CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq Report completeness: Medium Threats: Gotitan_botnet Sliver…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Несмотря на выпуск патча для CVE-2023-46604, угрожающие лица продолжают использовать эту уязвимость для распространения вредоносного ПО на восприимчивых серверах, что привело к появлению новых угроз, таких как GoTitan и PrCtrl Rat. Важно уделять приоритетное внимание обновлениям и исправлениям системы, чтобы снизить риск эксплуатации.
-----
Недавно компания Apache выпустила сообщение об уязвимости, связанной с десериализацией недоверенных данных, известной как CVE-2023-46604.
Компания Fortiguard Labs выпустила отчет об активной эксплуатации уязвимости и выявила множество угроз, использующих уязвимость для распространения различных видов вредоносного ПО, включая ботнет GoTitan на базе Golang и программу PrCtrl Rat для .NET.
Злоумышленники могут установить параметры типа cmd или bash, чтобы добиться выполнения кода на удаленном уязвимом сервере.
Sliver, инструмент тестирования на проникновение с открытым исходным кодом, может быть использован угрожающими субъектами для компрометации и контроля нескольких целей на различных платформах и архитектурах.
Kinsing получает bash-скрипт по адресу 194.38.22.53/acb.sh, а пакетный скрипт Ddostf - по адресу hxxp://42.121.111.112:81/xml.sh.
Несмотря на то, что патч для CVE-2023-46604 был выпущен более месяца назад, угрозы все еще используют эту уязвимость для распространения вредоносного ПО на восприимчивых серверах.
Для эффективного снижения риска эксплуатации важно уделять первоочередное внимание обновлениям и исправлениям системы и регулярно отслеживать рекомендации по безопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Несмотря на выпуск патча для CVE-2023-46604, угрожающие лица продолжают использовать эту уязвимость для распространения вредоносного ПО на восприимчивых серверах, что привело к появлению новых угроз, таких как GoTitan и PrCtrl Rat. Важно уделять приоритетное внимание обновлениям и исправлениям системы, чтобы снизить риск эксплуатации.
-----
Недавно компания Apache выпустила сообщение об уязвимости, связанной с десериализацией недоверенных данных, известной как CVE-2023-46604.
Компания Fortiguard Labs выпустила отчет об активной эксплуатации уязвимости и выявила множество угроз, использующих уязвимость для распространения различных видов вредоносного ПО, включая ботнет GoTitan на базе Golang и программу PrCtrl Rat для .NET.
Злоумышленники могут установить параметры типа cmd или bash, чтобы добиться выполнения кода на удаленном уязвимом сервере.
Sliver, инструмент тестирования на проникновение с открытым исходным кодом, может быть использован угрожающими субъектами для компрометации и контроля нескольких целей на различных платформах и архитектурах.
Kinsing получает bash-скрипт по адресу 194.38.22.53/acb.sh, а пакетный скрипт Ddostf - по адресу hxxp://42.121.111.112:81/xml.sh.
Несмотря на то, что патч для CVE-2023-46604 был выпущен более месяца назад, угрозы все еще используют эту уязвимость для распространения вредоносного ПО на восприимчивых серверах.
Для эффективного снижения риска эксплуатации важно уделять первоочередное внимание обновлениям и исправлениям системы и регулярно отслеживать рекомендации по безопасности.
#ParsedReport #CompletenessLow
22-11-2023
Beneath the Surface: How Hackers Turn NetSupport Against Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2
Report completeness: Low
Threats:
Netsupportmanager_rat
Bitsadmin
Geo:
Canada
IOCs:
File: 5
Url: 2
Command: 1
Path: 22
IP: 1
Hash: 4
Soft:
Windows Registry
Algorithms:
zip, xor, base64
Languages:
powershell, javascript
Platforms:
x86
22-11-2023
Beneath the Surface: How Hackers Turn NetSupport Against Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2
Report completeness: Low
Threats:
Netsupportmanager_rat
Bitsadmin
Geo:
Canada
IOCs:
File: 5
Url: 2
Command: 1
Path: 22
IP: 1
Hash: 4
Soft:
Windows Registry
Algorithms:
zip, xor, base64
Languages:
powershell, javascript
Platforms:
x86
McAfee Blog
Beneath the Surface: How Hackers Turn NetSupport Against Users | McAfee Blog
NetSupport malware variants have been a persistent threat, demonstrating adaptability and evolving infection techniques. In this technical analysis, we
CTT Report Hub
#ParsedReport #CompletenessLow 22-11-2023 Beneath the Surface: How Hackers Turn NetSupport Against Users https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2 Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносная программа NetSupport - это постоянная угроза, которая эволюционирует и адаптирует свои методы заражения, распространяясь по территории США и Канады. Компания McAfee Labs обнаружила новую разновидность вредоносной программы NetSupport и предлагает надежные механизмы защиты для ее обнаружения и удаления.
