CTT Report Hub
#ParsedReport #CompletenessHigh 06-07-2023 Blank Grabber Returns With High Evasiveness https://www.cyfirma.com/outofband/blank-grabber-returns-with-high-evasiveness Report completeness: High Threats: Blankgrabber Aurora Uac_bypass_technique Binder Dll…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Инфокрад Blank Grabber обладает множеством функций и способен нанести серьезный ущерб организациям. Организации должны предпринимать упреждающие шаги для защиты от инфопохитителя, такие как развертывание и обновление решений для защиты конечных точек, внедрение решений для мониторинга сети, установление отношений с надежными поставщиками данных об угрозах и проведение регулярных программ повышения осведомленности о безопасности.
-----
Исследовательская группа CYFIRMA выявила конструктор инфопохитителей, известный как Blank Grabber, в ходе мониторинга обсуждений угрожающих субъектов. Он был выпущен в 2022 году, и только за последний месяц в проект было внесено 85 вкладов. Инфокрад предназначен для операционных систем Windows и способен похищать конфиденциальную информацию, такую как токены Discord, сессии Steam и Epic, данные браузера, такие как пароли, куки и история, а также различные другие учетные данные и системную информацию. Он может ускользать от обнаружения, отключать меры безопасности и сохраняться на взломанных системах.
Инфокража Blank Grabber написана на Python3 и скомпилирована на C++. Он поддерживается несколькими разработчиками, включая создателя под псевдонимом Blank и разработчика/админа BlackForums, известного как Astounding. Она обнаруживается только 1 из 69 производителей антивирусных систем. Вредоносная программа использует утилиту командной строки WMI (WMIC) для определения и отображения различной системной информации. Она также проверяет наличие Python и нескольких библиотек Python и устанавливает их, если они не найдены.
Blank Grabber обладает множеством функций, таких как создание графического интерфейса, обход UAC, пользовательский значок, запуск при запуске, отключение Windows Defender, Anti-VM, блокирование AV-сайтов, расплавление заглушки, фальшивая ошибка, связка EXE, обфускация заглушки, инъекция Discord и захват паролей из нескольких браузеров. Он также способен красть общие файлы, делать скриншоты всех дисплеев, захватывать изображения с веб-камеры и отправлять все данные через Discord Webhooks/Telegram Bot.
Влияние инфопохитителя Blank Grabber может быть серьезным для организаций; он способен скомпрометировать конфиденциальную информацию, включая учетные данные пользователей, интеллектуальную собственность и финансовые данные. Кража такой информации может привести к финансовым потерям, ущербу репутации, несоблюдению нормативных требований и юридическим последствиям. Кроме того, развертывание кражи может нарушить бизнес-операции, поставить под угрозу безопасность сети и подорвать доверие клиентов.
Для предотвращения угроз Blank Grabber организации должны предпринимать упреждающие шаги, такие как развертывание и регулярное обновление надежных решений для защиты конечных точек, внедрение решений для мониторинга сети, использование решений для веб-фильтрации, установление отношений с надежными поставщиками данных об угрозах, внедрение комплексной программы управления уязвимостями, регулярное проведение программ повышения осведомленности о безопасности, разработка и регулярное обновление плана реагирования на инциденты, создание надежной системы управления безопасностью, регулярное проведение аудита безопасности, оценки уязвимостей и тестирования на проникновение. Смените все пароли, которые хранились на вашем компьютере, удалите все папки, в названии которых есть слово discord, а затем переустановите discord, проверьте, заблокированы ли ваши AV-сайты или нет. Приняв эти превентивные меры, организации смогут эффективно защититься от таких похитителей информации, как Blank Grabber.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Инфокрад Blank Grabber обладает множеством функций и способен нанести серьезный ущерб организациям. Организации должны предпринимать упреждающие шаги для защиты от инфопохитителя, такие как развертывание и обновление решений для защиты конечных точек, внедрение решений для мониторинга сети, установление отношений с надежными поставщиками данных об угрозах и проведение регулярных программ повышения осведомленности о безопасности.
-----
Исследовательская группа CYFIRMA выявила конструктор инфопохитителей, известный как Blank Grabber, в ходе мониторинга обсуждений угрожающих субъектов. Он был выпущен в 2022 году, и только за последний месяц в проект было внесено 85 вкладов. Инфокрад предназначен для операционных систем Windows и способен похищать конфиденциальную информацию, такую как токены Discord, сессии Steam и Epic, данные браузера, такие как пароли, куки и история, а также различные другие учетные данные и системную информацию. Он может ускользать от обнаружения, отключать меры безопасности и сохраняться на взломанных системах.
Инфокража Blank Grabber написана на Python3 и скомпилирована на C++. Он поддерживается несколькими разработчиками, включая создателя под псевдонимом Blank и разработчика/админа BlackForums, известного как Astounding. Она обнаруживается только 1 из 69 производителей антивирусных систем. Вредоносная программа использует утилиту командной строки WMI (WMIC) для определения и отображения различной системной информации. Она также проверяет наличие Python и нескольких библиотек Python и устанавливает их, если они не найдены.
Blank Grabber обладает множеством функций, таких как создание графического интерфейса, обход UAC, пользовательский значок, запуск при запуске, отключение Windows Defender, Anti-VM, блокирование AV-сайтов, расплавление заглушки, фальшивая ошибка, связка EXE, обфускация заглушки, инъекция Discord и захват паролей из нескольких браузеров. Он также способен красть общие файлы, делать скриншоты всех дисплеев, захватывать изображения с веб-камеры и отправлять все данные через Discord Webhooks/Telegram Bot.
Влияние инфопохитителя Blank Grabber может быть серьезным для организаций; он способен скомпрометировать конфиденциальную информацию, включая учетные данные пользователей, интеллектуальную собственность и финансовые данные. Кража такой информации может привести к финансовым потерям, ущербу репутации, несоблюдению нормативных требований и юридическим последствиям. Кроме того, развертывание кражи может нарушить бизнес-операции, поставить под угрозу безопасность сети и подорвать доверие клиентов.
