#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последние годы количество атак на программы-вымогатели растет, и злоумышленники используют RDP в качестве вектора атаки. RDP расшифровывается как Remote Desktop Protocol и представляет собой протокол, позволяющий пользователям подключаться с одного компьютера к другому через сетевое соединение. Злоумышленники используют RDP для сканирования систем с внешним доступом и получения информации об учетной записи. С помощью этой информации они могут удаленно войти в систему и выполнить вредоносные действия.

Недавняя атака с использованием GlobeImposter ransomware также использовала RDP в качестве вектора атаки. Вредоносный код был создан процессом explorer, explorer.exe. Было установлено, что те же адреса электронной почты и onion-адреса, которые использовались в записке о выкупе GlobeImposter, включены в список, используемый группой атаки MedusaLocker. Это указывает на то, что в некоторых случаях GlobeImposter и MedusaLocker использовались вместе.

Было установлено, что злоумышленники MedusaLocker в первую очередь атакуют системы с неправильным управлением RDP. Они устанавливают на зараженную систему различные вредоносные коды, такие как сканеры и инструменты для кражи учетной информации. Затем они сканируют сеть, включая зараженную систему, чтобы выяснить, является ли она частью определенной сети. Если это так, они могут осуществить латеральное перемещение для шифрования других систем в сети. Помимо программ-вымогателей, злоумышленники иногда устанавливают на зараженную систему майнеры монет XMRig.

Для защиты от подобных атак пользователям следует отключить RDP, если они его не используют. Если пользователь использует RDP, то необходимо использовать сложные пароли и периодически менять их для предотвращения атак методом перебора и по словарю. Кроме того, обязательно обновите V3 до последней версии, чтобы блокировать заражение вредоносным кодом.

#ParsedReport
28-02-2023

Blackfly: Espionage Group Targets Materials Technology

https://symantec-enterprise-blogs.security.com/threat-intelligence/blackfly-espionage-materials

Actors/Campaigns:
Axiom (motivation: cyber_espionage)

Threats:
Credential_dumping_technique
Screen_shotting_technique
Process_hollowing_technique
Mimikatz_tool
Plugx_rat
Shadowpad

Industry:
Healthcare, Telco, Entertainment, Foodtech, Financial

Geo:
Asian, Asia, Chinese, China

IOCs:
File: 6
Hash: 18
Path: 3

Links:
https://github.com/D4stiny/ForkPlayground
https://github.com/gentilkiwi/mimikatz

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Blackfly - одна из старейших и наиболее активных китайских группировок, действующих на основе современных постоянных угроз (APT), по крайней мере, с 2010 года. Она атаковала широкий спектр секторов, включая игровой, полупроводниковый, телекоммуникационный, производство материалов, фармацевтику, СМИ и рекламу, гостиничный бизнес, природные ресурсы, финтех и продукты питания. Атаки группы отличаются использованием семейств вредоносных программ PlugX/Fast (Backdoor.Korplug), Winnti/Pasteboy (Backdoor.Winnti) и Shadowpad (Backdoor.Shadowpad).

Недавно Blackfly обвинили в атаке на две дочерние компании азиатского конгломерата в секторе материалов и композитов, что наводит на мысль о том, что группа может пытаться украсть интеллектуальную собственность. По мнению исследователей безопасности, в ходе атаки использовалось несколько сложных инструментов, таких как руткит-драйвер, известный как Backdoor.Winnkit, инструмент для сброса учетных данных, инструмент для создания скриншотов, инструмент для отслеживания процессов, инструмент SQL-клиента и инструмент для настройки прокси. Группа также использовала общедоступные инструменты, такие как Mimikatz и ForkPlayground.

Несмотря на то, что в США против Blackfly было выдвинуто обвинение, она продолжает совершать нападения, не обращая внимания на огласку, которой подверглась группа. Хотя первоначально она сделала себе имя, атакуя игровой сектор, в настоящее время группа, похоже, сосредоточена на атаках на интеллектуальную собственность в различных секторах.

