#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что вариант Mirai IZ1H9 представляет собой значительную угрозу для IoT-устройств и использует четыре уязвимости для своего распространения.
-----

Исследователи Unit 42 наблюдали многочисленные кампании с использованием варианта Mirai IZ1H9 с ноября 2021 года. Этот вариант использует четыре уязвимости для своего распространения и доступа к уязвимым устройствам с целью создания ботнета. Это уязвимости CVE-2023-27076, CVE-2023-26801, CVE-2023-26802 и эксплойт компонента маршрутизатора Zyxel. 10 апреля 2023 года исследователи Unit 42 заметили аномальный трафик в своей системе поиска угроз, который пытался загрузить и выполнить загрузчик сценариев оболочки. Было установлено, что вредоносный трафик является частью кампании IZ1H9.

Программа загрузки сценариев оболочки сначала удаляет журналы, чтобы скрыть свои следы, а затем загружает клиентов ботнета в зависимости от архитектуры Linux. Затем он блокировал сетевое соединение с нескольких портов, включая SSH, telnet и HTTP. Это делалось путем изменения правил iptable устройства, чтобы жертва не смогла подключиться и восстановить взломанное устройство удаленно. Были обнаружены два URL-адреса, на которых размещались программы загрузки сценариев оболочки.

Клиент ботнета IZ1H9 дает о себе знать, выводя на консоль слово "Darknet", а также содержит функцию, которая гарантирует, что на устройстве запущен только один экземпляр этой вредоносной программы. Кроме того, он имеет список имен процессов, принадлежащих другим вариантам Mirai и другим семействам вредоносных программ ботнета, которые он проверяет, чтобы завершить их в случае обнаружения. Он пытается подключиться к жестко заданному адресу C2, а для строк конфигурации использует таблицу зашифрованных строк с ключом 0xBAADF00D. Для каналов SSH и telnet он имеет секцию данных со встроенными учетными данными по умолчанию для целей сканирования и перебора, зашифрованными 1-байтовым XOR-ключом 0x54.

Что касается методов атаки, то вариант IZ1H9 настроен на проведение DDoS-атак, что делает его значительной угрозой для IoT-устройств.

#ParsedReport #CompletenessMedium
26-05-2023

Executive summary. The Dark Frost Enigma: An Unexpectedly Prevalent Botnet Author Profile

https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile

Report completeness: Medium

Actors/Campaigns:
Ddos-for-hire
Plutonium

Threats:
Dark_frost_botnet
Enigma
Bashlite
Qakbot
Mirai
Udpflood_technique
Darkness_botnet
Lizar

Victims:
Companies and individuals in the gaming industry, including gaming companies, game server hosting providers, online streamers, and members of the gaming community

Industry:
Entertainment, Financial, Iot

Geo:
German, Dutch, Polish

ChatGPT TTPs:
do not use without manual check
T1190, T1064, T1136, T1060, T1095, T1497

IOCs:
Hash: 5
IP: 2

Softs:
hadoop, discord

Platforms:
arm, x86

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что ботнет Dark Frost - это новый ботнет, нацеленный на игровую индустрию, созданный с использованием украденного кода из нескольких популярных семейств вредоносных программ. Он разросся до сотен взломанных устройств, а создатель угрозы хвастался своими эксплойтами в социальных сетях. Команда Akamai Security Intelligence Response Team отслеживает подобные угрозы и оповещает сообщество о том, что они заметили, а пользователи должны убедиться, что их системы правильно настроены и защищены для защиты от подобных угроз.
-----

Ботнет Dark Frost - это новый ботнет, нацеленный на игровую индустрию. Он создан по образцу других штаммов вредоносного ПО, таких как Gafgyt, Qbot и Mirai, и разросся до сотен скомпрометированных устройств с оценочным потенциалом атаки в 629,28 Гбит/с с использованием UDP-флуда. Ботнет был создан с использованием украденного кода из множества популярных семейств вредоносных программ, а организаторы угроз, стоящие за ним, хвастались своими эксплойтами в социальных сетях. Ботнет Dark Frost в первую очередь атаковал различные игровые компании, провайдеров хостинга игровых серверов, онлайн-стримеров и других представителей игрового сообщества.

Анализ бинарного образца Dark Frost выявил в ботнете 414 устройств, в основном на архитектуре ARMv4, следующие два наиболее распространенных - MIPSEL и x86. Злоумышленники взяли большую часть своего кода из общедоступных источников на GitHub и успешно вывели из строя ряд онлайн-сервисов.

Угрожающий субъект, ответственный за ботнет Dark Frost, является относительно неискушенным, но успешным, что подчеркивает легкость совершения такого рода преступлений. Очень важно распознавать низкоуровневых субъектов на начальном этапе, пока они не переросли в серьезные угрозы, поскольку последствия их действий могут быть значительными. Группа разведки безопасности Akamai отслеживает подобные угрозы и оповещает сообщество о том, что они замечают. Чтобы защититься от таких угроз, пользователи должны убедиться, что их системы правильно настроены и защищены.

Приятно, когда ты тоже научился выявлять и отслеживать тренды, так как это делают "большие дяди".
https://t.me/aptreports/3920

Еще одна интересная тенденция.
Тренды строятся только по данным, полученным из twitter, отчетов и online-песка

hmmm

Hello.

This is a message to the many up and coming ransomware groups we see.

STOP. USING. BABUK.

It is buggy. It fails decrypting large files and other edge cases. If you're going to be a criminal group, do it correctly. Your victims won't be able to recover files, dumbie.

#ParsedReport #CompletenessLow
28-05-2023

Threat Brief: Attacks on Critical Infrastructure Attributed to Volt Typhoon

https://unit42.paloaltonetworks.com/volt-typhoon-threat-brief

Report completeness: Low

Threats:
Earthworm_tool
Impacket_tool
Portproxy_tool
Ntdsutil_tool

Industry:
Transport, Maritime, Education, Government

Geo:
Japanese, Apac, Japan, China, Guam, America, Emea

IOCs:
File: 6
Registry: 1
Hash: 29

#ParsedReport #CompletenessLow
29-05-2023

DogeRAT: The Android Malware Campaign Targeting Users Across Multiple Industries. Overview of the Campaign

https://cloudsek.com/blog/dogerat-the-android-malware-campaign-targeting-users-across-multiple-industries

Report completeness: Low

Threats:
Sms_stealer

Industry:
Entertainment, Financial

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1486, T1547, T1566, T1119, T1113, T1056, T1573, T1036, T1082

IOCs:
File: 1
Hash: 56

Softs:
android, telegram, opera, chatgpt, instagram

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавнее обнаружение вредоносной программы DogeRAT для Android с открытым исходным кодом служит напоминанием о финансовой мотивации, заставляющей мошенников постоянно совершенствовать свою тактику, и подчеркивает необходимость повышения бдительности при обеспечении безопасности в Интернете. Важно принимать превентивные меры для защиты наших цифровых активов и оставаться в безопасности в Интернете.
-----

Недавнее обнаружение вредоносной программы DogeRAT (троян удаленного доступа) для Android с открытым исходным кодом подчеркивает необходимость повышения бдительности при обеспечении безопасности в Интернете. Вредоносная программа маскируется под легитимное приложение и распространяется через социальные сети и приложения для обмена сообщениями. Она может похищать контакты, сообщения, банковские реквизиты и получать контроль над устройством жертвы для выполнения вредоносных действий.

DogeRAT создан автором вредоносного ПО и рекламируется в двух Telegram-каналах. На изображении ниже автор RAT предлагает премиум-версию DogeRAT, которая обладает дополнительными возможностями: делает скриншоты, крадет изображения из галереи, работает как кейлоггер, крадет информацию из буфера обмена, а также имеет новый файловый менеджер наряду с большей стойкостью и плавным соединением бота с зараженным устройством. В комплект также входит учебник на GitHub, который поможет злоумышленникам организовать собственную кампанию.

После установки троянец получает множество разрешений, включая, помимо прочего, доступ к журналам вызовов, аудиозаписи, чтению SMS-сообщений, медиафайлов, фотографий и т. д. Для создания видимости легитимности вредоносная программа постоянно отображает URL-адрес целевого объекта в веб-виде внутри приложения, который может быть изменен агентом угрозы, управляющим RAT.

Telegram-бот действует как командно-контрольный пульт для RAT, вступая в коммуникацию с кодом сервера, которым можно манипулировать через бота. При дальнейшем расследовании исследователи CloudSEK обнаружили более тысячи поддельных приложений, предназначенных для атак на приложения Android в различных секторах, включая банковское дело, игры и развлечения.

Эта кампания служит ярким напоминанием о финансовой мотивации, заставляющей мошенников постоянно совершенствовать свою тактику. Они не ограничиваются созданием фишинговых веб-сайтов, но и распространяют модифицированные RAT или переработанные вредоносные приложения для проведения мошеннических кампаний, которые не требуют больших затрат и просты в установке, но приносят высокую прибыль.

Очень важно сохранять бдительность и принимать превентивные меры для защиты наших цифровых активов. Быть внимательным к тому, на какие ссылки мы нажимаем и какие вложения открываем, поддерживать программное обеспечение в актуальном состоянии, использовать решения для обеспечения безопасности, знать признаки мошенничества и получать информацию о вредоносном ПО - все это важные шаги, которые необходимо предпринять, чтобы оставаться в безопасности в Интернете.