Для предотвращения угроз Blank Grabber организации должны предпринимать упреждающие шаги, такие как развертывание и регулярное обновление надежных решений для защиты конечных точек, внедрение решений для мониторинга сети, использование решений для веб-фильтрации, установление отношений с надежными поставщиками данных об угрозах, внедрение комплексной программы управления уязвимостями, регулярное проведение программ повышения осведомленности о безопасности, разработка и регулярное обновление плана реагирования на инциденты, создание надежной системы управления безопасностью, регулярное проведение аудита безопасности, оценки уязвимостей и тестирования на проникновение. Смените все пароли, которые хранились на вашем компьютере, удалите все папки, в названии которых есть слово discord, а затем переустановите discord, проверьте, заблокированы ли ваши AV-сайты или нет. Приняв эти превентивные меры, организации смогут эффективно защититься от таких похитителей информации, как Blank Grabber.
#ParsedReport #CompletenessMedium
06-07-2023
Welcome to New York: Exploring TA453's Foray into LNKs and Mac Malware
https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware
Report completeness: Medium
Actors/Campaigns:
Cleaver (motivation: cyber_espionage)
Phosphorus
Irgc
Threats:
Gorjolecho
Noknok
Powerstar
Ghostecho
Charmpower
Victims:
Dropbox, Hsbc cyber intelligence and threat analysis, Royal united services institute (rusi), Foreign policies experts
Industry:
Transport, Financial
Geo:
Iran, Korean, Tehran
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 4
Hash: 2
Domain: 3
IP: 1
Soft:
microsoft word, curl, macos, outlook
Algorithms:
base64, aes, zip, sha256
Languages:
javascript
Platforms:
apple
06-07-2023
Welcome to New York: Exploring TA453's Foray into LNKs and Mac Malware
https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware
Report completeness: Medium
Actors/Campaigns:
Cleaver (motivation: cyber_espionage)
Phosphorus
Irgc
Threats:
Gorjolecho
Noknok
Powerstar
Ghostecho
Charmpower
Victims:
Dropbox, Hsbc cyber intelligence and threat analysis, Royal united services institute (rusi), Foreign policies experts
Industry:
Transport, Financial
Geo:
Iran, Korean, Tehran
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 4
Hash: 2
Domain: 3
IP: 1
Soft:
microsoft word, curl, macos, outlook
Algorithms:
base64, aes, zip, sha256
Languages:
javascript
Platforms:
apple
Proofpoint
Welcome to New York: Exploring TA453's Foray into LNKs and Mac Malware | Proofpoint US
Key Takeaways TA453 continues to adapt its malware arsenal, deploying novel file types and targeting new operating systems, specifically sending Mac malware to one of its recent targets.
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2023 Welcome to New York: Exploring TA453's Foray into LNKs and Mac Malware https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: TA453 - это угрожающий агент, который продолжает адаптировать свой арсенал вредоносных программ и тактику для проведения операций кибершпионажа. Его приписывают Корпусу стражей исламской революции (КСИР), а чтобы минимизировать помехи со стороны охотников за угрозами, TA453 продолжает использовать легальные облачные сервисы.
-----
TA453 - угрожающий субъект, который продолжает адаптировать свой арсенал вредоносных программ для проведения операций кибершпионажа против интересующих его целей. В мае 2023 года TA453 начал развертывать вредоносные цепочки заражения LNK вместо документов Microsoft Word с макросами и отправил вредоносное ПО для Mac одной из своих недавних целей, продемонстрировав готовность приложить усилия для преследования своих целей. Цепочка заражения включает в себя доброкачественную замануху, маскирующуюся под старшего научного сотрудника Королевского института объединенных служб (RUSI), и зашифрованный паролем файл .rar, содержащий дроппер под названием Abraham Accords & MENA.pdf.lnk. LNK, вложенный в RAR, использует PowerShell для загрузки дополнительных этапов с облачного хостинг-провайдера, которые затем используют функцию Gorjol для загрузки закодированного в base64 содержимого из файла .txt.
Загруженный контент декодируется и вызывается, превращаясь в функцию Borjol, которая взаимодействует по зашифрованному AES HTTPS с зарегистрированным злоумышленником поддоменом fuschia-rhinestone.cleverapps.io через легитимный сервис Clever Cloud. Эта новая функция использует предыдущие переменные и приводит к расшифровке бэкдора PowerShell, названного Proofpoint GorjolEcho. GorjolEcho устанавливает постоянство, помещая копию начальных этапов в запись StartUp, и отображает ложный PDF, который соответствует содержанию начального фишингового подхода, прежде чем кодировать, шифровать и передавать информацию в C2.
TA453 также использовал мультиперсональное олицетворение в своем непрекращающемся шпионаже, начав контакт со своей целью с помощью доброкачественного электронного письма, а затем используя мультиперсональное олицетворение. Для доставки вредоносной программы для Mac TA453 использовал новую цепочку заражения, портированную на Mac OS, которая содержала защищенный паролем ZIP-файл с вредоносной программой для Mac первой стадии и инструкциями. Mach-O был найден в ZIP-архиве, маскируясь под VPN-решение RUSI и графический интерфейс общего доступа, и при инициализации вредоносная программа выполняет файл сценария Apple для загрузки файла с сайта library-store.camdvr.org. NokNok, bash-скрипт, был найден для создания бэкдора в системе.
Компания Proofpoint сотрудничала с ключевыми партнерами по оборонительному сообществу для пресечения усилий TA453 и высоко оценила аналитическую помощь от Dropbox и HSBC Cyber Intelligence and Threat Analysis в ходе расследования. По результатам расследования компания Proofpoint с высокой степенью уверенности отнесла эту кампанию и это вредоносное ПО к TA453, основываясь как на прямом сходстве кода, так и на сходстве общей тактики, методов и процедур кампании.
