#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----

Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.

Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.

Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.

#ParsedReport #CompletenessMedium
06-07-2023

Kimsuky Threat Group Exploting Chrome Remote Desktop

https://asec.ahnlab.com/en/55145

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010

Victims:
Korean users

Industry:
Energy

Geo:
Korean, Korea

IOCs:
Command: 4
Path: 9
File: 7
Url: 3
Hash: 5

Soft:
chrome, google chrome, microsoft edge, remote desktop services

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Группа эксплуатирует Chrome Remote Desktop и использует вредоносное ПО AppleSeed, infostealers, RDP Patcher и Ngrok для кражи учетных данных и информации. Они также используют службу удаленного рабочего стола RDP в Windows и Google Chrome.
-----

APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, эксплуатирующую Chrome Remote Desktop. В процессе распространения вредоносного ПО группа в основном использует файлы документов HWP и MS Office или файлы CHM, а также скрипты WSF или JS с файлами, замаскированными под файлы документов.

Вредоносное ПО, установленное APT-группой Kimsuky, - AppleSeed, вредоносная программа типа бэкдор, обнаруженная с 2019 года. Он поддерживает различные функции, такие как выполнение команд с C&C-сервера, установка дополнительного вредоносного ПО, кейлоггинг, захват скриншотов и кража файлов. Используются две версии AppleSeed, обе из которых используют протокол HTTP для связи с C&C-сервером. После установки AppleSeed группа обычно устанавливает Infostealers, RDP Patcher и Ngrok.

Infostealers используется для сбора учетных данных из браузеров Google Chrome, Microsoft Edge и Naver Whale. RDP Patcher - тип вредоносного ПО, специализирующийся на исправлении памяти для нескольких сеансов RDP. Ngrok - программа туннелирования, которая открывает доступ к системам в среде NAT извне.

APT-группа Kimsuky постоянно проводит фишинговые атаки на корейских пользователей, и известно, что они используют службу удаленного рабочего стола RDP, включенную в Windows по умолчанию. Недавно были выявлены случаи использования функции удаленного рабочего стола в Google Chrome.

#ParsedReport #CompletenessHigh
07-07-2023

The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region

https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region

Report completeness: High

Threats:
Toitoin
Krita_loader
Uac_bypass_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique
Dll_sideloading_technique

Victims:
A prominent investment banking company in latin america

Industry:
Education, Financial

Geo:
America, Latam, American

TTPs:
Tactics: 1
Technics: 10

IOCs:
File: 12
Url: 11
Domain: 3
Path: 3
Hash: 10

Soft:
curl, windows search, winlogon, process explorer, internet explorer, chrome, opera, mozilla firefox, microsoft edge

Algorithms:
base64, xor, zip, exhibit

Functions:
getenv, OpenMutexA

Win API:
GetComputerNameA, InternetOpenUrlA, InternetReadFile, LoadLibraryA, GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetEnvironmentVariableW, have more...

Languages:
php

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Кампания вредоносного ПО TOITOIN является передовой постоянной угрозой, направленной на предприятия в регионе LATAM.
-----

Вредоносная кампания TOITOIN - это современная постоянная угроза, направленная на предприятия в регионе Латинской Америки (LATAM). В атаке используется многоступенчатая цепочка заражения, включающая обманчивые фишинговые письма, специально созданные модули и различные техники уклонения. Она начинается с модуля-загрузчика, который загружает дальнейшие стадии вредоносного ПО, обходит песочницы путем перезагрузки системы и сохраняет устойчивость с помощью LNK-файлов. Затем DLL Krita Loader загружается через подписанный двоичный файл, который загружает модуль InjectorDLL. Этот модуль внедряет ElevateInjectorDLL в удаленные процессы, такие как explorer.exe. ElevateInjectorDLL обходит "песочницы" и выполняет углубление процесса для внедрения троянца TOITOIN или модуля BypassUAC в зависимости от привилегий процесса. Модуль BypassUAC использует COM elevation Moniker для обхода User Account Control и выполнения Krita Loader с привилегиями администратора.

Троянец TOITOIN использует пользовательскую XOR-дешифровку для декодирования своего конфигурационного файла, содержащего URL-адрес командно-контрольного сервера. Он передает на C&C-сервер закодированную системную информацию, сведения об установленных браузерах и модуле защиты Topaz OFD. В отсутствие конфигурационного файла информация отправляется через POST-запрос с использованием curl.

#ParsedReport #CompletenessMedium
07-07-2023

. Miner mining Trojan activity analysis

https://www.antiy.cn/research/notice&report/research_report/aminer_Analysis.html

Report completeness: Medium

Threats:
Netstat_tool
Shellbot
Beacon

Victims:
Linux platform

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 5
IP: 4
Hash: 5
Url: 5

Soft:
redis, crontab, curl, sudo

Crypto:
monero

Languages:
perl

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT выявил партию активных образцов троянских коней для майнинга под названием "aminer" и разработал карту ATT&CK для детализации полного процесса запуска злоумышленниками троянских программ для майнинга.
-----

Недавно Antiy CERT выявил партию активных образцов троянского коня для майнинга, который он назвал "aminer", по имени файла майнинга, загружаемого в его начальном сценарии. Было проверено, что Linux-версия системы Intelligent Endpoint Protection System (IEP) компании Antiy может обнаружить и уничтожить майнера.

Начальный сценарий атаки троянца miner состоит из инструкций по записи на указанные адреса DNS-серверов, установке инструментов и библиотек, загрузке и выполнению файла install.tgz и загрузке файла miner.gz. Install.tgz содержит вредоносные файлы с теми же именами, что и системные файлы, такие как top, который добавляет открытые ключи SSH, заменяет top, netstat и crontab, выполняет irc-клиент для создания бэкдора и фильтрует сетевые соединения с номерами портов 20 и 43. ns2.jpg - это ShellBot, написанный на языке Perl, который подключается к irc-серверу (irc.tung-shu.cf), номер порта - 20, а канал - #ROOT. Сжатый пакет Miner.gz содержит программы майнинга для двух архитектур операционных систем. Стартовый скрипт создает службу для сохранения и запускает программу майнинга для выполнения майнинга. Адреса DNS-серверов, используемых для атаки, включают "114.114.114.114", "114.114.115.115", "8.8.8.8", "1.1.1.1".

Вредоносная учетная запись позволяет пользователю daemon выполнять любую команду без ввода пароля. Операционную систему необходимо перезагрузить, поскольку вредоносный код выполняется в памяти, но не приземлился. Поскольку троянец-майнер заменяет top, netstat и другие файлы в операционной системе, вредоносно замененные файлы будут удалены в плане очистки, и при необходимости эти команды нужно будет установить заново.

Antiy CERT разработал карту ATT&CK, детализирующую полный процесс запуска злоумышленниками майнинговых троянцев. Согласно карте, сначала злоумышленник использует SSH и перебор слабых паролей Redis для атаки на платформу Linux, затем загружает вредоносные файлы с именами, похожими на системные файлы, такие как top, для добавления открытых ключей SSH и замены top, netstat и crontab. После этого используется IRC-клиент для создания бэкдора, а сетевые соединения с номерами портов 20 и 43 фильтруются. Создается вредоносная учетная запись, позволяющая пользователю daemon выполнять любые команды без ввода пароля, после чего загружаются и запускаются программы для майнинга.

#ParsedReport #CompletenessLow
07-07-2023

. Analysis of Clipboard Hijacker Propagated Through Pirated System Mirror Resources

https://www.antiy.cn/research/notice&report/research_report/Torrent_Analysis.html

Report completeness: Low

Threats:
Beacon
Process_injection_technique

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 4
Path: 5
Coin: 3
Hash: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT обнаружил атакующие действия, распространяемые через зеркальные сайты загрузки, где злоумышленники прячут вредоносные файлы в системе и используют их для перевода средств на свои счета. Пользователям важно понимать риски, связанные с бесплатными ресурсами, и использовать официальные каналы для получения образов системы.
-----

Недавно Antiy CERT обнаружил атакующие действия, распространяемые через зеркальные сайты загрузки. Злоумышленники используют вредоносные программы для заражения операционных систем Windows, маскируя их под внешне чистые системы путем размещения Torrent-ресурсов на зеркальных сайтах загрузки. Злоумышленники заранее прячут вредоносные файлы по указанному пути, которые затем выполняются через запланированные задачи. Чтобы избежать обнаружения продуктами безопасности, они используют системный раздел EFI, монтируя его и копируя на него оставшиеся вредоносные файлы. Вредоносная программа маскируется под легитимную программу в операционной системе, а ее цифровая подпись недействительна. Кроме того, она сканирует процессы, запущенные в текущей системе, на наличие определенных инструментов безопасности.

