#ParsedReport #CompletenessLow
02-06-2023
Netskope Threat Coverage: MOVEit Transfer Zero-Day
https://www.netskope.com/blog/netskope-threat-coverage-moveit-transfer-zero-day
Report completeness: Low
Victims:
Moveit transfer customers
Industry:
Healthcare
ChatGPT TTPs:
T1078, T1140, T1090
IOCs:
File: 2
Path: 2
Hash: 11
IP: 3
Softs:
moveit
Algorithms:
sha256
02-06-2023
Netskope Threat Coverage: MOVEit Transfer Zero-Day
https://www.netskope.com/blog/netskope-threat-coverage-moveit-transfer-zero-day
Report completeness: Low
Victims:
Moveit transfer customers
Industry:
Healthcare
ChatGPT TTPs:
do not use without manual checkT1078, T1140, T1090
IOCs:
File: 2
Path: 2
Hash: 11
IP: 3
Softs:
moveit
Algorithms:
sha256
Netskope
Netskope Threat Coverage: MOVEit Transfer Zero-Day
Summary A new critical zero-day vulnerability in the MOVEit Transfer software is being actively exploited by attackers to exfiltrate data from
#ParsedReport #CompletenessMedium
05-06-2023
Satacom delivers browser extension that steals cryptocurrency
https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807
Report completeness: Medium
Threats:
Legionloader
Process_injection_technique
Process_hollowing_technique
Victims:
Individual users around the world
Geo:
Egypt, Vietnam, Turkey, Indonesia, India, Brazil, Algeria, Mexico
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 6
Domain: 68
IP: 1
Hash: 4
Softs:
google chrome, opera, chrome, wordpress, macos
Wallets:
coinbase
Crypto:
bitcoin, kucoin, binance
Algorithms:
zip, rc4, base64, base58
Languages:
javascript
05-06-2023
Satacom delivers browser extension that steals cryptocurrency
https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807
Report completeness: Medium
Threats:
Legionloader
Process_injection_technique
Process_hollowing_technique
Victims:
Individual users around the world
Geo:
Egypt, Vietnam, Turkey, Indonesia, India, Brazil, Algeria, Mexico
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 6
Domain: 68
IP: 1
Hash: 4
Softs:
google chrome, opera, chrome, wordpress, macos
Wallets:
coinbase
Crypto:
bitcoin, kucoin, binance
Algorithms:
zip, rc4, base64, base58
Languages:
javascript
Securelist
Recent Satacom campaign delivers cryptocurrency-stealing addon
A recent campaign by Satacom downloader is delivering a cryptocurrency-stealing extension for Chromium-based browsers, such as Chrome, Brave and Opera.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-06-2023 Satacom delivers browser extension that steals cryptocurrency https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807 Report completeness: Medium Threats: Legionloader Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что Satacom - это опасное семейство вредоносных программ, которое постоянно разрабатывается и внедряется субъектами угроз с целью кражи криптовалюты у жертв и перевода ее на кошельки злоумышленников.
-----
Satacom - это семейство вредоносных программ, появившееся в 2019 году и известное тем, что использует технику запроса DNS-серверов для получения URL-адреса в base64-кодировке с целью получения следующего этапа другого семейства вредоносных программ. Вредоносные ссылки или реклама на сайтах перенаправляют пользователей на вредоносные сайты, такие как поддельные файлообменные сервисы. Основная цель вредоносной программы, которую сбрасывает загрузчик Satacom, - кража BTC со счета жертвы путем выполнения веб-инъекций на целевые криптовалютные веб-сайты.
Заражение начинается с файла ZIP-архива, загруженного с веб-сайта, который внешне имитирует портал программного обеспечения. Файл Setup.tmp создает новый файл PE DLL в каталоге Temp и загружает его в себя. Затем он расшифровывает полезную нагрузку Satacom и создает новый подпроцесс explorer.exe для внедрения вредоносной программы. Вредоносная полезная нагрузка использует реализацию шифрования RC4 для расшифровки своих конфигурационных данных, строк связи и данных для других сброшенных двоичных файлов на машине жертвы. Вредоносная программа использует различные жестко закодированные ключи для расшифровки данных на каждом этапе. Explorer.exe выполняет DNS-запрос к don-dns.com через Google DNS и запрашивает TXT-запись. По URL-адресу загружается полезная нагрузка.
Загрузчик Satacom загружает на машину жертвы различные двоичные файлы, включая вредоносное расширение для веб-браузеров на базе Chromium, нацеленное на Google Chrome, Brave и Opera. Вредоносное расширение содержит различные JS-скрипты для выполнения манипуляций с браузером во время просмотра пользователем целевых веб-сайтов, включая перечисление и манипуляции с криптовалютными веб-сайтами. Оно также способно манипулировать внешним видом некоторых почтовых сервисов, таких как Gmail, Hotmail и Yahoo, чтобы скрыть свою деятельность с криптовалютами жертвы, отображаемую в уведомлениях электронной почты. Вредоносное расширение способно выполнять дополнительные действия, такие как извлечение информации через браузер и получение команд с сервера C2.
Загрузчик Satacom все еще проводит кампании и разрабатывается тем, кто его создал. Этот угрожающий субъект продолжает распространять семейства вредоносных программ, используя различные техники, такие как внедрение рекламы через рекламные плагины для сайтов WordPress. Недавно распространенная вредоносная программа, представляющая собой расширение для браузеров на базе Chromium, выполняет действия в браузере для манипулирования содержимым целевого криптовалютного веб-сайта. Основной целью этого вредоносного расширения является кража криптовалюты у жертв и перевод ее на кошелек угрожающих субъектов. Более того, поскольку это расширение для браузера, оно может быть установлено в браузеры на базе Chromium на различных платформах, что позволяет легко атаковать пользователей Linux и macOS, если жертвы используют браузеры на базе Chromium.
Эта кампания нацелена на индивидуальных пользователей по всему миру, причем наиболее часто заражения происходят в таких странах, как Бразилия, Алжир, Турция, Вьетнам, Индонезия, Индия, Египет и Мексика. Вредоносное расширение содержит скрипты, которые отвечают за инициализацию полученных команд и становятся функциональными после получения адреса C2. Оно может обновлять свою функциональность благодаря технике, используемой для получения C2-сервера через последнюю транзакцию конкретного BTC-кошелька.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что Satacom - это опасное семейство вредоносных программ, которое постоянно разрабатывается и внедряется субъектами угроз с целью кражи криптовалюты у жертв и перевода ее на кошельки злоумышленников.