В настоящее время Proofpoint считает, что TA453 пересекается с Mint Sandstorm компании Microsoft (ранее PHOSPHORUS) и примерно эквивалентен APT42 компании Mandiant и Yellow Garuda компании PWC, которые в целом можно считать "Очаровательным котенком". Более того, по оценке Proofpoint, TA453 действует в поддержку Корпуса стражей исламской революции (КСИР), в частности разведывательной организации КСИР (IRGC-IO).
Чтобы минимизировать помехи от охотников за угрозами, TA453 продолжает придерживаться мультиоблачного подхода, используя Google Scripts, Dropbox и CleverApps. Поскольку TA453 продолжает использовать легальные облачные сервисы, Proofpoint рекомендует охотиться за угрозами на предмет наличия в сетевом трафике соответствующих сетевых сигнатур Emerging Threats INFO.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: TA453 - это угрожающий агент, который продолжает адаптировать свой арсенал вредоносных программ и тактику для проведения операций кибершпионажа. Его приписывают Корпусу стражей исламской революции (КСИР), а чтобы минимизировать помехи со стороны охотников за угрозами, TA453 продолжает использовать легальные облачные сервисы.
-----
TA453 - угрожающий субъект, который продолжает адаптировать свой арсенал вредоносных программ для проведения операций кибершпионажа против интересующих его целей. В мае 2023 года TA453 начал развертывать вредоносные цепочки заражения LNK вместо документов Microsoft Word с макросами и отправил вредоносное ПО для Mac одной из своих недавних целей, продемонстрировав готовность приложить усилия для преследования своих целей. Цепочка заражения включает в себя доброкачественную замануху, маскирующуюся под старшего научного сотрудника Королевского института объединенных служб (RUSI), и зашифрованный паролем файл .rar, содержащий дроппер под названием Abraham Accords & MENA.pdf.lnk. LNK, вложенный в RAR, использует PowerShell для загрузки дополнительных этапов с облачного хостинг-провайдера, которые затем используют функцию Gorjol для загрузки закодированного в base64 содержимого из файла .txt.
Загруженный контент декодируется и вызывается, превращаясь в функцию Borjol, которая взаимодействует по зашифрованному AES HTTPS с зарегистрированным злоумышленником поддоменом fuschia-rhinestone.cleverapps.io через легитимный сервис Clever Cloud. Эта новая функция использует предыдущие переменные и приводит к расшифровке бэкдора PowerShell, названного Proofpoint GorjolEcho. GorjolEcho устанавливает постоянство, помещая копию начальных этапов в запись StartUp, и отображает ложный PDF, который соответствует содержанию начального фишингового подхода, прежде чем кодировать, шифровать и передавать информацию в C2.
TA453 также использовал мультиперсональное олицетворение в своем непрекращающемся шпионаже, начав контакт со своей целью с помощью доброкачественного электронного письма, а затем используя мультиперсональное олицетворение. Для доставки вредоносной программы для Mac TA453 использовал новую цепочку заражения, портированную на Mac OS, которая содержала защищенный паролем ZIP-файл с вредоносной программой для Mac первой стадии и инструкциями. Mach-O был найден в ZIP-архиве, маскируясь под VPN-решение RUSI и графический интерфейс общего доступа, и при инициализации вредоносная программа выполняет файл сценария Apple для загрузки файла с сайта library-store.camdvr.org. NokNok, bash-скрипт, был найден для создания бэкдора в системе.
Компания Proofpoint сотрудничала с ключевыми партнерами по оборонительному сообществу для пресечения усилий TA453 и высоко оценила аналитическую помощь от Dropbox и HSBC Cyber Intelligence and Threat Analysis в ходе расследования. По результатам расследования компания Proofpoint с высокой степенью уверенности отнесла эту кампанию и это вредоносное ПО к TA453, основываясь как на прямом сходстве кода, так и на сходстве общей тактики, методов и процедур кампании.
В настоящее время Proofpoint считает, что TA453 пересекается с Mint Sandstorm компании Microsoft (ранее PHOSPHORUS) и примерно эквивалентен APT42 компании Mandiant и Yellow Garuda компании PWC, которые в целом можно считать "Очаровательным котенком". Более того, по оценке Proofpoint, TA453 действует в поддержку Корпуса стражей исламской революции (КСИР), в частности разведывательной организации КСИР (IRGC-IO).
Чтобы минимизировать помехи от охотников за угрозами, TA453 продолжает придерживаться мультиоблачного подхода, используя Google Scripts, Dropbox и CleverApps. Поскольку TA453 продолжает использовать легальные облачные сервисы, Proofpoint рекомендует охотиться за угрозами на предмет наличия в сетевом трафике соответствующих сетевых сигнатур Emerging Threats INFO.
#ParsedReport #CompletenessLow
06-07-2023
Underground Team Ransomware Demands Nearly $3 Million
https://blog.cyble.com/2023/07/05/underground-team-ransomware-demands-nearly-3-million
Report completeness: Low
Threats:
Underground_team_ransomware
Victims:
Unknown
Industry:
Financial
TTPs:
Tactics: 4
Technics: 7
IOCs:
Command: 1
File: 3
Registry: 1
Hash: 1
Soft:
mssql
Algorithms:
sha1, sha256
Win API:
ShellExecuteW, FindFirstVolumeW, GetVolumePathNamesForVolumeNameW, GetVolumeInformationW, FindNextVolumeW, FindFirstFileW, FindNextFileW
Win Services:
MSSQLSERVER
06-07-2023
Underground Team Ransomware Demands Nearly $3 Million
https://blog.cyble.com/2023/07/05/underground-team-ransomware-demands-nearly-3-million
Report completeness: Low
Threats:
Underground_team_ransomware
Victims:
Unknown
Industry:
Financial
TTPs:
Tactics: 4
Technics: 7
IOCs:
Command: 1
File: 3
Registry: 1
Hash: 1
Soft:
mssql
Algorithms:
sha1, sha256
Win API:
ShellExecuteW, FindFirstVolumeW, GetVolumePathNamesForVolumeNameW, GetVolumeInformationW, FindNextVolumeW, FindFirstFileW, FindNextFileW
Win Services:
MSSQLSERVER
Cyble
Ransomware Group Demands Nearly $3 Million
CRIL analyzes Underground Team, a new ransomware strain employing novel approaches to extort a ransom payment of nearly $3 million.
