#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация "White Elephant" была замечена в использовании политических тем для заманивания жертв на загрузку вредоносных файлов, а атака включала 19 технических моментов на 8 этапах системы ATT&CK. Было обнаружено, что она связана с коммерческим троянцем дистанционного управления, что указывает на то, что злоумышленники все чаще используют коммерческие троянцы для повышения эффективности атак при снижении затрат.
-----

White Elephant - это APT, действующая из Индии. Они известны тем, что атакуют широкий круг стран и регионов, но особое внимание уделяют Китаю и Пакистану. Замечено, что они используют политические темы, чтобы заманить жертв на загрузку вредоносных файлов. Недавно Antiy CERT обнаружил атаку организации "White Elephant" на соответствующие подразделения в определенной стране. Злоумышленники отправили по электронной почте вредоносный LNK-файл, замаскированный под PDF-документ. LNK-файл представлял собой троянскую программу удаленного управления BADNEWS, используемую для загрузки файлов, выполнения команд и захвата экрана.

Информация о цифровой подписи троянца BADNEWS была связана с вредоносными файлами с такой же подписью, а IP-адреса, связанные с атакой, как выяснилось, принадлежат немецкому поставщику облачных услуг. Также были обнаружены принадлежащие самим себе доменные имена и сайты-марионетки. Merafm.com - единственный обнаруженный марионеточный веб-сайт, который, возможно, был создан в результате атаки на уязвимость.

Всего в атаке "White Elephant" было задействовано 19 технических точек на 8 этапах структуры ATT&CK. Методы атаки и используемые коды были очень похожи на прошлые атаки "White Elephant". Было обнаружено, что с образцом цифрового сертификата связан Remcos, коммерческий троянец дистанционного управления. Это указывает на то, что злоумышленники все чаще используют коммерческие троянские программы для повышения эффективности атак при одновременном снижении затрат. Это совпадает с выводами Antiys и словацкого производителя ESET о том, что индийские организации используют коммерческих троянцев Remcos.

#ParsedReport #CompletenessMedium
13-06-2023

. Analysis of Akira ransomware suspected of using a targeted attack pattern

https://www.antiy.cn/research/notice&report/research_report/Akira_Ransomware_Analysis.html

Report completeness: Medium

Threats:
Akira_ransomware
Credential_dumping_technique

Victims:
25 victims in japan including construction, finance, education, real estate and other industries

Industry:
Education, Financial

Geo:
Japan

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 7
Hash: 5

Softs:
windows defender, bootnxt

Algorithms:
aes

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT недавно обнаружил несколько атак Akira ransomware, которые состоят из пяти этапов.
-----

Недавно Antiy CERT (член рабочей группы CCTGA по предотвращению и реагированию на Ransomware) обнаружил многочисленные атаки Akira ransomware. Впервые программа Akira ransomware была обнаружена в марте 2023 года, а ее полезная нагрузка атаки не получила масштабного распространения. Зарубежные производители систем безопасности обнаружили, что злоумышленник изначально получал доступ к системе жертвы через VPN, поэтому предполагается, что организация, стоящая за атакой, использует режим целевой атаки для проведения атак ransomware.

После проникновения в систему жертвы злоумышленник использует инструмент Remote Desktop Protocol (RDP) или другие инструменты для распространения во внутренней сети. Полезная нагрузка ransomware использует алгоритм AES+RSA для шифрования файла, и до сих пор не было найдено общедоступного инструмента расшифровки. Akira ransomware работает в режиме "двойного вымогательства", то есть "кража данных + шифрование файлов". С 21 апреля организация, стоящая за этой атакой, публикует информацию о жертвах и похищенные данные на сайте Tor. По состоянию на 30 мая в Японии была обнародована информация о 25 жертвах и данные, похищенные из систем 11 жертв, включая строительство, финансы, образование, недвижимость и другие отрасли.