#ParsedReport #CompletenessMedium
29-05-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/05/gobrat.html

Report completeness: Medium

Threats:
Upx_tool
Frpc_tool

Victims:
Linux routers

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1566.003, T1219.001, T1059.003

IOCs:
File: 1
Hash: 21
Url: 4
Domain: 3

Softs:
crontab, redis, mysql, postgresql

Algorithms:
aes-128

Languages:
javascript

Platforms:
mips, arm, x86

Links:
https://github.com/JPCERTCC/aa-tools/tree/master/GobRAT-Analysis

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 1, code: 3, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GobRAT - это троян удаленного доступа (RAT), написанный на языке программирования Go, который использовался для заражения Linux-маршрутизаторов в Японии. Важно оставаться в курсе вредоносных угроз и использовать доступный инструмент эмуляции C2 для помощи в анализе GobRAT.
-----

Исследователи кибербезопасности из JPCERT/CC подтвердили атаки, в результате которых маршрутизаторы Linux были заражены вредоносным ПО в Японии примерно в феврале 2023 года. Вредоносное ПО, используемое в этих атаках, известно как GobRAT, троян удаленного доступа (RAT), написанный на языке программирования Go.

Процесс атаки вплоть до выполнения вредоносной программы GobRAT состоит из нескольких этапов, как показано на рисунке 1. Скрипт Loader Script используется в качестве загрузчика, содержащего такие функции, как генерация различных скриптов и загрузка вредоносной программы GobRAT. Этот скрипт также содержит жестко закодированный открытый ключ SSH, который, как предполагается, будет использоваться для бэкдора. Кроме того, этот сценарий использует crontab для регистрации пути к файлу Start Script для сохранения.

GobRAT - это RAT, написанный на языке Go, который связывается со своим C2-сервером через TLS и выполняет различные команды. Он упакован в UPX версии 4 серии, и были подтверждены образцы для различных архитектур, таких как ARM, MIPS, x86 и x86-64. При запуске GobRAT выполняет определенные проверки и сохраняет информацию в самом образце.

GobRAT использует TLS для отправки и получения данных со своим C2-сервером. Он использует gob, протокол сериализации данных, доступный только в языке Go, для получения команд и отправки результатов их выполнения. Строки, такие как команды C2 и Linux, шифруются и хранятся в образце. Для расшифровки строк используется режим AES128 CTR, а ключ и IV жестко закодированы в образце.

GobRAT имеет 22 команды, которые выполняются по командам с сервера C2. Эти команды в основном связаны с коммуникациями, такими как frpc, socks5 и реконфигурация C2. Кроме того, он может получать информацию о машине, выполнять обратный shell, читать/писать файлы, пытаться войти в службы sshd, Telnet, Redis, MySQL и PostgreSQL, запущенные на другой машине.

В последние годы были подтверждены различные типы вредоносных программ, использующих язык Go, и GobRAT является одной из них. Поскольку GobRAT использует gob для связи, если кто-то хочет эмулировать его связь с C2 для проверки команд, ему необходимо создать программу на языке Go. Чтобы помочь в анализе GobRAT, на GitHub доступен инструмент эмуляции C2, который поддерживает анализ GobRAT.

Важно отметить, что вредоносные программы, заражающие маршрутизаторы, не ограничиваясь GobRAT, трудно обнаружить, и они могут представлять серьезную угрозу. Поэтому люди должны сохранять бдительность в отношении этих типов вредоносных угроз и должны обратиться к Приложению B для C2 вредоносной программы, Приложению C для хэш-значения скрипта и Приложению D для хэш-значения вредоносной программы.

#ParsedReport #CompletenessLow
29-05-2023

Mysterious Team Bangladesh Targets Multiple UAE Government Websites with DDoS Attacks Under #OpUAE Campaign. References

https://cloudsek.com/threatintelligence/mysterious-team-bangladesh-targets-multiple-uae-government-websites-with-ddos-attacks-under-opuae-campaign

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: hacktivism)
Dragonforce

Victims:
Multiple uae government websites

Industry:
Energy, Government, Financial, Healthcare

Geo:
Indian, Bangladesh

TTPs:
Tactics: 1
Technics: 0

Softs:
telegram

Algorithms:
exhibit

Languages:
python, golang

Links:
https://github.com/Tmpertor/Raven-Storm
https://github.com/grafov/hulk
https://github.com/XCHADXFAQ77X/XERXES

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Платформа цифровых рисков XVigil AI компании CloudSEK обнаружила сообщение, в котором утверждалось, что на несколько правительственных сайтов ОАЭ была проведена DDoS-атака, вероятно, хактивистскими группами из-за политической озабоченности конфликтом в Судане. Атака, вероятно, была проведена с помощью HTTP Flooding и DDoS-скриптов, которые могут нанести серьезный ущерб инфраструктуре сайта.
-----

20 мая 2023 года платформа цифровых рисков XVigil AI компании CloudSEK обнаружила сообщение, сделанное хактивистской группой Mysterious Team Bangladesh, в котором утверждалось, что она провела DDoS-атаку на несколько правительственных сайтов ОАЭ. Вместе с постом было выложено доказательство в виде ссылки на сайт Check-host.net, который в режиме реального времени предоставляет информацию о доступности и работоспособности домена или IP-адреса.

