#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 3, table: 2, code: 5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA453 - это угрожающий агент, который продолжает адаптировать свой арсенал вредоносных программ и тактику для проведения операций кибершпионажа. Его приписывают Корпусу стражей исламской революции (КСИР), а чтобы минимизировать помехи со стороны охотников за угрозами, TA453 продолжает использовать легальные облачные сервисы.
-----

TA453 - угрожающий субъект, который продолжает адаптировать свой арсенал вредоносных программ для проведения операций кибершпионажа против интересующих его целей. В мае 2023 года TA453 начал развертывать вредоносные цепочки заражения LNK вместо документов Microsoft Word с макросами и отправил вредоносное ПО для Mac одной из своих недавних целей, продемонстрировав готовность приложить усилия для преследования своих целей. Цепочка заражения включает в себя доброкачественную замануху, маскирующуюся под старшего научного сотрудника Королевского института объединенных служб (RUSI), и зашифрованный паролем файл .rar, содержащий дроппер под названием Abraham Accords & MENA.pdf.lnk. LNK, вложенный в RAR, использует PowerShell для загрузки дополнительных этапов с облачного хостинг-провайдера, которые затем используют функцию Gorjol для загрузки закодированного в base64 содержимого из файла .txt.

Загруженный контент декодируется и вызывается, превращаясь в функцию Borjol, которая взаимодействует по зашифрованному AES HTTPS с зарегистрированным злоумышленником поддоменом fuschia-rhinestone.cleverapps.io через легитимный сервис Clever Cloud. Эта новая функция использует предыдущие переменные и приводит к расшифровке бэкдора PowerShell, названного Proofpoint GorjolEcho. GorjolEcho устанавливает постоянство, помещая копию начальных этапов в запись StartUp, и отображает ложный PDF, который соответствует содержанию начального фишингового подхода, прежде чем кодировать, шифровать и передавать информацию в C2.

TA453 также использовал мультиперсональное олицетворение в своем непрекращающемся шпионаже, начав контакт со своей целью с помощью доброкачественного электронного письма, а затем используя мультиперсональное олицетворение. Для доставки вредоносной программы для Mac TA453 использовал новую цепочку заражения, портированную на Mac OS, которая содержала защищенный паролем ZIP-файл с вредоносной программой для Mac первой стадии и инструкциями. Mach-O был найден в ZIP-архиве, маскируясь под VPN-решение RUSI и графический интерфейс общего доступа, и при инициализации вредоносная программа выполняет файл сценария Apple для загрузки файла с сайта library-store.camdvr.org. NokNok, bash-скрипт, был найден для создания бэкдора в системе.

Компания Proofpoint сотрудничала с ключевыми партнерами по оборонительному сообществу для пресечения усилий TA453 и высоко оценила аналитическую помощь от Dropbox и HSBC Cyber Intelligence and Threat Analysis в ходе расследования. По результатам расследования компания Proofpoint с высокой степенью уверенности отнесла эту кампанию и это вредоносное ПО к TA453, основываясь как на прямом сходстве кода, так и на сходстве общей тактики, методов и процедур кампании.

В настоящее время Proofpoint считает, что TA453 пересекается с Mint Sandstorm компании Microsoft (ранее PHOSPHORUS) и примерно эквивалентен APT42 компании Mandiant и Yellow Garuda компании PWC, которые в целом можно считать "Очаровательным котенком". Более того, по оценке Proofpoint, TA453 действует в поддержку Корпуса стражей исламской революции (КСИР), в частности разведывательной организации КСИР (IRGC-IO).

Чтобы минимизировать помехи от охотников за угрозами, TA453 продолжает придерживаться мультиоблачного подхода, используя Google Scripts, Dropbox и CleverApps. Поскольку TA453 продолжает использовать легальные облачные сервисы, Proofpoint рекомендует охотиться за угрозами на предмет наличия в сетевом трафике соответствующих сетевых сигнатур Emerging Threats INFO.