CTT Report Hub
#ParsedReport #CompletenessLow 06-07-2023 Underground Team Ransomware Demands Nearly $3 Million https://blog.cyble.com/2023/07/05/underground-team-ransomware-demands-nearly-3-million Report completeness: Low Threats: Underground_team_ransomware Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Появление вымогательского ПО Underground Team вызывает беспокойство, поскольку оно представляет собой новый вид вымогательского ПО и нацелено на конкретных жертв. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.
-----
Появление программы-вымогателя Underground Team вызывает беспокойство, поскольку она представляет собой новый вид вымогательского ПО. CRIL идентифицировал эту программу, которая представляет собой 64-битное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицированное по хэш-значению SHA256 d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666. Программа-вымогатель использует API-функцию ShellExecuteW() для выполнения команд и вредоносных действий. Он помещает записку с требованием выкупа под названием !!readme!!!.txt в несколько папок в системе и выборочно исключает определенные имена и расширения файлов из процесса шифрования.
Записка с требованием выкупа в программе Underground Team ransomware содержит такие новаторские элементы, как гарантия честной и конфиденциальной сделки в короткие сроки, а также представление информации об уязвимостях сети и рекомендации по информационной безопасности. Это указывает на то, что атака могла быть адаптирована и направлена на конкретные цели, намекая на целенаправленную атаку. Он также создает CMD-файл с именем temp.cmd и выполняет его, чтобы уничтожить любые доказательства своей деятельности и скрыть выполнение вредоносных действий на целевой системе. Кроме того, в записке о выкупе содержатся инструкции для жертв связаться с TAs для получения помощи в восстановлении зашифрованных файлов или для выплаты выкупа.
В настоящее время конкретные жертвы, на которых нацелена эта программа-вымогатель, неизвестны, а случаев утечки данных, связанных с этой программой-вымогателем, на момент написания статьи не было. Несмотря на это, киберпреступники все чаще шифруют файлы и допускают утечку данных, что позволяет им легко вымогать деньги у жертв. Поэтому важно скептически относиться к любым заявлениям о помощи, поскольку ТП в первую очередь руководствуются финансовой выгодой, и их истинные намерения могут не совпадать с интересами жертв.
CRIL активно следит за появлением кампаний по борьбе с вымогательством, чтобы читатели были в курсе последних событий. Обнаружение вымогательской программы Underground Team подчеркивает необходимость бдительности при столкновении с такими угрозами и растущую изощренность атак вымогателей. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Появление вымогательского ПО Underground Team вызывает беспокойство, поскольку оно представляет собой новый вид вымогательского ПО и нацелено на конкретных жертв. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.
-----
Появление программы-вымогателя Underground Team вызывает беспокойство, поскольку она представляет собой новый вид вымогательского ПО. CRIL идентифицировал эту программу, которая представляет собой 64-битное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицированное по хэш-значению SHA256 d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666. Программа-вымогатель использует API-функцию ShellExecuteW() для выполнения команд и вредоносных действий. Он помещает записку с требованием выкупа под названием !!readme!!!.txt в несколько папок в системе и выборочно исключает определенные имена и расширения файлов из процесса шифрования.
Записка с требованием выкупа в программе Underground Team ransomware содержит такие новаторские элементы, как гарантия честной и конфиденциальной сделки в короткие сроки, а также представление информации об уязвимостях сети и рекомендации по информационной безопасности. Это указывает на то, что атака могла быть адаптирована и направлена на конкретные цели, намекая на целенаправленную атаку. Он также создает CMD-файл с именем temp.cmd и выполняет его, чтобы уничтожить любые доказательства своей деятельности и скрыть выполнение вредоносных действий на целевой системе. Кроме того, в записке о выкупе содержатся инструкции для жертв связаться с TAs для получения помощи в восстановлении зашифрованных файлов или для выплаты выкупа.
В настоящее время конкретные жертвы, на которых нацелена эта программа-вымогатель, неизвестны, а случаев утечки данных, связанных с этой программой-вымогателем, на момент написания статьи не было. Несмотря на это, киберпреступники все чаще шифруют файлы и допускают утечку данных, что позволяет им легко вымогать деньги у жертв. Поэтому важно скептически относиться к любым заявлениям о помощи, поскольку ТП в первую очередь руководствуются финансовой выгодой, и их истинные намерения могут не совпадать с интересами жертв.
CRIL активно следит за появлением кампаний по борьбе с вымогательством, чтобы читатели были в курсе последних событий. Обнаружение вымогательской программы Underground Team подчеркивает необходимость бдительности при столкновении с такими угрозами и растущую изощренность атак вымогателей. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.
#ParsedReport #CompletenessMedium
06-07-2023
ARCrypt Ransomware Evolves with Multiple TOR Communication Channels
https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels
Report completeness: Medium
Threats:
Arcrypt
Arcrypter
Chilelocker
Avoslocker
Victims:
Windows and linux operating systems
Industry:
Financial
Geo:
Chile
TTPs:
Tactics: 5
Technics: 9
IOCs:
Command: 1
File: 24
Registry: 1
Hash: 5
Soft:
defwatch, onenote, outlook, thebat, wordpad
Crypto:
monero, bitcoin
Algorithms:
sha1, sha256
Win API:
RegCreateKeyA, RegSetValueExA
Win Services:
QBFCService, BackupExecAgentBrowser, YooIT, QBCFMonitorService, BackupExecAgentAccelerator, YooBackup, PDVFSService, AcronisAgent, VSNAPVSS, QuickBooks, have more...