-----
Satacom - это семейство вредоносных программ, появившееся в 2019 году и известное тем, что использует технику запроса DNS-серверов для получения URL-адреса в base64-кодировке с целью получения следующего этапа другого семейства вредоносных программ. Вредоносные ссылки или реклама на сайтах перенаправляют пользователей на вредоносные сайты, такие как поддельные файлообменные сервисы. Основная цель вредоносной программы, которую сбрасывает загрузчик Satacom, - кража BTC со счета жертвы путем выполнения веб-инъекций на целевые криптовалютные веб-сайты.
Заражение начинается с файла ZIP-архива, загруженного с веб-сайта, который внешне имитирует портал программного обеспечения. Файл Setup.tmp создает новый файл PE DLL в каталоге Temp и загружает его в себя. Затем он расшифровывает полезную нагрузку Satacom и создает новый подпроцесс explorer.exe для внедрения вредоносной программы. Вредоносная полезная нагрузка использует реализацию шифрования RC4 для расшифровки своих конфигурационных данных, строк связи и данных для других сброшенных двоичных файлов на машине жертвы. Вредоносная программа использует различные жестко закодированные ключи для расшифровки данных на каждом этапе. Explorer.exe выполняет DNS-запрос к don-dns.com через Google DNS и запрашивает TXT-запись. По URL-адресу загружается полезная нагрузка.
Загрузчик Satacom загружает на машину жертвы различные двоичные файлы, включая вредоносное расширение для веб-браузеров на базе Chromium, нацеленное на Google Chrome, Brave и Opera. Вредоносное расширение содержит различные JS-скрипты для выполнения манипуляций с браузером во время просмотра пользователем целевых веб-сайтов, включая перечисление и манипуляции с криптовалютными веб-сайтами. Оно также способно манипулировать внешним видом некоторых почтовых сервисов, таких как Gmail, Hotmail и Yahoo, чтобы скрыть свою деятельность с криптовалютами жертвы, отображаемую в уведомлениях электронной почты. Вредоносное расширение способно выполнять дополнительные действия, такие как извлечение информации через браузер и получение команд с сервера C2.
Загрузчик Satacom все еще проводит кампании и разрабатывается тем, кто его создал. Этот угрожающий субъект продолжает распространять семейства вредоносных программ, используя различные техники, такие как внедрение рекламы через рекламные плагины для сайтов WordPress. Недавно распространенная вредоносная программа, представляющая собой расширение для браузеров на базе Chromium, выполняет действия в браузере для манипулирования содержимым целевого криптовалютного веб-сайта. Основной целью этого вредоносного расширения является кража криптовалюты у жертв и перевод ее на кошелек угрожающих субъектов. Более того, поскольку это расширение для браузера, оно может быть установлено в браузеры на базе Chromium на различных платформах, что позволяет легко атаковать пользователей Linux и macOS, если жертвы используют браузеры на базе Chromium.
Эта кампания нацелена на индивидуальных пользователей по всему миру, причем наиболее часто заражения происходят в таких странах, как Бразилия, Алжир, Турция, Вьетнам, Индонезия, Индия, Египет и Мексика. Вредоносное расширение содержит скрипты, которые отвечают за инициализацию полученных команд и становятся функциональными после получения адреса C2. Оно может обновлять свою функциональность благодаря технике, используемой для получения C2-сервера через последнюю транзакцию конкретного BTC-кошелька.
#ParsedReport #CompletenessMedium
05-06-2023
Cyclops Ransomware and Stealer Combo: Exploring a Dual Threat
https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo
Report completeness: Medium
Threats:
Cyclops_blink
Lockbit
Babuk
Rtm_locker
Industry:
Education, Financial
ChatGPT TTPs:
T1566.003, T1543.005, T1486, T1563.004, T1552.001, T1545.001, T1036, T1078, T1574.001
IOCs:
File: 24
Command: 1
Url: 2
Softs:
macos, wordpad, outlook, thebat, onenote
Algorithms:
chacha20, ecdh, crc-32, sha512, hc-256, zip, curve25519, xor
Functions:
GetLogicalDriveStrings, Curve25519
Win API:
GetSystemInfo, GetProcessAffinityMask, GetEnvironmentStrings
Win Services:
xfssvccon, synctime, ocomm, ocautoupds, dbeng50, powerpnt, dbsnmp, tbirdconfig, agntsvc, Mydesktopservice, have more...
Languages:
golang
Platforms:
x64
YARA: Found
05-06-2023
Cyclops Ransomware and Stealer Combo: Exploring a Dual Threat
https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo
Report completeness: Medium
Threats:
Cyclops_blink
Lockbit
Babuk
Rtm_locker
Industry:
Education, Financial
ChatGPT TTPs:
do not use without manual checkT1566.003, T1543.005, T1486, T1563.004, T1552.001, T1545.001, T1036, T1078, T1574.001
IOCs:
File: 24
Command: 1
Url: 2
Softs:
macos, wordpad, outlook, thebat, onenote
Algorithms:
chacha20, ecdh, crc-32, sha512, hc-256, zip, curve25519, xor
Functions:
GetLogicalDriveStrings, Curve25519
Win API:
GetSystemInfo, GetProcessAffinityMask, GetEnvironmentStrings
Win Services:
xfssvccon, synctime, ocomm, ocautoupds, dbeng50, powerpnt, dbsnmp, tbirdconfig, agntsvc, Mydesktopservice, have more...
Languages:
golang
Platforms:
x64
YARA: Found
Uptycs
Cyclops Ransomware and Stealer Combo: Exploring a Dual Threat
The Uptycs threat intelligence team identified the presence of a Cyclops ransomware/stealer that threatens all three platforms: Windows, Linux, and macOS.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-06-2023 Cyclops Ransomware and Stealer Combo: Exploring a Dual Threat https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo Report completeness: Medium Threats: Cyclops_blink Lockbit Babuk Rtm_locker Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Команда исследователей угроз Uptycs недавно обнаружила нового поставщика ransomware-as-a-service (RaaS) под названием Cyclops group, который способен заражать системы Windows, Linux и macOS. Эта программа шифрует файлы с помощью шифра Curve25519, а компонент stealer эксфильтрирует целевые файлы на сервер злоумышленника. Логика шифрования Cyclops имеет общие черты с Babuk и Lockbit v2 ransomware.
-----
Команда исследователей угроз Uptycs недавно обнаружила новую тревожную угрозу, известную как группа Cyclops, которая особенно гордится тем, что создала ransomware, способное заражать все три основные платформы: Windows, Linux и macOS. Этот поставщик ransomware-as-a-service (RaaS) также поставляет отдельный двоичный файл для целей кражи. Полезная нагрузка сканирует и идентифицирует процессы, запущенные на машинах жертв, а затем завершает любой процесс, который может помешать шифрованию целевых файлов, которые она собирается взять в заложники. Она добавляет расширение .CYCLOPS к зашифрованным файлам и создает файл с примечанием о выкупе под названием How To Restore Your Files.txt. Двоичный файл для Linux представляет собой скомпилированный файл Golang, имена функций которого удалены, чтобы затруднить обратную разработку. В Windows шифрование Curve25519 реализовано статически для обеспечения безопасности, а в Linux используется библиотека Golang Curve25519. Угонщик также читает свой файл config.json, расположенный в том же каталоге, что и его исполнение, содержащий список имен файлов вместе с соответствующими расширениями и размерами. Он перечисляет каталоги в поисках наличия целевых файлов и добавляет их в защищенный паролем zip-файл, который затем пересылается на сервер злоумышленника.
