстановления данных.
Группа Lazarus скрывает свой вредоносный код в системных папках, маскирует их под обычные файлы и манипулирует информацией о времени, чтобы помешать анализу временной шкалы.
Важно сохранять бдительность в отношении этих групп, чтобы защитить наши системы от атак.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Lazarus Group — это группа вредоносных атак, которая была обнаружена в различных компаниях.
Аналитическая группа ASEC AhnLab следит за группой и связанными с ней тактиками, методами и процедурами (TTP).
Lazarus Group применяет антикриминалистические методы, чтобы избежать обнаружения и сбора доказательств.
Эти методы включают сокрытие данных, стирание артефактов, запутывание следов, манипулирование временем и предотвращение восстановления данных.
Группа Lazarus скрывает свой вредоносный код в системных папках, маскирует их под обычные файлы и манипулирует информацией о времени, чтобы помешать анализу временной шкалы.
Важно сохранять бдительность в отношении этих групп, чтобы защитить наши системы от атак.
CTT Report Hub
#ParsedReport 15-02-2023 Anti-forensic techniques used by the Lazarus group https://asec.ahnlab.com/ko/47820 Actors/Campaigns: Lazarus Threats: Steganography_technique Lazarshell Lazarloader Lazardoor IOCs: Path: 2 File: 2 Hash: 22 Softs: windows file…
chatgpt_summary_eng.txt
2.3 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
4.4 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Dont Sleep on the New ProxyShellMiner Campaign
https://blog.morphisec.com/proxyshellminer-campaign
Threats:
Proxyshell_vuln
Xmrig_miner
Confuser
CVEs:
CVE-2021-31207 [Vulners]
CVSS V2: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34473 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34523 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
IOCs:
File: 12
Url: 1
Path: 2
Domain: 4
Hash: 70
Softs:
task scheduler, windows firewall
Algorithms:
xor
15-02-2023
Dont Sleep on the New ProxyShellMiner Campaign
https://blog.morphisec.com/proxyshellminer-campaign
Threats:
Proxyshell_vuln
Xmrig_miner
Confuser
CVEs:
CVE-2021-31207 [Vulners]
CVSS V2: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34473 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34523 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
IOCs:
File: 12
Url: 1
Path: 2
Domain: 4
Hash: 70
Softs:
task scheduler, windows firewall
Algorithms:
xor
Morphisec
ProxyShellMiner Campaign Creating Dangerous Backdoors
A new ProxyShellMiner campaign is compromising a range of Windows endpoints, leaving them vulnerable not just to crypto mining, but ransomware too.
CTT Report Hub
#ParsedReport 15-02-2023 Dont Sleep on the New ProxyShellMiner Campaign https://blog.morphisec.com/proxyshellminer-campaign Threats: Proxyshell_vuln Xmrig_miner Confuser CVEs: CVE-2021-31207 [Vulners] CVSS V2: 6.5, Vulners: Exploitation: True…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Компания Morphisec выявила кампанию вредоносных программ с высокой степенью уклонения, доставляющую ProxyShellMiner на конечные точки Windows.
Это вредоносное ПО использует уязвимости ProxyShell CVE-2021-34473 и CVE-2021-34523 на серверах Windows Exchange для получения первоначального доступа и компрометации организации.
Вредоносная программа использует папку NETLOGON контроллера домена, чтобы обеспечить запуск майнера во всем домене.
Добыча криптовалюты в сети организации может привести к снижению производительности системы, повышенному энергопотреблению и перегреву оборудования.
Вредоносная программа использует параметры командной строки, законные, скомпрометированные почтовые серверы и запланированные задачи для обеспечения устойчивости.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Компания Morphisec выявила кампанию вредоносных программ с высокой степенью уклонения, доставляющую ProxyShellMiner на конечные точки Windows.