Вредоносная программа внедряет вредоносную DLL, постоянно отслеживая содержимое буфера обмена и заменяя его на адрес кошелька злоумышленника, когда он совпадает с адресом криптовалютного кошелька, тем самым переводя выручку на счет злоумышленника. Для предотвращения подобных атак пользователям следует повысить свою осведомленность в вопросах безопасности и избегать получения ресурсов образа системы по неофициальным каналам. Было проверено, что Antiy Intelligent Endpoint Defense System (сокращенно IEP) может эффективно обнаруживать и уничтожать вредоносные программы.

Подобные атаки требуют сложного планирования и исполнения. Во-первых, злоумышленники заранее помещают вредоносные программы в %SystemRoot%\Installer и создают соответствующие запланированные задачи. Затем, когда пользователи устанавливают операционную систему Windows, используя подделанный образ, iscsicli.exe запускает себя через запланированную задачу, монтирует системный раздел EFI и копирует оставшиеся вредоносные файлы в этот раздел. Это позволяет вредоносной программе обойти обнаружение со стороны продуктов безопасности. Наконец, вредоносная DLL внедряется в систему и начинает отслеживать содержимое буфера обмена, заменяя его адресом кошелька злоумышленника при совпадении с адресом криптовалютного кошелька. Это гарантирует, что средства будут переведены на счет злоумышленника.

#ParsedReport #CompletenessLow
07-07-2023

Distribution of NetSupport Malware Using Email

https://asec.ahnlab.com/en/55146

Report completeness: Low

Threats:
Netsupportmanager_rat
Trojan/js.agent.sc189783

IOCs:
File: 3
Url: 2

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NetSupport RAT - это вредоносная программа, используемая субъектами угроз для получения несанкционированного доступа к системе пользователя, обычно через спам и фишинговые страницы, замаскированные под документы. Недавно Центр экстренного реагирования AhnLab Security обнаружил, что NetSupport RAT распространяется через фишинговое письмо. Поведенческая детекция NetSupport RAT включает Execution/EDR.Powershell.M11170 и Execution/MDP.Powershell.M10668, а файловая детекция включает Trojan/JS.Agent.SC189783 (2023.06.15.02). URL и C2-серверы, используемые для загрузки дополнительных Powershell-скриптов и NetSupport RAT, - hxxps://mjventas.com/reconts.php и hxxps://qualityzer.com/index1.php.
-----

NetSupport RAT - это вредоносная программа, используемая субъектами угроз для получения несанкционированного доступа к системе пользователя. Обычно она распространяется через спам по электронной почте и фишинговые страницы, маскируясь под документы, такие как счета-фактуры, отгрузочные документы и PO (заказы на поставку). Недавно Центр экстренного реагирования AhnLab Security обнаружил, что NetSupport RAT распространяется через фишинговое письмо.

Это письмо тщательно маскируется под законный документ, поэтому пользователям трудно отличить его от обычного письма. В теле письма может содержаться замаскированный контрольный список аудита или другие документы, поэтому пользователям важно всегда быть осторожными и проверять вложения электронной почты, прежде чем открывать их.

При успешной попытке подключения к Интернету вредоносная программа подключается к серверу Command & Control (C2), загружает и выполняет дополнительный сценарий Powershell. Этот сценарий содержит обфусцированный код, что затрудняет его обнаружение.

Поведенческое обнаружение NetSupport RAT включает Execution/EDR.Powershell.M11170 и Execution/MDP.Powershell.M10668. Обнаружение файлов включает Trojan/JS.Agent.SC189783 (2023.06.15.02). URL и C2-серверы, используемые для загрузки дополнительного Powershell-скрипта - hxxps://mjventas.com/reconts.php, а для загрузки NetSupport RAT - hxxps://qualityzer.com/index1.php.

#ParsedReport #CompletenessLow
07-07-2023

Beyond appearances: unknown actor using APT29s TTP against Chinese users. Beyond appearances: unknown actor using APT29 s TTP against Chinese users

https://lab52.io/blog/beyond-appearances-unknown-actor-using-apt29s-ttp-against-chinese-users

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Cobalt_strike
Upx_tool
Beacon

Victims:
Chinese speaking users

Industry:
Financial, Education, Healthcare, Transport

Geo:
Russian, Chinese

ChatGPT TTPs:
do not use without manual check
T1078, T1073, T1064, T1036, T1027

IOCs:
File: 4
Hash: 12
Url: 1
Command: 1
Path: 1

Links:
https://github.com/cnHopeStudio/Batch-Encryption-DeCoder

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно Lab52 обнаружила вредоносную кампанию, направленную на китайскоговорящих пользователей, которая включает фишинговое письмо с вредоносным документом, написанным на китайском языке. Цепочка заражения включает копирование двух файлов в папку C:\ProgramData и их выполнение, что, предположительно, является работой другого участника угрозы, нежели APT29, из-за использования различных техник. Инфекция также запускает маяк CobaltStrike.
-----

Компания Lab52 недавно обнаружила вредоносную кампанию, направленную на китайскоговорящих пользователей. Цепочка заражения начинается с фишингового письма, в котором содержится документ, выдаваемый за биографию 28-летнего специалиста, специализирующегося в области финансов и разработки программного обеспечения для банковских систем. Вредоносный документ написан на китайском языке и включает сжатый файл с китайскими иероглифами, ссылающийся на магистра Пекинского университета Сунь Цзичао. Этот файл содержит файл .bat, два файла .tmp и еще один файл .pdf.

