Smooth Operator
Malware Analysis Report
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/smooth-operator/NCSC_MAR-Smooth-Operator.pdf
Malware Analysis Report
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/smooth-operator/NCSC_MAR-Smooth-Operator.pdf
#ParsedReport #CompletenessLow
29-06-2023
Rhysida Ransomware \| RaaS Crawls Out of Crimeware Undergrowth to Attack Chilean Army
https://www.sentinelone.com/blog/rhysida-ransomware-raas-crawls-out-of-crimeware-undergrowth-to-attack-chilean-army
Report completeness: Low
Threats:
Rhysida
Arcrypter
Victims:
Chilean army
Industry:
Government, Financial, Education
Geo:
Chilean, Australia, America, Chile, American, Asian, Asia
ChatGPT TTPs:
T1140, T1486, T1064
IOCs:
Hash: 3
File: 2
Path: 1
Soft:
nginx
Crypto:
bitcoin
Algorithms:
chacha20
YARA: Found
29-06-2023
Rhysida Ransomware \| RaaS Crawls Out of Crimeware Undergrowth to Attack Chilean Army
https://www.sentinelone.com/blog/rhysida-ransomware-raas-crawls-out-of-crimeware-undergrowth-to-attack-chilean-army
Report completeness: Low
Threats:
Rhysida
Arcrypter
Victims:
Chilean army
Industry:
Government, Financial, Education
Geo:
Chilean, Australia, America, Chile, American, Asian, Asia
ChatGPT TTPs:
do not use without manual checkT1140, T1486, T1064
IOCs:
Hash: 3
File: 2
Path: 1
Soft:
nginx
Crypto:
bitcoin
Algorithms:
chacha20
YARA: Found
SentinelOne
Rhysida Ransomware | RaaS Crawls Out of Crimeware Undergrowth to Attack Chilean Army
Read this technical breakdown of Rhysida ransomware and learn about its recent attacks on government institutions. Hunting rules and indicators included.
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2023 Rhysida Ransomware \| RaaS Crawls Out of Crimeware Undergrowth to Attack Chilean Army https://www.sentinelone.com/blog/rhysida-ransomware-raas-crawls-out-of-crimeware-undergrowth-to-attack-chilean-army Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Rhysida - это новая группа ransomware-as-a-service, которая с конца мая 2020 года атакует правительственные учреждения Латинской Америки. Для шифрования используется 4096-битный ключ RSA с алгоритмом ChaCha20, а записка с выкупом генерируется в виде PDF-документа. Он был обнаружен агентом SentinelOne Agent и имеет признаки менее опытного агента.
-----
Группа Rhysida ransomware-as-a-service (RaaS) появилась на сцене в конце мая 2020 года. Ее целью были правительственные учреждения Латинской Америки. 15 июня произошла утечка файлов, украденных у чилийской армии. В помощь охотникам за угрозами и командам безопасности были предоставлены технические подробности, правила охоты и IoC.
Чилийская армия сообщила, что 27 мая она подверглась кибератаке, которую позже приписали группе Rhysida. Это отличает Rhysida от других новых программ-вымогателей, поскольку их целью было государственное учреждение. Компания SentinelOne не заметила никаких явных связей с существующими операциями по распространению вымогательского ПО. Это не первый случай, когда правительственная организация Чили подвергается атаке нового семейства программ-вымогателей, как показала атака ARCrypter в ноябре 2022 года.
Название Rhysida относится к определенному роду многоножек, что отражено в брендинге на их блоге жертвы. Rhysida - это частный RaaS, который продается на частном рынке и не представлен на форумах. Группа позиционирует себя как команда кибербезопасности, которая оказывает своим жертвам услугу, атакуя их системы и рассказывая о потенциальных последствиях проблем с безопасностью. Они угрожают жертвам публичным распространением эксфильтрованных данных и принимают оплату только в биткоинах.
Rhysida - это 64-битное переносимое исполняемое (PE) приложение для Windows с криптографическим выкупом, скомпилированное с помощью MINGW/GCC. Для шифрования он использует 4096-битный ключ RSA с алгоритмом ChaCha20. Он также имеет список исключения файлов, чтобы избежать шифрования определенных файлов, и добавляет расширение .rhysida к имени зашифрованных файлов. Rhysida также генерирует записку о выкупе в виде PDF-документа, который встраивается в двоичный файл открытым текстом.
Жертвами Rhysida становятся жители Западной Европы, Северной и Южной Америки, а также Австралии, что в некоторой степени роднит целевую направленность группы со многими операциями ransomware, избегающими нападения на страны Восточной Европы и Содружества Независимых Государств Центральной Азии. Расширенные функции, помимо шифрования файлов, по-прежнему отсутствуют в текущих версиях Rhysida.
Агент SentinelOne обнаруживает Rhysida ransomware и предотвращает выполнение и шифрование файлов. Rhysida представляет собой необычную комбинацию методов, что позволяет предположить, что разработчик мыслит вне рамок современного ransomware. Такие функции, как записка о выкупе в формате PDF, могут быть использованы для повышения скрытности, а функция смены обоев довольно навязчива, хотя пока и не функциональна. Есть и признаки менее опытного игрока, такие как модификация реестра и команды PowerShell, которые можно увидеть в программе. Время покажет, окупится ли выбор разработчика опустить вездесущие функции, такие как удаление копий VSS, или их придется дополнять с помощью инструментов за пределами приложения Rhysida.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Rhysida - это новая группа ransomware-as-a-service, которая с конца мая 2020 года атакует правительственные учреждения Латинской Америки. Для шифрования используется 4096-битный ключ RSA с алгоритмом ChaCha20, а записка с выкупом генерируется в виде PDF-документа. Он был обнаружен агентом SentinelOne Agent и имеет признаки менее опытного агента.
-----
Группа Rhysida ransomware-as-a-service (RaaS) появилась на сцене в конце мая 2020 года. Ее целью были правительственные учреждения Латинской Америки. 15 июня произошла утечка файлов, украденных у чилийской армии. В помощь охотникам за угрозами и командам безопасности были предоставлены технические подробности, правила охоты и IoC.
Чилийская армия сообщила, что 27 мая она подверглась кибератаке, которую позже приписали группе Rhysida. Это отличает Rhysida от других новых программ-вымогателей, поскольку их целью было государственное учреждение. Компания SentinelOne не заметила никаких явных связей с существующими операциями по распространению вымогательского ПО. Это не первый случай, когда правительственная организация Чили подвергается атаке нового семейства программ-вымогателей, как показала атака ARCrypter в ноябре 2022 года.
Название Rhysida относится к определенному роду многоножек, что отражено в брендинге на их блоге жертвы. Rhysida - это частный RaaS, который продается на частном рынке и не представлен на форумах. Группа позиционирует себя как команда кибербезопасности, которая оказывает своим жертвам услугу, атакуя их системы и рассказывая о потенциальных последствиях проблем с безопасностью. Они угрожают жертвам публичным распространением эксфильтрованных данных и принимают оплату только в биткоинах.
