#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NetSupport RAT - это вредоносная программа, используемая субъектами угроз для получения несанкционированного доступа к системе пользователя, обычно через спам и фишинговые страницы, замаскированные под документы. Недавно Центр экстренного реагирования AhnLab Security обнаружил, что NetSupport RAT распространяется через фишинговое письмо. Поведенческая детекция NetSupport RAT включает Execution/EDR.Powershell.M11170 и Execution/MDP.Powershell.M10668, а файловая детекция включает Trojan/JS.Agent.SC189783 (2023.06.15.02). URL и C2-серверы, используемые для загрузки дополнительных Powershell-скриптов и NetSupport RAT, - hxxps://mjventas.com/reconts.php и hxxps://qualityzer.com/index1.php.
-----

NetSupport RAT - это вредоносная программа, используемая субъектами угроз для получения несанкционированного доступа к системе пользователя. Обычно она распространяется через спам по электронной почте и фишинговые страницы, маскируясь под документы, такие как счета-фактуры, отгрузочные документы и PO (заказы на поставку). Недавно Центр экстренного реагирования AhnLab Security обнаружил, что NetSupport RAT распространяется через фишинговое письмо.

Это письмо тщательно маскируется под законный документ, поэтому пользователям трудно отличить его от обычного письма. В теле письма может содержаться замаскированный контрольный список аудита или другие документы, поэтому пользователям важно всегда быть осторожными и проверять вложения электронной почты, прежде чем открывать их.

При успешной попытке подключения к Интернету вредоносная программа подключается к серверу Command & Control (C2), загружает и выполняет дополнительный сценарий Powershell. Этот сценарий содержит обфусцированный код, что затрудняет его обнаружение.

Поведенческое обнаружение NetSupport RAT включает Execution/EDR.Powershell.M11170 и Execution/MDP.Powershell.M10668. Обнаружение файлов включает Trojan/JS.Agent.SC189783 (2023.06.15.02). URL и C2-серверы, используемые для загрузки дополнительного Powershell-скрипта - hxxps://mjventas.com/reconts.php, а для загрузки NetSupport RAT - hxxps://qualityzer.com/index1.php.

#ParsedReport #CompletenessLow
07-07-2023

Beyond appearances: unknown actor using APT29s TTP against Chinese users. Beyond appearances: unknown actor using APT29 s TTP against Chinese users

https://lab52.io/blog/beyond-appearances-unknown-actor-using-apt29s-ttp-against-chinese-users

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Cobalt_strike
Upx_tool
Beacon

Victims:
Chinese speaking users

Industry:
Financial, Education, Healthcare, Transport

Geo:
Russian, Chinese

ChatGPT TTPs:
do not use without manual check
T1078, T1073, T1064, T1036, T1027

IOCs:
File: 4
Hash: 12
Url: 1
Command: 1
Path: 1

Links:
https://github.com/cnHopeStudio/Batch-Encryption-DeCoder

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно Lab52 обнаружила вредоносную кампанию, направленную на китайскоговорящих пользователей, которая включает фишинговое письмо с вредоносным документом, написанным на китайском языке. Цепочка заражения включает копирование двух файлов в папку C:\ProgramData и их выполнение, что, предположительно, является работой другого участника угрозы, нежели APT29, из-за использования различных техник. Инфекция также запускает маяк CobaltStrike.
-----

Компания Lab52 недавно обнаружила вредоносную кампанию, направленную на китайскоговорящих пользователей. Цепочка заражения начинается с фишингового письма, в котором содержится документ, выдаваемый за биографию 28-летнего специалиста, специализирующегося в области финансов и разработки программного обеспечения для банковских систем. Вредоносный документ написан на китайском языке и включает сжатый файл с китайскими иероглифами, ссылающийся на магистра Пекинского университета Сунь Цзичао. Этот файл содержит файл .bat, два файла .tmp и еще один файл .pdf.

Угрожающий агент, стоящий за этой кампанией, использовал методы и артефакты, которые ранее связывали с APT29, такие как боковая загрузка DLL с библиотекой appvisvsubsystems64.dll и легитимным бинарным файлом WinWord.exe, а также развертывание CobaltStrike. Однако есть несколько особенностей, которые позволяют предположить, что атака была совершена не российской группой. К ним относятся использование зашифрованного .bat-файла, китайские иероглифы во всех файлах, адрес приманки - Пекин, а также сохранение файлов в папке %ProgramData%, а не %AppData%.