Угрожающий агент, стоящий за этой кампанией, использовал методы и артефакты, которые ранее связывали с APT29, такие как боковая загрузка DLL с библиотекой appvisvsubsystems64.dll и легитимным бинарным файлом WinWord.exe, а также развертывание CobaltStrike. Однако есть несколько особенностей, которые позволяют предположить, что атака была совершена не российской группой. К ним относятся использование зашифрованного .bat-файла, китайские иероглифы во всех файлах, адрес приманки - Пекин, а также сохранение файлов в папке %ProgramData%, а не %AppData%.

На первом этапе заражения файлы wda.tmp и mbp.tmp копируются в папку C:\ProgramData, скрываются, переименовываются в OfficeUpdate.exe и appvisvsubsystems64.dll соответственно, а затем запускается файл .pdf, отображающий приманку. Затем запускается OfficeUpdate.exe, чтобы продолжить этап 1, и, наконец, файлы этапа 0 wda.tmp, mbp.tmp, aaa.bat и lnk удаляются, так что сохраняется только то, что находится в C:\ProgramData\.

Затем выполняются два файла, расположенные в C:\ProgramData, OfficeUpdate и appvisvsubsystems64.dll. Первый - это легитимный двоичный файл WinWord, а второй - вредоносная библиотека, которая загружает WinWord через DLL Side-Load. Библиотека написана на языке Go, упакована с UPX и имеет дату компиляции 4 июля. Она также создает поток для выполнения маяка CobaltStrike, который агент будет использовать в качестве основы для пост-эксплуатации.

#ParsedReport #CompletenessLow
07-07-2023

. Analysis of recent attack activities of Diicot mining organization

https://www.antiy.cn/research/notice&report/research_report/Diicott_Analysis.html

Report completeness: Low

Actors/Campaigns:
Diicot

Threats:
Xmrig_miner
Upx_tool

Victims:
More than 600 domestic victim servers

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1075.001, T1214.002, T1082, T1547.001, T1486, T1483, T1036, T1543.002, T1545.001, T1499, have more...

IOCs:
File: 1
IP: 5
Hash: 7

Soft:
chrome, opera, systemd

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация, занимающаяся добычей Diicot, проводит широкомасштабные атаки на устройства с открытым портом 22 в Интернете и использует инструменты взлома SSH грубой силой для достижения вторжения. Она заразила более 600 внутренних серверов жертв и приняла такие меры, как шифрование shc, чтобы избежать обнаружения. Необходимо обратить внимание на безопасность сервера и усилить защиту устройства.
-----

Недавно совместный мониторинг CNCERT и Antiy выявил, что организация по добыче Diicot (также известная как color1337, Mexals) проводит широкомасштабные атаки. После расследования было установлено, что организация нацеливается на устройства с открытым в Интернете портом 22 и использует инструменты взлома грубой силой SSH для достижения вторжения. Было обнаружено, что злоумышленник постоянно обновлял полезную нагрузку атаки с 13 октября 2022 года по 27 мая 2023 года и добавил такие методы, как шифрование shc, чтобы избежать обнаружения.

Отслеживание и мониторинг показали, что с 1 марта 2023 года по настоящее время более 600 отечественных серверов-жертв были заражены майнинговой организацией Diicot. В качестве начальной полезной нагрузки атакующей программы злоумышленник использовал зашифрованный с помощью SHC BASH-скрипт, сжатый и защищенный модифицированным UPX. Эта программа очищала все запланированные задачи на хосте и завершала процессы, связанные с конкурирующими троянскими конями для майнинга. Когда количество ядер процессора становится меньше 4, Payload загружает и запускает History, чтобы запустить программу распространения Update. Chrome - это сканер портов Linux, а Aliases - инструмент для взлома SSH грубой силой. Когда количество ядер больше или равно 4, Payload выполнит diicot, который является программой запуска троянца для майнинга.