Blackfly - это очень сложная китайская группа передовых постоянных угроз (APT) с длинной историей успешных кибератак. С годами она сместила акцент с игр на кражу интеллектуальной собственности в различных отраслях. В последние месяцы она была связана с атаками на две дочерние компании азиатского конгломерата в секторе материалов и композитов. В ходе атаки использовалось несколько сложных инструментов и общедоступных программ. Несмотря на то, что против Blackfly было выдвинуто обвинение в США, она продолжает активную деятельность и не ослабевает от внимания к ней. Это подчеркивает необходимость для организаций сохранять бдительность и обеспечивать надежные меры безопасности для обнаружения и реагирования на угрозы, исходящие от этой высококвалифицированной APT-группы.

Большое спасибо за ваше мнение!
Опрос закрываю.

Есть пара идей как еще улучшить перевод и само саммари. Будем еще подкручивать.

#ParsedReport
01-03-2023

. Active hoze mining Trojan analysis

https://www.antiy.cn/research/notice&report/research_report/20230228.html

Threats:
Beacon
Xmrig_miner

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 4
Url: 7
IP: 6
Coin: 1
Hash: 6

Softs:
curl

Algorithms:
rc4, base64

Platforms:
intel, arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Antiy CERT обанружили несколько майнеров, нацеленных на платформы Linux. Эти троянцы используют перебор слабых паролей SSH для получения доступа, инструмент shc для преобразования сценариев Shell в двоичные исполняемые файлы и алгоритм шифрования RC4 для повышения сложности обнаружения антивирусным ПО. Троян для майнинга hoze обладает вычислительной мощностью 1,5 MH/s и принес прибыль в размере 35 монет Monero.

Процесс запуска этих троянов включает несколько этапов, как показано на карте ATT&CK компании Antiy, соответствующей данному событию атаки. Начальный сценарий атаки использует технологию обфускации против обнаружения и изменяет атрибуты файлов, таких как файлы запланированных задач. Он также удаляет файлы, которые другие майнинговые троянцы часто резервируют или модифицируют в системе. После расшифровки init0 скрипт проверяет, установлен ли в системе инструмент загрузки, такой как curl, если нет, вводит команду для его установки. Сценарий uninstall.sh используется для удаления программ безопасности, а сценарий secure создает программу запланированных задач для текущего пользователя и системы. Наконец, сценарий проверяет, запущен ли майнер, и если нет, загружает майнер.

В заключение можно сказать, что троян для майнинга - это вредоносная атака, направленная на системы Linux через слабые пароли SSH. Он обладает вычислительной мощностью 1,5 MH/s, принес 35 монет Monero, и его трудно обнаружить из-за использования алгоритма шифрования RC4.

#ParsedReport
01-03-2023

Linking and tracking UAC-0056 tooling through code reuse analysis

https://threatray.com/blog/linking-and-tracking-uac-0056-tooling-through-code-reuse-analysis

Actors/Campaigns:
Unc2589
Ember_bear

Threats:
Elephant_stealer
Elephant_implant
Elephant_loader
Elephant_dropper
Graphsteel
Grimplant
Graphiron

IOCs:
File: 1
Hash: 6

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавние отчеты от Malwarebytes (22 апреля) и Mandiant (22 июля) выявили использование цепочки инструментов Elephant от UAC-0056 (также известного как Nodaria, SaintBear, TA471). Эта цепочка состоит из Elephant Stealer (GraphSteel), Elephant Implant (GrimPlant), Elephant Downloader и Elephant Dropper, написанных на языке программирования Go. Компания Symantec недавно сообщила о новом инструментарии Graphiron из UAC-0056. Graphiron - это двухэтапный инструментарий, состоящий из загрузчика (Downloader.Graphiron) и полезной нагрузки (Infostealer.Graphiron).

Для изучения сходства между последним инструментарием Graphiron и предыдущим инструментарием Elephant был проведен анализ сходства кода с помощью системы поиска кода. Система поиска кода может определять повторное использование кода на уровне функций в наборах образцов, а также осуществлять ретро-поиск функций в миллионах образцов вредоносного ПО. После анализа семейств Elephant и Graphiron было обнаружено, что все они имеют схожую процедуру расшифровки строк. Ретро-поиск этой общей процедуры расшифровки строк дал совпадения только в образцах из этих семейств, что позволяет предположить, что процедура расшифровки строк уникальна для UAC-0056 и полезна для отслеживания и связывания атак.