Процесс атаки Akira ransomware можно разделить на пять этапов: 1. Сброс инструментов кражи и полезной нагрузки ransomware в систему жертвы; 2. Использование инструмента командной строки для удаления теневых резервных копий дисковых томов, отключения восстановления системы и обхода функций безопасности Windows Defender для обеспечения беспрепятственного выполнения последующих процессов; 3. Возврат украденных данных злоумышленнику через определенный канал C2 или инструмент; 4. Доставка записки с выкупом; 5. Шифрование файла данных.

#ParsedReport #CompletenessLow
14-06-2023

Shampoo: A New ChromeLoader Campaign

https://threatresearch.ext.hp.com/shampoo-a-new-chromeloader-campaign

Report completeness: Low

Threats:
Shampoo
Chromeloader

TTPs:
Tactics: 2
Technics: 10

IOCs:
File: 5
Registry: 1
Domain: 36
Hash: 2

Softs:
chrome, google chrome, chrome_, task scheduler

Algorithms:
base64, xor, rc4, zip

Languages:
javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 2, windows: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда HP Wolf Security обнаружила новую кампанию вредоносного ПО под названием Shampoo, которое, вероятно, является вариантом ChromeLoader и используется для внедрения рекламы и кражи личной информации. Цепочка заражения начинается с вредоносного VBScript и завершается установкой вредоносного расширения Chrome. Он сильно обфусцирован и имеет несколько механизмов сохранения.
-----

Команда HP Wolf Security недавно обнаружила новую кампанию вредоносного ПО под названием Shampoo, основанную на вредоносном расширении браузера ChromeLoader. Кампания, вероятно, началась в начале марта 2023 года, и жертвы сталкивались с ней в основном при загрузке нелегального контента, такого как фильмы и видеоигры. Вредоносный файл VBScript, загруженный жертвой, запускает сложную цепочку заражения, которая в конечном итоге приводит к установке вредоносного расширения Chrome.

Цепочка заражения начинается с вредоносного сценария VBScript, который запускает сценарий PowerShell, устанавливающий запланированную задачу, делающую заражение постоянным. Эта запланированная задача каждые 50 минут запускает циклический сценарий, который загружает и запускает другой сценарий PowerShell. Этот сценарий загружает и устанавливает вредоносное расширение Chrome. После установки расширение начинает собирать конфиденциальную личную информацию, такую как поисковые запросы, а также перенаправлять поиск и внедрять рекламу в сеанс просмотра веб-страниц жертвы.

Вредоносное расширение сильно обфусцировано и содержит множество ловушек, препятствующих отладке и анализу. Кроме того, оно имеет множество механизмов сохранения, таких как отключение предложений поиска в адресной строке, регулярная отправка данных на командно-контрольный сервер, перенаправление поиска Google, Yahoo и Bing, запись последнего поискового запроса в локальное хранилище Chrome и предотвращение доступа жертв к chrome://extensions. Все взаимодействия с командно-контрольным сервером защищены и требуют аутентификационного cookie.

Данные, отправляемые на командно-контрольный сервер, шифруются с помощью смеси RC4 и собственной схемы шифрования. Пользовательская схема состоит из генерации 20-30 длинных ключей из случайных байтов и последующего их сшивания с сообщением.

Кампания ChromeLoader Shampoo очень похожа на старые версии ChromeLoader по цепочке заражения, распространению и цели. Существует множество сходств кода между расширением Shampoo и публично задокументированными версиями ChromeLoader. Мы с высокой степенью уверенности считаем, что Shampoo - это вариант ChromeLoader, использованный в данной кампании. Монетизация этого варианта соответствует другим публично задокументированным вариантам ChromeLoader, а именно рекламе через перенаправления.