Rhysida - это 64-битное переносимое исполняемое (PE) приложение для Windows с криптографическим выкупом, скомпилированное с помощью MINGW/GCC. Для шифрования он использует 4096-битный ключ RSA с алгоритмом ChaCha20. Он также имеет список исключения файлов, чтобы избежать шифрования определенных файлов, и добавляет расширение .rhysida к имени зашифрованных файлов. Rhysida также генерирует записку о выкупе в виде PDF-документа, который встраивается в двоичный файл открытым текстом.
Жертвами Rhysida становятся жители Западной Европы, Северной и Южной Америки, а также Австралии, что в некоторой степени роднит целевую направленность группы со многими операциями ransomware, избегающими нападения на страны Восточной Европы и Содружества Независимых Государств Центральной Азии. Расширенные функции, помимо шифрования файлов, по-прежнему отсутствуют в текущих версиях Rhysida.
Агент SentinelOne обнаруживает Rhysida ransomware и предотвращает выполнение и шифрование файлов. Rhysida представляет собой необычную комбинацию методов, что позволяет предположить, что разработчик мыслит вне рамок современного ransomware. Такие функции, как записка о выкупе в формате PDF, могут быть использованы для повышения скрытности, а функция смены обоев довольно навязчива, хотя пока и не функциональна. Есть и признаки менее опытного игрока, такие как модификация реестра и команды PowerShell, которые можно увидеть в программе. Время покажет, окупится ли выбор разработчика опустить вездесущие функции, такие как удаление копий VSS, или их придется дополнять с помощью инструментов за пределами приложения Rhysida.
#ParsedReport #CompletenessLow
29-06-2023
Decrypted: Akira Ransomware
https://decoded.avast.io/threatresearch/decrypted-akira-ransomware
Report completeness: Low
Threats:
Akira_ransomware
Conti
Victims:
Organizations in the education, finance and real estate industries, amongst others
Industry:
Education, Financial
ChatGPT TTPs:
T1036.009, T1486, T1543.002
IOCs:
File: 2
Hash: 10
Soft:
windows cryptoapi, windows explorer
Algorithms:
rsa-4096, chacha20
Win API:
CryptGenRandom
29-06-2023
Decrypted: Akira Ransomware
https://decoded.avast.io/threatresearch/decrypted-akira-ransomware
Report completeness: Low
Threats:
Akira_ransomware
Conti
Victims:
Organizations in the education, finance and real estate industries, amongst others
Industry:
Education, Financial
ChatGPT TTPs:
do not use without manual checkT1036.009, T1486, T1543.002
IOCs:
File: 2
Hash: 10
Soft:
windows cryptoapi, windows explorer
Algorithms:
rsa-4096, chacha20
Win API:
CryptGenRandom
Gendigital
Decrypted: Akira ransomware
Decryptor Usage Instructions
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2023 Decrypted: Akira Ransomware https://decoded.avast.io/threatresearch/decrypted-akira-ransomware Report completeness: Low Threats: Akira_ransomware Conti Victims: Organizations in the education, finance and real…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что компания Avast выпустила дешифратор для помощи пострадавшим от программы Akira ransomware, который особенно полезен для организаций в сфере образования, финансов и недвижимости. Дешифратор совместим только с версией ransomware для Windows и не может расшифровать файлы старого варианта, но может быть использован для расшифровки файлов, зашифрованных версией для Linux.
-----
Недавно выпущенный компанией Avast расшифровщик вымогатель Akira представляет собой 64-битный двоичный файл для Windows, написанный на C++ с большой поддержкой библиотек C++ и библиотеки Boost. Он работает на операционных системах Windows и имеет некоторые сходства с программой Conti v2 ransomware. Программа генерирует симметричный ключ шифрования с помощью CryptGenRandom() и шифрует файлы размером 2000 000 байт и меньше с помощью Chacha 2008. Симметричный ключ шифруется с помощью шифра RSA-4096 и добавляется в конец зашифрованного файла, а открытый ключ жестко закодирован в двоичном файле ransomware.
Жертвам Akira ransomware предлагается посетить два сайта TOR - на первом перечислены взломанные компании, а на втором жертвы получают инструкции о том, как произвести оплату. Существует также версия Akira ransomware для Linux, которая работает идентично, хотя для запуска дешифровщика в Linux пользователям придется использовать слои WINE.
Чтобы воспользоваться дешифратором, пользователи должны загрузить 64-битный двоичный файл с сайта Avast, а затем предоставить пример файла в исходном виде и зашифрованного Akira ransomware. Файлы должны быть как можно большего размера, так как инструмент расшифровки будет изучать пару файлов и определять самый большой файл, который можно расшифровать. После того как файлы будут предоставлены, инструмент расшифровки начнет их дешифровку.
Дешифровщик Avast - это мощный инструмент для помощи тем, кто пострадал от вымогательского ПО Akira. Он был разработан для помощи организациям в сфере образования, финансов и недвижимости, которые стали жертвами этой программы с момента ее появления в марте 2023 года. Поскольку дешифратор не связан с оригинальной программой Akira ransomware, его нельзя использовать для расшифровки файлов этого старого варианта. Однако версия дешифратора для Windows может быть использована для расшифровки файлов, зашифрованных Linux-версией ransomware.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что компания Avast выпустила дешифратор для помощи пострадавшим от программы Akira ransomware, который особенно полезен для организаций в сфере образования, финансов и недвижимости. Дешифратор совместим только с версией ransomware для Windows и не может расшифровать файлы старого варианта, но может быть использован для расшифровки файлов, зашифрованных версией для Linux.
-----
Недавно выпущенный компанией Avast расшифровщик вымогатель Akira представляет собой 64-битный двоичный файл для Windows, написанный на C++ с большой поддержкой библиотек C++ и библиотеки Boost. Он работает на операционных системах Windows и имеет некоторые сходства с программой Conti v2 ransomware. Программа генерирует симметричный ключ шифрования с помощью CryptGenRandom() и шифрует файлы размером 2000 000 байт и меньше с помощью Chacha 2008. Симметричный ключ шифруется с помощью шифра RSA-4096 и добавляется в конец зашифрованного файла, а открытый ключ жестко закодирован в двоичном файле ransomware.
Жертвам Akira ransomware предлагается посетить два сайта TOR - на первом перечислены взломанные компании, а на втором жертвы получают инструкции о том, как произвести оплату. Существует также версия Akira ransomware для Linux, которая работает идентично, хотя для запуска дешифровщика в Linux пользователям придется использовать слои WINE.
Чтобы воспользоваться дешифратором, пользователи должны загрузить 64-битный двоичный файл с сайта Avast, а затем предоставить пример файла в исходном виде и зашифрованного Akira ransomware. Файлы должны быть как можно большего размера, так как инструмент расшифровки будет изучать пару файлов и определять самый большой файл, который можно расшифровать. После того как файлы будут предоставлены, инструмент расшифровки начнет их дешифровку.