В целом, недавняя деятельность и инструментарий UAC-0056 были выявлены благодаря отчетам Malwarebytes, Mandiant и Symantec. Эти наборы инструментов, Elephant и Graphiron, имеют общую процедуру расшифровки строк, которая может быть использована для отслеживания и связывания атак UAC-0056. Для дальнейшего изучения сходства между двумя семействами был проведен анализ сходства кода, который подтвердил существование общей процедуры расшифровки строк и ее потенциальную полезность.

#ParsedReport
01-03-2023

Hunting for Honkbox \| Multistage macOS Cryptominer May Still Be Hiding

https://www.sentinelone.com/blog/hunting-for-honkbox-multistage-macos-cryptominer-may-still-be-hiding

Threats:
Honkbox
Xmrig_miner

IOCs:
Hash: 94

Softs:
macos, photoshop

Algorithms:
base64

Functions:
system

Platforms:
arm, apple

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

На прошлой неделе компания Apple выпустила обновление для своей внутренней службы блокировки файлов вредоносных программ XProtect, основанной на технологии YARA. Обновление добавило три сигнатуры для угрозы под названием Honkbox - криптоминера, характеризующегося использованием XMRig и Invisible Internet Project (I2P). Honkbox распространяется на PirateBay во взломанных приложениях уже не менее трех лет и является первой известной вредоносной программой для macOS, использующей I2P. Он обошел встроенные механизмы безопасности компании Apples, и некоторые его варианты остаются неизвестными для репутационных систем VirusTotal.

Honkbox - это активная угроза с множеством компонентов, некоторые из которых ранее не были задокументированы. Он состоит из трех вариантов, Honkbox_A, Honkbox_B и Honkbox_C. Honkbox_A подбрасывается как файл списка свойств в папку LaunchDaemons, а Honkbox_B и C маскируются под легитимные процессы mdworker_shared или mdworker_watchd и mdworker_local соответственно.

Вредоносная программа содержит несколько методов уклонения от обнаружения, включая отслеживание запуска Activity Monitor и уничтожение всех своих процессов и выход из программы в случае обнаружения. Вредоносная программа также содержит жестко закодированные URL, связанные с I2P, которые встречаются только в Honkbox_A, и тысячи 2044-байтовых base64-кодированных _строк в Honkbox_B и C. Понимание поведения Honkbox при исполнении относительно просто для аналитика, поскольку оно в основном изложено в виде обычных текстовых строк в самих двоичных файлах.

SentinelOne Singularity обнаруживает и защищает от всех известных вариантов Honkbox. Группам безопасности рекомендуется ознакомиться с приведенными ниже индикаторами, чтобы защитить свои системы от этой угрозы. Для получения дополнительной информации о том, как SentinelOne может помочь защитить ваш парк macOS, свяжитесь с нами или запросите демонстрацию.

Honkbox - это новая часть вредоносного ПО для macOS, которое было успешным и относительно незаметным в течение нескольких лет. Он использует множество методов уклонения от обнаружения, таких как маскировка под легитимные процессы, мониторинг активности и использование I2P. Авторы не обращали внимания на обфускацию или препятствование статическому анализу исследователей, но это может измениться в свете недавнего интереса. Команды безопасности должны изучить индикаторы, чтобы убедиться, что их системы защищены от Honkbox, и рассмотреть возможность использования решения Singularity от SentinelOne для комплексной защиты.