Логика шифрования Cyclops ransomware имеет общие черты с Babuk ransomware и Lockbit v2 ransomware. И Babuk, и Lockbit используют Curve25519 и HC-256 для шифрования Windows и Curve25519 и ChaCha для шифрования Linux. Исполняемые строки кодируются и хранятся в виде стековой строки в Cyclops ransomware, которая может быть динамически декодирована с помощью вычислений, включающих сложение, вычитание, сдвиг, XORing и т.д.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Команда исследователей угроз Uptycs недавно обнаружила нового поставщика ransomware-as-a-service (RaaS) под названием Cyclops group, который способен заражать системы Windows, Linux и macOS. Эта программа шифрует файлы с помощью шифра Curve25519, а компонент stealer эксфильтрирует целевые файлы на сервер злоумышленника. Логика шифрования Cyclops имеет общие черты с Babuk и Lockbit v2 ransomware.
-----
Команда исследователей угроз Uptycs недавно обнаружила новую тревожную угрозу, известную как группа Cyclops, которая особенно гордится тем, что создала ransomware, способное заражать все три основные платформы: Windows, Linux и macOS. Этот поставщик ransomware-as-a-service (RaaS) также поставляет отдельный двоичный файл для целей кражи. Полезная нагрузка сканирует и идентифицирует процессы, запущенные на машинах жертв, а затем завершает любой процесс, который может помешать шифрованию целевых файлов, которые она собирается взять в заложники. Она добавляет расширение .CYCLOPS к зашифрованным файлам и создает файл с примечанием о выкупе под названием How To Restore Your Files.txt. Двоичный файл для Linux представляет собой скомпилированный файл Golang, имена функций которого удалены, чтобы затруднить обратную разработку. В Windows шифрование Curve25519 реализовано статически для обеспечения безопасности, а в Linux используется библиотека Golang Curve25519. Угонщик также читает свой файл config.json, расположенный в том же каталоге, что и его исполнение, содержащий список имен файлов вместе с соответствующими расширениями и размерами. Он перечисляет каталоги в поисках наличия целевых файлов и добавляет их в защищенный паролем zip-файл, который затем пересылается на сервер злоумышленника.
Логика шифрования Cyclops ransomware имеет общие черты с Babuk ransomware и Lockbit v2 ransomware. И Babuk, и Lockbit используют Curve25519 и HC-256 для шифрования Windows и Curve25519 и ChaCha для шифрования Linux. Исполняемые строки кодируются и хранятся в виде стековой строки в Cyclops ransomware, которая может быть динамически декодирована с помощью вычислений, включающих сложение, вычитание, сдвиг, XORing и т.д.
#ParsedReport #CompletenessHigh
05-06-2023
Evasive NoEscape Ransomware Uses Reflective DLL Injection
https://blog.cyble.com/2023/06/04/evasive-noescape-ransomware-uses-reflective-dll-injection
Report completeness: High
Threats:
Dll_injection_technique
Noescape
Uac_bypass_technique
Vssadmin_tool
Victims:
Organizations of all types
Industry:
Financial
TTPs:
Tactics: 5
Technics: 8
IOCs:
File: 2
Command: 1
Hash: 8
Softs:
esxi, bcdedit, esxcli
Algorithms:
sha256, chacha20, sha1, aes
Functions:
SetLimits, EmptyTrash, ExecPayload, Cleanup, ScanVMS, Deface
Win API:
FindFirstVolumeW, FindNextVolumeW, FindFirstFileW, FindNextFileW, CryptAcquireContextW, CryptImportKey, CryptSetKeyParam, CryptEncrypt, MoveFileExW, MoveFileW, have more...
Win Services:
GDscan, RTVscan, culserver, vmware-converter
05-06-2023
Evasive NoEscape Ransomware Uses Reflective DLL Injection
https://blog.cyble.com/2023/06/04/evasive-noescape-ransomware-uses-reflective-dll-injection
Report completeness: High
Threats:
Dll_injection_technique
Noescape
Uac_bypass_technique
Vssadmin_tool
Victims:
Organizations of all types
Industry:
Financial
TTPs:
Tactics: 5
Technics: 8
IOCs:
File: 2
Command: 1
Hash: 8
Softs:
esxi, bcdedit, esxcli
Algorithms:
sha256, chacha20, sha1, aes
Functions:
SetLimits, EmptyTrash, ExecPayload, Cleanup, ScanVMS, Deface
Win API:
FindFirstVolumeW, FindNextVolumeW, FindFirstFileW, FindNextFileW, CryptAcquireContextW, CryptImportKey, CryptSetKeyParam, CryptEncrypt, MoveFileExW, MoveFileW, have more...
Win Services:
GDscan, RTVscan, culserver, vmware-converter
Cyble
Cyble - Evasive NoEscape Ransomware Uses Reflective DLL Injection
Cyble Research and Intelligence Labs analyzes the NoEscape Ransomware-as-a-Service platform and explains how it targets VMware ESXi servers.
CTT Report Hub
#ParsedReport #CompletenessHigh 05-06-2023 Evasive NoEscape Ransomware Uses Reflective DLL Injection https://blog.cyble.com/2023/06/04/evasive-noescape-ransomware-uses-reflective-dll-injection Report completeness: High Threats: Dll_injection_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что NoEscape RaaS представляет собой значительную угрозу для организаций всех типов и что организациям следует принять меры предосторожности для защиты своих систем от этой ransomware.
-----
NoEscape - это недавно появившаяся инициатива Ransomware-as-a-Service (Raas), которая предлагает аффилированным лицам ряд вариантов создания исполняемых файлов. На партнерском сайте компании представлена панель управления с различными настройками для создания исполняемых файлов ransomware, позволяющая филиалам указывать размер больших файлов, к которым применяется частичное шифрование, определять основной путь для шифрования, а также нацеливаться на определенные службы и процессы. После отключения UAC программа завершает процессы и останавливает активные службы в системе, а затем сбрасывает записку с выкупом под названием HOW_TO_RECOVER_FILES.txt в несколько каталогов. Затем она определяет файлы и каталоги для шифрования, используя библиотеки Microsoft Enhanced RSA и AES Cryptographic Provider для их шифрования с помощью алгоритма chacha20.
