#rstcloud
Нас включили в реестр отечественного ПО!
https://reestr.digital.gov.ru/reestr/1613350/

#rstcloud
Мы сами ходим в WHOIS сервера и парсим ответы от них (есть даже отдельное API)
Так вот!
Обновили парсеры для доменов: .fi (Finland), .tm (Turkmenistan), .gd (Grenada), .direct, .foundation, .ngo, .repair, .sport, .med, .love, .support, .sydney, .amsterdam, .rocks, .place

#ParsedReport #CompletenessLow
05-07-2023

BlueNoroff \| How DPRK s macOS RustBucket Seeks to Evade Analysis and Detection

https://www.sentinelone.com/blog/bluenoroff-how-dprks-macos-rustbucket-seeks-to-evade-analysis-and-detection

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Rustbucket
Applescript

Victims:
Macos users

Geo:
Dprk

ChatGPT TTPs:
do not use without manual check
T1543.001, T1036, T1519.001, T1064, T1543.003, T1547.001

IOCs:
Hash: 43
File: 2
Domain: 2

Soft:
macos

Algorithms:
xor, zip

Functions:
system

Languages:
rust, objective_c

Platforms:
arm, intel, apple, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Кампания RustBucket - это сложная APT-атака на пользователей macOS, приписываемая APT-группе BlueNoroff. Она начинается с апплета, маскирующегося под приложение PDF Viewer, и написана на Swift и Objective-C. Он имеет два универсальных двоичных файла Mach-O, вариант A и вариант B, причем последний содержит механизм сохранения. Угрожающий субъект прилагает значительные усилия для уклонения от анализа и обнаружения, и SentinelOne обеспечивает защиту от известных компонентов вредоносной программы RustBucket.
-----

Кампания RustBucket - это сложная APT, направленная на пользователей macOS. Она с большой долей уверенности приписывается APT BlueNoroff, которая, как принято считать, является дочерней компанией более широкой группы кибер-атак КНДР, известной как Lazarus. Атака начинается с апплета, который маскируется под приложение PDF Viewer. Этот апплет используется для записи второй стадии вредоносного ПО в папку /Users/Shared/, которая не требует разрешений и доступна для вредоносного ПО без необходимости обхода TCC.

Было установлено, что полезные нагрузки Stage 2 написаны на языках Swift и Objective-C и скомпилированы для кремниевых архитектур Intel и Apple. Размеры и артефакты кода образцов Stage 2 различны, но все полезные нагрузки имеют задачу получения Stage 3 с командно-контрольного сервера. В одном из новых вариантов Stage 2, написанном на Swift, строка User-Agent написана в нижнем регистре, что может указывать на то, что угрожающие субъекты анализируют строки пользовательских агентов на стороне сервера, чтобы отсеять нежелательные вызовы к C2.

Были найдены два универсальных двоичных файла Mach-O, вариант A и вариант B; вариант A имеет размер 11,84 МБ, а вариант B - 8,12 МБ. Вариант B содержит механизм сохранения, отсутствующий в предыдущих версиях RustBucket, в виде жестко закодированного LaunchAgent, записанного на диск по адресу \~/Library/LaunchAgents/com.apple.systemupdate.plist. Файл ErrorCheck записывает копию себя в \~/Library/Metadata/System Update.

Обширные усилия, предпринятые для уклонения от анализа и обнаружения, показывают, что угрожающий субъект знает о растущем распространении защитного ПО среди организаций, имеющих в своем парке устройства на базе macOS. Компания SentinelOne отслеживает кампанию RustBucket и продолжает анализ известных полезных нагрузок. Они также обеспечивают защиту от известных компонентов вредоносного ПО RustBucket, а также от попыток установить механизмы сохранения на устройствах macOS.