Дешифровщик Avast - это мощный инструмент для помощи тем, кто пострадал от вымогательского ПО Akira. Он был разработан для помощи организациям в сфере образования, финансов и недвижимости, которые стали жертвами этой программы с момента ее появления в марте 2023 года. Поскольку дешифратор не связан с оригинальной программой Akira ransomware, его нельзя использовать для расшифровки файлов этого старого варианта. Однако версия дешифратора для Windows может быть использована для расшифровки файлов, зашифрованных Linux-версией ransomware.
#ParsedReport #CompletenessLow
29-06-2023
GuLoader Campaign Targets Law Firms in the US
https://blog.morphisec.com/guloader-campaign-targets-law-firms-in-the-us
Report completeness: Low
Threats:
Cloudeye
Netwire_rat
Lokibot_stealer
Formbook
Remcos_rat
Junk_code_technique
Victims:
Law firms, healthcare and investment firms in the united states
Industry:
Healthcare
IOCs:
Hash: 16
Domain: 1
Algorithms:
xor, base64
29-06-2023
GuLoader Campaign Targets Law Firms in the US
https://blog.morphisec.com/guloader-campaign-targets-law-firms-in-the-us
Report completeness: Low
Threats:
Cloudeye
Netwire_rat
Lokibot_stealer
Formbook
Remcos_rat
Junk_code_technique
Victims:
Law firms, healthcare and investment firms in the united states
Industry:
Healthcare
IOCs:
Hash: 16
Domain: 1
Algorithms:
xor, base64
Morphisec
GuLoader Campaign Targets Law Firms in the US
Morphisec Threat Labs has been tracking a GuLoader malware campaign targeting legal, healthcare and finance organizations. Read on for the full analysis.
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2023 GuLoader Campaign Targets Law Firms in the US https://blog.morphisec.com/guloader-campaign-targets-law-firms-in-the-us Report completeness: Low Threats: Cloudeye Netwire_rat Lokibot_stealer Formbook Remcos_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Morphisec Labs внимательно следит за кампанией GuLoader, направленной против юридических фирм, медицинских и инвестиционных компаний в США-----
Morphisec Labs внимательно следит за кампанией GuLoader, направленной против юридических фирм, медицинских и инвестиционных компаний в США. GuLoader, также известный как Cloudeye, активен уже более трех лет и трудно поддается анализу благодаря своим методам анти-анализа. Он используется для загрузки различных семейств вредоносных программ, таких как NetWire, Lokibot, Xloader и Remcos, с помощью легитимных хостинг-сервисов, таких как Google Drive, OneDrive и GCloud. В данной конкретной кампании GuLoader использовался для доставки Remcos RAT через github.io.
DoubleClick, популярный сервис кликов по объявлениям, предоставляемый компанией Google, широко используется в онлайн-рекламе и часто применяется субъектами угроз для доставки GuLoader. VBScript GuLoader обфусцирован нежелательным кодом и случайными комментариями, а его шеллкод отвечает за загрузку, расшифровку и внедрение полезной нагрузки в процесс ieinstal.exe.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Morphisec Labs внимательно следит за кампанией GuLoader, направленной против юридических фирм, медицинских и инвестиционных компаний в США-----
Morphisec Labs внимательно следит за кампанией GuLoader, направленной против юридических фирм, медицинских и инвестиционных компаний в США. GuLoader, также известный как Cloudeye, активен уже более трех лет и трудно поддается анализу благодаря своим методам анти-анализа. Он используется для загрузки различных семейств вредоносных программ, таких как NetWire, Lokibot, Xloader и Remcos, с помощью легитимных хостинг-сервисов, таких как Google Drive, OneDrive и GCloud. В данной конкретной кампании GuLoader использовался для доставки Remcos RAT через github.io.
DoubleClick, популярный сервис кликов по объявлениям, предоставляемый компанией Google, широко используется в онлайн-рекламе и часто применяется субъектами угроз для доставки GuLoader. VBScript GuLoader обфусцирован нежелательным кодом и случайными комментариями, а его шеллкод отвечает за загрузку, расшифровку и внедрение полезной нагрузки в процесс ieinstal.exe.
#ParsedReport #CompletenessLow
29-06-2023
Beyond Search Results: Deconstructing SEO Poisoning Technique & Safeguarding Measures
https://www.cyfirma.com/outofband/beyond-search-results-deconstructing-seo-poisoning-technique-safeguarding-measures
Report completeness: Low
Threats:
Seo_poisoning_technique
Typosquatting_technique
Cloaking_technique
Teamviewer_tool
Bumblebee
Bazarbackdoor
Cobalt_strike
Vidar_stealer
Polymorphism_technique
Victims:
Organizations and individuals
Industry:
Financial
IOCs:
File: 1
Soft:
chatgpt, zoom, anyconnect
Languages:
python
29-06-2023
Beyond Search Results: Deconstructing SEO Poisoning Technique & Safeguarding Measures
https://www.cyfirma.com/outofband/beyond-search-results-deconstructing-seo-poisoning-technique-safeguarding-measures
Report completeness: Low
Threats:
Seo_poisoning_technique
Typosquatting_technique
Cloaking_technique
Teamviewer_tool
Bumblebee
Bazarbackdoor
Cobalt_strike
Vidar_stealer
Polymorphism_technique
Victims:
Organizations and individuals
Industry:
Financial
IOCs:
File: 1
Soft:
chatgpt, zoom, anyconnect
Languages:
python
CYFIRMA
Beyond Search Results: Deconstructing SEO Poisoning Technique & Safeguarding Measures - CYFIRMA
EXECUTIVE SUMMARY At Cyfirma, we are dedicated to providing you with up-to-date information on the most prevalent threats and tactics...
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2023 Beyond Search Results: Deconstructing SEO Poisoning Technique & Safeguarding Measures https://www.cyfirma.com/outofband/beyond-search-results-deconstructing-seo-poisoning-technique-safeguarding-measures Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Организации должны уделять приоритетное внимание программам обучения и повышения осведомленности пользователей в области безопасности, создавать надежную внутреннюю систему безопасности и регулярно сообщать о ненормальных результатах SEO своим группам безопасности, чтобы бороться с угрозой отравления SEO. Для защиты от его влияния необходимы стратегии обнаружения, предотвращения и смягчения последствий.
-----
SEO-заражение - это вредоносная техника, используемая субъектами угроз для манипулирования результатами поисковых систем и привлечения пользователей на свои вредоносные веб-сайты. Для этого используются опечатки, тактика "черного" SEO, набивка ключевых слов, маскировка, манипуляции с поисковым рейтингом и использование частных сетей ссылок, чтобы обмануть пользователей и подвергнуть их таким рискам, как кража учетных данных, заражение вредоносным ПО и финансовые потери. Злоумышленники используют ИИ и модели, подобные ChatGPT, для повышения эффективности своих атак SEO poisoning. Алгоритмы ИИ могут помочь им определить популярные поисковые запросы и трендовые темы, чтобы оптимизировать вредоносный контент для максимальной видимости.