Затем программа-выкуп переименовывает зашифрованные файлы с расширением .CCBDFHCHFD и заменяет их оригинальными файлами, а также запускает серию команд для удаления теневых копий и резервных копий системы. В записке о выкупе жертвы получают инструкции о том, как установить контакт с NoEscape Ransomware Group, чтобы начать переговоры о выкупе. Linux-вариант состоит из трех файлов: script_linux.sh, script_esxi.sh и 164f8295_linux.elf, каждый из которых служит определенным целям и вносит свой вклад в общую функциональность ransomware.
NoEscape RaaS представляет собой значительную угрозу для организаций всех типов. Она может нанести разнообразный ущерб, такой как потеря ценных данных, нарушение работы, финансовые потери, а также потеря репутации и целостности. Организациям следует внимательно следить за NoEscape RaaS, ее инструментами, тактикой и процедурами, а также принимать меры предосторожности для защиты своих систем от ransomware.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что NoEscape RaaS представляет собой значительную угрозу для организаций всех типов и что организациям следует принять меры предосторожности для защиты своих систем от этой ransomware.
-----
NoEscape - это недавно появившаяся инициатива Ransomware-as-a-Service (Raas), которая предлагает аффилированным лицам ряд вариантов создания исполняемых файлов. На партнерском сайте компании представлена панель управления с различными настройками для создания исполняемых файлов ransomware, позволяющая филиалам указывать размер больших файлов, к которым применяется частичное шифрование, определять основной путь для шифрования, а также нацеливаться на определенные службы и процессы. После отключения UAC программа завершает процессы и останавливает активные службы в системе, а затем сбрасывает записку с выкупом под названием HOW_TO_RECOVER_FILES.txt в несколько каталогов. Затем она определяет файлы и каталоги для шифрования, используя библиотеки Microsoft Enhanced RSA и AES Cryptographic Provider для их шифрования с помощью алгоритма chacha20.
Затем программа-выкуп переименовывает зашифрованные файлы с расширением .CCBDFHCHFD и заменяет их оригинальными файлами, а также запускает серию команд для удаления теневых копий и резервных копий системы. В записке о выкупе жертвы получают инструкции о том, как установить контакт с NoEscape Ransomware Group, чтобы начать переговоры о выкупе. Linux-вариант состоит из трех файлов: script_linux.sh, script_esxi.sh и 164f8295_linux.elf, каждый из которых служит определенным целям и вносит свой вклад в общую функциональность ransomware.
NoEscape RaaS представляет собой значительную угрозу для организаций всех типов. Она может нанести разнообразный ущерб, такой как потеря ценных данных, нарушение работы, финансовые потери, а также потеря репутации и целостности. Организациям следует внимательно следить за NoEscape RaaS, ее инструментами, тактикой и процедурами, а также принимать меры предосторожности для защиты своих систем от ransomware.
#ParsedReport #CompletenessLow
03-06-2023
Technical Analysis of Bandit Stealer. Key Points
https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer
Report completeness: Low
Actors/Campaigns:
Dev-0960
Threats:
Bandit_stealer
Creal_stealer
Lunagrabber
Process_hacker_tool
Ollydbg_tool
IOCs:
Hash: 8
Path: 1
Command: 1
File: 1
IP: 59
Softs:
telegram, virtualbox, qemu, kometa, centbrowser, amigo, epic privacy browser, 7star, vivaldi, google chrome, have more...
Wallets:
electrum, metamask, guarda, coinbase, saturn_wallet, coin98, tronlink, terra_station, electron_cash, guild_wallet, have more...
Crypto:
binance, ethereum, bitcoin, litecoin, monero, dogecoin
Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, GetAdaptersAddresses, CreateToolhelp32Snapshot, CryptUnprotectData
Win Services:
vgauthservice
Languages:
golang
Links:
03-06-2023
Technical Analysis of Bandit Stealer. Key Points
https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer
Report completeness: Low
Actors/Campaigns:
Dev-0960
Threats:
Bandit_stealer
Creal_stealer
Lunagrabber
Process_hacker_tool
Ollydbg_tool
IOCs:
Hash: 8
Path: 1
Command: 1
File: 1
IP: 59
Softs:
telegram, virtualbox, qemu, kometa, centbrowser, amigo, epic privacy browser, 7star, vivaldi, google chrome, have more...
Wallets:
electrum, metamask, guarda, coinbase, saturn_wallet, coin98, tronlink, terra_station, electron_cash, guild_wallet, have more...
Crypto:
binance, ethereum, bitcoin, litecoin, monero, dogecoin
Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, GetAdaptersAddresses, CreateToolhelp32Snapshot, CryptUnprotectData
Win Services:
vgauthservice
Languages:
golang
Links:
https://github.com/errias/Kyoku-Cookie-Token-Stealerhttps://pkg.go.dev/github.com/prometheus/procfshttps://github.com/Smug246/Luna-Grabberhttps://github.com/Ayhuuu/Creal-StealerZscaler
Bandit Stealer | ThreatLabz
This blog provides an analysis of the most advanced info-stealer on the market Bandit Stealer. Harvests browsers, crypto wallet, credit card data and many more
CTT Report Hub
#ParsedReport #CompletenessLow 03-06-2023 Technical Analysis of Bandit Stealer. Key Points https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer Report completeness: Low Actors/Campaigns: Dev-0960 Threats: Bandit_stealer Creal_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Bandit Stealer - это тип вредоносной программы для кражи информации, которая собирает конфиденциальные данные с машин жертв и отправляет их обратно на командно-контрольный сервер через Telegram. В нем также реализованы методы обнаружения и обхода виртуальных машин и песочниц вредоносного ПО, и он постоянно обновляется новыми функциями.
-----
Bandit Stealer - это тип вредоносной программы для кражи информации, которая продается на подпольных криминальных форумах с апреля 2023 года. Она была написана с использованием языка программирования Go, который становится все более популярным среди разработчиков вредоносных программ. Bandit способен собирать конфиденциальные данные с компьютеров жертв, такие как файлы cookie, сохраненные данные для входа в систему и информацию о кредитных картах из более чем десятка веб-браузеров. Он также нацелен на настольные приложения криптовалютных кошельков, собирает учетные данные с FTP-клиентов и почтовых клиентов, а также крадет нажатия клавиш и данные буфера обмена. Вся украденная информация отправляется обратно на командно-контрольный сервер (C2) через Telegram.
Bandit реализует многочисленные методы обнаружения и обхода виртуальных машин и песочниц вредоносного ПО. Он проверяет наличие отладчика с помощью двух API Windows, пытается повысить права с помощью команды runas и получает внешний IP-адрес системы с api.ipify.org. Затем он сравнивает эти значения с черными списками IP-адресов, MAC-адресов, имен компьютеров, имен пользователей и имен процессов для идентификации виртуальных сред. Bandit Stealer также загружает дополнительную информацию о конфигурации из Pastebin.