Anonymous Sudan и другие хактивистские группы атаковали ОАЭ в связи с политическими проблемами, связанными с конфликтом в Судане и предполагаемым участием ОАЭ. Они неоднократно атаковали одни и те же правительственные, банковские и финтех-организации, вероятно, чтобы получить огласку и поддержать ход своих кампаний. Эти группы обычно используют базовые инструменты, такие как DDOS и массовое сканирование, чтобы раскрыть конфиденциальную информацию, например, резервные копии и файлы SQL.

Хактивистской группе приписывают злоупотребление методом атаки HTTP Flooding и DDoS с использованием нескольких скриптов. Считается, что в этой атаке использовался инструмент ./404found.my, который группа DragonForce применяла в прошлом для атак на сайт ветеранов индийской армии, сайт BJP и другие.

DDoS-атаки могут нанести серьезный ущерб инфраструктуре веб-сайтов, делая их уязвимыми для дальнейших атак. Это может привести к краху услуг, предоставляемых веб-сайтом, и к неувязкам для пользователей, обращающихся к пострадавшим веб-сайтам и ресурсам.

#ParsedReport #CompletenessLow
28-05-2023

DeltaBoys : Black Hats On The Rise

https://www.cyfirma.com/outofband/deltaboys-black-hats-on-the-rise

Report completeness: Low

Victims:
Government, manufacturing and financial services

Industry:
Government, Financial

Geo:
Israeli, Kurdistan, China, Spain, Vietnam, Taiwan, India, Israel

TTPs:
Tactics: 2
Technics: 1

IOCs:
Domain: 1

Softs:
telegram

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, chart: 1, dump: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DeltaBoys - это группа угроз, которая быстро набирает известность благодаря своим передовым хакерским навыкам и ориентации на финансовые и геополитические мотивы. Организациям в Израиле следует принять дополнительные меры безопасности для защиты от потенциальных атак этой растущей, способной и пагубной группы.
-----

DeltaBoys - группа угроз, которая быстро приобретает известность благодаря своим продвинутым хакерским навыкам и ориентации на финансовые и геополитические мотивы. Эта группа действует с декабря 2021 года, первоначально она начинала как брокеры баз данных и кардеры, но затем перешла к массовой порче и посредничеству в предоставлении первоначального доступа. DeltaBoys предоставляют услугу подписки, которая дает доступ к разнообразным эксплойтам и методологиям, включающим нулевые дни, веб-шеллы и учебники по взлому.

Их основной целью является инфраструктура Израиля, но они также нацелились на США, Индию, Китай, Вьетнам, Курдистан и Испанию. Среди отраслей, на которые они нацелились, - государственные, производственные и финансовые услуги. Известно, что DeltaBoys используют утилиту bashupload, которая позволяет пользователю загружать файлы для последующего доступа, а также облегчает утечку данных. Также было замечено, что они продают веб-оболочки в течение минуты, что свидетельствует о востребованности таких данных.

В связи с их растущим потенциалом, изощренностью и возможностями, организациям в Израиле, особенно в секторах критической инфраструктуры, следует рассмотреть возможность внедрения усиленных мер безопасности для защиты от потенциальных атак и снижения рисков со стороны этой растущей, способной и пагубной группы. Такие меры могут включать регулярные оценки безопасности, управление исправлениями, обучение сотрудников и многофакторную аутентификацию.

#ParsedReport #CompletenessMedium
29-05-2023

Volt Typhoon targets US critical infrastructure with living-off-the-land techniques

https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques

Report completeness: Medium

Threats:
Lolbin_technique
Dumplsass_tool
Portproxy_tool
Impacket_tool
Credential_stealing_technique
Win32/wmisuspprocexec.j!se
Ntdsutil_tool

Victims:
Critical infrastructure organizations in the united states and guam

Industry:
Government, Maritime, Transport, Education

Geo:
China, Asia, Guam

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 3
Hash: 19

Softs:
microsoft defender, microsoft defender for endpoint, microsoft 365 defender, active directory, zyxel, windows local security authority, psexec, windows defender credential guard

Algorithms:
base64, sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2