Организации сталкиваются с повышенным риском распространения вредоносного ПО, целенаправленной эксплуатации, а также серьезными репутационными и финансовыми последствиями из-за кампаний по отравлению SEO. Для борьбы с этой всепроникающей угрозой организации должны уделять приоритетное внимание программам обучения и повышения осведомленности пользователей в области безопасности, создавать надежную внутреннюю систему безопасности и регулярно сообщать командам безопасности о ненормальных результатах SEO. Для защиты от коварного влияния SEO poisoning необходимы стратегии обнаружения, предотвращения и смягчения последствий, такие как процедуры обнаружения typosquatting, списки IOC и решения EDR. Оставаясь информированными и проактивными, организации могут лучше защитить себя и смягчить пагубные последствия SEO-травления.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Организации должны уделять приоритетное внимание программам обучения и повышения осведомленности пользователей в области безопасности, создавать надежную внутреннюю систему безопасности и регулярно сообщать о ненормальных результатах SEO своим группам безопасности, чтобы бороться с угрозой отравления SEO. Для защиты от его влияния необходимы стратегии обнаружения, предотвращения и смягчения последствий.
-----
SEO-заражение - это вредоносная техника, используемая субъектами угроз для манипулирования результатами поисковых систем и привлечения пользователей на свои вредоносные веб-сайты. Для этого используются опечатки, тактика "черного" SEO, набивка ключевых слов, маскировка, манипуляции с поисковым рейтингом и использование частных сетей ссылок, чтобы обмануть пользователей и подвергнуть их таким рискам, как кража учетных данных, заражение вредоносным ПО и финансовые потери. Злоумышленники используют ИИ и модели, подобные ChatGPT, для повышения эффективности своих атак SEO poisoning. Алгоритмы ИИ могут помочь им определить популярные поисковые запросы и трендовые темы, чтобы оптимизировать вредоносный контент для максимальной видимости.
Организации сталкиваются с повышенным риском распространения вредоносного ПО, целенаправленной эксплуатации, а также серьезными репутационными и финансовыми последствиями из-за кампаний по отравлению SEO. Для борьбы с этой всепроникающей угрозой организации должны уделять приоритетное внимание программам обучения и повышения осведомленности пользователей в области безопасности, создавать надежную внутреннюю систему безопасности и регулярно сообщать командам безопасности о ненормальных результатах SEO. Для защиты от коварного влияния SEO poisoning необходимы стратегии обнаружения, предотвращения и смягчения последствий, такие как процедуры обнаружения typosquatting, списки IOC и решения EDR. Оставаясь информированными и проактивными, организации могут лучше защитить себя и смягчить пагубные последствия SEO-травления.
#ParsedReport #CompletenessLow
29-06-2023
Malware Disguised as HWP Document File (Kimsuky)
https://asec.ahnlab.com/en/54736
Report completeness: Low
Actors/Campaigns:
Kimsuky
Threats:
Dropper/win.agent.c5441936
Powershell_keylogger_tool
Geo:
Korean
ChatGPT TTPs:
T1204.001
IOCs:
File: 4
Url: 5
Hash: 5
Soft:
onenote
Algorithms:
base64
29-06-2023
Malware Disguised as HWP Document File (Kimsuky)
https://asec.ahnlab.com/en/54736
Report completeness: Low
Actors/Campaigns:
Kimsuky
Threats:
Dropper/win.agent.c5441936
Powershell_keylogger_tool
Geo:
Korean
ChatGPT TTPs:
do not use without manual checkT1204.001
IOCs:
File: 4
Url: 5
Hash: 5
Soft:
onenote
Algorithms:
base64
ASEC BLOG
Malware Disguised as HWP Document File (Kimsuky) - ASEC BLOG
AhnLab Security Emergency response Center (ASEC) has recently confirmed malware, which was previously distributed in CHM and OneNote file formats, being distributed as an executable. Considering that the words used in the malware and the executed script code…
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2023 Malware Disguised as HWP Document File (Kimsuky) https://asec.ahnlab.com/en/54736 Report completeness: Low Actors/Campaigns: Kimsuky Threats: Dropper/win.agent.c5441936 Powershell_keylogger_tool Geo: Korean …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Чтобы не допустить заражения вредоносным кодом, пользователям важно проявлять осторожность и соблюдать правила безопасного просмотра веб-страниц при работе с неизвестными источниками. Кроме того, пользователям следует установить и поддерживать антивирусное программное обеспечение, обновлять операционную систему и программные приложения, а также сообщать о подозрительной активности в службу безопасности.
-----
Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносного исполняемого программного обеспечения. Есть подозрение, что это вредоносное ПО было создано той же угрожающей группой Kimsuky, которая ранее распространяла вредоносный код в форматах файлов CHM и OneNote. Вредоносный исполняемый файл замаскирован под файл документа .HWP и содержит файл readme.txt с сообщением, побуждающим пользователя открыть вредоносный EXE-файл (Personal Data Leakage Details.hwp.exe). Вредоносный EXE-файл был скомпилирован с помощью .NET, и в нем отображается окно сообщения, содержащее северокорейский диалект. Такая обманчивая тактика затрудняет для пользователей идентификацию вредоносного поведения.
Учитывая постоянное обнаружение этого типа вредоносных программ, пользователям важно проявлять осторожность при работе с неизвестными источниками. При открытии вложений электронной почты пользователи всегда должны проверять расширение файла, чтобы убедиться, что он не является вредоносным. Следует избегать выполнения файлов из неизвестных источников. Кроме того, пользователям следует придерживаться правил безопасного просмотра веб-страниц. Они никогда не должны нажимать на подозрительные ссылки, которые могут быть отправлены по электронной почте или в социальных сетях, так как они могут вести на вредоносные веб-сайты.
Компания AhnLab выпустила бюллетень безопасности с подробным описанием вредоносного исполняемого файла, и всем пользователям рекомендуется уделить время его изучению. AhnLab также рекомендует пользователям установить и поддерживать обновленное антивирусное программное обеспечение для защиты своих устройств от вредоносных угроз. Кроме того, пользователям следует регулярно обновлять операционную систему и программные приложения, чтобы убедиться, что они работают на последних версиях.
Чтобы обезопасить себя от вредоносного кода, пользователи должны продолжать проявлять бдительность и соблюдать правила кибергигиены. Выполняя эти действия, пользователи могут значительно снизить риск заражения вредоносным программным обеспечением. Кроме того, пользователи должны всегда сообщать о любых подозрительных действиях своей службе безопасности и следовать всем полученным инструкциям.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Чтобы не допустить заражения вредоносным кодом, пользователям важно проявлять осторожность и соблюдать правила безопасного просмотра веб-страниц при работе с неизвестными источниками. Кроме того, пользователям следует установить и поддерживать антивирусное программное обеспечение, обновлять операционную систему и программные приложения, а также сообщать о подозрительной активности в службу безопасности.