#ParsedReport #CompletenessLow
06-07-2023

Underground Team Ransomware Demands Nearly $3 Million

https://blog.cyble.com/2023/07/05/underground-team-ransomware-demands-nearly-3-million

Report completeness: Low

Threats:
Underground_team_ransomware

Victims:
Unknown

Industry:
Financial

TTPs:
Tactics: 4
Technics: 7

IOCs:
Command: 1
File: 3
Registry: 1
Hash: 1

Soft:
mssql

Algorithms:
sha1, sha256

Win API:
ShellExecuteW, FindFirstVolumeW, GetVolumePathNamesForVolumeNameW, GetVolumeInformationW, FindNextVolumeW, FindFirstFileW, FindNextFileW

Win Services:
MSSQLSERVER

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление вымогательского ПО Underground Team вызывает беспокойство, поскольку оно представляет собой новый вид вымогательского ПО и нацелено на конкретных жертв. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.
-----

Появление программы-вымогателя Underground Team вызывает беспокойство, поскольку она представляет собой новый вид вымогательского ПО. CRIL идентифицировал эту программу, которая представляет собой 64-битное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицированное по хэш-значению SHA256 d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666. Программа-вымогатель использует API-функцию ShellExecuteW() для выполнения команд и вредоносных действий. Он помещает записку с требованием выкупа под названием !!readme!!!.txt в несколько папок в системе и выборочно исключает определенные имена и расширения файлов из процесса шифрования.

Записка с требованием выкупа в программе Underground Team ransomware содержит такие новаторские элементы, как гарантия честной и конфиденциальной сделки в короткие сроки, а также представление информации об уязвимостях сети и рекомендации по информационной безопасности. Это указывает на то, что атака могла быть адаптирована и направлена на конкретные цели, намекая на целенаправленную атаку. Он также создает CMD-файл с именем temp.cmd и выполняет его, чтобы уничтожить любые доказательства своей деятельности и скрыть выполнение вредоносных действий на целевой системе. Кроме того, в записке о выкупе содержатся инструкции для жертв связаться с TAs для получения помощи в восстановлении зашифрованных файлов или для выплаты выкупа.

В настоящее время конкретные жертвы, на которых нацелена эта программа-вымогатель, неизвестны, а случаев утечки данных, связанных с этой программой-вымогателем, на момент написания статьи не было. Несмотря на это, киберпреступники все чаще шифруют файлы и допускают утечку данных, что позволяет им легко вымогать деньги у жертв. Поэтому важно скептически относиться к любым заявлениям о помощи, поскольку ТП в первую очередь руководствуются финансовой выгодой, и их истинные намерения могут не совпадать с интересами жертв.

CRIL активно следит за появлением кампаний по борьбе с вымогательством, чтобы читатели были в курсе последних событий. Обнаружение вымогательской программы Underground Team подчеркивает необходимость бдительности при столкновении с такими угрозами и растущую изощренность атак вымогателей. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.

#ParsedReport #CompletenessMedium
06-07-2023

ARCrypt Ransomware Evolves with Multiple TOR Communication Channels

https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels

Report completeness: Medium

Threats:
Arcrypt
Arcrypter
Chilelocker
Avoslocker

Victims:
Windows and linux operating systems

Industry:
Financial

Geo:
Chile

TTPs:
Tactics: 5
Technics: 9

IOCs:
Command: 1
File: 24
Registry: 1
Hash: 5

Soft:
defwatch, onenote, outlook, thebat, wordpad

Crypto:
monero, bitcoin

Algorithms:
sha1, sha256

Win API:
RegCreateKeyA, RegSetValueExA

Win Services:
QBFCService, BackupExecAgentBrowser, YooIT, QBCFMonitorService, BackupExecAgentAccelerator, YooBackup, PDVFSService, AcronisAgent, VSNAPVSS, QuickBooks, have more...

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В последней версии программы ARCrypt ransomware появилась заметка о выкупе и новые методы, такие как выплата выкупа в Monero, отказ от вымогательства через сайты утечки информации и использование нового средства связи для каждой жертвы, чтобы сохранить анонимность.
-----

В августе 2022 года появилась программа ARCrypter ransomware, также известная как ChileLocker, которая быстро привлекла к себе внимание после атаки на предприятие в Чили. Этот вариант ransomware нацелен на операционные системы Windows и Linux и способен переименовывать имена зашифрованных файлов с расширением .crYpt вместо расширения .crypt. Эта обновленная версия также включает новую записку о выкупе, в которой говорится, что угрожающие лица (TA), стоящие за этой программой-выкупом, предлагают жертвам скидку, если оплата будет произведена в Monero.

Анализ различных двоичных файлов ARCrypt ransomware показал, что каждая записка о выкупе направляет жертв на различные сайты Tor для связи. Эти сайты являются зеркальными, имеют одинаковый пользовательский интерфейс, но разные URL-адреса. Такой подход позволяет жертвам получить доступ к альтернативному сайту, если один из них становится недоступным. После выполнения программа копирует себя в каталог %TEMP% и присваивает в качестве имени файла случайную шестисимвольную буквенно-цифровую строку. Затем программа запускается из этого каталога и удаляет исходный двоичный файл ransomware.