Как только Bandit Stealer завершает сбор данных, он отправляет их обратно субъекту угрозы через Telegram. В ответ он получает закодированную структуру в формате JSON и постоянно обновляется новыми функциями для улучшения функциональности сбора данных. Используя Telegram в качестве сервера C2, он затрудняет попытки захвата и делает Bandit Stealer потенциальной угрозой в обозримом будущем.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Bandit Stealer - это тип вредоносной программы для кражи информации, которая собирает конфиденциальные данные с машин жертв и отправляет их обратно на командно-контрольный сервер через Telegram. В нем также реализованы методы обнаружения и обхода виртуальных машин и песочниц вредоносного ПО, и он постоянно обновляется новыми функциями.
-----
Bandit Stealer - это тип вредоносной программы для кражи информации, которая продается на подпольных криминальных форумах с апреля 2023 года. Она была написана с использованием языка программирования Go, который становится все более популярным среди разработчиков вредоносных программ. Bandit способен собирать конфиденциальные данные с компьютеров жертв, такие как файлы cookie, сохраненные данные для входа в систему и информацию о кредитных картах из более чем десятка веб-браузеров. Он также нацелен на настольные приложения криптовалютных кошельков, собирает учетные данные с FTP-клиентов и почтовых клиентов, а также крадет нажатия клавиш и данные буфера обмена. Вся украденная информация отправляется обратно на командно-контрольный сервер (C2) через Telegram.
Bandit реализует многочисленные методы обнаружения и обхода виртуальных машин и песочниц вредоносного ПО. Он проверяет наличие отладчика с помощью двух API Windows, пытается повысить права с помощью команды runas и получает внешний IP-адрес системы с api.ipify.org. Затем он сравнивает эти значения с черными списками IP-адресов, MAC-адресов, имен компьютеров, имен пользователей и имен процессов для идентификации виртуальных сред. Bandit Stealer также загружает дополнительную информацию о конфигурации из Pastebin.
Как только Bandit Stealer завершает сбор данных, он отправляет их обратно субъекту угрозы через Telegram. В ответ он получает закодированную структуру в формате JSON и постоянно обновляется новыми функциями для улучшения функциональности сбора данных. Используя Telegram в качестве сервера C2, он затрудняет попытки захвата и делает Bandit Stealer потенциальной угрозой в обозримом будущем.
#ParsedReport #CompletenessMedium
05-06-2023
HelloTeacher: New Android Malware Targeting Banking Users In Vietnam
https://blog.cyble.com/2023/06/05/helloteacher-new-android-malware-targeting-banking-users-in-vietnam
Report completeness: Medium
Threats:
Helloteacher
Victims:
Unsuspecting users in vietnam
Industry:
Financial
Geo:
China, Vietnam, Chinese, Vietnamese
TTPs:
Tactics: 3
Technics: 8
IOCs:
Url: 3
File: 1
Hash: 3
Softs:
android, viber, kik messenger
Algorithms:
sha256, sha1
05-06-2023
HelloTeacher: New Android Malware Targeting Banking Users In Vietnam
https://blog.cyble.com/2023/06/05/helloteacher-new-android-malware-targeting-banking-users-in-vietnam
Report completeness: Medium
Threats:
Helloteacher
Victims:
Unsuspecting users in vietnam
Industry:
Financial
Geo:
China, Vietnam, Chinese, Vietnamese
TTPs:
Tactics: 3
Technics: 8
IOCs:
Url: 3
File: 1
Hash: 3
Softs:
android, viber, kik messenger
Algorithms:
sha256, sha1
Cyble
HelloTeacher: New Android Malware Targeting Banking Users In Vietnam
Cyble analyzes a new malware "HelloTeacher" masquerading as popular messaging app to target banking users from Vietnam and steals sensitive data.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-06-2023 HelloTeacher: New Android Malware Targeting Banking Users In Vietnam https://blog.cyble.com/2023/06/05/helloteacher-new-android-malware-targeting-banking-users-in-vietnam Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что обнаружение варианта "HelloTeacher" шпионского ПО для Android подчеркивает растущую изощренность и обманную тактику, используемую злоумышленниками, и что люди могут снизить риск стать жертвой этих угроз, проявляя осторожность при загрузке популярных приложений для обмена сообщениями из сторонних магазинов или подозрительных веб-сайтов.
-----
Cyble Research & Intelligence Labs (CRIL) недавно обнаружила новый вариант шпионской программы для Android, которую окрестили "HelloTeacher" из-за наличия в ее исходном коде тестового сервиса. Это шпионское ПО предназначено для пользователей из Вьетнама, маскируясь под популярные приложения для обмена сообщениями, такие как Viber и Kik Messenger. После установки HelloTeacher вооружается целым рядом сложных возможностей, таких как утечка контактной информации, данных SMS, фотографий, списка установленных приложений, а также возможность делать снимки и записывать экран зараженного устройства.
Более того, угрожающий агент, стоящий за HelloTeacher, попытался интегрировать его с мощью банковского трояна, злоупотребляя службой доступности, сфокусировавшись на трех известных вьетнамских банках. Эта вредоносная программа способна отслеживать взаимодействие пользователя с мобильными приложениями TPbank и MB Bank, а также получать данные о состоянии счета в TPbank Mobile. Кроме того, HelloTeacher также пытался осуществить мошенничество на устройстве, нацеленное на MB Bank, пытаясь вставить значения в текстовые поля мобильного приложения MB Bank.
Для выполнения своих вредоносных операций HelloTeacher предлагает жертвам включить службу Accessibility для предоставления автоматических разрешений. Он связывается с командно-контрольным сервером (C&C), расположенным по адресу hxxp://api.sixmiss.com/abb-api/client/, и использует MediaProjection для записи экрана целевого устройства и отправки его на C&C-сервер. Кроме того, код содержит несколько строк на китайском языке, что указывает на то, что TA может быть китайского происхождения.
Обнаружение вредоносной программы HelloTeacher для Android демонстрирует постоянно развивающуюся изощренность и обманные тактики, применяемые злоумышленниками. Поскольку TA, стоящая за этим шпионским ПО, продемонстрировала намерение включить в него функции банковского трояна, важно проявлять осторожность при загрузке популярных приложений для обмена сообщениями из сторонних магазинов или подозрительных веб-сайтов. Приняв эту меру предосторожности, люди могут значительно снизить риск стать жертвой этих сложных угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что обнаружение варианта "HelloTeacher" шпионского ПО для Android подчеркивает растущую изощренность и обманную тактику, используемую злоумышленниками, и что люди могут снизить риск стать жертвой этих угроз, проявляя осторожность при загрузке популярных приложений для обмена сообщениями из сторонних магазинов или подозрительных веб-сайтов.