-----
Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносного исполняемого программного обеспечения. Есть подозрение, что это вредоносное ПО было создано той же угрожающей группой Kimsuky, которая ранее распространяла вредоносный код в форматах файлов CHM и OneNote. Вредоносный исполняемый файл замаскирован под файл документа .HWP и содержит файл readme.txt с сообщением, побуждающим пользователя открыть вредоносный EXE-файл (Personal Data Leakage Details.hwp.exe). Вредоносный EXE-файл был скомпилирован с помощью .NET, и в нем отображается окно сообщения, содержащее северокорейский диалект. Такая обманчивая тактика затрудняет для пользователей идентификацию вредоносного поведения.
Учитывая постоянное обнаружение этого типа вредоносных программ, пользователям важно проявлять осторожность при работе с неизвестными источниками. При открытии вложений электронной почты пользователи всегда должны проверять расширение файла, чтобы убедиться, что он не является вредоносным. Следует избегать выполнения файлов из неизвестных источников. Кроме того, пользователям следует придерживаться правил безопасного просмотра веб-страниц. Они никогда не должны нажимать на подозрительные ссылки, которые могут быть отправлены по электронной почте или в социальных сетях, так как они могут вести на вредоносные веб-сайты.
Компания AhnLab выпустила бюллетень безопасности с подробным описанием вредоносного исполняемого файла, и всем пользователям рекомендуется уделить время его изучению. AhnLab также рекомендует пользователям установить и поддерживать обновленное антивирусное программное обеспечение для защиты своих устройств от вредоносных угроз. Кроме того, пользователям следует регулярно обновлять операционную систему и программные приложения, чтобы убедиться, что они работают на последних версиях.
Чтобы обезопасить себя от вредоносного кода, пользователи должны продолжать проявлять бдительность и соблюдать правила кибергигиены. Выполняя эти действия, пользователи могут значительно снизить риск заражения вредоносным программным обеспечением. Кроме того, пользователи должны всегда сообщать о любых подозрительных действиях своей службе безопасности и следовать всем полученным инструкциям.
#ParsedReport #CompletenessMedium
29-06-2023
Red Wolf is back to spy on commercial firms
https://bi.zone/eng/expertise/blog/red-wolf-vnov-shpionit-za-kommercheskimi-organizatsiyami
Report completeness: Medium
Actors/Campaigns:
Red_wolf (motivation: cyber_espionage)
Threats:
Ad_explorer_tool
Lazagne_tool
Victims:
Corporate infrastructures
Geo:
Germany, Norway, Ukraine, Russia, Canada
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 2
Path: 1
Url: 1
Hash: 3
Domain: 3
Soft:
windows task scheduler
Algorithms:
aes, aes-128, cbc, base64
29-06-2023
Red Wolf is back to spy on commercial firms
https://bi.zone/eng/expertise/blog/red-wolf-vnov-shpionit-za-kommercheskimi-organizatsiyami
Report completeness: Medium
Actors/Campaigns:
Red_wolf (motivation: cyber_espionage)
Threats:
Ad_explorer_tool
Lazagne_tool
Victims:
Corporate infrastructures
Geo:
Germany, Norway, Ukraine, Russia, Canada
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 2
Path: 1
Url: 1
Hash: 3
Domain: 3
Soft:
windows task scheduler
Algorithms:
aes, aes-128, cbc, base64
BI.ZONE
Red Wolf is back to spy on commercial firms
Red Wolf, the hacker group that went off the radar in 2022, is back with its old tricks, leveraging classic phishing ploys to penetrate corporate infrastructures. Aiming to remain invisible as long as possible, the group breaks down its intrusion into stages…
CTT Report Hub
#ParsedReport #CompletenessMedium 29-06-2023 Red Wolf is back to spy on commercial firms https://bi.zone/eng/expertise/blog/red-wolf-vnov-shpionit-za-kommercheskimi-organizatsiyami Report completeness: Medium Actors/Campaigns: Red_wolf (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Red Wolf - опасная хакерская группа, которая может оставаться незамеченной в корпоративной инфраструктуре в течение длительного времени, и для защиты от их атак важно знать их тактику, методы и процедуры и отслеживать подозрительную активность.
-----
Red Wolf - хакерская группа, специализирующаяся на корпоративном шпионаже. Пропав с радаров в 2022 году, они недавно появились вновь и используют классические фишинговые уловки для проникновения в корпоративную инфраструктуру. Они разбивают вторжение на этапы и используют IMG-файлы, содержащие LNK-файлы, для доставки вредоносного ПО на взломанную систему. Вредоносная программа, используемая Red Wolf, называется RedCurl.FSABIN. Она использует Windows API для сбора информации о количестве процессоров, объеме памяти, емкости хранилища, а также о времени, прошедшем с момента запуска операционной системы до запуска образца вредоносной программы. Затем она отправляет эту информацию на командно-контрольный сервер и загружает дополнительные инструменты для постэксплуатации. Red Wolf использует сочетание собственного фреймворка и обычных инструментов, таких как LaZagne и AD Explorer.
Текущая кампания Red Wolf была обнаружена BI.ZONE в России, Канаде, Германии, Норвегии, Украине и Великобритании. Эта кампания использует фишинговые электронные письма для доставки вредоносных файлов. При открытии вредоносные файлы загружают и запускают RedCurl.FSABIN, который позволяет злоумышленникам выполнять команды во взломанной среде. Медленно продвигаясь в скомпрометированной ИТ-инфраструктуре, Red Wolf способен оставаться невидимым до шести месяцев.
Чтобы обнаружить следы Red Wolf, BI.ZONE предлагает контролировать создание и монтирование небольших файлов образов дисков, обращать внимание на DLL-файлы, запускаемые rundll32 из #TEMP, отслеживать подозрительные файлы, запускаемые планировщиком задач Windows из C:\Users\ user \AppData\Local, искать следы сетевого взаимодействия с поддоменами *.amscloudhost . com, а также уделять приоритетное внимание обнаружению тактик, техник и процедур, характерных для Red Wolf. Подробная информация о Red Wolf и его тактиках, техниках и процедурах, а также другие индикаторы компрометации доступны в BI.ZONE ThreatVision.
Red Wolf - опасная хакерская группа, способная оставаться незамеченной в корпоративной инфраструктуре в течение длительного времени. Для защиты от их атак важно знать их тактику, методы и процедуры, а также отслеживать подозрительную активность. Следуя рекомендациям BI.ZONE, организации могут повысить свои шансы на обнаружение и предотвращение атаки Red Wolf.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Red Wolf - опасная хакерская группа, которая может оставаться незамеченной в корпоративной инфраструктуре в течение длительного времени, и для защиты от их атак важно знать их тактику, методы и процедуры и отслеживать подозрительную активность.