06-07-2023
ARCrypt Ransomware Evolves with Multiple TOR Communication Channels
https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels
Report completeness: Medium
Threats:
Arcrypt
Arcrypter
Chilelocker
Avoslocker
Victims:
Windows and linux operating systems
Industry:
Financial
Geo:
Chile
TTPs:
Tactics: 5
Technics: 9
IOCs:
Command: 1
File: 24
Registry: 1
Hash: 5
Soft:
defwatch, onenote, outlook, thebat, wordpad
Crypto:
monero, bitcoin
Algorithms:
sha1, sha256
Win API:
RegCreateKeyA, RegSetValueExA
Win Services:
QBFCService, BackupExecAgentBrowser, YooIT, QBCFMonitorService, BackupExecAgentAccelerator, YooBackup, PDVFSService, AcronisAgent, VSNAPVSS, QuickBooks, have more...
Cyble
ARCrypt Ransomware Evolves with Multiple TOR Communication Channels
CRIL analyses an updated version of ARCrypt ransomware and an unconventional communication method attackers use.
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2023 ARCrypt Ransomware Evolves with Multiple TOR Communication Channels https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В последней версии программы ARCrypt ransomware появилась заметка о выкупе и новые методы, такие как выплата выкупа в Monero, отказ от вымогательства через сайты утечки информации и использование нового средства связи для каждой жертвы, чтобы сохранить анонимность.
-----
В августе 2022 года появилась программа ARCrypter ransomware, также известная как ChileLocker, которая быстро привлекла к себе внимание после атаки на предприятие в Чили. Этот вариант ransomware нацелен на операционные системы Windows и Linux и способен переименовывать имена зашифрованных файлов с расширением .crYpt вместо расширения .crypt. Эта обновленная версия также включает новую записку о выкупе, в которой говорится, что угрожающие лица (TA), стоящие за этой программой-выкупом, предлагают жертвам скидку, если оплата будет произведена в Monero.
Анализ различных двоичных файлов ARCrypt ransomware показал, что каждая записка о выкупе направляет жертв на различные сайты Tor для связи. Эти сайты являются зеркальными, имеют одинаковый пользовательский интерфейс, но разные URL-адреса. Такой подход позволяет жертвам получить доступ к альтернативному сайту, если один из них становится недоступным. После выполнения программа копирует себя в каталог %TEMP% и присваивает в качестве имени файла случайную шестисимвольную буквенно-цифровую строку. Затем программа запускается из этого каталога и удаляет исходный двоичный файл ransomware.
ARCrypt ransomware также может завершать различные процессы и отключать определенные службы, в том числе связанные с защитой от вредоносного ПО, резервным копированием и восстановлением. Это делается для освобождения системных ресурсов и ускорения процесса шифрования, а также для того, чтобы избежать обнаружения. Программа-вымогатель использует API RegCreateKeyA для открытия ключей реестра в разделе HKEY_LOCAL_MACHINE и API RegSetValueExA для установки значений для определенного ключа, например legalnoticecaption и legalnoticetext.
В последней версии ARCrypt ransomware появилось отдельное уведомление о выкупе, которое имеет лишь некоторые сходства со старым уведомлением о выкупе. Похоже, что TA, стоящая за ARCrypt ransomware, пытается сохранить анонимность, обновляя двоичный файл ransomware и применяя определенные методы, например, предпочитая выплачивать выкуп в Monero, не вымогая деньги у жертв через сайты утечки информации и используя новое средство связи для каждой жертвы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В последней версии программы ARCrypt ransomware появилась заметка о выкупе и новые методы, такие как выплата выкупа в Monero, отказ от вымогательства через сайты утечки информации и использование нового средства связи для каждой жертвы, чтобы сохранить анонимность.
-----
В августе 2022 года появилась программа ARCrypter ransomware, также известная как ChileLocker, которая быстро привлекла к себе внимание после атаки на предприятие в Чили. Этот вариант ransomware нацелен на операционные системы Windows и Linux и способен переименовывать имена зашифрованных файлов с расширением .crYpt вместо расширения .crypt. Эта обновленная версия также включает новую записку о выкупе, в которой говорится, что угрожающие лица (TA), стоящие за этой программой-выкупом, предлагают жертвам скидку, если оплата будет произведена в Monero.
Анализ различных двоичных файлов ARCrypt ransomware показал, что каждая записка о выкупе направляет жертв на различные сайты Tor для связи. Эти сайты являются зеркальными, имеют одинаковый пользовательский интерфейс, но разные URL-адреса. Такой подход позволяет жертвам получить доступ к альтернативному сайту, если один из них становится недоступным. После выполнения программа копирует себя в каталог %TEMP% и присваивает в качестве имени файла случайную шестисимвольную буквенно-цифровую строку. Затем программа запускается из этого каталога и удаляет исходный двоичный файл ransomware.
ARCrypt ransomware также может завершать различные процессы и отключать определенные службы, в том числе связанные с защитой от вредоносного ПО, резервным копированием и восстановлением. Это делается для освобождения системных ресурсов и ускорения процесса шифрования, а также для того, чтобы избежать обнаружения. Программа-вымогатель использует API RegCreateKeyA для открытия ключей реестра в разделе HKEY_LOCAL_MACHINE и API RegSetValueExA для установки значений для определенного ключа, например legalnoticecaption и legalnoticetext.