-----
Cyble Research & Intelligence Labs (CRIL) недавно обнаружила новый вариант шпионской программы для Android, которую окрестили "HelloTeacher" из-за наличия в ее исходном коде тестового сервиса. Это шпионское ПО предназначено для пользователей из Вьетнама, маскируясь под популярные приложения для обмена сообщениями, такие как Viber и Kik Messenger. После установки HelloTeacher вооружается целым рядом сложных возможностей, таких как утечка контактной информации, данных SMS, фотографий, списка установленных приложений, а также возможность делать снимки и записывать экран зараженного устройства.
Более того, угрожающий агент, стоящий за HelloTeacher, попытался интегрировать его с мощью банковского трояна, злоупотребляя службой доступности, сфокусировавшись на трех известных вьетнамских банках. Эта вредоносная программа способна отслеживать взаимодействие пользователя с мобильными приложениями TPbank и MB Bank, а также получать данные о состоянии счета в TPbank Mobile. Кроме того, HelloTeacher также пытался осуществить мошенничество на устройстве, нацеленное на MB Bank, пытаясь вставить значения в текстовые поля мобильного приложения MB Bank.
Для выполнения своих вредоносных операций HelloTeacher предлагает жертвам включить службу Accessibility для предоставления автоматических разрешений. Он связывается с командно-контрольным сервером (C&C), расположенным по адресу hxxp://api.sixmiss.com/abb-api/client/, и использует MediaProjection для записи экрана целевого устройства и отправки его на C&C-сервер. Кроме того, код содержит несколько строк на китайском языке, что указывает на то, что TA может быть китайского происхождения.
Обнаружение вредоносной программы HelloTeacher для Android демонстрирует постоянно развивающуюся изощренность и обманные тактики, применяемые злоумышленниками. Поскольку TA, стоящая за этим шпионским ПО, продемонстрировала намерение включить в него функции банковского трояна, важно проявлять осторожность при загрузке популярных приложений для обмена сообщениями из сторонних магазинов или подозрительных веб-сайтов. Приняв эту меру предосторожности, люди могут значительно снизить риск стать жертвой этих сложных угроз.
#ParsedReport #CompletenessLow
05-06-2023
Iran Cyber Threat Overview. IRANIAN CYBER OFFENSIVE ORGANISATION
https://blog.sekoia.io/iran-cyber-threat-overview
Report completeness: Low
Actors/Campaigns:
Dev-0343 (motivation: hacktivism)
Irgc
Phosphorus
Cotton_sandstorm (motivation: cyber_espionage)
Cleaver (motivation: cyber_espionage)
Cobalt_mirage
Muddywater
Oilrig
Siamesekitten (motivation: cyber_espionage)
Agrius
Darkbit
Silent_librarian
Domestic_kitten
Fox_kitten
Apt33
Unc3890
Threats:
Nemesis
Rana
Saitama
Disttrack
Stuxnet
Log4shell_vuln
Proxyshell_vuln
Victims:
Israel, saudi arabia, arab gulf countries, us critical infrastructures, energy companies, major us utility and gas entity, middle-east telecom operators, egypt-based shipping and marine services companies, individuals conducting research related to middle-east and iran affairs, albania, middle-east telecom operators, maritime transportation sectors
Industry:
Energy, Government, Aerospace, Transport, Maritime, Education, Telco, Petroleum, Ngo
Geo:
Albania, Teheran, Palestinian, French, Albanian, American, Russia, Middle-east, Tunisia, Iran, Bahrain, China, Israel, Israeli, Usa, Jordan, Iranian, Tehran, Morocco, Lebanon, Egypt
CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...
CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)
TTPs:
Tactics: 1
Technics: 0
Softs:
telegram
05-06-2023
Iran Cyber Threat Overview. IRANIAN CYBER OFFENSIVE ORGANISATION
https://blog.sekoia.io/iran-cyber-threat-overview
Report completeness: Low
Actors/Campaigns:
Dev-0343 (motivation: hacktivism)
Irgc
Phosphorus
Cotton_sandstorm (motivation: cyber_espionage)
Cleaver (motivation: cyber_espionage)
Cobalt_mirage
Muddywater
Oilrig
Siamesekitten (motivation: cyber_espionage)
Agrius
Darkbit
Silent_librarian
Domestic_kitten
Fox_kitten
Apt33
Unc3890
Threats:
Nemesis
Rana
Saitama
Disttrack
Stuxnet
Log4shell_vuln
Proxyshell_vuln
Victims:
Israel, saudi arabia, arab gulf countries, us critical infrastructures, energy companies, major us utility and gas entity, middle-east telecom operators, egypt-based shipping and marine services companies, individuals conducting research related to middle-east and iran affairs, albania, middle-east telecom operators, maritime transportation sectors
Industry:
Energy, Government, Aerospace, Transport, Maritime, Education, Telco, Petroleum, Ngo
Geo:
Albania, Teheran, Palestinian, French, Albanian, American, Russia, Middle-east, Tunisia, Iran, Bahrain, China, Israel, Israeli, Usa, Jordan, Iranian, Tehran, Morocco, Lebanon, Egypt
CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...
CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)
TTPs:
Tactics: 1
Technics: 0
Softs:
telegram
Sekoia.io Blog
Iran Cyber Threat Overview
Learn about the malicious cyber activities associated with Iran-nexus intrusion sets over the 2022-2023 period.
CTT Report Hub
#ParsedReport #CompletenessLow 05-06-2023 Iran Cyber Threat Overview. IRANIAN CYBER OFFENSIVE ORGANISATION https://blog.sekoia.io/iran-cyber-threat-overview Report completeness: Low Actors/Campaigns: Dev-0343 (motivation: hacktivism) Irgc Phosphorus Cotton_sandstorm…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исламская Республика Иран использует свои кибервозможности для поддержания внутренней стабильности, защиты национальной территории и достижения своих внешнеполитических целей, нацеливаясь на соседние государства и проводя разрушительные кампании. Иранские комплекты вторжений становятся все более сложными с точки зрения технических навыков и оперативной реактивности и способны координировать действия нескольких комплектов вторжений. Иран подозревается в использовании киберперсонажей для прикрытия деструктивной деятельности и/или усиления информационных операций, направленных на обеспечение регионального влияния.