#ParsedReport #CompletenessLow
05-07-2023

Email crypto phishing scams: stealing from hot and cold crypto wallets

https://securelist.com/hot-and-cold-cryptowallet-phishing/110136

Report completeness: Low

Victims:
Users of hot and cold wallets

Industry:
Financial

IOCs:
Url: 2

Soft:
node.js

Wallets:
coinbase

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники постоянно находят новые способы кражи цифровых денег, и пользователям криптовалют необходимо быть бдительными, чтобы защитить свои активы. Холодные кошельки более безопасны, чем горячие, но киберпреступники становятся все более изощренными в своей тактике.
-----

Криптовалюты становятся все более популярными, в результате чего злоумышленники постоянно находят новые способы кражи цифровых денег. Горячие кошельки являются самым популярным вариантом хранения криптовалют благодаря своей простоте и удобству использования, но они также наиболее уязвимы для атак. Киберпреступники рассылают сообщения якобы от легитимной криптовалютной биржи, требуя от пользователей подтвердить транзакцию или еще раз верифицировать кошелек. Эти атаки обычно не очень изощренные, так как они обычно не направлены на крупные суммы денег. Холодные кошельки, с другой стороны, более безопасны и часто используются для хранения больших сумм денег. Однако пользователи все равно должны сохранять бдительность, поскольку киберпреступники становятся все более изощренными в своих методах.

В марте-мае 2023 года антиспам-решения Касперского заблокировали более 85 000 мошеннических писем, направленных на пользователей криптовалют. Пик количества писем пришелся на март - почти 35 000 писем, затем 19 902 в апреле и 30 816 в мае. Очевидно, что злоумышленники понимают, что чем сложнее добраться до добычи, тем больше она будет. Поэтому они используют более сложную тактику, пытаясь получить доступ к холодным кошелькам.

#education #inseca

TI в России набирает популярность и вместе с этим растет потребность в системном обучении специалистов по киберразведке. RST Cloud выступил партнером одного из первых курсов по Threat Intelligence в России. Курс заточен на практику и учит мыслить, как TI-аналитик.

За 5 недель вы на практике пройдете весь жизненный цикл TI и научитесь:
- создавать собственный ландшафт угроз в MITRE
- анализировать TI-отчёты
- определять тактики и техники MITRE ATT&CK, используемые злоумышленниками
- настраивать opensource TI-платформу
- создавать инструменты для сбора, хранения и анализа данных из открытых источников с помощью Python
- и не только

В программу курса включен вебинар «CTI на практике. Работа с RST Cloud». Николай Арефьев, сооснователь RST Cloud, расскажет как работать с открытыми TI-данными и на что стоит обращать внимание в первую очередь, чтобы не превратить эту работу в ад.

Набор открыт, присоединяйтесь: https://clck.ru/34uGTr

У аналитиков начался сезон отпусков
(Статистика по кол-ву TI-отчетов)

#rstcloud
Сбор с Twitter снова запущен на новом движке.

#ParsedReport #CompletenessLow
06-07-2023

Malicious ad for USPS fishes for banking credentials

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/malicious-ad-for-usps-phishes-for-jpmorgan-chase-credentials

Report completeness: Low

Victims:
Consumers and businesses

Industry:
Education, Financial

Geo:
Ukraine

IOCs:
Domain: 5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Malvertising - это форма вредоносной рекламы, используемая для доставки вредоносных программ, мошенничества и фишинговых атак. Важно быть бдительным при поиске пакетов в Интернете и не нажимать на подозрительные рекламные объявления. Полный комплект защиты с защитой в режиме реального времени поможет защититься от атак с использованием вредоносной рекламы.
-----

Малвертайзинг - это форма вредоносной рекламы, которая используется для доставки вредоносных программ, мошенничества и фишинговых атак ничего не подозревающим жертвам. Недавно Джесси Баумгартнер, директор по маркетингу компании Overt Operator, обнаружил вредоносную рекламную кампанию при попытке отследить посылку на сайте Почтовой службы США. Вредоносное объявление содержало официальный URL и логотип сайта USPS, однако "рекламодатель" был из Украины. При нажатии на кнопку реклама перенаправляла жертв на вредоносный сайт, который собирал их адрес, данные кредитной карты и требовал войти в их банковский счет для проверки.

Эта кампания по вредоносной рекламе является прекрасным примером того, как субъекты угроз используют выдачу себя за бренд, чтобы протащить мошенническую рекламу через популярные поисковые системы. Это также напоминание о том, что обучение и просвещение пользователей может зайти так далеко, поскольку вредоносная реклама часто выглядит совершенно законно. Поэтому для защиты от таких атак, связанных с вредоносной рекламой, необходим полный комплекс защиты в режиме реального времени. Такой пакет должен быть способен нацеливаться на начальную рекламу, вплоть до полезной нагрузки, чтобы остановить злоумышленников на их пути.

К счастью, Google и Cloudflare уже отметили вредоносные домены как фишинговые, поэтому пользователи могут быть уверены, что их информация в безопасности. Тем не менее, важно сохранять бдительность при поиске пакетов в Интернете, поскольку злоумышленники могут попытаться использовать в своих интересах ничего не подозревающих пользователей. Если вы заметили подозрительную рекламу, лучше не нажимать на нее и обратиться непосредственно на официальный сайт. Приняв эти меры предосторожности, вы сможете защитить себя от злоумышленников и их попыток украсть ваши данные.

#ParsedReport #CompletenessHigh
06-07-2023

Blank Grabber Returns With High Evasiveness

https://www.cyfirma.com/outofband/blank-grabber-returns-with-high-evasiveness

Report completeness: High

Threats:
Blankgrabber
Aurora
Uac_bypass_technique
Binder
Dll_sideloading_technique
Upx_tool
Timestomp_technique
Credential_dumping_technique

Victims:
Organizations and individuals

Industry:
Financial

TTPs:
Tactics: 8
Technics: 24

IOCs:
File: 4
Domain: 1
Hash: 4

Soft:
windows defender, discord, whatsapp, telegram, roblox, windows registry

Algorithms:
xor, sha1, sha256

Functions:
SetValue

Languages:
python

SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Инфокрад Blank Grabber обладает множеством функций и способен нанести серьезный ущерб организациям. Организации должны предпринимать упреждающие шаги для защиты от инфопохитителя, такие как развертывание и обновление решений для защиты конечных точек, внедрение решений для мониторинга сети, установление отношений с надежными поставщиками данных об угрозах и проведение регулярных программ повышения осведомленности о безопасности.
-----

Исследовательская группа CYFIRMA выявила конструктор инфопохитителей, известный как Blank Grabber, в ходе мониторинга обсуждений угрожающих субъектов. Он был выпущен в 2022 году, и только за последний месяц в проект было внесено 85 вкладов. Инфокрад предназначен для операционных систем Windows и способен похищать конфиденциальную информацию, такую как токены Discord, сессии Steam и Epic, данные браузера, такие как пароли, куки и история, а также различные другие учетные данные и системную информацию. Он может ускользать от обнаружения, отключать меры безопасности и сохраняться на взломанных системах.

Инфокража Blank Grabber написана на Python3 и скомпилирована на C++. Он поддерживается несколькими разработчиками, включая создателя под псевдонимом Blank и разработчика/админа BlackForums, известного как Astounding. Она обнаруживается только 1 из 69 производителей антивирусных систем. Вредоносная программа использует утилиту командной строки WMI (WMIC) для определения и отображения различной системной информации. Она также проверяет наличие Python и нескольких библиотек Python и устанавливает их, если они не найдены.

Blank Grabber обладает множеством функций, таких как создание графического интерфейса, обход UAC, пользовательский значок, запуск при запуске, отключение Windows Defender, Anti-VM, блокирование AV-сайтов, расплавление заглушки, фальшивая ошибка, связка EXE, обфускация заглушки, инъекция Discord и захват паролей из нескольких браузеров. Он также способен красть общие файлы, делать скриншоты всех дисплеев, захватывать изображения с веб-камеры и отправлять все данные через Discord Webhooks/Telegram Bot.

Влияние инфопохитителя Blank Grabber может быть серьезным для организаций; он способен скомпрометировать конфиденциальную информацию, включая учетные данные пользователей, интеллектуальную собственность и финансовые данные. Кража такой информации может привести к финансовым потерям, ущербу репутации, несоблюдению нормативных требований и юридическим последствиям. Кроме того, развертывание кражи может нарушить бизнес-операции, поставить под угрозу безопасность сети и подорвать доверие клиентов.

Для предотвращения угроз Blank Grabber организации должны предпринимать упреждающие шаги, такие как развертывание и регулярное обновление надежных решений для защиты конечных точек, внедрение решений для мониторинга сети, использование решений для веб-фильтрации, установление отношений с надежными поставщиками данных об угрозах, внедрение комплексной программы управления уязвимостями, регулярное проведение программ повышения осведомленности о безопасности, разработка и регулярное обновление плана реагирования на инциденты, создание надежной системы управления безопасностью, регулярное проведение аудита безопасности, оценки уязвимостей и тестирования на проникновение. Смените все пароли, которые хранились на вашем компьютере, удалите все папки, в названии которых есть слово discord, а затем переустановите discord, проверьте, заблокированы ли ваши AV-сайты или нет. Приняв эти превентивные меры, организации смогут эффективно защититься от таких похитителей информации, как Blank Grabber.

#ParsedReport #CompletenessMedium
06-07-2023

Welcome to New York: Exploring TA453's Foray into LNKs and Mac Malware

https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware

Report completeness: Medium

Actors/Campaigns:
Cleaver (motivation: cyber_espionage)
Phosphorus
Irgc

Threats:
Gorjolecho
Noknok
Powerstar
Ghostecho
Charmpower

Victims:
Dropbox, Hsbc cyber intelligence and threat analysis, Royal united services institute (rusi), Foreign policies experts

Industry:
Transport, Financial

Geo:
Iran, Korean, Tehran

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Hash: 2
Domain: 3
IP: 1

Soft:
microsoft word, curl, macos, outlook

Algorithms:
base64, aes, zip, sha256

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 3, table: 2, code: 5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA453 - это угрожающий агент, который продолжает адаптировать свой арсенал вредоносных программ и тактику для проведения операций кибершпионажа. Его приписывают Корпусу стражей исламской революции (КСИР), а чтобы минимизировать помехи со стороны охотников за угрозами, TA453 продолжает использовать легальные облачные сервисы.
-----

TA453 - угрожающий субъект, который продолжает адаптировать свой арсенал вредоносных программ для проведения операций кибершпионажа против интересующих его целей. В мае 2023 года TA453 начал развертывать вредоносные цепочки заражения LNK вместо документов Microsoft Word с макросами и отправил вредоносное ПО для Mac одной из своих недавних целей, продемонстрировав готовность приложить усилия для преследования своих целей. Цепочка заражения включает в себя доброкачественную замануху, маскирующуюся под старшего научного сотрудника Королевского института объединенных служб (RUSI), и зашифрованный паролем файл .rar, содержащий дроппер под названием Abraham Accords & MENA.pdf.lnk. LNK, вложенный в RAR, использует PowerShell для загрузки дополнительных этапов с облачного хостинг-провайдера, которые затем используют функцию Gorjol для загрузки закодированного в base64 содержимого из файла .txt.

Загруженный контент декодируется и вызывается, превращаясь в функцию Borjol, которая взаимодействует по зашифрованному AES HTTPS с зарегистрированным злоумышленником поддоменом fuschia-rhinestone.cleverapps.io через легитимный сервис Clever Cloud. Эта новая функция использует предыдущие переменные и приводит к расшифровке бэкдора PowerShell, названного Proofpoint GorjolEcho. GorjolEcho устанавливает постоянство, помещая копию начальных этапов в запись StartUp, и отображает ложный PDF, который соответствует содержанию начального фишингового подхода, прежде чем кодировать, шифровать и передавать информацию в C2.

TA453 также использовал мультиперсональное олицетворение в своем непрекращающемся шпионаже, начав контакт со своей целью с помощью доброкачественного электронного письма, а затем используя мультиперсональное олицетворение. Для доставки вредоносной программы для Mac TA453 использовал новую цепочку заражения, портированную на Mac OS, которая содержала защищенный паролем ZIP-файл с вредоносной программой для Mac первой стадии и инструкциями. Mach-O был найден в ZIP-архиве, маскируясь под VPN-решение RUSI и графический интерфейс общего доступа, и при инициализации вредоносная программа выполняет файл сценария Apple для загрузки файла с сайта library-store.camdvr.org. NokNok, bash-скрипт, был найден для создания бэкдора в системе.

Компания Proofpoint сотрудничала с ключевыми партнерами по оборонительному сообществу для пресечения усилий TA453 и высоко оценила аналитическую помощь от Dropbox и HSBC Cyber Intelligence and Threat Analysis в ходе расследования. По результатам расследования компания Proofpoint с высокой степенью уверенности отнесла эту кампанию и это вредоносное ПО к TA453, основываясь как на прямом сходстве кода, так и на сходстве общей тактики, методов и процедур кампании.

В настоящее время Proofpoint считает, что TA453 пересекается с Mint Sandstorm компании Microsoft (ранее PHOSPHORUS) и примерно эквивалентен APT42 компании Mandiant и Yellow Garuda компании PWC, которые в целом можно считать "Очаровательным котенком". Более того, по оценке Proofpoint, TA453 действует в поддержку Корпуса стражей исламской революции (КСИР), в частности разведывательной организации КСИР (IRGC-IO).

Чтобы минимизировать помехи от охотников за угрозами, TA453 продолжает придерживаться мультиоблачного подхода, используя Google Scripts, Dropbox и CleverApps. Поскольку TA453 продолжает использовать легальные облачные сервисы, Proofpoint рекомендует охотиться за угрозами на предмет наличия в сетевом трафике соответствующих сетевых сигнатур Emerging Threats INFO.

#ParsedReport #CompletenessLow
06-07-2023

Underground Team Ransomware Demands Nearly $3 Million

https://blog.cyble.com/2023/07/05/underground-team-ransomware-demands-nearly-3-million

Report completeness: Low

Threats:
Underground_team_ransomware

Victims:
Unknown

Industry:
Financial

TTPs:
Tactics: 4
Technics: 7

IOCs:
Command: 1
File: 3
Registry: 1
Hash: 1

Soft:
mssql

Algorithms:
sha1, sha256

Win API:
ShellExecuteW, FindFirstVolumeW, GetVolumePathNamesForVolumeNameW, GetVolumeInformationW, FindNextVolumeW, FindFirstFileW, FindNextFileW

Win Services:
MSSQLSERVER

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление вымогательского ПО Underground Team вызывает беспокойство, поскольку оно представляет собой новый вид вымогательского ПО и нацелено на конкретных жертв. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.
-----

Появление программы-вымогателя Underground Team вызывает беспокойство, поскольку она представляет собой новый вид вымогательского ПО. CRIL идентифицировал эту программу, которая представляет собой 64-битное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицированное по хэш-значению SHA256 d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666. Программа-вымогатель использует API-функцию ShellExecuteW() для выполнения команд и вредоносных действий. Он помещает записку с требованием выкупа под названием !!readme!!!.txt в несколько папок в системе и выборочно исключает определенные имена и расширения файлов из процесса шифрования.

Записка с требованием выкупа в программе Underground Team ransomware содержит такие новаторские элементы, как гарантия честной и конфиденциальной сделки в короткие сроки, а также представление информации об уязвимостях сети и рекомендации по информационной безопасности. Это указывает на то, что атака могла быть адаптирована и направлена на конкретные цели, намекая на целенаправленную атаку. Он также создает CMD-файл с именем temp.cmd и выполняет его, чтобы уничтожить любые доказательства своей деятельности и скрыть выполнение вредоносных действий на целевой системе. Кроме того, в записке о выкупе содержатся инструкции для жертв связаться с TAs для получения помощи в восстановлении зашифрованных файлов или для выплаты выкупа.

В настоящее время конкретные жертвы, на которых нацелена эта программа-вымогатель, неизвестны, а случаев утечки данных, связанных с этой программой-вымогателем, на момент написания статьи не было. Несмотря на это, киберпреступники все чаще шифруют файлы и допускают утечку данных, что позволяет им легко вымогать деньги у жертв. Поэтому важно скептически относиться к любым заявлениям о помощи, поскольку ТП в первую очередь руководствуются финансовой выгодой, и их истинные намерения могут не совпадать с интересами жертв.

CRIL активно следит за появлением кампаний по борьбе с вымогательством, чтобы читатели были в курсе последних событий. Обнаружение вымогательской программы Underground Team подчеркивает необходимость бдительности при столкновении с такими угрозами и растущую изощренность атак вымогателей. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.

#ParsedReport #CompletenessMedium
06-07-2023

ARCrypt Ransomware Evolves with Multiple TOR Communication Channels

https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels

Report completeness: Medium

Threats:
Arcrypt
Arcrypter
Chilelocker
Avoslocker

Victims:
Windows and linux operating systems

Industry:
Financial

Geo:
Chile

TTPs:
Tactics: 5
Technics: 9

IOCs:
Command: 1
File: 24
Registry: 1
Hash: 5

Soft:
defwatch, onenote, outlook, thebat, wordpad

Crypto:
monero, bitcoin

Algorithms:
sha1, sha256

Win API:
RegCreateKeyA, RegSetValueExA

Win Services:
QBFCService, BackupExecAgentBrowser, YooIT, QBCFMonitorService, BackupExecAgentAccelerator, YooBackup, PDVFSService, AcronisAgent, VSNAPVSS, QuickBooks, have more...