Diicot создаст службу и несколько запланированных задач для достижения постоянной работы майнинговой программы Opera. Максимальное количество троянских коней для майнинга в Китае достигло более 200 единиц в день с 1 марта 2023 года по 31 мая 2023 года. Количество отечественных онлайн-машин, зараженных майнинговой организацией Diicot, растет с каждым днем. Злоумышленники применяют различные меры, такие как шифрование shc, чтобы избежать обнаружения. Необходимо обратить внимание на безопасность сервера и усилить защиту устройства.

#ParsedReport #CompletenessMedium
07-07-2023

. Be wary of data breaches caused by BlackCat ransomware

https://www.antiy.cn/research/notice&report/research_report/BlackCat_Analysis.html

Report completeness: Medium

Actors/Campaigns:
Blackcat
Darkside
Blackmatter

Threats:
Blackcat
Sphynx
Revil
Uac_bypass_technique

Victims:
Coca-cola femsa, Sonangol, Reddit, Mammoth energy

Industry:
Petroleum, Energy, Healthcare, Financial

Geo:
Mexican, Angola, American

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 6
Hash: 7

Soft:
esxi, i, bcdedit

Algorithms:
aes, chacha20

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlackCat ransomware представляет собой RaaS бизнес-модель с AES или ChaCha, сочетающую алгоритм RSA для шифрования файлов, и пытается украсть данные, сохраняя механизм шифрования файлов ransomware, по состоянию на 3 июля 2023 года было 434 сообщения о жертвах BlackCat ransomware. Полезная нагрузка BlackCat написана на языке программирования Rust, и для защиты от ransomware пользователи должны завершить службы и процессы, указанные в конфигурационном файле.
-----

В ноябре 2021 года Antiy CERT обнаружил многочисленные атаки BlackCat 1 ransomware. Эта атакующая организация работает по бизнес-модели ransomware-as-a-service (RaaS) и 21 февраля 2023 года выпустила версию 2.0 программы-вымогателя Sphynx. Первоначальный доступ к системе жертвы достигается с помощью фишинга, эксплуатации уязвимостей и полученных учетных данных. Для шифрования файлов BlackCat использует алгоритм AES или ChaCha, сочетающий алгоритм RSA. Злоумышленники используют стратегии двойного вымогательства и начали добавлять возможность кражи данных при сохранении механизма шифрования файлов ransomware.

У злоумышленников есть специальный сайт утечки данных (DLS) на сайте Tor, который они используют для публикации информации о жертвах и украденных данных. BlackCat связан с программами REvil, DarkSide и BlackMatter ransomware. Для выполнения зашифрованной полезной нагрузки BlackCat требуется параметр Access Token, и система Intelligence Endpoint Defense System (IEP) компании Antiy может обнаружить и уничтожить эту программу-вымогатель.

По состоянию на 3 июля 2023 года поступило 434 сообщения от жертв вымогательского ПО BlackCat. 10 июня злоумышленник опубликовал в DLS информацию о Coca-Cola FEMSA, мексиканской компании по производству напитков. 15 июня они опубликовали информацию о Sonangol, национальной нефтяной компании Республики Ангола, затем 17 июня - об американском сайте социальных новостей Reddit, а 19 июня - об американской энергосервисной компании Mammoth Energy.

Полезная нагрузка BlackCat написана на языке программирования Rust. Без параметра Access Token она не может быть выполнена, что не позволяет исследователям безопасности и инструментам "песочницы" анализировать полезную нагрузку. Конфигурационный файл, который также записан в полезной нагрузке, содержит список служб и процессов, которые необходимо остановить, каталог "белого списка", который пропускает шифрование, список файлов и расширений файлов и т.д.

Чтобы не пострадать во время выполнения полезной нагрузки ransomware, пользователям следует завершить службы и процессы, указанные в конфигурационном файле. Это поможет защититься от BlackCat ransomware, а также от других вымогательских программ.

#technique

Winsocket implementation for Cobalt Strike. Used to communicate with the victim using winsockets instead of the traditional ways.

https://github.com/WKL-Sec/Winsocky

#technique

Kill AV/EDR leveraging BYOVD attack

https://github.com/Helixo32/NimBlackout

#technique

A memory-based evasion technique which makes shellcode invisible from process start to end.

https://github.com/lem0nSec/ShellGhost

#technique

Creative C2 Obfuscation: CloudFronting Through Firewalls and Hiding in Plain PCAP

https://dev.to/rosesecurity/creative-c2-obfuscation-cloudfronting-through-firewalls-and-hiding-in-plain-pcap-3dkg