-----
Red Wolf - хакерская группа, специализирующаяся на корпоративном шпионаже. Пропав с радаров в 2022 году, они недавно появились вновь и используют классические фишинговые уловки для проникновения в корпоративную инфраструктуру. Они разбивают вторжение на этапы и используют IMG-файлы, содержащие LNK-файлы, для доставки вредоносного ПО на взломанную систему. Вредоносная программа, используемая Red Wolf, называется RedCurl.FSABIN. Она использует Windows API для сбора информации о количестве процессоров, объеме памяти, емкости хранилища, а также о времени, прошедшем с момента запуска операционной системы до запуска образца вредоносной программы. Затем она отправляет эту информацию на командно-контрольный сервер и загружает дополнительные инструменты для постэксплуатации. Red Wolf использует сочетание собственного фреймворка и обычных инструментов, таких как LaZagne и AD Explorer.
Текущая кампания Red Wolf была обнаружена BI.ZONE в России, Канаде, Германии, Норвегии, Украине и Великобритании. Эта кампания использует фишинговые электронные письма для доставки вредоносных файлов. При открытии вредоносные файлы загружают и запускают RedCurl.FSABIN, который позволяет злоумышленникам выполнять команды во взломанной среде. Медленно продвигаясь в скомпрометированной ИТ-инфраструктуре, Red Wolf способен оставаться невидимым до шести месяцев.
Чтобы обнаружить следы Red Wolf, BI.ZONE предлагает контролировать создание и монтирование небольших файлов образов дисков, обращать внимание на DLL-файлы, запускаемые rundll32 из #TEMP, отслеживать подозрительные файлы, запускаемые планировщиком задач Windows из C:\Users\ user \AppData\Local, искать следы сетевого взаимодействия с поддоменами *.amscloudhost . com, а также уделять приоритетное внимание обнаружению тактик, техник и процедур, характерных для Red Wolf. Подробная информация о Red Wolf и его тактиках, техниках и процедурах, а также другие индикаторы компрометации доступны в BI.ZONE ThreatVision.
Red Wolf - опасная хакерская группа, способная оставаться незамеченной в корпоративной инфраструктуре в течение длительного времени. Для защиты от их атак важно знать их тактику, методы и процедуры, а также отслеживать подозрительную активность. Следуя рекомендациям BI.ZONE, организации могут повысить свои шансы на обнаружение и предотвращение атаки Red Wolf.
#ParsedReport #CompletenessLow
29-06-2023
8Base Ransomware: A Heavy Hitting Player
https://blogs.vmware.com/security/2023/06/8base-ransomware-a-heavy-hitting-player.html
Report completeness: Low
Actors/Campaigns:
Ransom_house
Threats:
8base
Carbon
Phobos
Smokeloader
Systembc
Victims:
Business services, finance, manufacturing, and information technology
Industry:
Financial
ChatGPT TTPs:
T1486, T1490, T1484, T1485, T1489, T1082, T1492, T1497, T1498
IOCs:
Url: 1
Domain: 9
Hash: 5
File: 3
Soft:
telegram, jabber
Algorithms:
sha1, sha256
29-06-2023
8Base Ransomware: A Heavy Hitting Player
https://blogs.vmware.com/security/2023/06/8base-ransomware-a-heavy-hitting-player.html
Report completeness: Low
Actors/Campaigns:
Ransom_house
Threats:
8base
Carbon
Phobos
Smokeloader
Systembc
Victims:
Business services, finance, manufacturing, and information technology
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1486, T1490, T1484, T1485, T1489, T1082, T1492, T1497, T1498
IOCs:
Url: 1
Domain: 9
Hash: 5
File: 3
Soft:
telegram, jabber
Algorithms:
sha1, sha256
VMware Security Blog
8Base Ransomware: A Heavy Hitting Player
8Base ransomware group has remained relatively unknown despite the massive spike in activity in Summer of 2023, learn more about their attack patterns.
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2023 8Base Ransomware: A Heavy Hitting Player https://blogs.vmware.com/security/2023/06/8base-ransomware-a-heavy-hitting-player.html Report completeness: Low Actors/Campaigns: Ransom_house Threats: 8base Carbon Phobos…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: 8Base - активная группа ransomware с марта 2022 года, использующая различные типы ransomware и тактику подражания RansomHouse, и нацеленная на малые предприятия с расширением файла .8base. Для защиты от этой группы настоятельно рекомендуется использовать продукты для обнаружения конечных точек.
-----
Группа 8Base ransomware действует с марта 2022 года, а в июне 2023 года наблюдается значительный всплеск активности. Они используют методы шифрования в сочетании с тактикой "имя и позор", чтобы заставить жертв заплатить выкуп. 8Base использует оппортунистическую модель компрометации, атакуя различные отрасли, включая бизнес-услуги, финансы, производство и информационные технологии. Скорость и эффективность текущих операций 8Base указывает на то, что это скорее хорошо организованная зрелая организация, чем новая группа.
Эта группа известна тем, что стиль общения поразительно похож на стиль общения другой известной группы разработчиков вымогательского ПО - RansomHouse. Большая часть слов на странице приветствия, Условиях предоставления услуг и страницах FAQ 8Base слово в слово скопирована с RansomHouse. В ходе исследования 8Base было обнаружено, что у них нет собственной фирменной программы-выкупа, вместо этого они используют различные типы программ-выкупов, доступные на темных рынках. Были обнаружены две записки о выкупе, одна из которых соответствовала RansomHouse, а другая - Phobos.
Был найден образец программы-выкупа, используемой 8Base, которая использовала расширение .8base в зашифрованных файлах. Анализ показал, что он использовал Phobos версии 2.9.1, который был загружен с помощью SmokeLoader. 8Base добавила свой собственный брендинг к выкупной программе, добавив .8base к зашифрованным файлам и используя фиолетовый фон с хрящами в верхнем углу записки о выкупе. Программа-вымогатель была загружена с домена admlogs25.xyz, который, по-видимому, связан с SystemBC, прокси-сервером и инструментом удаленного администрирования.
В настоящее время 8Base остается одной из самых активных групп ransomware этим летом (2023 год). Неясно, является ли 8Base ответвлением RansomHouse или подражателем, или же они используют другое вымогательское ПО в рамках своих обычных рабочих процедур. Известно лишь то, что они очень активны и нацелены на малые предприятия. Настоятельно рекомендуется использовать продукты для обнаружения конечных точек, чтобы поймать ransomware до того, как оно разрастется.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: 8Base - активная группа ransomware с марта 2022 года, использующая различные типы ransomware и тактику подражания RansomHouse, и нацеленная на малые предприятия с расширением файла .8base. Для защиты от этой группы настоятельно рекомендуется использовать продукты для обнаружения конечных точек.
-----
Группа 8Base ransomware действует с марта 2022 года, а в июне 2023 года наблюдается значительный всплеск активности. Они используют методы шифрования в сочетании с тактикой "имя и позор", чтобы заставить жертв заплатить выкуп. 8Base использует оппортунистическую модель компрометации, атакуя различные отрасли, включая бизнес-услуги, финансы, производство и информационные технологии. Скорость и эффективность текущих операций 8Base указывает на то, что это скорее хорошо организованная зрелая организация, чем новая группа.