#ParsedReport
01-03-2023

Multi-Year Spearphishing Campaign Targets the Maritime Industry Likely for Financial Gain

https://blog.eclecticiq.com/multi-year-spearphishing-campaign-targets-the-maritime-industry-likely-for-financial-gain

Actors/Campaigns:
Bec (motivation: financially_motivated)

Threats:
Agent_tesla
Formbook
Velvetsweatshop_technique
Lokibot_stealer
Process_injection_technique

Industry:
Transport, Maritime, Financial

Geo:
Norway

CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-0199 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:

IOCs:
IP: 1
Email: 1
Domain: 4
Url: 17
File: 2

Softs:
microsoft office word

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа разведки и исследований EclecticIQ недавно обнаружила единый кластер угроз, нацеленный на морскую отрасль в рамках многолетней кампании. Начиная с октября 2020 года, группа использует спирфишинговые электронные письма для распространения вредоносных программ Agent Tesla и Formbook. В сообщениях часто используются реальные названия морских судов в теме письма и в тексте, а также специфическая для судоходства терминология, например VSL (переменное ограничение скорости). Все это делается для того, чтобы придать письмам более достоверный вид и обманом заставить ничего не подозревающих жертв нажать на вредоносные вложения.

29 июля 2022 года кампания перешла от распространения Agent Tesla с помощью вложений CAB-файлов к распространению Formbook. Письма были отправлены с одного и того же адреса IPv4 (173[.44.40.60) и одного и того же адреса электронной почты для ответа (fredyanni101[@]gmail.com). Для распространения Formbook использовались четыре различных способа доставки, каждый из которых включал в себя вложенный документ Microsoft Office или RAR-файл, причем последний содержал собственно исполняемый файл Formbook. Все документы были зашифрованы паролем VelvetSweatshop.

Аналитики считают, что кампания, скорее всего, имеет финансовую подоплеку. Использование товарных RAT показывает, что целью кампании является сбор конфиденциальной информации, такой как учетные данные, токены сессий и списки электронной почты. Эта информация может быть использована для будущих атак Business Email Compromise (BEC) или продана для предоставления начального доступа другим операторам.

В связи с большим количеством коммуникаций, происходящих в морской отрасли, а также частыми обвинениями, которые происходят, вероятно, в долгосрочной перспективе она будет продолжать становиться мишенью для более убедительных копьеносцев. Легкая доступность информации о реальных перевозках в Интернете делает использование этих данных в электронных письмах простым и привлекательным для групп вымогателей. Морские компании должны сосредоточиться на обучении своих пользователей распознавать фишинговые приманки, чтобы снизить вероятность стать жертвой подобных кампаний.

#ParsedReport
01-03-2023

Ransomware Attack on IL&FS

https://blog.cyble.com/2023/03/01/ransomware-attack-on-ilfs

Threats:
Lockbit
Quantum_locker
Conti

Industry:
Government, Financial, Healthcare

Geo:
Indian, France, India

IOCs:
Hash: 4

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

28 февраля 2023 года индийская инвестиционная компания Infrastructure Leasing & Financial Services Limited (IL&FS) была скомпрометирована группой LOCKBIT ransomware. Группа утверждала, что получила доступ к огромному количеству данных, содержащих контракты, личные данные, паспорта, почтовую корреспонденцию и финансовые документы, которые они угрожали удалить с серверов и публично разгласить в рамках своей техники вымогательства. Это четвертая итерация вымогательской программы LOCKBIT, получившая название LOCKBIT Green. Она была создана на основе исходного кода программы Conti ransomware.

С декабря 2022 года группа LOCKBIT значительно активизировала свою деятельность, нацелившись на организации в США, Великобритании и Франции. Их основными целями являются организации в сфере услуг, за которыми следуют здравоохранение, BFSI и правительственные организации. Cyble Research & Intelligence Labs (CRIL) проанализировала 12 образцов утечки данных, полученных в результате атаки на IL&FS, включая конфиденциальные меморандумы о взаимопонимании, изображения паспортов, трехсторонние соглашения, декларации о доходах, аудиторские отчеты, документы об ипотеке и соглашения об оказании услуг по эксплуатации и управлению.