-----
Исламская Республика Иран использует свои кибер-операции для поддержания внутренней стабильности, защиты национальной территории и достижения своих внешнеполитических целей. Известно, что она использует соседние государства, такие как Израиль, Саудовская Аравия и страны Персидского залива, для сбора разведданных и проводит разрушительные кампании, такие как Shamoon 2012. Иранские комплекты вторжений направлены на энергетику, телекоммуникации, морские перевозки и критически важные сектора инфраструктуры. Иранские комплексы вторжений становятся все более изощренными в плане технических навыков и оперативной реакции на публично раскрытые уязвимости и способны координировать действия нескольких комплексов вторжений, связанных с одной и той же структурой. Иран имеет связи с шиитскими политическими группами, такими как "Хезболла", и подозревается в использовании киберперсон для прикрытия деструктивной деятельности и/или усиления информационных операций.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исламская Республика Иран использует свои кибервозможности для поддержания внутренней стабильности, защиты национальной территории и достижения своих внешнеполитических целей, нацеливаясь на соседние государства и проводя разрушительные кампании. Иранские комплекты вторжений становятся все более сложными с точки зрения технических навыков и оперативной реактивности и способны координировать действия нескольких комплектов вторжений. Иран подозревается в использовании киберперсонажей для прикрытия деструктивной деятельности и/или усиления информационных операций, направленных на обеспечение регионального влияния.
-----
Исламская Республика Иран использует свои кибер-операции для поддержания внутренней стабильности, защиты национальной территории и достижения своих внешнеполитических целей. Известно, что она использует соседние государства, такие как Израиль, Саудовская Аравия и страны Персидского залива, для сбора разведданных и проводит разрушительные кампании, такие как Shamoon 2012. Иранские комплекты вторжений направлены на энергетику, телекоммуникации, морские перевозки и критически важные сектора инфраструктуры. Иранские комплексы вторжений становятся все более изощренными в плане технических навыков и оперативной реакции на публично раскрытые уязвимости и способны координировать действия нескольких комплексов вторжений, связанных с одной и той же структурой. Иран имеет связи с шиитскими политическими группами, такими как "Хезболла", и подозревается в использовании киберперсон для прикрытия деструктивной деятельности и/или усиления информационных операций.
#ParsedReport #CompletenessLow
04-06-2023
Inside the Infamous Royal Ransomware Group: Unveiling Their Reign of Cyber Chaos
https://www.cloudsek.com/blog/inside-the-infamous-royal-ransomware-group-unveiling-their-reign-of-cyber-chaos
Report completeness: Low
Threats:
Royal_ransomware
Reign
Zeon
Victims:
Us and international entities
Industry:
Education, Financial, Healthcare, Government
Geo:
Canada, India, Italy, Ukraine, Russia, Germany, France, Brazil
IOCs:
File: 9
IP: 54
Domain: 8
Url: 4
Hash: 19
Crypto:
bitcoin
04-06-2023
Inside the Infamous Royal Ransomware Group: Unveiling Their Reign of Cyber Chaos
https://www.cloudsek.com/blog/inside-the-infamous-royal-ransomware-group-unveiling-their-reign-of-cyber-chaos
Report completeness: Low
Threats:
Royal_ransomware
Reign
Zeon
Victims:
Us and international entities
Industry:
Education, Financial, Healthcare, Government
Geo:
Canada, India, Italy, Ukraine, Russia, Germany, France, Brazil
IOCs:
File: 9
IP: 54
Domain: 8
Url: 4
Hash: 19
Crypto:
bitcoin
CTT Report Hub
#ParsedReport #CompletenessLow 04-06-2023 Inside the Infamous Royal Ransomware Group: Unveiling Their Reign of Cyber Chaos https://www.cloudsek.com/blog/inside-the-infamous-royal-ransomware-group-unveiling-their-reign-of-cyber-chaos Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа Royal ransomware - это сложная и опасная киберпреступная организация, действующая из России и Украины, способная требовать миллионные выкупы и передавать конфиденциальные данные. Для защиты от таких атак организациям необходимо иметь надежные протоколы кибербезопасности и план реагирования на инциденты.
-----
Группа Royal ransomware - относительно новый игрок в мире киберпреступности, ее самая ранняя известная деятельность датируется серединой 2022 года. По оценкам всех жертв, которые стали жертвами этой группы, на сегодняшний день группа Royal Ransomware произвела утечку более 249 терабайт данных, и число ее атак со временем увеличивается. Группа атаковала компании с общим доходом более 48 миллиардов долларов, большинство жертв находятся в США. Известно, что группа требовала многомиллионные выкупы и угрожала утечкой конфиденциальных данных, если ее требования не будут выполнены.
Группа Royal ransomware использует различные методы для получения первоначального доступа к сетям жертв. Наиболее распространенной тактикой является успешная рассылка фишинговых писем. Жертвы неосознанно устанавливают вредоносное ПО Royal ransomware после получения фишинговых писем, содержащих вредоносные PDF-документы, или через вредоносную рекламу. По сообщениям доверенных сторонних источников, группа Royal ransomware может использовать брокеров для получения первоначального доступа и источника трафика путем сбора учетных данных виртуальных частных сетей (VPN) из журналов краж.
Группа Royal ransomware - это умелая киберпреступная организация, разработавшая собственные вредоносные программы и инструменты шифрования. Считается, что она действует в основном из России и Украины и имеет тесные связи с другими киберпреступными организациями, действующими в этом регионе. Эта группа попала в заголовки газет, совершив массированную атаку на город Даллас, штат Техас, в январе 2023 года, и потребовав выкуп в размере от 1 до 11 миллионов долларов США в биткоинах.
Очевидно, что группа Royal ransomware - это очень сложная и опасная организация, представляющая серьезную угрозу для предприятий и частных лиц во всем мире. Для защиты от таких атак организациям следует убедиться, что у них имеются надежные протоколы и системы кибербезопасности, а также комплексный план реагирования на инциденты. Кроме того, организациям следует знать о тактике, используемой группой Royal ransomware, и сохранять бдительность при любых признаках потенциальных атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа Royal ransomware - это сложная и опасная киберпреступная организация, действующая из России и Украины, способная требовать миллионные выкупы и передавать конфиденциальные данные. Для защиты от таких атак организациям необходимо иметь надежные протоколы кибербезопасности и план реагирования на инциденты.
-----
Группа Royal ransomware - относительно новый игрок в мире киберпреступности, ее самая ранняя известная деятельность датируется серединой 2022 года. По оценкам всех жертв, которые стали жертвами этой группы, на сегодняшний день группа Royal Ransomware произвела утечку более 249 терабайт данных, и число ее атак со временем увеличивается. Группа атаковала компании с общим доходом более 48 миллиардов долларов, большинство жертв находятся в США. Известно, что группа требовала многомиллионные выкупы и угрожала утечкой конфиденциальных данных, если ее требования не будут выполнены.