Эта группа известна тем, что стиль общения поразительно похож на стиль общения другой известной группы разработчиков вымогательского ПО - RansomHouse. Большая часть слов на странице приветствия, Условиях предоставления услуг и страницах FAQ 8Base слово в слово скопирована с RansomHouse. В ходе исследования 8Base было обнаружено, что у них нет собственной фирменной программы-выкупа, вместо этого они используют различные типы программ-выкупов, доступные на темных рынках. Были обнаружены две записки о выкупе, одна из которых соответствовала RansomHouse, а другая - Phobos.
Был найден образец программы-выкупа, используемой 8Base, которая использовала расширение .8base в зашифрованных файлах. Анализ показал, что он использовал Phobos версии 2.9.1, который был загружен с помощью SmokeLoader. 8Base добавила свой собственный брендинг к выкупной программе, добавив .8base к зашифрованным файлам и используя фиолетовый фон с хрящами в верхнем углу записки о выкупе. Программа-вымогатель была загружена с домена admlogs25.xyz, который, по-видимому, связан с SystemBC, прокси-сервером и инструментом удаленного администрирования.
В настоящее время 8Base остается одной из самых активных групп ransomware этим летом (2023 год). Неясно, является ли 8Base ответвлением RansomHouse или подражателем, или же они используют другое вымогательское ПО в рамках своих обычных рабочих процедур. Известно лишь то, что они очень активны и нацелены на малые предприятия. Настоятельно рекомендуется использовать продукты для обнаружения конечных точек, чтобы поймать ransomware до того, как оно разрастется.
#ParsedReport #CompletenessLow
29-06-2023
The Malicious Abuse of the Trusted PYPI
https://labs.k7computing.com/index.php/the-malicious-abuse-of-the-trusted-pypi
Report completeness: Low
Threats:
Snatch
Victims:
Windows users
Industry:
Financial
Geo:
Russia
IOCs:
Url: 2
Hash: 2
Soft:
discord
Crypto:
bitcoin
Algorithms:
zip
Languages:
python
Links:
29-06-2023
The Malicious Abuse of the Trusted PYPI
https://labs.k7computing.com/index.php/the-malicious-abuse-of-the-trusted-pypi
Report completeness: Low
Threats:
Snatch
Victims:
Windows users
Industry:
Financial
Geo:
Russia
IOCs:
Url: 2
Hash: 2
Soft:
discord
Crypto:
bitcoin
Algorithms:
zip
Languages:
python
Links:
https://gist.github.com/eset-research/b59dac8bea700ddf91881f3de81d287bK7 Labs
The Malicious Abuse of the Trusted PYPI
In our recent exploration, we encountered a tweet from ESET Research that highlights the dissemination of malware which is capable […]
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2023 The Malicious Abuse of the Trusted PYPI https://labs.k7computing.com/index.php/the-malicious-abuse-of-the-trusted-pypi Report completeness: Low Threats: Snatch Victims: Windows users Industry: Financial Geo:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исследователи обнаружили вредоносный код, встроенный в python-файл setup.py на PyPI, официальном репозитории пакетов для программного обеспечения, написанного на Python, который способен красть пароли и криптовалюту у пользователей Windows. Это подчеркивает важность настороженного отношения к любым пакетам, загружаемым с PyPI, и принятия мер предосторожности для обеспечения их безопасности.
-----
Исследователи из ESET Research недавно обнаружили вредоносный код, встроенный в один из пакетов PyPI, официального репозитория пакетов для программного обеспечения, написанного на языке Python. Код был предназначен для кражи паролей и криптовалюты у пользователей Windows и был обнаружен путем анализа python-файла setup.py.
Когда пакет установлен, он отправляет имя компьютера жертвы на C2-сервер через POST-запрос, предупреждая злоумышленников о том, что кто-то загружает пакет. Затем он может быть использован для замены любых данных, полученных с помощью настроенного C2-сервера.
Код способен собирать данные цифровых кошельков таких криптовалютных кошельков, как Exodus, Steam и Atomic. Он также собирает основную информацию, такую как имя компьютера и данные для входа в систему, а также токены в журнале браузера. Если существуют какие-либо исполняемые файлы типа DiscordTokenProtector/ProtectionPayload, он удаляет их и убивает их процессы перед отправкой токенов.
Вредоносный пакет также собирает информацию о пользователях из Discord API, такую как номера телефонов, электронная почта, статус биллинга и любые активные подписки Nitro. Кроме того, у пакета есть набор IP-адресов, расположенных в основном в России, на которых он не будет выполняться.
Обнаружение этого вредоносного кода подчеркивает важность осознания потенциальных рисков, связанных с загрузкой пакетов с PyPI. Разработчики должны тщательно исследовать любые пакеты, которые они загружают, чтобы убедиться в их безопасности и надежности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исследователи обнаружили вредоносный код, встроенный в python-файл setup.py на PyPI, официальном репозитории пакетов для программного обеспечения, написанного на Python, который способен красть пароли и криптовалюту у пользователей Windows. Это подчеркивает важность настороженного отношения к любым пакетам, загружаемым с PyPI, и принятия мер предосторожности для обеспечения их безопасности.
-----
Исследователи из ESET Research недавно обнаружили вредоносный код, встроенный в один из пакетов PyPI, официального репозитория пакетов для программного обеспечения, написанного на языке Python. Код был предназначен для кражи паролей и криптовалюты у пользователей Windows и был обнаружен путем анализа python-файла setup.py.
Когда пакет установлен, он отправляет имя компьютера жертвы на C2-сервер через POST-запрос, предупреждая злоумышленников о том, что кто-то загружает пакет. Затем он может быть использован для замены любых данных, полученных с помощью настроенного C2-сервера.
Код способен собирать данные цифровых кошельков таких криптовалютных кошельков, как Exodus, Steam и Atomic. Он также собирает основную информацию, такую как имя компьютера и данные для входа в систему, а также токены в журнале браузера. Если существуют какие-либо исполняемые файлы типа DiscordTokenProtector/ProtectionPayload, он удаляет их и убивает их процессы перед отправкой токенов.
Вредоносный пакет также собирает информацию о пользователях из Discord API, такую как номера телефонов, электронная почта, статус биллинга и любые активные подписки Nitro. Кроме того, у пакета есть набор IP-адресов, расположенных в основном в России, на которых он не будет выполняться.
Обнаружение этого вредоносного кода подчеркивает важность осознания потенциальных рисков, связанных с загрузкой пакетов с PyPI. Разработчики должны тщательно исследовать любые пакеты, которые они загружают, чтобы убедиться в их безопасности и надежности.