-----
Вредоносная программа NetSupport - это постоянная угроза, которая постоянно развивается и адаптирует свои методы заражения, чтобы оставаться эффективной. Недавняя тепловая карта показала, что она распространяется по всей территории США и Канады, что свидетельствует о ее географическом охвате. Специалисты McAfee Labs обнаружили новую разновидность вредоносной программы NetSupport, которая распространяется с помощью JavaScript. Цепочка заражения начинается с обфусцированных файлов JavaScript, которые используются для загрузки полезной нагрузки - инструмента удаленного администрирования с вредоносными намерениями. Затем вызывается Windows Script Host (wscript.exe), и PowerShell используется для загрузки полезной нагрузки NetSupport. Затем вредоносная программа запускает двоичный файл client32.exe, который является клиентом NetSupport, отвечающим за установление контроля над взломанной системой. Он пытается спрятаться в каталогах профилей пользователей, что затрудняет его удаление.
Вредоносное ПО NetSupport использует файл NSM.LIC для хранения информации о лицензии, связанной с установкой NetSupport Manager, и файл Client32.ini для хранения параметров конфигурации для управления удаленным рабочим столом и других функций поддержки. Сообщение исходит от клиента NetSupport Manager версии 1.3. Для защиты от этой угрозы McAfee Labs предлагает надежные и эффективные механизмы защиты от угроз. Эти механизмы предназначены для выявления и устранения NetSupport и его различных итераций. Они также предоставляют рекомендации по снижению риска заражения.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносная программа NetSupport - это постоянная угроза, которая эволюционирует и адаптирует свои методы заражения, распространяясь по территории США и Канады. Компания McAfee Labs обнаружила новую разновидность вредоносной программы NetSupport и предлагает надежные механизмы защиты для ее обнаружения и удаления.
-----
Вредоносная программа NetSupport - это постоянная угроза, которая постоянно развивается и адаптирует свои методы заражения, чтобы оставаться эффективной. Недавняя тепловая карта показала, что она распространяется по всей территории США и Канады, что свидетельствует о ее географическом охвате. Специалисты McAfee Labs обнаружили новую разновидность вредоносной программы NetSupport, которая распространяется с помощью JavaScript. Цепочка заражения начинается с обфусцированных файлов JavaScript, которые используются для загрузки полезной нагрузки - инструмента удаленного администрирования с вредоносными намерениями. Затем вызывается Windows Script Host (wscript.exe), и PowerShell используется для загрузки полезной нагрузки NetSupport. Затем вредоносная программа запускает двоичный файл client32.exe, который является клиентом NetSupport, отвечающим за установление контроля над взломанной системой. Он пытается спрятаться в каталогах профилей пользователей, что затрудняет его удаление.
Вредоносное ПО NetSupport использует файл NSM.LIC для хранения информации о лицензии, связанной с установкой NetSupport Manager, и файл Client32.ini для хранения параметров конфигурации для управления удаленным рабочим столом и других функций поддержки. Сообщение исходит от клиента NetSupport Manager версии 1.3. Для защиты от этой угрозы McAfee Labs предлагает надежные и эффективные механизмы защиты от угроз. Эти механизмы предназначены для выявления и устранения NetSupport и его различных итераций. Они также предоставляют рекомендации по снижению риска заражения.
#ParsedReport #CompletenessMedium
28-11-2023
RisePro Malware Analysis: Exploring C2 Communication of a New Version
https://any.run/cybersecurity-blog/risepro-malware-communication-analysis
Report completeness: Medium
Threats:
Riseprostealer
Privateloader
Vidar_stealer
Hvnc_tool
Vmprotect_tool
IOCs:
File: 4
Hash: 8
Path: 7
IP: 3
Url: 1
Soft:
Telegram, Discord
Algorithms:
sha256, zip, xor
Languages:
python
Links:
28-11-2023
RisePro Malware Analysis: Exploring C2 Communication of a New Version
https://any.run/cybersecurity-blog/risepro-malware-communication-analysis
Report completeness: Medium
Threats:
Riseprostealer
Privateloader
Vidar_stealer
Hvnc_tool
Vmprotect_tool
IOCs:
File: 4
Hash: 8
Path: 7
IP: 3
Url: 1
Soft:
Telegram, Discord
Algorithms:
sha256, zip, xor
Languages:
python
Links:
https://github.com/anyrun/blog-scripts/tree/main/Scripts/RisePro/risepro\_tcp\_decoder.pyhttps://github.com/anyrun/YARA/blob/main/RisePro.yarANY.RUN's Cybersecurity Blog
RisePro Malware Analysis: New Version's C2 Communication
Discover an in-depth analysis of the new version of RisePro to see the recent changes in its C2 communication and network traffic patterns.
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 RisePro Malware Analysis: Exploring C2 Communication of a New Version https://any.run/cybersecurity-blog/risepro-malware-communication-analysis Report completeness: Medium Threats: Riseprostealer Privateloader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: RisePro - это вредоносная программа для кражи информации, которая впервые была обнаружена в 2022 году, а в последнее время наблюдается всплеск активности. Он распространяется службой распространения вредоносных программ с оплатой за установку (PPI) PrivateLoader и предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств. Эта статья посвящена недавним изменениям в структуре связи C2 и сетевого трафика последней версии RisePro, которые кардинально отличаются от предыдущих итераций. Он способен включать HVNC, делать скриншоты во время выполнения и перехватывать данные из таких приложений, как Telegram и Discord. Бесплатное исследование вредоносного ПО с помощью ANY.RUN также может дать дополнительные сведения об этой вредоносной программе.
-----
RisePro - это вредоносная программа для похищения информации, которая впервые была обнаружена в 2022 году.
Он распространяется службой распространения вредоносных программ PrivateLoader с оплатой за установку (PPI).
Он предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств.
RisePro взаимодействует с командно-контрольным сервером (C2) в четыре этапа: Инициализация, Получение конфигурации, Выполнение функций кражи и загрузчика и Запуск HVNC.
С помощью grab_config вредоносная программа настраивает прокси-сервер на компьютере жертвы, инициирует HVNC и передает данные в Telegram.
Вредоносная программа также обладает возможностями удаленного управления, то есть теперь она может функционировать как троянец удаленного доступа.
Вредоносная программа рассылает украденные пароли в отдельном файле под названием passwords.txt.
Существует множество версий RisePro, включая версию на C#, которая обфусцирована, возможно, с помощью Confuser.Core, и версию на C++, защищенную с помощью VMProtect.
Мы создали правило YARA для обнаружения этих обновленных версий RisePro, которое можно найти на нашем GitHub.
Правила Suricata IDS для обнаружения RisePro доступны в Интернете, соответствующие идентификаторы правил включают 2046267, 2046269, 2046268, 2046266, 2046270 и 2049060.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: RisePro - это вредоносная программа для кражи информации, которая впервые была обнаружена в 2022 году, а в последнее время наблюдается всплеск активности. Он распространяется службой распространения вредоносных программ с оплатой за установку (PPI) PrivateLoader и предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств. Эта статья посвящена недавним изменениям в структуре связи C2 и сетевого трафика последней версии RisePro, которые кардинально отличаются от предыдущих итераций. Он способен включать HVNC, делать скриншоты во время выполнения и перехватывать данные из таких приложений, как Telegram и Discord. Бесплатное исследование вредоносного ПО с помощью ANY.RUN также может дать дополнительные сведения об этой вредоносной программе.
-----
RisePro - это вредоносная программа для похищения информации, которая впервые была обнаружена в 2022 году.
Он распространяется службой распространения вредоносных программ PrivateLoader с оплатой за установку (PPI).
Он предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств.
RisePro взаимодействует с командно-контрольным сервером (C2) в четыре этапа: Инициализация, Получение конфигурации, Выполнение функций кражи и загрузчика и Запуск HVNC.
С помощью grab_config вредоносная программа настраивает прокси-сервер на компьютере жертвы, инициирует HVNC и передает данные в Telegram.
Вредоносная программа также обладает возможностями удаленного управления, то есть теперь она может функционировать как троянец удаленного доступа.
Вредоносная программа рассылает украденные пароли в отдельном файле под названием passwords.txt.
Существует множество версий RisePro, включая версию на C#, которая обфусцирована, возможно, с помощью Confuser.Core, и версию на C++, защищенную с помощью VMProtect.
Мы создали правило YARA для обнаружения этих обновленных версий RisePro, которое можно найти на нашем GitHub.
Правила Suricata IDS для обнаружения RisePro доступны в Интернете, соответствующие идентификаторы правил включают 2046267, 2046269, 2046268, 2046266, 2046270 и 2049060.
#ParsedReport #CompletenessHigh
28-11-2023
Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations
https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families
Report completeness: High
Actors/Campaigns:
Tortoiseshell
Dev-0343
Irgc
Threats:
Paexec_tool
Imaploader
Standardkeyboard
Liderc
Nmap_tool
Beacon
Credential_harvesting_technique
Netscan_tool
Procdump_tool
Meshagent
Sugardump
Process_injection_technique
Industry:
Energy, Transport, Logistic, Maritime, Telco
Geo:
Israeli, Iran, Iranian, Israel
TTPs:
Tactics: 11
Technics: 14
IOCs:
Domain: 14
Hash: 10
File: 5
Email: 11
IP: 47
Soft:
Discord, Microsoft Excel, PsExec, Windows Service
Algorithms:
base64, sha256
Languages:
python, visual_basic
28-11-2023
Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations
https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families
Report completeness: High
Actors/Campaigns:
Tortoiseshell
Dev-0343
Irgc
Threats:
Paexec_tool
Imaploader
Standardkeyboard
Liderc
Nmap_tool
Beacon
Credential_harvesting_technique
Netscan_tool
Procdump_tool
Meshagent
Sugardump
Process_injection_technique
Industry:
Energy, Transport, Logistic, Maritime, Telco
Geo:
Israeli, Iran, Iranian, Israel
TTPs:
Tactics: 11
Technics: 14
IOCs:
Domain: 14
Hash: 10
File: 5
Email: 11
IP: 47
Soft:
Discord, Microsoft Excel, PsExec, Windows Service
Algorithms:
base64, sha256
Languages:
python, visual_basic
CTT Report Hub
#ParsedReport #CompletenessHigh 28-11-2023 Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Imperial Kitten - это APT-группа, происходящая из Ирана и действующая с 2017 года, нацеленная на различные отрасли. Она использует различные тактики, техники и процедуры для получения доступа к целевым системам и распространения во взломанных сетях. Известно, что группа использует такие семейства вредоносных программ, как IMAPLoader, StandardKeyboard и аналитический сервис Matomo. Ранее ее жертвами становились организации в израильском морском, транспортном и технологическом секторах.
-----
Imperial Kitten - группа постоянных угроз (advanced persistent threat, APT), происходящая из Ирана и действующая как минимум с 2017 года. Ее целью были различные отрасли промышленности, включая оборонную, технологическую, телекоммуникационную, морскую, энергетическую, консалтинговую и профессиональную. В период с начала 2022 по 2023 год Imperial Kitten проводила операции по стратегической веб-компрометации (SWC), нацеленные на организации в секторах транспорта, логистики и технологий.
Для получения доступа к целевым системам Imperial Kitten использует различные тактики, техники и процедуры (TTP), такие как публичные инструменты сканирования, однодневные эксплойты, SQL-инъекции и украденные учетные данные виртуальной частной сети (VPN). Группа также использует тактику латерального перемещения, например PAExec и кражу учетных данных, для распространения во взломанных сетях. Для эксфильтрации данных используется пользовательское вредоносное ПО с открытым исходным кодом.
Известно, что IMPERIAL KITTEN использует вредоносное семейство IMAPLoader, которое использует электронную почту для командования и управления (C2). Похожий образец под названием StandardKeyboard также использует электронную почту для C2 и сохраняется в качестве службы Windows. Еще одно родственное семейство вредоносных программ использует приманку от компании логистического сектора и использует Discord для C2. Эта группа была замечена в использовании фишинговых операций для доставки вредоносных документов Microsoft Excel, которые после активации извлекают файлы, используемые для обеспечения персистентности через ключ Run в реестре. Эта полезная нагрузка представляет собой простую обратную оболочку, которая подключается к жестко заданному IP-адресу на TCP-порту 6443. Кроме того, сообщается, что IMPERIAL KITTEN использует аналитический сервис Matomo и пользовательский скрипт для составления профиля пользователей.
IMPERIAL KITTEN ранее атаковала организации в израильском морском, транспортном и технологическом секторах. В некоторых случаях группа напрямую передавала жертвам вредоносное ПО из SWC. Вероятно, противник также нацеливается на поставщиков ИТ-услуг, чтобы выявить и получить доступ к объектам, представляющим основной интерес для утечки данных.
CrowdStrike Intelligence в настоящее время приписывает эту активность IMPERIAL KITTEN с умеренной уверенностью, основываясь на продолжении использования инфраструктуры SWC, о которой сообщалось ранее, совпадениях между IMAPLoader и семейством вредоносных программ SUGARDUMP, о которых сообщается в отчетах, и постоянной нацеленности на израильские организации в транспортном, морском и технологическом секторах. Инфраструктура, недавно связанная с инструментарием IMPERIAL KITTEN, приписывается группе с низкой степенью уверенности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Imperial Kitten - это APT-группа, происходящая из Ирана и действующая с 2017 года, нацеленная на различные отрасли. Она использует различные тактики, техники и процедуры для получения доступа к целевым системам и распространения во взломанных сетях. Известно, что группа использует такие семейства вредоносных программ, как IMAPLoader, StandardKeyboard и аналитический сервис Matomo. Ранее ее жертвами становились организации в израильском морском, транспортном и технологическом секторах.
-----
Imperial Kitten - группа постоянных угроз (advanced persistent threat, APT), происходящая из Ирана и действующая как минимум с 2017 года. Ее целью были различные отрасли промышленности, включая оборонную, технологическую, телекоммуникационную, морскую, энергетическую, консалтинговую и профессиональную. В период с начала 2022 по 2023 год Imperial Kitten проводила операции по стратегической веб-компрометации (SWC), нацеленные на организации в секторах транспорта, логистики и технологий.
Для получения доступа к целевым системам Imperial Kitten использует различные тактики, техники и процедуры (TTP), такие как публичные инструменты сканирования, однодневные эксплойты, SQL-инъекции и украденные учетные данные виртуальной частной сети (VPN). Группа также использует тактику латерального перемещения, например PAExec и кражу учетных данных, для распространения во взломанных сетях. Для эксфильтрации данных используется пользовательское вредоносное ПО с открытым исходным кодом.
Известно, что IMPERIAL KITTEN использует вредоносное семейство IMAPLoader, которое использует электронную почту для командования и управления (C2). Похожий образец под названием StandardKeyboard также использует электронную почту для C2 и сохраняется в качестве службы Windows. Еще одно родственное семейство вредоносных программ использует приманку от компании логистического сектора и использует Discord для C2. Эта группа была замечена в использовании фишинговых операций для доставки вредоносных документов Microsoft Excel, которые после активации извлекают файлы, используемые для обеспечения персистентности через ключ Run в реестре. Эта полезная нагрузка представляет собой простую обратную оболочку, которая подключается к жестко заданному IP-адресу на TCP-порту 6443. Кроме того, сообщается, что IMPERIAL KITTEN использует аналитический сервис Matomo и пользовательский скрипт для составления профиля пользователей.
IMPERIAL KITTEN ранее атаковала организации в израильском морском, транспортном и технологическом секторах. В некоторых случаях группа напрямую передавала жертвам вредоносное ПО из SWC. Вероятно, противник также нацеливается на поставщиков ИТ-услуг, чтобы выявить и получить доступ к объектам, представляющим основной интерес для утечки данных.
CrowdStrike Intelligence в настоящее время приписывает эту активность IMPERIAL KITTEN с умеренной уверенностью, основываясь на продолжении использования инфраструктуры SWC, о которой сообщалось ранее, совпадениях между IMAPLoader и семейством вредоносных программ SUGARDUMP, о которых сообщается в отчетах, и постоянной нацеленности на израильские организации в транспортном, морском и технологическом секторах. Инфраструктура, недавно связанная с инструментарием IMPERIAL KITTEN, приписывается группе с низкой степенью уверенности.
#technique
Some ideas for Webshell obfuscation and anti-virus protection
https://mp-weixin-qq-com.translate.goog/s/FkoCj27vOA30ZNiLJN7Bgg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Some ideas for Webshell obfuscation and anti-virus protection
https://mp-weixin-qq-com.translate.goog/s/FkoCj27vOA30ZNiLJN7Bgg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
#ParsedReport #CompletenessLow
29-11-2023
F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate
https://habr.com/ru/companies/f_a_c_c_t/news/775038
Report completeness: Low
Actors/Campaigns:
C0met (motivation: politically_motivated, cyber_criminal, financially_motivated)
Cobalt
Threats:
Darkgate
Facefish
Systembc
Cobalt_strike
Cobint
Lockbit
Babuk
Anydesk_tool
Industry:
Government, Semiconductor_industry, Financial
Geo:
Russian
ChatGPT TTPs:
T1490, T1486, T1482, T1484, T1496
IOCs:
IP: 12
Domain: 9
Soft:
Telegram
29-11-2023
F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate
https://habr.com/ru/companies/f_a_c_c_t/news/775038
Report completeness: Low
Actors/Campaigns:
C0met (motivation: politically_motivated, cyber_criminal, financially_motivated)
Cobalt
Threats:
Darkgate
Facefish
Systembc
Cobalt_strike
Cobint
Lockbit
Babuk
Anydesk_tool
Industry:
Government, Semiconductor_industry, Financial
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1490, T1486, T1482, T1484, T1496
IOCs:
IP: 12
Domain: 9
Soft:
Telegram
Хабр
Эксперты F.A.C.C.T. раскрыли сетевую инфраструктуру преступного синдиката Comet (Shadow)/Twelve
Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксируют новые атаки преступного синдиката Comet (ранее Shadow) / Twelve и их сообщников на российские компании. Фактически перед...
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate https://habr.com/ru/companies/f_a_c_c_t/news/775038 Report completeness: Low Actors/Campaigns: C0met (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve, который занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Они требуют выкуп за расшифровку данных и имеют связи с преступной группировкой Cobalt. F.A.C.C.T. оказывает помощь жертвам их вредоносной деятельности, помогая им реагировать на инциденты и минимизировать риски.
-----
Лаборатория цифровой криминалистики F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve. Эта группировка известна тем, что занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Похитив данные, они требуют выкуп за их расшифровку. В группу входят бывшие члены преступной группировки Cobalt. Компания Positive Technologies выявила связь между политическими мотивами "Двенадцати" и финансовыми мотивами "Кометы".
Известно, что Comet (ранее Shadow)/Twelve использует вредоносное ПО из нескольких семейств, включая LockBit 3 (Black) и Babuk ransomware, созданное на основе данных, которые стали достоянием общественности. Они также используют такие утилиты, как Ngrok и Anydesk, чтобы сохранить доступ к ИТ-периметру жертвы. Эксперты F.A.C.C.T. рекомендуют обращаться в свою группу реагирования на инциденты при обнаружении любой активности с использованием ресурсов преступного синдиката или нелегальной деятельности с помощью программ NGROK или Anydesk.
В ходе типичной атаки Comet (ранее Shadow) сначала похищает конфиденциальные данные из инфраструктуры жертвы, затем шифрует их и требует выкуп за их расшифровку. По данным экспертов F.A.C.C.T., максимальная сумма выкупа, которую требовали злоумышленники в 2023 году, составляла 3,5 миллиона долларов. Группа Twelve, напротив, похищает данные из инфраструктуры жертвы, затем необратимо шифрует и удаляет их, после чего публикует украденную информацию в открытых источниках и использует ее для каскадных атак на контрагентов жертвы.
После исследования, проведенного F.A.C.C.T., был сделан вывод, что Shadow и Twelve в конечном итоге являются одной хакерской группой, с общими инструментами, методами и, в некоторых случаях, общей сетевой инфраструктурой. В результате группа Shadow подверглась ребрендингу и переименовалась в Comet (C0met). F.A.C.C.T. оказывает помощь жертвам вредоносной деятельности группы Comet (ранее Shadow) / Twelve, помогая им реагировать на инциденты и минимизировать потенциальные риски.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve, который занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Они требуют выкуп за расшифровку данных и имеют связи с преступной группировкой Cobalt. F.A.C.C.T. оказывает помощь жертвам их вредоносной деятельности, помогая им реагировать на инциденты и минимизировать риски.
-----
Лаборатория цифровой криминалистики F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve. Эта группировка известна тем, что занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Похитив данные, они требуют выкуп за их расшифровку. В группу входят бывшие члены преступной группировки Cobalt. Компания Positive Technologies выявила связь между политическими мотивами "Двенадцати" и финансовыми мотивами "Кометы".
Известно, что Comet (ранее Shadow)/Twelve использует вредоносное ПО из нескольких семейств, включая LockBit 3 (Black) и Babuk ransomware, созданное на основе данных, которые стали достоянием общественности. Они также используют такие утилиты, как Ngrok и Anydesk, чтобы сохранить доступ к ИТ-периметру жертвы. Эксперты F.A.C.C.T. рекомендуют обращаться в свою группу реагирования на инциденты при обнаружении любой активности с использованием ресурсов преступного синдиката или нелегальной деятельности с помощью программ NGROK или Anydesk.
В ходе типичной атаки Comet (ранее Shadow) сначала похищает конфиденциальные данные из инфраструктуры жертвы, затем шифрует их и требует выкуп за их расшифровку. По данным экспертов F.A.C.C.T., максимальная сумма выкупа, которую требовали злоумышленники в 2023 году, составляла 3,5 миллиона долларов. Группа Twelve, напротив, похищает данные из инфраструктуры жертвы, затем необратимо шифрует и удаляет их, после чего публикует украденную информацию в открытых источниках и использует ее для каскадных атак на контрагентов жертвы.
После исследования, проведенного F.A.C.C.T., был сделан вывод, что Shadow и Twelve в конечном итоге являются одной хакерской группой, с общими инструментами, методами и, в некоторых случаях, общей сетевой инфраструктурой. В результате группа Shadow подверглась ребрендингу и переименовалась в Comet (C0met). F.A.C.C.T. оказывает помощь жертвам вредоносной деятельности группы Comet (ранее Shadow) / Twelve, помогая им реагировать на инциденты и минимизировать потенциальные риски.
#ParsedReport #CompletenessLow
29-11-2023
THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware
https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware
Report completeness: Low
Threats:
Djvu_ransomware
Victims:
Users downloading freeware from untrusted sources
Industry:
Military, Government
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
29-11-2023
THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware
https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware
Report completeness: Low
Threats:
Djvu_ransomware
Victims:
Users downloading freeware from untrusted sources
Industry:
Military, Government
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Cybereason
THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware
The Cybereason Security Services Team is investigating incidents that involve variants of the DJvu ransomware delivered via loader payloads masquerading as freeware or cracked software.
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware Report completeness: Low Threats: Djvu_ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Cybereason обнаружила вариант вымогательского ПО DJvu, доставляемый с помощью загрузчиков, маскирующихся под бесплатное или взломанное программное обеспечение, а также другие штаммы вредоносного ПО в атаках с использованием этого варианта. Важно, чтобы пользователи знали о рисках и принимали меры для защиты от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защитить себя.
-----
Оповещения об угрозах Cybereason создаются для информирования клиентов о появляющихся угрозах. В последнее время Cybereason наблюдает разновидность вымогательского ПО DJvu, которую для удобства называют Xaro. Этот вариант распространяется через полезные нагрузки-загрузчики, которые маскируются под бесплатное или взломанное программное обеспечение. Когда эта вредоносная полезная нагрузка загружается и запускается, она запускает различные вредоносные программы, включая вариант Xaro. Этот вариант DJvu добавляет расширение .xaro к пораженным файлам и помещает записку с выкупом в файл _readme.txt.
Помимо варианта Xaro, в атаках с использованием этого варианта были замечены и другие штаммы вредоносного ПО. В их число входят различные инфопохитители, загрузчики и загрузчики, что позволяет предположить, что угрожающий агент стремится дважды вымогать деньги у жертв и еще больше компрометировать их компьютеры.
Команда исследователей безопасности в Cybereason отвечает за создание и управление основным контентом безопасности, включая логику обнаружения и предотвращения для своих продуктов. Эта команда состоит из высококлассных исследователей в области безопасности, которые сотрудничают с крупными предприятиями, правительствами и военными, разрабатывая средства защиты, способные обнаруживать и пресекать современные кибератаки.
Этот инцидент иллюстрирует риски, возникающие при загрузке бесплатного программного обеспечения из ненадежных источников. Важно, чтобы пользователи знали об этих рисках и принимали меры по защите от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защититься от этого типа атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Cybereason обнаружила вариант вымогательского ПО DJvu, доставляемый с помощью загрузчиков, маскирующихся под бесплатное или взломанное программное обеспечение, а также другие штаммы вредоносного ПО в атаках с использованием этого варианта. Важно, чтобы пользователи знали о рисках и принимали меры для защиты от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защитить себя.
-----
Оповещения об угрозах Cybereason создаются для информирования клиентов о появляющихся угрозах. В последнее время Cybereason наблюдает разновидность вымогательского ПО DJvu, которую для удобства называют Xaro. Этот вариант распространяется через полезные нагрузки-загрузчики, которые маскируются под бесплатное или взломанное программное обеспечение. Когда эта вредоносная полезная нагрузка загружается и запускается, она запускает различные вредоносные программы, включая вариант Xaro. Этот вариант DJvu добавляет расширение .xaro к пораженным файлам и помещает записку с выкупом в файл _readme.txt.
Помимо варианта Xaro, в атаках с использованием этого варианта были замечены и другие штаммы вредоносного ПО. В их число входят различные инфопохитители, загрузчики и загрузчики, что позволяет предположить, что угрожающий агент стремится дважды вымогать деньги у жертв и еще больше компрометировать их компьютеры.
Команда исследователей безопасности в Cybereason отвечает за создание и управление основным контентом безопасности, включая логику обнаружения и предотвращения для своих продуктов. Эта команда состоит из высококлассных исследователей в области безопасности, которые сотрудничают с крупными предприятиями, правительствами и военными, разрабатывая средства защиты, способные обнаруживать и пресекать современные кибератаки.
Этот инцидент иллюстрирует риски, возникающие при загрузке бесплатного программного обеспечения из ненадежных источников. Важно, чтобы пользователи знали об этих рисках и принимали меры по защите от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защититься от этого типа атак.
#ParsedReport #CompletenessLow
29-11-2023
Malware analysis report: Stealc stealer - part 2
https://mssplab.github.io/threat-hunting/2023/11/23/malware-analysis-stealc-2.html
Report completeness: Low
Threats:
Stealc
Plymouth_actor
ChatGPT TTPs:
T1113, T1083, T1081, T1105, T1518, T1082
IOCs:
File: 1
Soft:
Opera, chrome
Algorithms:
aes, base64
Functions:
sub_0x403D5F, mw_Download_1
Win API:
CryptUnprotectData, BCryptOpenAlgorithmProvider, BCryptSetProperty, BCryptGenerateSymmetricKey
Links:
29-11-2023
Malware analysis report: Stealc stealer - part 2
https://mssplab.github.io/threat-hunting/2023/11/23/malware-analysis-stealc-2.html
Report completeness: Low
Threats:
Stealc
Plymouth_actor
ChatGPT TTPs:
do not use without manual checkT1113, T1083, T1081, T1105, T1518, T1082
IOCs:
File: 1
Soft:
Opera, chrome
Algorithms:
aes, base64
Functions:
sub_0x403D5F, mw_Download_1
Win API:
CryptUnprotectData, BCryptOpenAlgorithmProvider, BCryptSetProperty, BCryptGenerateSymmetricKey
Links:
https://github.com/FarghlyMal/Decryptors-and-Extractors/tree/main/Stealc%20StealerMSSP Research Lab
Malware analysis report: Stealc stealer - part 2
We continue to publish our analysis report of Stealc, an information stealer promoted by its supposed developer Plymouth on Russian-language underground forums and sold as malware as a service since January 9, 2023.