#ParsedReport
28-02-2023

CrowdStrike Uncovers I2Pminer MacOS Mineware Variant

https://www.crowdstrike.com/blog/i2pminer-macos-mineware-analysis

Threats:
I2pminer
Xmrig_miner

TTPs:
Tactics: 5
Technics: 6

IOCs:
Hash: 4
IP: 1
Url: 3

Softs:
macos, curl, unix

Algorithms:
base64

Platforms:
arm, apple

Links:
https://github.com/PurpleI2P/i2pd

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания CrowdStrike недавно выявила вредоносную кампанию по добыче криптовалюты, нацеленную на пользователей macOS. Дроппер, который маскировался под легитимные приложения, такие как Logic Pro X, Final Cut Pro, Traktor или различные продукты Adobe Creative Suite, содержал легитимную версию приложения и инструментарий I2P. I2P - это анонимный сетевой уровень, который обеспечивает сквозное шифрование для пользователей. Дроппер также выполнял сценарий, который загружал и настраивал пользовательское программное обеспечение майнера XMRig, позволяя ему туннелировать трафик в сеть I2P и начинать операции по добыче.

#ParsedReport
01-03-2023

Can You See It Now? An Emerging LockBit Campaign

https://www.fortinet.com/blog/threat-research/emerging-lockbit-campaign

Threats:
Lockbit
Uac_bypass_technique
Motw_bypass_technique

Geo:
Mexican, Spanish

TTPs:
Tactics: 4
Technics: 13

IOCs:
File: 4
Hash: 15
Domain: 1
IP: 2
Url: 4

Softs:
sysinternals, bcdedit, winlogon, windows explorer, windows service

Languages:
python, visual_basic

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатории FortiGuard Labs недавно обнаружили новую тревожную кампанию по борьбе с вымогательским ПО LockBit, которое активно с 2019 года. LockBit - это особо опасная форма вымогательского ПО, которая уже успешно атаковала различные отрасли, включая критическую инфраструктуру. Атака начинается с контейнера .img, который используется для обхода механизма защиты Mark of The Web (MOTW). Затем применяется техника социальной инженерии, при которой только один файл виден пользователю при монтировании контейнера, а остальные файлы скрыты от глаз. В некоторых случаях сценарии Python используются для выполнения сценариев BAT, которые затем могут быть использованы для извлечения полезной нагрузки LockBit ransomware из защищенного паролем архива.

Злоумышленники, стоящие за этой кампанией, продемонстрировали творческое и широкое использование подписанных, легитимных исполняемых файлов. Сюда входит монтирование файлов .img с помощью Windows Explorer, выполнение сценария Python с помощью подписанного интерпретатора, извлечение зашифрованных архивов с помощью 7-zip и автоматический вход в систему с помощью Sysinternals Autologon. Полагаясь на эти проверенные инструменты, авторы вредоносного ПО снижают затраты на разработку, избегая при этом обнаружения средствами РЭБ.

Похоже, что группа LockBit или ее филиалы нацелены на испаноязычных жертв, поскольку все замеченные образцы были направлены на мексиканские или испанские фирмы, в основном в консалтинговом и юридическом секторах. Такая уклончивость свидетельствует о том, что киберпреступники продолжают использовать все более туманные методы, чтобы избежать обнаружения. Стоит отметить, что многие полезные нагрузки, использованные в этой кампании, могут быть связаны с утечкой билдера LockBit в конце 2022 года, что затрудняет однозначное отнесение атаки к одной группе.

#ParsedReport
01-03-2023

Iron Tigers SysUpdate Reappears, Adds Linux Targeting

https://www.trendmicro.com/en_us/research/23/c/iron-tiger-sysupdate-adds-linux-targeting.html

Actors/Campaigns:
Emissary_panda (motivation: information_theft, cyber_espionage)
Drbcontrol

Threats:
Sysupdate
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
Rshell
Vmprotect_tool
Redline_stealer
Hyperbro
Trojanspy.win32.predatorthief.a

Industry:
Government, Retail, Financial, Healthcare, Energy, Entertainment

Geo:
Taiwan, German, China, Philippines, Chinese, French, Mongolian, Asia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 25
IP: 1
Hash: 29

Softs:
mac os, chrome

Algorithms:
cbc, base32, des, shikata_ga_nai

Win API:
GetNetworkParams