На первом этапе заражения файлы wda.tmp и mbp.tmp копируются в папку C:\ProgramData, скрываются, переименовываются в OfficeUpdate.exe и appvisvsubsystems64.dll соответственно, а затем запускается файл .pdf, отображающий приманку. Затем запускается OfficeUpdate.exe, чтобы продолжить этап 1, и, наконец, файлы этапа 0 wda.tmp, mbp.tmp, aaa.bat и lnk удаляются, так что сохраняется только то, что находится в C:\ProgramData\.

Затем выполняются два файла, расположенные в C:\ProgramData, OfficeUpdate и appvisvsubsystems64.dll. Первый - это легитимный двоичный файл WinWord, а второй - вредоносная библиотека, которая загружает WinWord через DLL Side-Load. Библиотека написана на языке Go, упакована с UPX и имеет дату компиляции 4 июля. Она также создает поток для выполнения маяка CobaltStrike, который агент будет использовать в качестве основы для пост-эксплуатации.

#ParsedReport #CompletenessLow
07-07-2023

. Analysis of recent attack activities of Diicot mining organization

https://www.antiy.cn/research/notice&report/research_report/Diicott_Analysis.html

Report completeness: Low

Actors/Campaigns:
Diicot

Threats:
Xmrig_miner
Upx_tool

Victims:
More than 600 domestic victim servers

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1075.001, T1214.002, T1082, T1547.001, T1486, T1483, T1036, T1543.002, T1545.001, T1499, have more...

IOCs:
File: 1
IP: 5
Hash: 7

Soft:
chrome, opera, systemd

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация, занимающаяся добычей Diicot, проводит широкомасштабные атаки на устройства с открытым портом 22 в Интернете и использует инструменты взлома SSH грубой силой для достижения вторжения. Она заразила более 600 внутренних серверов жертв и приняла такие меры, как шифрование shc, чтобы избежать обнаружения. Необходимо обратить внимание на безопасность сервера и усилить защиту устройства.
-----

Недавно совместный мониторинг CNCERT и Antiy выявил, что организация по добыче Diicot (также известная как color1337, Mexals) проводит широкомасштабные атаки. После расследования было установлено, что организация нацеливается на устройства с открытым в Интернете портом 22 и использует инструменты взлома грубой силой SSH для достижения вторжения. Было обнаружено, что злоумышленник постоянно обновлял полезную нагрузку атаки с 13 октября 2022 года по 27 мая 2023 года и добавил такие методы, как шифрование shc, чтобы избежать обнаружения.

Отслеживание и мониторинг показали, что с 1 марта 2023 года по настоящее время более 600 отечественных серверов-жертв были заражены майнинговой организацией Diicot. В качестве начальной полезной нагрузки атакующей программы злоумышленник использовал зашифрованный с помощью SHC BASH-скрипт, сжатый и защищенный модифицированным UPX. Эта программа очищала все запланированные задачи на хосте и завершала процессы, связанные с конкурирующими троянскими конями для майнинга. Когда количество ядер процессора становится меньше 4, Payload загружает и запускает History, чтобы запустить программу распространения Update. Chrome - это сканер портов Linux, а Aliases - инструмент для взлома SSH грубой силой. Когда количество ядер больше или равно 4, Payload выполнит diicot, который является программой запуска троянца для майнинга.

Diicot создаст службу и несколько запланированных задач для достижения постоянной работы майнинговой программы Opera. Максимальное количество троянских коней для майнинга в Китае достигло более 200 единиц в день с 1 марта 2023 года по 31 мая 2023 года. Количество отечественных онлайн-машин, зараженных майнинговой организацией Diicot, растет с каждым днем. Злоумышленники применяют различные меры, такие как шифрование shc, чтобы избежать обнаружения. Необходимо обратить внимание на безопасность сервера и усилить защиту устройства.