Это вредоносное ПО использует уязвимости ProxyShell CVE-2021-34473 и CVE-2021-34523 на серверах Windows Exchange для получения первоначального доступа и компрометации организации.
Вредоносная программа использует папку NETLOGON контроллера домена, чтобы обеспечить запуск майнера во всем домене.
Добыча криптовалюты в сети организации может привести к снижению производительности системы, повышенному энергопотреблению и перегреву оборудования.
Вредоносная программа использует параметры командной строки, законные, скомпрометированные почтовые серверы и запланированные задачи для обеспечения устойчивости.
CTT Report Hub
#ParsedReport 15-02-2023 Dont Sleep on the New ProxyShellMiner Campaign https://blog.morphisec.com/proxyshellminer-campaign Threats: Proxyshell_vuln Xmrig_miner Confuser CVEs: CVE-2021-31207 [Vulners] CVSS V2: 6.5, Vulners: Exploitation: True…
chatgpt_summary_eng.txt
2.9 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
5.7 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
8220 Gang Continues to Evolve With Each New Campaign
https://sysdig.com/blog/8220-gang-continues-to-evolve
Actors/Campaigns:
8220_gang (motivation: script_kiddie)
Teamtnt
Threats:
Whatminer
Xmrig_miner
Pwnrig_botnet
Tsunami_botnet
Purecryptor
Masscan_tool
TTPs:
Tactics: 4
Technics: 0
IOCs:
IP: 6
File: 1
Hash: 14
Softs:
redis, docker, discord
Algorithms:
base64
Win Services:
sysdown
Languages:
perl, python
15-02-2023
8220 Gang Continues to Evolve With Each New Campaign
https://sysdig.com/blog/8220-gang-continues-to-evolve
Actors/Campaigns:
8220_gang (motivation: script_kiddie)
Teamtnt
Threats:
Whatminer
Xmrig_miner
Pwnrig_botnet
Tsunami_botnet
Purecryptor
Masscan_tool
TTPs:
Tactics: 4
Technics: 0
IOCs:
IP: 6
File: 1
Hash: 14
Softs:
redis, docker, discord
Algorithms:
base64
Win Services:
sysdown
Languages:
perl, python
Sysdig
8220 Gang Continues to Evolve With Each New Campaign
8220 Gang is a group of low-level script kiddies known for their original use of port 8220 for C2 network communications back in 2017.
CTT Report Hub
#ParsedReport 15-02-2023 8220 Gang Continues to Evolve With Each New Campaign https://sysdig.com/blog/8220-gang-continues-to-evolve Actors/Campaigns: 8220_gang (motivation: script_kiddie) Teamtnt Threats: Whatminer Xmrig_miner Pwnrig_botnet Tsunami_botnet…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Банда 8220 — печально известная группа низкоуровневых сценаристов.
Было замечено, что они крадут инструменты у TeamTNT, Rocke Group и WatchDog.
Было замечено, что они используют неправильно настроенные и уязвимые общедоступные хосты.
Для своего обнаружения они используют веб-серверы Masscan, Spirit, Oracle Weblogic и Apache.
Они используют сценарии оболочки, cron для постоянства и чередуют домены и IP-адреса.
Они используют тактику уклонения от защиты, такую как использование bash -sh для стирания своих шагов и использование скрипта Python в кодировке base64 для сбора своего набора инструментов.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Банда 8220 — печально известная группа низкоуровневых сценаристов.
Было замечено, что они крадут инструменты у TeamTNT, Rocke Group и WatchDog.
Было замечено, что они используют неправильно настроенные и уязвимые общедоступные хосты.
Для своего обнаружения они используют веб-серверы Masscan, Spirit, Oracle Weblogic и Apache.
Они используют сценарии оболочки, cron для постоянства и чередуют домены и IP-адреса.
Они используют тактику уклонения от защиты, такую как использование bash -sh для стирания своих шагов и использование скрипта Python в кодировке base64 для сбора своего набора инструментов.