В последней версии ARCrypt ransomware появилось отдельное уведомление о выкупе, которое имеет лишь некоторые сходства со старым уведомлением о выкупе. Похоже, что TA, стоящая за ARCrypt ransomware, пытается сохранить анонимность, обновляя двоичный файл ransomware и применяя определенные методы, например, предпочитая выплачивать выкуп в Monero, не вымогая деньги у жертв через сайты утечки информации и используя новое средство связи для каждой жертвы.
#ParsedReport #CompletenessLow
06-07-2023
Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks
https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks
Report completeness: Low
Actors/Campaigns:
Brainleeches
Iconburst
Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique
Victims:
Microsoft 365 users
Industry:
Petroleum
ChatGPT TTPs:
T1078, T1134, T1136, T1497, T1566.001, T1566.002, T1566.003, T1566.004, T1566.005
IOCs:
File: 7
Url: 1
IP: 1
Hash: 14
Languages:
javascript
06-07-2023
Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks
https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks
Report completeness: Low
Actors/Campaigns:
Brainleeches
Iconburst
Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique
Victims:
Microsoft 365 users
Industry:
Petroleum
ChatGPT TTPs:
do not use without manual checkT1078, T1134, T1136, T1497, T1566.001, T1566.002, T1566.003, T1566.004, T1566.005
IOCs:
File: 7
Url: 1
IP: 1
Hash: 14
Languages:
javascript
ReversingLabs
Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks
“Write once, infect everywhere” might be the new cybercrime motto, with newly discovered campaigns showing malicious npm packages powering phishing kits and supply chain attacks.
CTT Report Hub
#ParsedReport #CompletenessLow 06-07-2023 Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----
Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.
Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.
Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.
Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----
Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.
Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.
Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.
Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.
#ParsedReport #CompletenessLow
05-07-2023
WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal
https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal
Report completeness: Low
Threats:
Wise_remote_stealer
Victims:
Individuals, enterprises, financial institutions, and critical infrastructure
Industry:
Transport, Financial, Energy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...
IOCs:
Domain: 1
IP: 1
Soft:
telegram, discord
Languages:
python
05-07-2023
WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal
https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal
Report completeness: Low
Threats:
Wise_remote_stealer
Victims:
Individuals, enterprises, financial institutions, and critical infrastructure
Industry:
Transport, Financial, Energy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...
IOCs:
Domain: 1
IP: 1
Soft:
telegram, discord
Languages:
python
CYFIRMA
WISE REMOTE Stealer Unleashed : Unveiling Its Multifaceted Malicious Arsenal - CYFIRMA
EXECUTIVE SUMMARY Information stealers remain an enduring and evolving security concern for individuals and organizations alike. CYFIRMA’s Research team has...
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2023 WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----
WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.
Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.
Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.
Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.
Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----
WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.
Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.
Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.
Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.
Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.
#ParsedReport #CompletenessMedium
06-07-2023
What s up with Emotet?
https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet
Report completeness: Medium
Actors/Campaigns:
Mummyspider
Threats:
Emotet
Qakbot
Passview_tool
Nltest_tool
Victims:
Individuals, companies and organizations
Industry:
Telco, Financial
Geo:
Africa, Spain, Mexico, Colombia, Indonesia, Japan, Korea, Italy, Thailand, Brasil, Ukraine, Usa
TTPs:
Tactics: 8
Technics: 23
IOCs:
File: 1
Path: 3
Hash: 9
IP: 130
Soft:
google chrome, microsoft word, microsoft excel, onenote, outlook
Algorithms:
ecdh, zip, aes
Win API:
GetTickCount
Languages:
visual_basic
Platforms:
x86, x64
06-07-2023
What s up with Emotet?
https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet
Report completeness: Medium
Actors/Campaigns:
Mummyspider
Threats:
Emotet
Qakbot
Passview_tool
Nltest_tool
Victims:
Individuals, companies and organizations
Industry:
Telco, Financial
Geo:
Africa, Spain, Mexico, Colombia, Indonesia, Japan, Korea, Italy, Thailand, Brasil, Ukraine, Usa
TTPs:
Tactics: 8
Technics: 23
IOCs:
File: 1
Path: 3
Hash: 9
IP: 130
Soft:
google chrome, microsoft word, microsoft excel, onenote, outlook
Algorithms:
ecdh, zip, aes
Win API:
GetTickCount
Languages:
visual_basic
Platforms:
x86, x64
Welivesecurity
What’s up with Emotet?
A brief summary of what happened with Emotet since its comeback in November 2021
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2023 What s up with Emotet? https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet Report completeness: Medium Actors/Campaigns: Mummyspider Threats: Emotet Qakbot Passview_tool Nltest_tool Victims: Individuals…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Emotet - это опасное вредоносное ПО, которое активно с 2014 года и эволюционировало, став более сложным для обнаружения и отслеживания. Он неактивен с апреля 2023 года, но важно сохранять бдительность на случай его повторного появления.
-----
С момента своего первого появления в 2014 году Emotet стал одной из самых распространенных и опасных вредоносных угроз во всем мире. В 2021 году он был уничтожен в результате многонациональных усилий, координируемых Евроюстом и Европолом. Однако вскоре, в ноябре 2021 года, угроза появилась вновь, запустив многочисленные спам-кампании, а также множество новых модулей, обновлений и обфускаций. Ее операторы приложили немало усилий, чтобы избежать обнаружения и мониторинга, и некоторые слухи говорят о том, что одна или обе эпохи ботнета могли быть проданы в январе 2023 года.
С момента своего появления операторы Emotet использовали в качестве основного вектора атаки вредоносные документы Microsoft Word и Excel со встроенными макросами VBA. В июле 2022 года компания Microsoft отключила макросы VBA в документах, полученных из Интернета, что привело к резкому снижению числа компрометаций Emotet. С тех пор ботнет протестировал несколько различных путей проникновения и методов социальной инженерии, таких как документы Word, замаскированные под счета, файлы OneNote со встроенными VBScripts и документ Word со встроенным вредоносным макросом VBA.