#ParsedReport #CompletenessHigh
14-06-2023

Behind the Scenes: Unveiling the Hidden Workings of Earth Preta. Introduction

https://www.trendmicro.com/en_us/research/23/f/behind-the-scenes-unveiling-the-hidden-workings-of-earth-preta.html

Report completeness: High

Actors/Campaigns:
Earth_preta
Red_delta

Threats:
Mirogo
Qmagent
Tonedrop
Toneins
Toneshell
Mqsttang
Windbg_tool
Pubload

Victims:
Government entities, telecommunications industry, individuals across different regions

Industry:
Government, Iot, Telco

Geo:
Japan, Apac, Asia-pacific, Australia, Asia, Taiwan, Asian, Philippines, Myanmar

TTPs:

IOCs:
File: 21
Path: 9
Url: 170
Hash: 18
IP: 4

Algorithms:
xor, sha256

Win API:
CoCreateGuid, GetTickCount

Languages:
golang, javascript

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, schema: 6, code: 7, chart: 2, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Earth Preta - это APT-группа, которая с 2022 года нацелена на жертв в Азиатско-Тихоокеанском регионе, а недавно расширила свою деятельность на другие регионы. Группа использовала различные инструменты, методы и процедуры для проведения своих кампаний, и мы выявили ряд показателей, связанных с ней. Кроме того, мы смогли проанализировать рабочий процесс группы и заметили их склонность к повторному использованию определенных C&C-серверов и созданию своего арсенала с похожими C&C-протоколами и возможностями.
-----

Earth Preta - это передовая постоянная угроза (APT), действующая с 2022 года и нацеленная на жертв в Азиатско-Тихоокеанском регионе (APAC). В конце 2023 года мы заметили, что группа начала действовать в других регионах, таких как Восточная Европа и Западная Азия. Для проведения своих кампаний группа использовала различные инструменты, методы и процедуры (TTP), включая фишинговые электронные письма, вредоносные веб-сайты и вредоносное ПО.

В ходе нашего исследования мы выявили ряд признаков, связанных с APT-группой Earth Preta. К ним относятся кампания spear-phishing, начатая в ноябре 2022 года, доставка различных полезных нагрузок различным жертвам, размещение вредоносных веб-сайтов и использование таких вредоносных программ, как MIROGO, QMAGENT, TONEINS и TONESHELL. Мы также заметили тенденцию группы к повторному использованию определенных C&C-серверов в последующих волнах атак.

Мы смогли определить рабочий процесс кампаний Earth Preta, проанализировав скрипты, развернутые на сайтах загрузки вредоносных программ. Мы также заметили тенденцию группы к созданию своего арсенала с похожими протоколами C&C и возможностями на разных языках программирования, что свидетельствует о том, что участники Earth Preta, вероятно, оттачивали свои навыки разработки.

#ParsedReport #CompletenessMedium
14-06-2023

Threat Actor Targets Russian Gaming Community With WannaCry-Imitator

https://blog.cyble.com/2023/06/13/threat-actor-targets-russian-gaming-community-with-wannacry-imitator

Report completeness: Medium

Threats:
Wannacry

Victims:
Russian-speaking gamers

Industry:
Entertainment, Financial

Geo:
Russian

TTPs:
Tactics: 5
Technics: 7

IOCs:
Url: 3
Path: 3
File: 9
Command: 1
Hash: 6

Softs:
pyinstaller, task scheduler, telegram

Algorithms:
sha256, aes, sha1

Functions:
MutexAlreadyAcquired

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WannaCry 3.0 Ransomware - это вредоносная программа, которая эксплуатирует геймеров и нацелена на русскоязычных пользователей, используя модифицированную версию открытого ПО Crypter ransomware. Важно знать об этой угрозе и принять меры предосторожности.
-----

Cyble Research and Intelligence Labs (CRIL) обнаружила фишинговую кампанию, направленную на русскоязычных геймеров для распространения ransomware. На поддельном сайте размещается установочный файл, который содержит два файла - легитимный установщик игры и вымогательское ПО с именем WannaCry 3.0. Эта программа-вымогатель представляет собой модифицированную версию криптовалюты Ransomware Crypter с открытым исходным кодом, разработанную для Windows и написанную на языке Python.