#ParsedReport #CompletenessMedium
07-07-2023

. Be wary of data breaches caused by BlackCat ransomware

https://www.antiy.cn/research/notice&report/research_report/BlackCat_Analysis.html

Report completeness: Medium

Actors/Campaigns:
Blackcat
Darkside
Blackmatter

Threats:
Blackcat
Sphynx
Revil
Uac_bypass_technique

Victims:
Coca-cola femsa, Sonangol, Reddit, Mammoth energy

Industry:
Petroleum, Energy, Healthcare, Financial

Geo:
Mexican, Angola, American

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 6
Hash: 7

Soft:
esxi, i, bcdedit

Algorithms:
aes, chacha20

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlackCat ransomware представляет собой RaaS бизнес-модель с AES или ChaCha, сочетающую алгоритм RSA для шифрования файлов, и пытается украсть данные, сохраняя механизм шифрования файлов ransomware, по состоянию на 3 июля 2023 года было 434 сообщения о жертвах BlackCat ransomware. Полезная нагрузка BlackCat написана на языке программирования Rust, и для защиты от ransomware пользователи должны завершить службы и процессы, указанные в конфигурационном файле.
-----

В ноябре 2021 года Antiy CERT обнаружил многочисленные атаки BlackCat 1 ransomware. Эта атакующая организация работает по бизнес-модели ransomware-as-a-service (RaaS) и 21 февраля 2023 года выпустила версию 2.0 программы-вымогателя Sphynx. Первоначальный доступ к системе жертвы достигается с помощью фишинга, эксплуатации уязвимостей и полученных учетных данных. Для шифрования файлов BlackCat использует алгоритм AES или ChaCha, сочетающий алгоритм RSA. Злоумышленники используют стратегии двойного вымогательства и начали добавлять возможность кражи данных при сохранении механизма шифрования файлов ransomware.

У злоумышленников есть специальный сайт утечки данных (DLS) на сайте Tor, который они используют для публикации информации о жертвах и украденных данных. BlackCat связан с программами REvil, DarkSide и BlackMatter ransomware. Для выполнения зашифрованной полезной нагрузки BlackCat требуется параметр Access Token, и система Intelligence Endpoint Defense System (IEP) компании Antiy может обнаружить и уничтожить эту программу-вымогатель.

По состоянию на 3 июля 2023 года поступило 434 сообщения от жертв вымогательского ПО BlackCat. 10 июня злоумышленник опубликовал в DLS информацию о Coca-Cola FEMSA, мексиканской компании по производству напитков. 15 июня они опубликовали информацию о Sonangol, национальной нефтяной компании Республики Ангола, затем 17 июня - об американском сайте социальных новостей Reddit, а 19 июня - об американской энергосервисной компании Mammoth Energy.

Полезная нагрузка BlackCat написана на языке программирования Rust. Без параметра Access Token она не может быть выполнена, что не позволяет исследователям безопасности и инструментам "песочницы" анализировать полезную нагрузку. Конфигурационный файл, который также записан в полезной нагрузке, содержит список служб и процессов, которые необходимо остановить, каталог "белого списка", который пропускает шифрование, список файлов и расширений файлов и т.д.

Чтобы не пострадать во время выполнения полезной нагрузки ransomware, пользователям следует завершить службы и процессы, указанные в конфигурационном файле. Это поможет защититься от BlackCat ransomware, а также от других вымогательских программ.

#technique

Winsocket implementation for Cobalt Strike. Used to communicate with the victim using winsockets instead of the traditional ways.

https://github.com/WKL-Sec/Winsocky

#technique

Kill AV/EDR leveraging BYOVD attack

https://github.com/Helixo32/NimBlackout

#technique

A memory-based evasion technique which makes shellcode invisible from process start to end.

https://github.com/lem0nSec/ShellGhost

#technique

Creative C2 Obfuscation: CloudFronting Through Firewalls and Hiding in Plain PCAP

https://dev.to/rosesecurity/creative-c2-obfuscation-cloudfronting-through-firewalls-and-hiding-in-plain-pcap-3dkg

#ParsedReport #CompletenessHigh
10-07-2023

Letscall new sophisticated Vishing toolset

https://www.threatfabric.com/blogs/letscall-new-sophisticated-vishing-toolset

Report completeness: High

Threats:
Letscall_rat
Bangcle_tool
Blackseo_technique

Victims:
Individuals from south korea

Industry:
Financial, Government

Geo:
Asian, Korean, Korea, China, Japanese, Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 15
Hash: 3
IP: 10

Soft:
android, webrtc, nanohttpd, chrome, vuejs, laravel

Algorithms:
zip, xor, sha256, base64

Languages:
php, javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 1, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вишинг - это тип фишинговой атаки, использующий технологию Voice over IP и применяемый для нападения на людей в Южной Корее. Злоумышленники могут использовать любую имеющуюся у них информацию, чтобы завоевать доверие жертв, и применяют сильные техники уклонения.-----

Вишинг - это вид фишинга, использующий технологию передачи голоса по IP (VoIP) для нападения на жертв. Этот метод атаки становится все более популярным и был использован субъектами угроз для нападения на людей в Южной Корее, хотя потенциал для злоупотреблений является глобальным. Вредоносный инструментарий, стоящий за этими атаками, называется Letscall и включает такие компоненты, как разработчики Android, дизайнеры, разработчики фронтенда, разработчики бэкенда и операторы звонков. Letscall использует технологию WEBRTC для маршрутизации VOIP-трафика и соединения жертвы с операторами call-центра. Злоумышленники могут использовать любую информацию, чтобы завоевать доверие жертв, например, заразить их мобильный телефон, а затем позвонить им, выдавая себя за сотрудника службы безопасности банка.

Злоумышленники используют сильные методы обхода для всех трех стадий вредоносной программы, такие как имитация магазина Google Play, использование корейского языка на веб-странице и жесткое кодирование URL-адресов в приложении. Они также используют фишинговые страницы для утечки данных и изменения конфигурации, такие как сайты агрегаторов кредитов, KICS (Korea Information System of Criminal-Justice Services) и другие банковские сайты. Кроме того, вредоносная программа поддерживает обмен данными с помощью веб-сокетов и P2P-сервиса, а также содержит заранее записанные сообщения и коды набора DTMF, чтобы имитировать работу клиента при звонке в банк.

Для визуализации контента злоумышленники также используют панель администратора, которая основана на VueJS и PHP-фреймворке Laravel. Она поддерживает четыре языка (английский, корейский, японский и китайский) и содержит изображения с мета-информацией, такой как даты создания и часовые пояса. Кроме того, в нем содержится множество названий южнокорейских финансовых учреждений, которые могут быть использованы в ходе атаки.

#ParsedReport #CompletenessLow
10-07-2023

SiegedSec hacker group attack campaign

https://mp-weixin-qq-com.translate.goog/s/RsiQzEck5Iv6EUuYzXWFOA?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Siegedsec (motivation: politically_motivated)

Threats:
Rig_tool

Industry:
Financial, Petroleum, Government, Entertainment, Healthcare

Geo:
Indonesia, Colombia, Ukraine, Colombian, Russian, Pakistan, India, Philippines, Chinese, Guangdong, Mexico, Africa

TTPs:
Tactics: 1
Technics: 0

Soft:
wechat, telegram

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что SiegedSec - это новая группа угроз, которая с февраля 2022 года атакует компании различных отраслей по всему миру, размещая украденные данные на хакерских форумах и атакуя правительственные сайты и спутниковые приемники. США расследуют деятельность группы, которая может быть мотивирована финансовой выгодой.
-----

SiegedSec - это новая группа угроз, которая действует с февраля 2022 года и возглавляется лидером хакеров, известным как "YourAnonWolf". У группы нет предпочтений в атаках на отрасли или страны, и она легко и успешно атаковала компании в различных отраслях по всему миру, включая здравоохранение, информационные технологии, страхование, юриспруденцию и финансы. Они размещают украденные данные на различных хакерских форумах, но никогда не используют программы-выкупы и не продают украденные данные с целью получения прибыли.

Согласно статистике, SiegedSec получил конфиденциальные данные, электронную почту и данные по меньшей мере 30 различных компаний. В апреле они разместили базы данных, документы и электронную почту 17 различных компаний. В мае они заявили, что успешно атаковали NewsVoir, издательство новостей в Индии, и публично обнародовали 27 Гб документов, украденных с серверов этого новостного издания.

26 мая 2023 года хакерская группа SiegedSec продолжила атаковать правительство Колумбии, утверждая, что получила доступ к базам данных правительственных сайтов, содержащих данные пользователей. Они также атаковали контроллеры электропитания и системы дозаправки. 28 июня SiegedSec взломала правительственные сайты пяти штатов США - Небраски, Южной Дакоты, Пенсильвании, Южной Каролины и Техаса, похитив 15 000 записей об уходе за детьми и некоторые файлы, связанные с Верховным судом Небраски и Информационной службой уголовного правосудия Южной Каролины.

Группа SiegedSec также, по-видимому, скомпрометировала несколько спутниковых приемников с функциями безопасности, отключенными по умолчанию или с учетными данными по умолчанию. Они разместили в Telegram документ с картой точек, расположенных у побережья Техасского залива - района, где сосредоточены морские нефтегазовые установки.

В ответ на эту деятельность Соединенные Штаты организовали должностных лиц в нескольких штатах для расследования деятельности "SiegedSec" с политически мотивированными хакерскими атаками. SiegedSec специализируется на разведке угроз, уязвимостей, анализе вредоносных программ, технологиях (инструментах) проникновения и других смежных областях. Они не отвечают на личные сообщения. Судя по их действиям, похоже, что их целью является не только веселье и развлечения, но и финансовая выгода.

#ParsedReport #CompletenessLow
10-07-2023

[QuickNote] Examining Formbook Campaign via Phishing Emails

https://kienmanowar.wordpress.com/2023/07/06/quicknote-examining-formbook-campaign-via-phishing-emails

Report completeness: Low

Threats:
Formbook

Victims:
Various companies

IOCs:
File: 9
Url: 3
Hash: 1

Soft:
wordpress

Algorithms:
aes, gzip, sha256, base64

Functions:
RPJ

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматривается кампания по распространению вредоносного ПО Formbook, наблюдаемая с использованием фишинговых писем, в которых применяется алгоритм Dlt для декодирования адреса загрузки полезной нагрузки и ложного PDF. Полезная нагрузка представляет собой новую сборку вредоносной программы FormBook, которая является вредоносной программой для кражи данных и захвата форм. Пользователям важно сохранять бдительность и иметь на своих компьютерах обновленное антивирусное программное обеспечение.
-----

Эта статья посвящена кампании по распространению вредоносного ПО Formbook, которая была замечена при использовании фишинговых писем. Было обнаружено, что в этой кампании используется полезная нагрузка .NET с функцией расшифровки, использующей алгоритм Dlt. После выполнения полезной нагрузки .NET она распаковывает конечную полезную нагрузку, которая представляет собой новую сборку вредоносной программы FormBook.

Вредоносные письма в этой кампании отправлялись с различных поддельных адресов электронной почты, а в темах сообщений содержались такие слова, как "счет", "оплата", "заказ" и "счет". В теле письма содержалась ссылка на файл, размещенный на удаленном сервере. При нажатии на ссылку на компьютер жертвы загружался исполняемый файл .NET.

Было обнаружено, что исполняемый файл .NET использует алгоритм Dlt для декодирования адреса загрузки файлов (полезной нагрузки следующего этапа). Переписав алгоритм Dlt в Python и выполнив декодирование, был получен адрес загрузки полезной нагрузки и ложного PDF.

Когда полезная нагрузка была выполнена, она распаковала конечную полезную нагрузку, которая является полезной нагрузкой вредоносной программы FormBook. Вредоносная программа FormBook - это вредоносная программа для кражи данных и захвата форм, которая перехватывает нажатия клавиш, крадет пароли и делает скриншоты компьютера жертвы. Она также может быть использована для выполнения произвольного кода.

Эта конкретная кампания примечательна тем, что она является одной из немногих кампаний, использующих алгоритм Dlt для декодирования адреса загрузки полезной нагрузки. Также возможно, что злоумышленники используют новую сборку вредоносной программы FormBook, поскольку ранее не было сообщений об этом штамме.

Использование электронной почты и вредоносных ссылок в этой кампании - обычная тактика, применяемая злоумышленниками для распространения вредоносного ПО. Важно, чтобы пользователи сохраняли бдительность и не переходили по подозрительным ссылкам или вложениям. Кроме того, им следует убедиться, что на их компьютерах установлено обновленное антивирусное программное обеспечение.

#ParsedReport #CompletenessHigh
10-07-2023

The five-day job: A BlackByte ransomware intrusion case study

https://www.microsoft.com/en-us/security/blog/2023/07/06/the-five-day-job-a-blackbyte-ransomware-intrusion-case-study

Report completeness: High

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Blackbyte
Blacklotus
Lolbin_technique
Cobalt_strike
Beacon
Process_hollowing_technique
Proxyshell_vuln
Kovter
Anydesk_tool
Netscan_tool
Adfind_tool
Mimikatz_tool
Trojan:win64/wingoobfusc.lk
Exbyte_stealer
Upx_tool
Vssadmin_tool
Timestomp_technique
Process_hacker_tool
Procmon_tool
Ollydbg_tool
Windbg_tool
Screenconnect_tool
Teamviewer_tool

Victims:
Us critical infrastructure organizations

Geo:
Chinese

CVEs:
CVE-2019-16098 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Unavailable
Soft:
- msi afterburner (4.6.2.15658)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2049-16098 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-31207 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-21894 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 3
Registry: 3
Path: 14
Url: 4
File: 1049
Domain: 1
Hash: 6
Command: 6
Coin: 1

Soft:
microsoft 365 defender, microsoft defender, microsoft defender for endpoint, microsoft exchange, active directory, psexec, windows firewall, bootnxt, onenote, outlook, have more...

Algorithms:
sha256, base64

Functions:
ReadMe, RABAsSaa

Win API:
ShellExecuteW

Win Services:
db2, agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, mydesktopqos, mydesktopservice, Ntrtscan, have more...

Languages:
golang

Platforms:
intel, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Microsoft выявила субъекта угрозы, который использовал ряд инструментов и методов в пятидневной цепочке атак, кульминацией которой стало развертывание вымогательского ПО BlackByte 2.0.
-----

Мэтт Суиче из Magnet Forensics недавно обсудил основные угрозы безопасности и стратегии эффективного реагирования на инциденты, обратив внимание на деятельность китайского государственного агента Volt Typhoon, который атакует критически важную инфраструктуру США. Таня Янка из We Hack Purple поделилась своими соображениями о безопасности приложений и стратегиях защиты от потери данных в результате атак ransomware. Группа реагирования на инциденты Microsoft выявила субъекта угрозы, который всего за пять дней прошел всю цепочку атак - от первоначального доступа до нанесения ущерба. Угрожающий субъект использовал целый ряд инструментов и методов, кульминацией которых стало развертывание вымогательского ПО BlackByte 2.0.

Компания Microsoft предоставила индикаторы компрометации, сведения об обнаружении и руководство по охоте, чтобы помочь организациям выявить эти атаки и отреагировать на них. В данной атаке использовались уязвимости ProxyShell для эксплуатации непропатченных серверов Microsoft Exchange, что позволило угрожающему субъекту получить привилегии системного уровня, перечислить пользователей путем отправки запросов Autodiscover и создать действительный токен аутентификации. Бэкдор api-msvc.dll использовался для сбора системной информации, такой как установленные антивирусные продукты, имя устройства и IP-адрес, которые затем отправлялись через HTTP POST-запрос в канал C2. Файл sys.exe был идентифицирован как Cobalt Strike Beacon, который был настроен на связь с каналом C2.

Угрожающий агент использовал инструмент удаленного администрирования AnyDesk для поддержания постоянства и перемещения в сети. Кроме того, было замечено использование инструмента обнаружения сети NetScan и инструмента разведки Active Directory AdFind. Также были обнаружены следы инструмента для кражи учетных данных Mimikatz, который, вероятно, использовался для получения учетных данных привилегированных учетных записей. Подозрительный файл explorer.exe был идентифицирован и помещен в карантин. В конечном итоге было установлено, что это ExByte, инструмент на базе GoLang, используемый в атаках BlackByte ransomware для сбора и утечки файлов. Этот инструмент был создан специально для жертвы, поскольку содержал жестко закодированное имя устройства, принадлежащего жертве, и внутренний IP-адрес.