Группа Royal ransomware использует различные методы для получения первоначального доступа к сетям жертв. Наиболее распространенной тактикой является успешная рассылка фишинговых писем. Жертвы неосознанно устанавливают вредоносное ПО Royal ransomware после получения фишинговых писем, содержащих вредоносные PDF-документы, или через вредоносную рекламу. По сообщениям доверенных сторонних источников, группа Royal ransomware может использовать брокеров для получения первоначального доступа и источника трафика путем сбора учетных данных виртуальных частных сетей (VPN) из журналов краж.
Группа Royal ransomware - это умелая киберпреступная организация, разработавшая собственные вредоносные программы и инструменты шифрования. Считается, что она действует в основном из России и Украины и имеет тесные связи с другими киберпреступными организациями, действующими в этом регионе. Эта группа попала в заголовки газет, совершив массированную атаку на город Даллас, штат Техас, в январе 2023 года, и потребовав выкуп в размере от 1 до 11 миллионов долларов США в биткоинах.
Очевидно, что группа Royal ransomware - это очень сложная и опасная организация, представляющая серьезную угрозу для предприятий и частных лиц во всем мире. Для защиты от таких атак организациям следует убедиться, что у них имеются надежные протоколы и системы кибербезопасности, а также комплексный план реагирования на инциденты. Кроме того, организациям следует знать о тактике, используемой группой Royal ransomware, и сохранять бдительность при любых признаках потенциальных атак.
North Korea-Aligned TAG-71 Spoofs Financial Institutions in Asia and US
https://go.recordedfuture.com/hubfs/reports/cta-2023-0606.pdf
https://go.recordedfuture.com/hubfs/reports/cta-2023-0606.pdf
#ParsedReport #CompletenessLow
06-06-2023
Xollam, the Latest Face of TargetCompany. Simultaneously active: Xollam and Mallox variants
https://www.trendmicro.com/en_us/research/23/f/xollam-the-latest-face-of-targetcompany.html
Report completeness: Low
Actors/Campaigns:
Bluesky
Threats:
Xollam
Targetcompany
Mauicrypt
Remcos_rat
Gmer_tool
Pchunter64_tool
Jadtre
Industry:
Financial
Geo:
Indian
IOCs:
File: 3
Softs:
microsoft sql, ms sql, microsoft onenote, onenote, telegram
Algorithms:
aes-128, chacha20, curve25519, xor
06-06-2023
Xollam, the Latest Face of TargetCompany. Simultaneously active: Xollam and Mallox variants
https://www.trendmicro.com/en_us/research/23/f/xollam-the-latest-face-of-targetcompany.html
Report completeness: Low
Actors/Campaigns:
Bluesky
Threats:
Xollam
Targetcompany
Mauicrypt
Remcos_rat
Gmer_tool
Pchunter64_tool
Jadtre
Industry:
Financial
Geo:
Indian
IOCs:
File: 3
Softs:
microsoft sql, ms sql, microsoft onenote, onenote, telegram
Algorithms:
aes-128, chacha20, curve25519, xor
Trend Micro
Xollam the Latest Face of TargetCompany
This blog talks about the latest TargetCompany ransomware variant, Xollam, and the new initial access technique it uses. We also investigate previous variants' behaviors and the ransomware family's extortion scheme.
CTT Report Hub
#ParsedReport #CompletenessLow 06-06-2023 Xollam, the Latest Face of TargetCompany. Simultaneously active: Xollam and Mallox variants https://www.trendmicro.com/en_us/research/23/f/xollam-the-latest-face-of-targetcompany.html Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Семейство вымогательских программ TargetCompany активно с июня 2021 года и за это время успело эволюционировать, изменив название, методы первоначального доступа и схему двойного вымогательства. Оно также создало канал Telegram и сайт утечки данных для объявления своих жертв, а также создало партнерскую программу для модели Mallox RaaS.
-----
Программа TargetCompany ransomware активна с июня 2021 года, когда она впервые была обнаружена, добавляя к зашифрованным файлам расширение .tohnichi. Это было признаком целенаправленной атаки на организацию Tohnichi, поэтому изначально она была известна как Tohnichi ransomware. После этого семейство ransomware эволюционировало, сменив несколько названий, что означало значительные обновления в алгоритме шифрования и характеристиках дешифратора.
Семейство вариантов вымогательского ПО TargetCompany использовало различные методы первоначального доступа, включая уязвимости в Microsoft SQL (MS SQL) Server, которые применялись в вариантах Tohnichi, Mallox и Fargo. Однако последний вариант Xollam отклоняется от проверенного метода банды и использует файлы Microsoft OneNote в качестве начального доступа для распространения и доставки вредоносного ПО. В этом варианте используется псевдо-безфайловая техника через PowerShell, которая выполняет рефлексивную загрузку для загрузки своей полезной нагрузки.
Помимо изменений в поведении ransomware, банда, стоящая за TargetCompany, в 2022 году ввела схему двойного вымогательства, создав канал Telegram, а затем сайт утечки данных для объявления своих жертв. Они также создали партнерскую программу для модели Mallox RaaS. С марта 2022 года по апрель 2023 года группа разработчиков ransomware предприняла 269 попыток атаковать клиентов Trend Micro.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Семейство вымогательских программ TargetCompany активно с июня 2021 года и за это время успело эволюционировать, изменив название, методы первоначального доступа и схему двойного вымогательства. Оно также создало канал Telegram и сайт утечки данных для объявления своих жертв, а также создало партнерскую программу для модели Mallox RaaS.
-----
Программа TargetCompany ransomware активна с июня 2021 года, когда она впервые была обнаружена, добавляя к зашифрованным файлам расширение .tohnichi. Это было признаком целенаправленной атаки на организацию Tohnichi, поэтому изначально она была известна как Tohnichi ransomware. После этого семейство ransomware эволюционировало, сменив несколько названий, что означало значительные обновления в алгоритме шифрования и характеристиках дешифратора.
Семейство вариантов вымогательского ПО TargetCompany использовало различные методы первоначального доступа, включая уязвимости в Microsoft SQL (MS SQL) Server, которые применялись в вариантах Tohnichi, Mallox и Fargo. Однако последний вариант Xollam отклоняется от проверенного метода банды и использует файлы Microsoft OneNote в качестве начального доступа для распространения и доставки вредоносного ПО. В этом варианте используется псевдо-безфайловая техника через PowerShell, которая выполняет рефлексивную загрузку для загрузки своей полезной нагрузки.
Помимо изменений в поведении ransomware, банда, стоящая за TargetCompany, в 2022 году ввела схему двойного вымогательства, создав канал Telegram, а затем сайт утечки данных для объявления своих жертв. Они также создали партнерскую программу для модели Mallox RaaS. С марта 2022 года по апрель 2023 года группа разработчиков ransomware предприняла 269 попыток атаковать клиентов Trend Micro.