Чтобы оставаться прибыльной и распространенной, компания Mealybug, создавшая Emotet, внедрила множество новых модулей. Они включают защитные механизмы, более эффективное распространение вредоносной программы и модули для кражи информации, такие как Thunderbird Email Stealer и Thunderbird Contact Stealer, MailPassView Stealer и Google Chrome Credit Card Stealer. Кроме того, Emotet перешел на криптографию Elliptic curve для своей асимметричной схемы и добавил обфускации, методы рандомизации и 64-битные архитектуры в свое вредоносное ПО.
Чтобы отслеживать и отличать реальных жертв от исследователей или песочниц, Mealybug также разработал два новых модуля: Systeminfo и Hardwareinfo. Первый собирает системную информацию, такую как версия ОС, установленные приложения и учетные записи пользователей, а второй - аппаратную информацию, такую как тип процессора, оперативная память и объем накопителя.
С начала апреля 2023 года Emotet неактивен, скорее всего, из-за того, что не смог найти новый эффективный вектор атаки. Пока неясно, управляет ли ботнетом та же группа или кто-то другой. Несмотря на это, Emotet снова и снова демонстрирует свою эффективность и устойчивость, поэтому необходимо следить за его развитием и быть готовым к его повторному появлению.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Emotet - это опасное вредоносное ПО, которое активно с 2014 года и эволюционировало, став более сложным для обнаружения и отслеживания. Он неактивен с апреля 2023 года, но важно сохранять бдительность на случай его повторного появления.
-----
С момента своего первого появления в 2014 году Emotet стал одной из самых распространенных и опасных вредоносных угроз во всем мире. В 2021 году он был уничтожен в результате многонациональных усилий, координируемых Евроюстом и Европолом. Однако вскоре, в ноябре 2021 года, угроза появилась вновь, запустив многочисленные спам-кампании, а также множество новых модулей, обновлений и обфускаций. Ее операторы приложили немало усилий, чтобы избежать обнаружения и мониторинга, и некоторые слухи говорят о том, что одна или обе эпохи ботнета могли быть проданы в январе 2023 года.
С момента своего появления операторы Emotet использовали в качестве основного вектора атаки вредоносные документы Microsoft Word и Excel со встроенными макросами VBA. В июле 2022 года компания Microsoft отключила макросы VBA в документах, полученных из Интернета, что привело к резкому снижению числа компрометаций Emotet. С тех пор ботнет протестировал несколько различных путей проникновения и методов социальной инженерии, таких как документы Word, замаскированные под счета, файлы OneNote со встроенными VBScripts и документ Word со встроенным вредоносным макросом VBA.
Чтобы оставаться прибыльной и распространенной, компания Mealybug, создавшая Emotet, внедрила множество новых модулей. Они включают защитные механизмы, более эффективное распространение вредоносной программы и модули для кражи информации, такие как Thunderbird Email Stealer и Thunderbird Contact Stealer, MailPassView Stealer и Google Chrome Credit Card Stealer. Кроме того, Emotet перешел на криптографию Elliptic curve для своей асимметричной схемы и добавил обфускации, методы рандомизации и 64-битные архитектуры в свое вредоносное ПО.
Чтобы отслеживать и отличать реальных жертв от исследователей или песочниц, Mealybug также разработал два новых модуля: Systeminfo и Hardwareinfo. Первый собирает системную информацию, такую как версия ОС, установленные приложения и учетные записи пользователей, а второй - аппаратную информацию, такую как тип процессора, оперативная память и объем накопителя.
С начала апреля 2023 года Emotet неактивен, скорее всего, из-за того, что не смог найти новый эффективный вектор атаки. Пока неясно, управляет ли ботнетом та же группа или кто-то другой. Несмотря на это, Emotet снова и снова демонстрирует свою эффективность и устойчивость, поэтому необходимо следить за его развитием и быть готовым к его повторному появлению.
#ParsedReport #CompletenessHigh
06-07-2023
Increased Truebot Activity Infects U.S. and Canada Based Networks
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a
Report completeness: High
Actors/Campaigns:
Fin11
Threats:
Truebot
Clop
Flawedgrace_rat
Beacon
Cobalt_strike
Junk_code_technique
Raspberry_robin
Icedid
Bumblebee
Passthehash_technique
Credential_dumping_technique
Teleport_tool
Lumma_stealer
Secretsdump_tool
Dll_sideloading_technique
Process_injection_technique
Tnega
Carbon
Victims:
Organizations in the us and canada
Industry:
Government
Geo:
Russia, Canadian, Panama, Canada
CVEs:
CVE-2022-3199 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.125)
- fedoraproject fedora (37)
CVE-2022-31199 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- netwrix auditor (<10.5)
TTPs:
Tactics: 2
Technics: 37
IOCs:
File: 10
IP: 11
Url: 14
Domain: 26
Path: 2
Hash: 46
Soft:
google chrome, remote desktop services, windows powershell, windows registry, psexec, local security authority, active directory
Algorithms:
sha1, base64, aes, sha256
Win API:
GetNativeSystemInfo, RtlGetVersion
YARA: Found
Links:
06-07-2023
Increased Truebot Activity Infects U.S. and Canada Based Networks
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a
Report completeness: High
Actors/Campaigns:
Fin11
Threats:
Truebot
Clop
Flawedgrace_rat
Beacon
Cobalt_strike
Junk_code_technique
Raspberry_robin
Icedid
Bumblebee
Passthehash_technique
Credential_dumping_technique
Teleport_tool
Lumma_stealer
Secretsdump_tool
Dll_sideloading_technique
Process_injection_technique
Tnega
Carbon
Victims:
Organizations in the us and canada
Industry:
Government
Geo:
Russia, Canadian, Panama, Canada
CVEs:
CVE-2022-3199 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.125)
- fedoraproject fedora (37)
CVE-2022-31199 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- netwrix auditor (<10.5)
TTPs:
Tactics: 2
Technics: 37
IOCs:
File: 10
IP: 11
Url: 14
Domain: 26
Path: 2
Hash: 46
Soft:
google chrome, remote desktop services, windows powershell, windows registry, psexec, local security authority, active directory
Algorithms:
sha1, base64, aes, sha256
Win API:
GetNativeSystemInfo, RtlGetVersion
YARA: Found
Links:
https://github.com/cisagov/Decider/https://github.com/The-DFIR-Report/Yara-Rules/blob/main/21619/21619.yarVulners Database
CVE-2022-3199- vulnerability database |...
