#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DanaBot - это очень опасный тип вредоносного ПО, распространяемый через фишинговые письма и разворачиваемый в несколько этапов из различных источников, чтобы избежать обнаружения. Он способен похищать конфиденциальные данные и предлагается в качестве платформы "вредоносное ПО как услуга" (MaaS). Для защиты от DanaBot необходимо быть осторожным с подозрительными ссылками, укреплять безопасность системы и использовать актуальное антивирусное программное обеспечение.
-----

DanaBot - это вредоносное ПО как услуга (MaaS), которое проникает в компьютеры, чтобы украсть ценную информацию для монетизации.

DanaBot распространяется с помощью сложных фишинговых писем и через сеть доставки контента (CDN) Discord.

DanaBot способен похищать учетные данные из веб-браузеров, данные FTP, данные почтовых клиентов, данные пользователей системы, данные VPN-клиентов, данные программ управления файлами, данные приложений для удаленного подключения и многое другое.

Чтобы защититься от DanaBot Stealer, следует с осторожностью относиться к подозрительным ссылкам и вложениям электронной почты, а также применять меры безопасности.

#technique

GhostDriver is a Rust-built AV killer tool using BYOVD.

https://github.com/BlackSnufkin/GhostDriver

#technique

TRAP; RESET; POISON; - Taking over a country Kaminsky style

A technical deep dive on how to poison the DNS name resolution of an entire country!

https://sec-consult.com/blog/detail/taking-over-a-country-kaminsky-style/

#technique

Spyware Employs Various Obfuscation Techniques to Bypass Static Analysis

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spyware-obfuscation-static-analysis

#ParsedReport #CompletenessLow
04-12-2023

P2Pinfect - New Variant Targets MIPS Devices

https://www.cadosecurity.com/p2pinfect-new-variant-targets-mips-devices

Report completeness: Low

Threats:
P2pinfect
Mirai
Log4shell_vuln

Victims:
Microprocessor without interlocked pipelined stages (mips) architecture, redis servers, 32-bit mips processors, linux hosts

Industry:
Iot

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Unavailable
Soft:
- redis (-)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Hash: 2

Soft:
Redis, OpenWRT, UNIX, macOS

Functions:
fork, openat, getpid, prctl

Languages:
lua, rust

Platforms:
cross-platform, mips

Links:
https://github.com/cado-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: P2Pinfect - это все более сложный кроссплатформенный ботнет, нацеленный на маршрутизаторы, IoT-устройства и другие встраиваемые устройства, с обновленными механизмами обхода, которые усложняют анализ для исследователей. Он отслеживается и исследуется лабораторией Cado Security Labs и демонстрирует уровень сложности разработки вредоносного ПО выше среднего.
-----

P2Pinfect - это все более сложный кроссплатформенный ботнет, который нацелен на маршрутизаторы, Интернет вещей (IoT) и другие встраиваемые устройства. Обнаружен новый вариант вредоносной программы, скомпилированный для архитектуры микропроцессоров без взаимосвязанных конвейерных ступеней (MIPS), с обновленными механизмами уклонения, которые усложняют динамический анализ для исследователей. Она эксплуатирует серверы Redis, используя такие методы, как CVE-2022-0543 и атака несанкционированной репликации, а также пытается получить доступ к SSH грубой силой.

Лаборатория Cado Security Labs отслеживает и сообщает о росте P2Pinfect с июля 2023 года. Анализ нового варианта MIPS выявил структуру под названием BotnetConf с членами, совпадающими по названиям с оригинальными образцами P2Pinfect, и встроенный исполняемый файл ELF, а также 32-битную библиотеку DLL для Windows в формате PE32. Также была обнаружена функция обхода виртуальной машины, которая, вероятно, использовалась в качестве антикризисной процедуры.

Использование языка программирования Rust для кроссплатформенной разработки, а также включение вредоносного загружаемого модуля для Redis, реализующего функциональность system.exec, демонстрируют, на что пошли разработчики P2Pinfect, чтобы затруднить процесс анализа. Вредоносная программа пытается отключить дампы ядра Linux, которые, вероятно, используются для защиты внутренней информации, такой как IP-адреса подключенных пиров и заполненная структура BotnetConf.

Продолжающаяся эволюция и расширение сферы применения P2Pinfect целевым и изощренным агентом угроз свидетельствуют об уровне сложности разработки вредоносного ПО выше среднего. Исследователи Cado Security Labs будут продолжать следить за развитием этой новой бот-сети и сообщать о ней.

#ParsedReport #CompletenessLow
04-12-2023

Threat Intelligence \| Analysis of OceanLotus APT organizations imitating APT29 attack activities

https://mp-weixin-qq-com.translate.goog/s/IB2w86cXcpmGS8qrOnprKw?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Duke (motivation: cyber_espionage)

Threats:
Cobalt_strike
Beacon
Mimikatz_tool

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1566.003, T1574.001, T1543.003, T1204.005

IOCs:
File: 5
Hash: 4

Soft:
WeChat

Win API:
RtlIpv4StringToAddressA

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 9, dump: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus, которая использует тему покупки автомобиля BMW, чтобы склонить цель к выполнению вредоносных файлов. Программа-дроппер и документ-приманка выполняются мощной платформой под названием Cobalt_Strike, которая используется многими APT-организациями. Процесс загрузки троянца включает в себя несколько этапов.
-----

Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus в ноябре 2023 года. В образце использовалась тема покупки автомобиля BMW для побуждения цели к выполнению вредоносных файлов. Было обнаружено, что он имеет сходство с темой индукции APT29 и процессом загрузки троянца в этом году, что указывает на то, что злоумышленники могли имитировать его намеренно. Оригинальный образец "BMW_2023 Institutional and Academician Sales Price Framework.pdf.lnk" состоял из четырех компонентов: lnk-параметров, документа-приманки, программы-дроппера и hta-файлов. Эти компоненты работали вместе для достижения желаемого результата. Параметр lnk выполнял hta-файл, который, в свою очередь, выполнял программу-дроппер и документ-приманку. Затем загружался шелл-код для выполнения программы Cobalt_Strike RAT.

Cobalt_Strike - это платный продукт для тестирования на проникновение, который позволяет злоумышленникам развернуть на компьютере жертвы агента под названием "маячок". Beacon предоставляет злоумышленникам широкий спектр возможностей, таких как выполнение команд, ведение журнала нажатий клавиш, передача файлов, SOCKS-прокси, повышение привилегий, мимикац, сканирование портов и боковое перемещение. В комплект поставки входит набор инструментов Artifact Kit для разработки загрузчиков шелл-кода. