#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Storm-0324 - финансово мотивированная угрожающая группа, получившая известность благодаря предоставлению первоначального доступа к взломанным сетям и сотрудничеству с другими киберпреступными группировками. Организациям следует принять меры по защите своих сетей от фишинговых атак, а также понять, что такое Storm-0324, и защититься от нее, чтобы минимизировать риск успешной атаки.
-----

Storm-0324 - финансово мотивированная угрожающая группа, получившая известность благодаря предоставлению первоначального доступа к взломанным сетям.

Эта группа существует как минимум с 2016 года и использует различные полезные нагрузки первого этапа, включая Nymaim, Gozi, Trickbot, Gootkit, Dridex, Sage ransomware, GandCrab ransomware, IcedID и другие.

Для распространения полезной нагрузки Storm-0324, как правило, использует векторы заражения по электронной почте, используя системы распространения трафика (TDS) типа BlackTDS и Keitaro для обхода обнаружения решениями безопасности.

Для того чтобы заманить жертву на загрузку вредоносной полезной нагрузки, Storm-0324 обычно использует темы, связанные со счетами и платежами, часто имитируя такие популярные сервисы, как DocuSign и Quickbooks.

Для проведения фишинговых кампаний в сети Teams злоумышленник Storm-0324, скорее всего, использует общедоступный инструмент TeamsPhisher.

Microsoft предоставляет несколько инструментов для обнаружения активности Storm-0324, включая Microsoft 365 Defender, Microsoft Defender Antivirus и Microsoft Defender for Endpoint.

Организациям следует сохранять бдительность и принимать меры по защите своих сетей от фишинговых атак путем внедрения многофакторной аутентификации, регулярного обновления программного обеспечения и мониторинга подозрительной активности.

Кроме того, организациям следует применять строгие политики в области электронной почты и информировать своих пользователей о рисках, связанных с переходом по вредоносным ссылкам.

#ParsedReport #CompletenessMedium
18-09-2023

Earth Lusca Employs New Linux Backdoor, Uses Cobalt Strike for Lateral Movement. Recent Earth Lusca activity

https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html

Report completeness: Medium

Actors/Campaigns:
Earth_lusca (motivation: cyber_espionage)
Winnti (motivation: cyber_espionage)

Threats:
Cobalt_strike
Trochilus_rat
Sprysocks
Derusbi
Redleaves
Proxyshell_vuln
Shadowpad
Sandbox_evasion_technique

Victims:
Countries in southeast asia, central asia, and the balkans

Industry:
Government, Telco

Geo:
French, Chinese, African, China, Asia, American

CVEs:
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2019-9621 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Unavailable
Soft:
- zimbra collaboration server (<8.6.0, <8.7.11, <8.8.10, 8.8.11)

CVE-2022-39952 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortinac (<9.4.1, <9.2.6, <9.1.8, le8.8.9)

CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-40684 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortiswitchmanager (7.0.0, 7.2.0)
- fortinet fortiproxy (7.2.0, <7.0.7)
- fortinet fortios (<7.0.7, <7.2.2)

CVE-2019-9670 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- synacor zimbra collaboration suite (8.7.11)

CVE-2021-22205 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)


ChatGPT TTPs:
do not use without manual check
T1090, T1086, T1047, T1083, T1204, T1486, T1490

IOCs:
Hash: 4
IP: 2
Domain: 5
File: 1

Soft:
fortinet fortios, asp.net, zimbra collaboration suite, microsoft exchange, systemd

Algorithms:
base64, aes, aes-ecb, sha256

Win API:
gethostname

Platforms:
x64

YARA: Found

Links:
https://github.com/RamadhanAmizudin/malware/blob/62d0035db6bc9aa279b7c60250d439825ae65e41/Trochilus/server/master/master/ClientInfoCallbacks.h
https://github.com/ldcsaa/HP-Socket
https://github.com/nccgroup/Cyber-Defence/blob/37e21a332e65bbe2068c930787f527d4dbbdcd98/Technical%20Notes/Red%20Leaves/Source/Red%20Leaves%20technical%20note%20v1.0.md?plain=1#L205
https://github.com/RamadhanAmizudin/malware/tree/62d0035db6bc9aa279b7c60250d439825ae65e41/Trochilus
https://github.com/RamadhanAmizudin/malware/blob/62d0035db6bc9aa279b7c60250d439825ae65e41/Trochilus/common/CommData.cpp#L4
https://github.com/ixty/mandibule
https://github.com/RamadhanAmizudin/malware/blob/62d0035db6bc9aa279b7c60250d439825ae65e41/Trochilus/server/master/master/ClientInfoManager.cpp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Earth Lusca - связанный с Китаем угрожающий агент, активно атакующий государственные учреждения, использующий уязвимости серверов для развертывания вредоносных программ и применяющий инновационные технологии, чтобы оставаться на шаг впереди решений по обеспечению безопасности. Для защиты от таких противников организациям необходимо внедрять комплексные решения безопасности.
-----

Earth Lusca - это связанный с Китаем угрожающий агент, действующий с начала 2021 года. В первой половине 2023 года они распространили свою деятельность на страны по всему миру. Используемый ими бэкдор SprySOCKS, судя по всему, происходит от бэкдора Trochilus для Windows с открытым исходным кодом. Он все еще находится в стадии разработки и по своей структуре напоминает бэкдор RedLeaves. В основном Earth Lusca атакует правительственные ведомства, занимающиеся иностранными делами, технологиями и телекоммуникациями. Для проникновения в сети своих жертв группировка использует уязвимости серверов для развертывания веб-оболочки и установки Cobalt Strike для латерального перемещения. Кроме того, они используют такие современные бэкдоры, как ShadowPad и Linux-версия Winnti.

Для доставки своего вредоносного ПО Earth Lusca использует файл libmonitor.so.2, размещенный на сервере доставки. Этот файл представляет собой загрузчик, скомпилированный со второй ступенью вредоносной программы, статически скомпилированной с помощью HP-Socket, китайского сетевого фреймворка. Он содержит жестко закодированный AES-ECB-пароль, используемый для шифрования связи с C&C-сервером. Кроме того, в заголовке пакета содержатся случайные и жестко закодированные значения, а также длина полезной нагрузки, которая кодируется base64 и шифруется AES-ECB. Вредоносная программа реализует несколько команд бэкдора, таких как сбор системной информации, запуск интерактивной оболочки и просмотр списка сетевых подключений.

Эти угрозы постоянно совершенствуют свою вредоносную деятельность, используя инновационные методы, чтобы быть на шаг впереди решений по обеспечению безопасности. В последнее время они демонстрируют крайне агрессивное поведение, нацеливаясь на публичные серверы своих жертв, используя известные уязвимости. Для защиты от таких злоумышленников организациям необходимо внедрять комплексные решения безопасности, такие как Trend Micro XDR, которые собирают и объединяют данные об активности по различным каналам - от электронной почты и конечных точек до серверов, облачных рабочих нагрузок и сетей. Такой детальный подход позволяет организациям обнаруживать и расследовать подозрительную активность и быть на шаг впереди.

#ParsedReport #CompletenessLow
18-09-2023

Peach Sandstorm password spray campaigns enable intelligence collection at high-value targets

https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets

Report completeness: Low

Actors/Campaigns:
Apt33 (motivation: cyber_espionage)
Flax_typhoon
Duke
Volt_typhoon (motivation: cyber_espionage)
Charming_kitten

Threats:
Azurehound_tool
Roadtools_tool
Password_spray_technique
Anydesk_tool
Golden_saml_technique
Eaglerelay_tool

Victims:
Taiwanese organizations, us critical infrastructure, thousands of organizations

Industry:
Healthcare, Government, Telco, Education, Financial, Aerospace, Energy

Geo:
Iran, China, Taiwanese, Chinese, Iranian

CVEs:
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)

CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

IOCs:
IP: 4

Soft:
microsoft defender for endpoint, microsoft defender, microsoft 365 defender, microsoft teams, azure active directory, confluence, active directory, active directory federation services, windows hello, windows firewall, have more...

Win API:
Arc

Links:
https://github.com/dirkjanm/ROADtools

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Peach Sandstorm - это спонсируемая государством группа угрожающих агентов, нацеленная на множество отраслей и стран с 2019 года, и компания Microsoft выпустила рекомендации, которые помогут организациям защититься от эксплуатации уязвимостей этой группы.
-----

Peach Sandstorm - это спонсируемая государством группа угроз, базирующаяся в Иране, которая с 2019 года активно атакует организации в различных отраслях и странах. Специалисты Microsoft Threat Intelligence выявили целенаправленные социально-инженерные атаки с использованием фишинговых заманух для кражи учетных данных, рассылаемых в чатах Microsoft Teams, а также действия по набиванию учетных данных и подбору паролей для получения доступа к целевым организациям. Известно, что группа использует общедоступные и собственные инструменты для обнаружения, сохранения и латерального перемещения, а также эксплуатирует известные уязвимости, такие как уязвимость удаленного выполнения кода CVE-2022-47966 и уязвимость десериализации .NET CVE-2022-26134.

Компания Microsoft напрямую уведомила клиентов, подвергшихся атакам или взломам со стороны Peach Sandstorm, и выпустила рекомендации, которые помогут организациям защититься от эксплуатации этих уязвимостей. Группа проявляет интерес к организациям спутникового, оборонного и, в меньшей степени, фармацевтического секторов и использует два различных набора тактик, техник и процедур (ТТП) на ранних стадиях жизненного цикла вторжения.

В число этих ТТП входят AzureHound и Roadtools для получения доступа к Microsoft Entra ID, создание новой подписки Azure или использование ранее скомпрометированных ресурсов Azure, использование Azure Arc для сохранения в скомпрометированных средах, развертывание коммерческого средства удаленного мониторинга и управления (RMM) AnyDesk для сохранения доступа к цели, проведение атаки Golden SAML для доступа к облачным ресурсам цели, использование легитимного исполняемого файла VMWare для перехвата поискового ордера, использование EagleRelay для туннелирования трафика обратно в свою инфраструктуру.

Кроме того, группа также пыталась перемещаться в скомпрометированной среде с помощью протокола удаленного рабочего стола (RDP). По мере развития и использования новых возможностей Peach Sandstorm организации должны разрабатывать соответствующие средства защиты, чтобы усилить поверхность атаки и повысить стоимость этих атак. Microsoft рекомендует заказчикам и отрасли сообщать о злоупотреблениях и призывает организации внедрять надежные средства защиты от этой группы угроз.

#ParsedReport #CompletenessMedium
18-09-2023

Emerging Threat: Understanding the PySilon Discord RAT s Versatile Features

https://cyble.com/blog/emerging-threat-understanding-the-pysilon-discord-rats-versatile-features

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Pysilon_rat
Nitrogen
Uac_bypass_technique
Credential_dumping_technique

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 11
Hash: 12

Soft:
discord, pyinstaller, photoshop, virtualbox, windows defender, kometa, orbitum, 7star, vivaldi, opera, have more...

Algorithms:
sha1, sha256

Functions:
GetSelf

Languages:
python

Links:
https://github.com/mategol/PySilon-malware

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL выявил значительный всплеск использования с июня 2023 года РАТ с открытым исходным кодом PySilon, обладающего расширенными возможностями и бесплатно доступного на GitHub. Эта вредоносная программа активно продвигается на онлайновых форумах, что делает ее все более актуальной в сфере угроз.
-----

Компания Cyble Research and Intelligence Labs (CRIL) отмечает значительный всплеск использования РАТ PySilon с открытым исходным кодом различными угрожающими субъектами (УС), начиная с июня 2023 года. CRIL обнаружила на VirusTotal более 300 образцов этого вредоносного ПО, что свидетельствует о его широком распространении. Текущая версия PySilon (v3.6) обладает расширенными возможностями, включая запись нажатий клавиш, кражу конфиденциальной информации, перехват экранной активности, выполнение удаленных команд и другие функции.

Конструктор PySilon находится в свободном доступе на GitHub, и ТП используют его для создания специализированного бинарного файла с нужными функциями для своего вредоносного ПО. Пакет конструктора включает в себя несколько Python-скриптов, каждый из которых посвящен определенной функциональности RAT. К ним относятся скрипты uac_bypass.py, protections.py, keylogger.py, grabber.py, crypto_clipper.py, get_cookies.py, discord_token_grabber.py, webcam.py и microphone_recording.py.

Uac_bypass.py пытается обойти функцию защиты Windows User Account Control (UAC), а protections.py включает проверку безопасности для обнаружения признаков виртуализации, отладочных сред или наличия в системе Windows определенных процессов из черного списка. Keylogger.py объединяет в себе кейлоггер и бот-клиент Discord, позволяя участникам угрозы отслеживать нажатия клавиш и делать скриншоты. Grabber.py отвечает за сбор конфиденциальных данных, а Crypto Clipper работает как Discord-бот с функциями манипулирования буфером обмена. Get_cookies.py используется для извлечения и расшифровки cookies браузера, а discord_token_grabber.py извлекает и загружает токены пользователей Discord и связанную с ними информацию. Webcam.py интегрируется с Discord, позволяя участникам угроз делать фотографии с помощью веб-камеры компьютера жертвы, а microphone_recording.py использует библиотеку SciPy для непрерывного захвата звука с микрофона.

Кроме того, PySilon RAT может выполнять различные другие действия, основанные на командах, отдаваемых TA. К таким действиям относятся вызов "синего экрана смерти" (BSOD), загрузка и выгрузка файлов, инициирование форк-бомбы, создание обратного командного интерпретатора, достижение персистентности на скомпрометированной системе, завершение процессов и удаление файлов.

Использование открытого кода в кампаниях по распространению вредоносного ПО эффективно, а его широкая доступность и отработанность затрудняют обнаружение. Активное продвижение вредоносной программы PySilon пользователями на интернет-форумах является явным признаком того, что она становится все более серьезной проблемой в сфере угроз.

#ParsedReport #CompletenessMedium
18-09-2023

Operation Rusty Flag A Malicious Campaign Against Azerbaijanian Targets

https://www.deepinstinct.com/blog/operation-rusty-flag-a-malicious-campaign-against-azerbaijanian-targets

Report completeness: Medium

Actors/Campaigns:
Dev-0978

Victims:
Azerbaijanian targets

Industry:
Military

Geo:
Azerbaijanian

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...

TTPs:
Tactics: 3
Technics: 5

IOCs:
File: 9
Url: 1
IP: 1
Hash: 9

Soft:
bindiff

Languages:
rust

Links:
https://github.com/deepinstinct/Rusty-Flag-DecryptData

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 2, schema: 1, dump: 3, table: 2, chart: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Deep Instinct Threat Lab обнаружила новую операцию против целей в Азербайджане, в которой используется приманка, ранее применявшаяся группой Storm-0978. Операция использует два различных вектора начального доступа и включает в себя вредоносные файлы, написанные на языке программирования Rust. Динамический анализ показал, что вредоносная программа отправляет информацию на сервер злоумышленника, а оба Rust-имплантата при первой загрузке на VirusTotal имели нулевое количество обнаружений, что свидетельствует о том, что написание вредоносных программ на эзотерических языках позволяет обойти многие решения по защите.
-----

Лаборатория Deep Instinct Threat Lab обнаружила новую операцию против азербайджанских целей, которая не связана ни с одним из известных угрожающих агентов. Однако в операции используется приманка, которая ранее применялась группой Storm-0978, что может быть преднамеренным ложным флагом. В данной операции используются два различных вектора начального доступа, а вредоносные файлы написаны на языке программирования Rust. Низкое количество обнаружений было найдено для вредоносного файла LNK, имеющего двойное расширение и связанного с военным инцидентом в Нагорном Карабахе. Было установлено, что вредоносный MSI-файл был размещен на Dropbox и доступ к нему осуществлялся с помощью укорачивателя URL, который содержал эксплойт Microsoft Equation Editor CVE-2017-11882. URL-адрес DropBox был замаскирован, и было замечено, что эксплойт используется для загрузки и установки MSI-файла.

MSI-файл отвечает за загрузку имплантата, написанного на языке Rust, xml-файла для запланированного задания на выполнение имплантата и файла изображения-обманки, содержащего водяные знаки символа МО Азербайджана. Предполагается, что имплант на Rust будет собирать информацию и отправлять ее на сервер злоумышленника, который на момент исследования все еще активен. Следует отметить, что стандартная библиотека Rust не знакома таким инструментам, как IDA и Ghidra, что усложняет реверс-инжиниринг. Для решения этой проблемы был использован плагин GhidRust, но он не обнаружил функций стандартной библиотеки. Также использовался BinDiff, но в нем было очень мало общего кода. Кроме того, во вредоносной программе были обнаружены некоторые открытые проекты для Rust, такие как Tokio, hyper и Serde JSON.

Динамический анализ показал, что вредоносная программа считывает выходные данные вышеуказанных операций, перенаправляя их StdOut в именованный канал. Для расшифровки этой информации был построен скрипт, который показал, что вредоносная программа отправляет ее на сервер злоумышленника. На момент проведения исследования другой имплант Rust все еще имел ноль обнаружений. Возможно, эти файлы являются частью учений "красной команды", но тот факт, что оба Rust-имплантата не имели нулевых обнаружений при первой загрузке на VirusTotal, показывает, что написание вредоносных программ на эзотерических языках позволяет обойти многие решения по безопасности.

#ParsedReport #CompletenessMedium
18-09-2023

Weaponising VMs to bypass EDR Akira ransomware

https://cybercx.com.au/blog/akira-ransomware

Report completeness: Medium

Threats:
Akira_ransomware
Adfind_tool
Systembc
Terminator_tool
Byovd_technique

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1087, T1071, T1021, T1486, T1490, T1497, T1546, T1552, T1564, T1566, have more...

IOCs:
File: 4

Soft:
windows hyper-v, softperfect network scanner, active directory, windows defender, esxi, hyper-v, windows authentication

Algorithms:
chacha20

Links:
https://github.com/ZeroMemoryEx/Terminator
https://github.com/ydkhatri/jarp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты CyberCX заметили, что группа разработчиков вымогательского ПО Akira использует новые методы, такие как развертывание вымогательского ПО на гипервизорных системах Windows Hyper-V и использование собственного уязвимого драйвера (BYOVD) для отключения инструментария EDR, а также вариант для Linux и уязвимость в его реализации, позволяющую расшифровывать данные без уплаты выкупа. Они также заметили, что поражены среды vSphere/ESXi, и рекомендуют просматривать журналы аутентификации на предмет попыток или успехов со стороны неуправляемых устройств в пуле адресов VPN.
-----

Команда CyberCX DFIR с апреля 2023 года привлекается для оказания помощи в расследованиях, связанных с группой вымогателей Akira.

Было замечено, что Akira разворачивает программы-вымогатели на гипервизорных системах Windows Hyper-V и обходит средства EDR.

Доступ к ним обычно получают через похитителей информации и биржи учетных данных.

CyberCX наблюдал, как Akira после получения доступа вела типичную вымогательскую деятельность.

В реализации вымогательского ПО Akira существует уязвимость, позволяющая расшифровать его без уплаты выкупа.

Недавно был опубликован Linux-вариант программы Akira ransomware.

Большинство вирусов-вымогателей используют стандартные имена хостов, которые можно найти в журналах событий.

#ParsedReport #CompletenessLow
18-09-2023

AWS s Hidden Threat: AMBERSQUID Cloud-Native Cryptojacking Operation

https://sysdig.com/blog/ambersquid

Report completeness: Low

Actors/Campaigns:
Ambersquid (motivation: financially_motivated)

Threats:
Upx_tool
Srbminer
Solarmarker

Geo:
Indonesian

IOCs:
File: 8
Coin: 4

Soft:
docker, fargate

Crypto:
monero

Algorithms:
base64

Languages:
javascript, perl

Links:
https://github.com/meuryalos
https://github.com/upx/upx

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания TRT обнаружила новую облачную операцию по взлому криптовалют под названием AMBERSQUID, которая осуществляется индонезийскими злоумышленниками и может стоить жертвам более 10 000 долларов США в день. Для выполнения своей полезной нагрузки злоумышленники используют такие сервисы AWS, как Amplify, Fargate и SageMaker.
-----

Все сервисы, предоставляемые провайдером облачных услуг (CSP), должны контролироваться на предмет вредоносного использования. Если обнаружение угроз во время выполнения невозможно, то для выявления угроз типа AMBERSQUID необходимо отслеживать журналы более высокого уровня об использовании сервисов. Если вредоносная активность обнаружена, необходимо быстро принять ответные меры, чтобы отключить задействованные сервисы и ограничить ущерб. Хотя данная операция была проведена на AWS, следующей целью могут стать и другие CSP.

#ParsedReport #CompletenessLow
18-09-2023

Bumblebee Loader Resurfaces in New Campaign

https://intel471.com/blog/bumblebee-loader-resurfaces-in-new-campaign

Report completeness: Low

Threats:
Bumblebee
Conti
Akira_ransomware
Hiatusrat
Bazarbackdoor
Cobalt_strike
Metasploit_tool
Sliver_c2_tool
Trickbot
4shared
Icedid

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 4

Soft:
windows task scheduler

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступные группировки внедряют программы-вымогатели, шифрующие файлы, которые представляют серьезную угрозу для организаций. Субъекты угроз разрабатывают новые тактические приемы, позволяющие избежать обнаружения, и организациям необходимо адаптировать свои стратегии кибербезопасности для защиты от атак ransomware.
-----

Организованные киберпреступные группировки внедряют программы-вымогатели, шифрующие файлы и представляющие серьезную угрозу для организаций. В конце марта 2022 года стал популярен Bumblebee, тип загрузчика, когда угрожающие субъекты, ранее распространявшие BazarLoader, переключили свое внимание на использование Bumblebee. Системы Intel 471 Malware Intelligence обнаружили недавнюю активность угрожающих субъектов, использующих Bumblebee. До конца августа 2023 года наблюдалась пауза в активности в течение двух месяцев, когда была замечена новая кампания, использующая серверы Web Distributed Authoring and Versioning (WebDAV) для распространения полезной нагрузки Bumblebee.

1 сентября 2023 г. система мониторинга обнаружила новую версию загрузчика Bumblebee, содержащую ряд изменений. Среди этих изменений - переход с протокола WebSocket на собственный протокол управления передачей (TCP) и внедрение алгоритма генерации доменов (DGA), который генерирует 100 новых доменов с доменом верхнего уровня ".life". Использование DGA создает дополнительный уровень сложности, что затрудняет прерывание работы вредоносной программы.

Угрожающие субъекты также изобретают новые тактики для обхода обнаружения. Одним из таких примеров является использование WebDAV-сервисов 4shared для распространения. Кроме того, они применяют различные последовательности команд и способы их выполнения, чтобы избежать обнаружения.

Очевидно, что традиционные меры безопасности становятся все более неэффективными в связи с усложнением глобального ландшафта вредоносных программ. Для защиты от атак вымогателей организациям необходимо постоянно следить за появляющимися угрозами и соответствующим образом адаптировать свои стратегии кибербезопасности.

#ParsedReport #CompletenessMedium
17-09-2023

RedLine Stealer : A new variant surfaces, Deploying using Batch Script

https://www.cyfirma.com/outofband/redline-stealer-a-new-variant-surfaces-deploying-using-batch-script

Report completeness: Medium

Threats:
Redline_stealer
Credential_stealing_technique

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 8
Technics: 16

IOCs:
IP: 2
Domain: 1
Path: 2
File: 2
Hash: 5

Algorithms:
sha256, zip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RedLine Stealer - это вредоносная программа, предназначенная для кражи конфиденциальных данных из взломанных систем и распространяемая в виде zip-архива. Она продается как вредоносное ПО как услуга и способна похищать данные из самых разных источников. Он имеет очень низкий процент обнаружения и может нанести значительный ущерб организациям и конечным пользователям. Для защиты от RedLine Stealer организациям и конечным пользователям следует соблюдать осторожность и использовать современное антивирусное ПО.
-----

Компания Cyfirma стремится предоставлять актуальную информацию о новейших угрозах и тактиках, используемых злоумышленниками. В центре внимания данного анализа находится трендовая вредоносная программа RedLine Stealer. Впервые обнаруженная в марте 2020 года, эта программа является одним из самых популярных похитителей. На подпольных форумах киберпреступники продают его как MaaS (malware-as-a-service). RedLine Stealer - это вредоносная программа, предназначенная для кражи конфиденциальных данных из скомпрометированных систем. Она ищет такие данные, как имена пользователей, конфигурация оборудования, установленное общее и защитное ПО, установленный VPN-клиент, конфигурация сети, данные, связанные с криптовалютами, и отправляет похищенную информацию злоумышленнику.

RedLine Stealer распространяется в виде zip-архива под названием "installment-papers.zip", замаскированного под документ, связанный с финансовой операцией, и обычно доставляется жертвам по фишинговым письмам. Внутри архива находится обфусцированный пакетный скрипт, который при выполнении подключается к IP-адресу (80.85.152.191 на TCP-порту 27465), связанному с известным вариантом RedLine Stealer. Этот IP-адрес относится к российскому региону и имеет низкий уровень обнаружения.

RedLine Stealer способен похищать данные из широкого спектра источников, таких как веб-браузеры, почтовые клиенты, приложения для обмена сообщениями, финансовые данные (данные сохраненных карт, база данных криптовалютных кошельков), установленное программное обеспечение, системные сертификаты, данные подключенных телефонов, VPN-клиенты, текстовые и офисные документы, информация о кошельках и семенах, а также данные о пользователе FileZilla FTP. Он также может собирать информацию о скомпрометированной системе, такую как IP-адрес, местоположение, имя пользователя, версия операционной системы и конфигурация системы.

В самом начале сетевого взаимодействия с C2 RedLine Stealer отправляет запрос на авторизацию, который варьируется в зависимости от исполнения вредоносной программы. C2 посылает ответ на запрос, который также различается в зависимости от исполнения вредоносной программы. При дальнейшем общении C2 запрашивает данные, которые RedLine Stealer должен получить из скомпрометированной системы и отправить противнику. К ним относятся данные веб-браузера, список установленного программного обеспечения, защитные программы, данные о графической карте, криптовалютные кошельки, запущенные процессы и т.д.

Оригинальный образец вредоносной программы на момент анализа имеет очень низкий уровень обнаружения на VirusTotal. Таким образом, RedLine Stealer представляет собой опасную разновидность вредоносного ПО, способную нанести значительный ущерб организациям и конечным пользователям. Для защиты от RedLine Stealer организациям и конечным пользователям следует проявлять осторожность при работе с подозрительными ссылками и файлами, полученными по электронной почте. Усиление защиты системы, сети и приложений, а также использование актуального антивирусного программного обеспечения - все это необходимо для эффективной защиты.

#ParsedReport #CompletenessMedium
18-09-2023

Tracking Adversaries: Akira, another descendent of Conti. Adversaries and Victims

https://blog.bushidotoken.net/2023/09/tracking-adversaries-akira-another.html?m=1

Report completeness: Medium

Actors/Campaigns:
Wizard_spider
Exotic_lily
Fin12

Threats:
Akira_ransomware
Conti
Blackbasta
Quantum_locker
Trickbot
Snatch
Blackbyte
Bumblebee
Masscan_tool
Reconftw_tool
Pchunter64_tool
Lansweeper_tool
Bloodhound_tool
Adfind_tool
Netscan_tool
Nltest_tool
Minidump_tool
Mimikatz_tool
Lazagne_tool
Donpapi_tool
Anydesk_tool
Rustdesk_tool
Radmin_tool
Screenconnect_tool
Putty_tool
Systembc
Toolpow_tool
Impacket_tool
Mobaxterm_tool
Clop
Pchunter_tool
Ryuk
Cobalt_strike

Victims:
Small-to-medium businesses (smbs) in the education, financial services, manufacturing, professional services, and healthcare industries

Industry:
Education, E-commerce, Healthcare, Financial, Government

Geo:
Russian, Russia, Canadian, America, American

CVEs:
CVE-2019-6693 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.10, le6.0.6, 6.2.0)

CVE-2022-40684 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortiswitchmanager (7.0.0, 7.2.0)
- fortinet fortiproxy (7.2.0, <7.0.7)
- fortinet fortios (<7.0.7, <7.2.2)


TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 3
Domain: 2

Soft:
hyper-v, esxi, windows defender, microsoft sharepoint, winscp, psexec, moveit

Crypto:
bitcoin

Algorithms:
chacha20, 7zip

Languages:
rust

Links:
https://gist.github.com/BushidoUK/410d6a99d6c0e943f5604476b5a8f856