Программа-вымогатель использует расширение файла wncry для шифрования файлов и создает в системе мьютекс с именем mutex_rr_windows. Он получает свои параметры конфигурации из файла runtime.cfg, который представляет собой JSON-файл. Кроме того, он добавляет два файла в папку C:\Users\user\AppData\Roaming, enc_test.txt и encrypted_files.txt. Для шифрования файлов он использует алгоритм шифрования AES и меняет фоновое изображение рабочего стола, чтобы показать дополнительную информацию. Он также содержит идентификатор учетной записи Telegram - wncry_support_bot - для ведения переговоров с субъектами угрозы.

WannaCry 3.0 Ransomware - это вредоносная программа, эксплуатирующая геймеров и нацеленная на русскоязычных пользователей. Она имеет простое управление и не имеет сайта утечки или выделенной ссылки на чат, но использует бота Telegram для связи, связанной с выкупом. Она является модифицированной версией Crypter ransomware с открытым исходным кодом, поэтому важно знать об этой угрозе и принять меры предосторожности.

#ParsedReport #CompletenessLow
14-06-2023

Threat Hunt: KillNet s DDoS HEAD Flood Attacks - cc\.py

https://cybersecurity.att.com/blogs/security-essentials/killnets-ddos-head-flood-attacks-cc.py

Report completeness: Low

Actors/Campaigns:
Killnet

Victims:
State and local governments, telecommunications, and defense

Industry:
Telco, Government, Aerospace

Geo:
Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1105, T1095, T1497, T1498

IOCs:
File: 1

Languages:
perl, python

Links:
https://github.com/Leeon123/CC-attack

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Killnet - это группа передовых постоянных угроз (APT), базирующаяся в России и нацеленная на тех, кто поддерживает Украину и ее политическую повестку дня. Для защиты от вредоносной деятельности Killnet была создана виртуальная среда атаки, имитирующая тактику, методы и процедуры (TTPs) Killnet. Были разработаны две гипотезы для определения использования DDoS HEAD-флудов, которые могут быть использованы для защиты от вредоносной деятельности Killnet.
-----

Killnet - это группа постоянных угроз (APT), базирующаяся в России. Она действует как минимум с 2015 года и известна своими изощренными и постоянными атаками на различные отрасли, включая государственные и местные органы власти, телекоммуникации и оборону. Killnet связана с некоторыми громкими атаками, такими как взлом Демократического национального комитета (DNC) во время президентских выборов в США в 2016 году и DDoS-атаки на американские аэропорты и службу спутниковой широкополосной связи Starlink Элона Маска.

В последнее время Killnet атакует тех, кто наиболее активно поддерживает Украину и ее политическую повестку дня. Для борьбы с этой угрозой была создана виртуальная среда атаки для моделирования тактики, техники и процедур (ТТП) Killnet. Эта среда будет использоваться для написания обнаружений и запросов на поиск угроз, чтобы проактивно выявлять ТТП Killnet, компенсируя при этом ограничения традиционного исторического поиска IOC.

Для эмуляции атаки Killnet был использован cc.py, который генерировал непрерывные HEAD-запросы к серверу Apache. При просмотре HTTP-трафика HEAD было обнаружено, что после "HEAD /?" постоянно появляются цифры в диапазоне 11-12. Эта закономерность послужила основой для первой гипотезы, позволяющей определить использование DDoS HEAD-флуда. Для использования контекста, полученного из захвата пакетов, при анализе угроз можно использовать регулярные выражения, совместимые с Perl. Это позволяет писать правила Suricata/Snort, которые будут соответствовать наблюдаемым шаблонам в заголовках.

Кроме того, охотничьи запросы Splunk можно использовать для выявления "большого количества соединений из общего источника за короткий промежуток времени". Запрос разбивает временной столбец на 1-секундные отрезки, и можно установить порог для ретроактивного поиска в течение последних 7 дней с момента, когда активность была замечена впервые. Этот запрос служит в качестве второй гипотезы для определения использования DDoS HEAD-флудов.

Cc.py - это доступный в интернете инструмент Python, который может использоваться для DDoS-атак 7-го уровня. Он использует различные динамические характеристики для запуска DDoS-атак на веб-активы. Инструмент автоматизирует процесс использования открытых прокси-серверов для ретрансляции атак, сохраняя анонимность, что означает неэффективность традиционных методов блокировки на основе IP-адресов. Для запуска атаки используется следующая команда: python3 cc.py url http:// -f proxy.txt m head v 4 s 30. Эта команда определяет использование модуля "head" и устанавливает продолжительность атаки в 30 секунд. Модуль "head" заваливает целевой сервер непрерывными запросами HTTP HEAD до тех пор, пока он не будет выведен из строя.

Создав виртуальную среду атаки, можно написать запросы на обнаружение и поиск угроз, чтобы проактивно идентифицировать тактику, технику и процедуры Killnet, компенсируя при этом ограничения традиционного исторического поиска IOC. С помощью cc.py были разработаны две гипотезы для выявления использования DDoS HEAD-флудов. Первая гипотеза использует регулярные выражения, совместимые с Perl, для использования контекста, полученного из захвата пакетов при анализе угроз, а вторая гипотеза использует запросы Splunk hunt для выявления "большого количества соединений от общего источника за короткий промежуток времени". Оба этих метода могут быть использованы для защиты от вредоносной деятельности Killnet.

#ParsedReport #CompletenessMedium
14-06-2023

Cloud Mining Scam Distributes Roamer Banking Trojan

https://blog.cyble.com/2023/06/14/cloud-mining-scam-distributes-roamer-banking-trojan

Report completeness: Medium

Threats:
Roamer
Tron

Victims:
Unsuspecting individuals, cryptocurrency wallet applications, banking institutions

Industry:
Financial, Entertainment

Geo:
Vietnam, India

TTPs:
Tactics: 4
Technics: 10

IOCs:
Url: 10
File: 6
Hash: 5

Softs:
android, telegram

Wallets:
coinbase, metamask, tokenpocket, tronlink

Crypto:
bitcoin, ethereum, binance, kucoin

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банковский троян Roamer - это вредоносное приложение, которое нацелено на различные криптовалютные кошельки и банковские приложения и способно скомпрометировать конфиденциальные личные данные. Пользователи должны принимать меры по защите, например, сохранять бдительность, применять надежные меры безопасности и быть в курсе возникающих киберугроз.
-----

Киберпреступность становится все более изощренной, злоумышленники находят новые способы эксплуатации ничего не подозревающих людей и организаций. Недавно был выявлен агент угроз (TA), который использовал обманную тактику для распространения вредоносного ПО для Android через фишинговые веб-сайты и мошеннический канал Telegram. Вредоносное приложение, названное Roamer Banking Trojan, нацелено на различные криптовалютные кошельки и банковские приложения.

Банковский троянец Roamer использует службу Accessibility Service для извлечения конфиденциальной информации с зараженного устройства, такой как PIN-коды и пароли, хранящиеся в файле общих предпочтений config.xml. Кроме того, вредоносная программа способна перехватывать фотографии, собирать данные SMS, файлы и сведения о местоположении. Она также может выполнять такие операции, как автоматическое нажатие на компоненты, разблокировка и блокировка устройства, создание скриншотов, запуск записи экрана и замена данных буфера обмена.

Угроза, исходящая от банковского троянца Roamer, значительна из-за широкого спектра целевых приложений и возможности компрометации конфиденциальных персональных данных. Поэтому пользователи должны проявлять осторожность и принимать меры по защите от этого типа атак, например, сохранять бдительность, применять надежные меры безопасности и быть в курсе возникающих киберугроз. Кроме того, пользователям следует обращать внимание на подозрительные каналы для добычи криптовалюты на таких платформах, как Telegram, поскольку они могут привести к существенным финансовым потерям и значительным утечкам данных. Принимая необходимые меры предосторожности и сохраняя бдительность, пользователи и организации могут эффективно снизить риски, связанные с банковским троянцем Roamer и подобными атаками вредоносного ПО.

#ParsedReport #CompletenessMedium
14-06-2023

Understanding Ransomware Threat Actors: LockBit

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

Report completeness: Medium

Actors/Campaigns:
Blackmatter
Blackcat
Darkside (motivation: cyber_criminal)

Threats:
Lockbit
Stealbit
Blackcat
Conti
Credential_dumping_technique
Cobalt_strike
Metasploit_tool
Adfind_tool
Anydesk_tool
Atera_tool
Backstab_tool
Bloodhound_tool
Gmer_tool
Impacket_tool
Lazagne
Ligolo
Megasync_tool
Procdump_tool
Mimikatz_tool
Pchunter_tool
Powertool_tool
Process_hacker_tool
Plink_tool
Putty_tool
Seatbelt_tool
Screenconnect_tool
Connectwise_rat
Splashtop_tool
Teamviewer_tool
Log4shell_vuln
Uac_bypass_technique
Uacme
Blister_loader

Victims:
Organizations from various critical infrastructure sectors

Industry:
Energy, Foodtech, Government, Financial, Education, Transport, Healthcare

Geo:
Canadian, German, Australian, Canada, Australia, Germany, France

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)

CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2003 (r2, -)
- microsoft windows 7 (-)
- microsoft windows vista (-)
- microsoft windows xp (-)
have more...
CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)

CVE-2021-22986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
- f5 big-ip advanced firewall manager (<16.0.1.1, <15.1.2.1, <14.1.4, <12.1.5.3, <13.1.3.6)
- f5 big-ip application acceleration manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
- f5 big-ip analytics (<16.0.1.1, <13.1.3.6, <15.1.2.1, <14.1.4, <12.1.5.3)
- f5 big-ip application security manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
have more...
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 10
Technics: 42

IOCs:
File: 3
Email: 1

Softs:
esxi, macos, active directory, microsoft defender, sysinternals, local security authority, sysinternals psexec, psexec, softperfect network scanner, winscp, have more...

Algorithms:
des

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LockBit - это поставщик услуг Ransomware-as-a-Service, на счету которого множество успешных атак с использованием ransomware с 2020 года. Организациям следует сообщать властям об инцидентах с вымогательским ПО, чтобы помочь в расследовании и предотвращении дальнейших атак.
-----

LockBit - это поставщик услуг Ransomware-as-a-Service (RaaS), который несет ответственность за многие успешные атаки ransomware с 2020 года. LockBit предлагает своим филиалам гарантию оплаты, позволяя им получать платежи за выкуп до того, как отправить долю основной группе. Активность LockBit наблюдалась в разных странах: в 2022 году 18% инцидентов с ransomware произошли в Австралии, 22% - в Канаде, 23% - в Новой Зеландии и 16% - в США. Зафиксировано, что филиалы LockBit эксплуатируют многочисленные CVE, включая CVE-2021-44228, CVE-2021-22986, CVE-2019-0708 и CVE-2018-13379.

Важно помнить, что уплата выкупа не гарантирует восстановления файлов жертвы и может побудить злоумышленников атаковать другие организации. Поэтому организациям следует сообщать об инцидентах, связанных с ransomware, в соответствующие органы, чтобы помочь в расследовании и предотвращении дальнейших атак.

#technique

Gateway layer GZIP page zero-overhead injection script - allows you to inject JavaScript into a gziped HTTP response payload without the need to decompress (assuming you are in the TLS tunnel)

https://github-com.translate.goog/EtherDream/gzip-js-injector?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
15-06-2023

Hijacking S3 Buckets: New Attack Technique Exploited in the Wild by Supply Chain Attackers

https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers

Report completeness: Low

Threats:
Supply_chain_technique
Bignum

ChatGPT TTPs:
do not use without manual check
T1137.004, T1497, T1059.001, T1486

IOCs:
Hash: 6

Softs:
node.js

Algorithms:
sha1, sha256

Languages:
javascript

Links:
https://github.com/advisories/GHSA-7cgc-fjv4-52x6

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 2, schema: 2