Use after free in Frames in Google Chrome prior to 105.0.5195.125 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity:...
CTT Report Hub
#ParsedReport #CompletenessHigh 06-07-2023 Increased Truebot Activity Infects U.S. and Canada Based Networks https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a Report completeness: High Actors/Campaigns: Fin11 Threats: Truebot Clop Flawedgrace_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CISA, ФБР, MS-ISAC и CCCS выпустили рекомендацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации, убедиться, что все исправления поставщиков обновлены, и отслеживать подозрительную активность в своих системах.
-----
CISA, ФБР, MS-ISAC и CCCS выпустили консультацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Основным способом доставки Truebot являются вредоносные фишинговые письма, которые используют CVE-2022-31199 в программном обеспечении Netwrix Auditor. Truebot используется для утечки данных с целью получения финансовой выгоды и способен внедрять маячки в память, устанавливать командно-контрольное соединение и загружать дополнительные вредоносные модули.
Truebot способен проверить версию ОС системы, архитектуру процессора, перечислить запущенные процессы, собрать конфиденциальные данные локального узла, обнаружить протоколы безопасности программного обеспечения и метрики системного времени. Он создает тринадцатисимвольный глобально уникальный идентификатор (GUID) и отправляет имя компьютера и домена, а также GUID на жестко закодированный URL в POST-запросе для установления C2-соединения. Это соединение позволяет Truebot получать дополнительную полезную нагрузку, самовоспроизводиться и удалять файлы. Truebot был замечен в распространении FlawedGrace через фишинговые кампании, использовании инструмента удаленного доступа Cobalt Strike и развертывании пользовательского инструмента эксфильтрации данных под названием Teleport.
Для защиты от вредоносного ПО Truebot организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации. Они также должны убедиться, что все исправления поставщиков обновлены, и следить за подозрительной активностью в своих системах. Наконец, организациям следует сообщать о любой подозрительной активности в CISA или ФБР.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CISA, ФБР, MS-ISAC и CCCS выпустили рекомендацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации, убедиться, что все исправления поставщиков обновлены, и отслеживать подозрительную активность в своих системах.
-----
CISA, ФБР, MS-ISAC и CCCS выпустили консультацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Основным способом доставки Truebot являются вредоносные фишинговые письма, которые используют CVE-2022-31199 в программном обеспечении Netwrix Auditor. Truebot используется для утечки данных с целью получения финансовой выгоды и способен внедрять маячки в память, устанавливать командно-контрольное соединение и загружать дополнительные вредоносные модули.
Truebot способен проверить версию ОС системы, архитектуру процессора, перечислить запущенные процессы, собрать конфиденциальные данные локального узла, обнаружить протоколы безопасности программного обеспечения и метрики системного времени. Он создает тринадцатисимвольный глобально уникальный идентификатор (GUID) и отправляет имя компьютера и домена, а также GUID на жестко закодированный URL в POST-запросе для установления C2-соединения. Это соединение позволяет Truebot получать дополнительную полезную нагрузку, самовоспроизводиться и удалять файлы. Truebot был замечен в распространении FlawedGrace через фишинговые кампании, использовании инструмента удаленного доступа Cobalt Strike и развертывании пользовательского инструмента эксфильтрации данных под названием Teleport.
Для защиты от вредоносного ПО Truebot организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации. Они также должны убедиться, что все исправления поставщиков обновлены, и следить за подозрительной активностью в своих системах. Наконец, организациям следует сообщать о любой подозрительной активности в CISA или ФБР.
#rstcloud
Прилетело письмо:
You now have access to the GPT-4 API.
Будем тестить и переводить генератор summary на 4-ку.
Прилетело письмо:
You now have access to the GPT-4 API.
Будем тестить и переводить генератор summary на 4-ку.
#rstcloud
GPT-4 также часто ошибается при определении номера TTP по описанию, как и 3.5. Без дообучения 4-ка тоже не фонтан в этой задаче.
GPT-4 также часто ошибается при определении номера TTP по описанию, как и 3.5. Без дообучения 4-ка тоже не фонтан в этой задаче.
#ParsedReport #CompletenessMedium
07-07-2023
Tailing Big Head Ransomware s Variants, Tactics, and Impact
https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html
Report completeness: Medium
Threats:
Big_head_ransomware
Worldwind
Neshta
Geo:
Ukrainian, Georgian, Russian, Belarusian
IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2
Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx
Crypto:
bitcoin
Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip
Functions:
CreateMutex, SelfDelete
Win API:
ShowWindow, LockFile
Languages:
php, python, java
Platforms:
x86
Links:
07-07-2023
Tailing Big Head Ransomware s Variants, Tactics, and Impact
https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html
Report completeness: Medium
Threats:
Big_head_ransomware
Worldwind
Neshta
Geo:
Ukrainian, Georgian, Russian, Belarusian
IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2
Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx
Crypto:
bitcoin
Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip
Functions:
CreateMutex, SelfDelete
Win API:
ShowWindow, LockFile
Languages:
php, python, java
Platforms:
x86
Links:
https://github.com/Leecher21/WorldWind-StealerTrend Micro
Tailing Big Head Ransomware’s Variants, Tactics, and Impact