ARCrypt ransomware также может завершать различные процессы и отключать определенные службы, в том числе связанные с защитой от вредоносного ПО, резервным копированием и восстановлением. Это делается для освобождения системных ресурсов и ускорения процесса шифрования, а также для того, чтобы избежать обнаружения. Программа-вымогатель использует API RegCreateKeyA для открытия ключей реестра в разделе HKEY_LOCAL_MACHINE и API RegSetValueExA для установки значений для определенного ключа, например legalnoticecaption и legalnoticetext.

В последней версии ARCrypt ransomware появилось отдельное уведомление о выкупе, которое имеет лишь некоторые сходства со старым уведомлением о выкупе. Похоже, что TA, стоящая за ARCrypt ransomware, пытается сохранить анонимность, обновляя двоичный файл ransomware и применяя определенные методы, например, предпочитая выплачивать выкуп в Monero, не вымогая деньги у жертв через сайты утечки информации и используя новое средство связи для каждой жертвы.

#ParsedReport #CompletenessLow
06-07-2023

Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks

https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks

Report completeness: Low

Actors/Campaigns:
Brainleeches
Iconburst

Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Microsoft 365 users

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1078, T1134, T1136, T1497, T1566.001, T1566.002, T1566.003, T1566.004, T1566.005

IOCs:
File: 7
Url: 1
IP: 1
Hash: 14

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----

Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.

Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.

Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.

Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.

#ParsedReport #CompletenessLow
05-07-2023

WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal

https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal

Report completeness: Low

Threats:
Wise_remote_stealer

Victims:
Individuals, enterprises, financial institutions, and critical infrastructure

Industry:
Transport, Financial, Energy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...

IOCs:
Domain: 1
IP: 1

Soft:
telegram, discord

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----

WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.

Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.

Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.

Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.

Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.

#ParsedReport #CompletenessMedium
06-07-2023

What s up with Emotet?

https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet

Report completeness: Medium

Actors/Campaigns:
Mummyspider

Threats:
Emotet
Qakbot
Passview_tool
Nltest_tool

Victims:
Individuals, companies and organizations

Industry:
Telco, Financial

Geo:
Africa, Spain, Mexico, Colombia, Indonesia, Japan, Korea, Italy, Thailand, Brasil, Ukraine, Usa

TTPs:
Tactics: 8
Technics: 23

IOCs:
File: 1
Path: 3
Hash: 9
IP: 130

Soft:
google chrome, microsoft word, microsoft excel, onenote, outlook

Algorithms:
ecdh, zip, aes

Win API:
GetTickCount

Languages:
visual_basic

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Emotet - это опасное вредоносное ПО, которое активно с 2014 года и эволюционировало, став более сложным для обнаружения и отслеживания. Он неактивен с апреля 2023 года, но важно сохранять бдительность на случай его повторного появления.
-----

С момента своего первого появления в 2014 году Emotet стал одной из самых распространенных и опасных вредоносных угроз во всем мире. В 2021 году он был уничтожен в результате многонациональных усилий, координируемых Евроюстом и Европолом. Однако вскоре, в ноябре 2021 года, угроза появилась вновь, запустив многочисленные спам-кампании, а также множество новых модулей, обновлений и обфускаций. Ее операторы приложили немало усилий, чтобы избежать обнаружения и мониторинга, и некоторые слухи говорят о том, что одна или обе эпохи ботнета могли быть проданы в январе 2023 года.

С момента своего появления операторы Emotet использовали в качестве основного вектора атаки вредоносные документы Microsoft Word и Excel со встроенными макросами VBA. В июле 2022 года компания Microsoft отключила макросы VBA в документах, полученных из Интернета, что привело к резкому снижению числа компрометаций Emotet. С тех пор ботнет протестировал несколько различных путей проникновения и методов социальной инженерии, таких как документы Word, замаскированные под счета, файлы OneNote со встроенными VBScripts и документ Word со встроенным вредоносным макросом VBA.

Чтобы оставаться прибыльной и распространенной, компания Mealybug, создавшая Emotet, внедрила множество новых модулей. Они включают защитные механизмы, более эффективное распространение вредоносной программы и модули для кражи информации, такие как Thunderbird Email Stealer и Thunderbird Contact Stealer, MailPassView Stealer и Google Chrome Credit Card Stealer. Кроме того, Emotet перешел на криптографию Elliptic curve для своей асимметричной схемы и добавил обфускации, методы рандомизации и 64-битные архитектуры в свое вредоносное ПО.

Чтобы отслеживать и отличать реальных жертв от исследователей или песочниц, Mealybug также разработал два новых модуля: Systeminfo и Hardwareinfo. Первый собирает системную информацию, такую как версия ОС, установленные приложения и учетные записи пользователей, а второй - аппаратную информацию, такую как тип процессора, оперативная память и объем накопителя.

С начала апреля 2023 года Emotet неактивен, скорее всего, из-за того, что не смог найти новый эффективный вектор атаки. Пока неясно, управляет ли ботнетом та же группа или кто-то другой. Несмотря на это, Emotet снова и снова демонстрирует свою эффективность и устойчивость, поэтому необходимо следить за его развитием и быть готовым к его повторному появлению.

#ParsedReport #CompletenessHigh
06-07-2023

Increased Truebot Activity Infects U.S. and Canada Based Networks

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a

Report completeness: High

Actors/Campaigns:
Fin11

Threats:
Truebot
Clop
Flawedgrace_rat
Beacon
Cobalt_strike
Junk_code_technique
Raspberry_robin
Icedid
Bumblebee
Passthehash_technique
Credential_dumping_technique
Teleport_tool
Lumma_stealer
Secretsdump_tool
Dll_sideloading_technique
Process_injection_technique
Tnega
Carbon

Victims:
Organizations in the us and canada

Industry:
Government

Geo:
Russia, Canadian, Panama, Canada

CVEs:
CVE-2022-3199 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.125)
- fedoraproject fedora (37)

CVE-2022-31199 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- netwrix auditor (<10.5)


TTPs:
Tactics: 2
Technics: 37

IOCs:
File: 10
IP: 11
Url: 14
Domain: 26
Path: 2
Hash: 46

Soft:
google chrome, remote desktop services, windows powershell, windows registry, psexec, local security authority, active directory

Algorithms:
sha1, base64, aes, sha256

Win API:
GetNativeSystemInfo, RtlGetVersion

YARA: Found

Links:
https://github.com/cisagov/Decider/
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/21619/21619.yar

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CISA, ФБР, MS-ISAC и CCCS выпустили рекомендацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации, убедиться, что все исправления поставщиков обновлены, и отслеживать подозрительную активность в своих системах.
-----

CISA, ФБР, MS-ISAC и CCCS выпустили консультацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Основным способом доставки Truebot являются вредоносные фишинговые письма, которые используют CVE-2022-31199 в программном обеспечении Netwrix Auditor. Truebot используется для утечки данных с целью получения финансовой выгоды и способен внедрять маячки в память, устанавливать командно-контрольное соединение и загружать дополнительные вредоносные модули.

Truebot способен проверить версию ОС системы, архитектуру процессора, перечислить запущенные процессы, собрать конфиденциальные данные локального узла, обнаружить протоколы безопасности программного обеспечения и метрики системного времени. Он создает тринадцатисимвольный глобально уникальный идентификатор (GUID) и отправляет имя компьютера и домена, а также GUID на жестко закодированный URL в POST-запросе для установления C2-соединения. Это соединение позволяет Truebot получать дополнительную полезную нагрузку, самовоспроизводиться и удалять файлы. Truebot был замечен в распространении FlawedGrace через фишинговые кампании, использовании инструмента удаленного доступа Cobalt Strike и развертывании пользовательского инструмента эксфильтрации данных под названием Teleport.

Для защиты от вредоносного ПО Truebot организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации. Они также должны убедиться, что все исправления поставщиков обновлены, и следить за подозрительной активностью в своих системах. Наконец, организациям следует сообщать о любой подозрительной активности в CISA или ФБР.

#rstcloud
Прилетело письмо:
You now have access to the GPT-4 API.

Будем тестить и переводить генератор summary на 4-ку.

#rstcloud
GPT-4 также часто ошибается при определении номера TTP по описанию, как и 3.5. Без дообучения 4-ка тоже не фонтан в этой задаче.

#ParsedReport #CompletenessMedium
07-07-2023

Tailing Big Head Ransomware s Variants, Tactics, and Impact

https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html

Report completeness: Medium

Threats:
Big_head_ransomware
Worldwind
Neshta

Geo:
Ukrainian, Georgian, Russian, Belarusian

IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2

Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx

Crypto:
bitcoin

Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip

Functions:
CreateMutex, SelfDelete

Win API:
ShowWindow, LockFile

Languages:
php, python, java

Platforms:
x86

Links:
https://github.com/Leecher21/WorldWind-Stealer

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 3, code: 14, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----

Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.

Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.

Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.