#ParsedReport #CompletenessMedium
29-06-2023
Following NoName057(16) DDoSia Project s Targets
https://blog.sekoia.io/following-noname05716-ddosia-projects-targets
Report completeness: Medium
Actors/Campaigns:
Noname057 (motivation: hacktivism)
Threats:
Ddosia_botnet
Industry:
Education, Financial, Government
Geo:
Ukrainian, Russian, Canada, Italian, Ukraine, Czech, Latvia, France, French, Poland, Italy, Russia, Lithuania
ChatGPT TTPs:
T1546.001, T1090, T1499
IOCs:
Url: 2
File: 3
IP: 1
Domain: 4
Hash: 6
Soft:
telegram, ubuntu
Algorithms:
gzip, zip, aes-gcm, base64, sha256, aes
Functions:
GetTargets, MakeClientLogin
Languages:
python
Platforms:
arm
29-06-2023
Following NoName057(16) DDoSia Project s Targets
https://blog.sekoia.io/following-noname05716-ddosia-projects-targets
Report completeness: Medium
Actors/Campaigns:
Noname057 (motivation: hacktivism)
Threats:
Ddosia_botnet
Industry:
Education, Financial, Government
Geo:
Ukrainian, Russian, Canada, Italian, Ukraine, Czech, Latvia, France, French, Poland, Italy, Russia, Lithuania
ChatGPT TTPs:
do not use without manual checkT1546.001, T1090, T1499
IOCs:
Url: 2
File: 3
IP: 1
Domain: 4
Hash: 6
Soft:
telegram, ubuntu
Algorithms:
gzip, zip, aes-gcm, base64, sha256, aes
Functions:
GetTargets, MakeClientLogin
Languages:
python
Platforms:
arm
Sekoia.io Blog
Following NoName057(16) DDoSia Project’s Targets
DDoSia is a DDoS attack toolkit used by the pro-Russia hacktivist group NoName057(16) against countries critical the invasion of Ukraine.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-06-2023 Following NoName057(16) DDoSia Project s Targets https://blog.sekoia.io/following-noname05716-ddosia-projects-targets Report completeness: Medium Actors/Campaigns: Noname057 (motivation: hacktivism) Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: NoName057(16) - пророссийская хактивистская группа, которая проводила DDoS-атаки на европейские, украинские и американские сайты государственных учреждений, СМИ и частных компаний, используя инструментарий атаки DDoSia. Вполне вероятно, что в ближайшей перспективе будут наблюдаться дальнейшие события.
-----
NoName057(16) - пророссийская хактивистская группа, разработавшая в начале 2022 года набор инструментов для атак DDoSia. Он использовался для проведения DDoS-атак на европейские, украинские и американские сайты государственных учреждений, СМИ и частных компаний. Основной коммуникационной платформой группы является канал Telegram, который насчитывает более 45 000 подписчиков. DDoSia написана на языке Python с использованием потоков процессора, а в апреле 2023 года была выпущена новая версия с дополнительным механизмом защиты для сокрытия списка целей.
Чтобы использовать DDoSia, пользователи должны зарегистрироваться через бота Telegram, @DDosiabot. Затем пользователи скачивают необходимые файлы и помещают файл client_id.txt в ту же папку, что и выбранный исполняемый файл. После запуска вредоносная программа выполняет POST-запрос на URL hxxp:// IP /client/login для аутентификации с C2. После аутентификации C2 возвращает токен, который затем используется для GET-запроса по адресу hxxp:// IP /client/get_targets. Этот запрос получает список целей, который зашифрован.
В новой версии DDoSia реализован механизм шифрования, чтобы сделать вредоносную программу более безопасной и трудной для обнаружения. Эта версия была написана на языке Go и выполняет функцию Decrypt_AESGCM для получения списка целей. Цели хранятся в словаре в формате JSON, который содержит такие поля, как IPv4-адрес и параметры для нацеливания на определенные URL-адреса. Группа продолжает обновлять проект DDoSia, делая его совместимым с различными операционными системами и усиливая безопасность.
Основными целями NoName057(16) являются Украина и страны НАТО, а вторичными - Франция, Великобритания, Италия, Канада и другие страны ЕС. Две основные цели - украинские сайты, связанные с testportal.gov.ua и e-journal.iea.gov.ua. В результате атаки пострадали многие отрасли экономики, включая образование, финансовый и транспортный секторы, а также государственные структуры. После того как президент Франции Макрон объявил о поставке Киеву системы противовоздушной обороны, были атакованы многочисленные цели, связанные с французской транспортной группой RATP.
NoName057(16) активно развивает свои возможности, вероятно, благодаря активному сообществу и растущему вниманию со стороны сообщества CTI. Вполне вероятно, что в ближайшей перспективе мы будем наблюдать дальнейшее развитие событий.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: NoName057(16) - пророссийская хактивистская группа, которая проводила DDoS-атаки на европейские, украинские и американские сайты государственных учреждений, СМИ и частных компаний, используя инструментарий атаки DDoSia. Вполне вероятно, что в ближайшей перспективе будут наблюдаться дальнейшие события.
-----
NoName057(16) - пророссийская хактивистская группа, разработавшая в начале 2022 года набор инструментов для атак DDoSia. Он использовался для проведения DDoS-атак на европейские, украинские и американские сайты государственных учреждений, СМИ и частных компаний. Основной коммуникационной платформой группы является канал Telegram, который насчитывает более 45 000 подписчиков. DDoSia написана на языке Python с использованием потоков процессора, а в апреле 2023 года была выпущена новая версия с дополнительным механизмом защиты для сокрытия списка целей.
Чтобы использовать DDoSia, пользователи должны зарегистрироваться через бота Telegram, @DDosiabot. Затем пользователи скачивают необходимые файлы и помещают файл client_id.txt в ту же папку, что и выбранный исполняемый файл. После запуска вредоносная программа выполняет POST-запрос на URL hxxp:// IP /client/login для аутентификации с C2. После аутентификации C2 возвращает токен, который затем используется для GET-запроса по адресу hxxp:// IP /client/get_targets. Этот запрос получает список целей, который зашифрован.
В новой версии DDoSia реализован механизм шифрования, чтобы сделать вредоносную программу более безопасной и трудной для обнаружения. Эта версия была написана на языке Go и выполняет функцию Decrypt_AESGCM для получения списка целей. Цели хранятся в словаре в формате JSON, который содержит такие поля, как IPv4-адрес и параметры для нацеливания на определенные URL-адреса. Группа продолжает обновлять проект DDoSia, делая его совместимым с различными операционными системами и усиливая безопасность.
Основными целями NoName057(16) являются Украина и страны НАТО, а вторичными - Франция, Великобритания, Италия, Канада и другие страны ЕС. Две основные цели - украинские сайты, связанные с testportal.gov.ua и e-journal.iea.gov.ua. В результате атаки пострадали многие отрасли экономики, включая образование, финансовый и транспортный секторы, а также государственные структуры. После того как президент Франции Макрон объявил о поставке Киеву системы противовоздушной обороны, были атакованы многочисленные цели, связанные с французской транспортной группой RATP.
NoName057(16) активно развивает свои возможности, вероятно, благодаря активному сообществу и растущему вниманию со стороны сообщества CTI. Вполне вероятно, что в ближайшей перспективе мы будем наблюдать дальнейшее развитие событий.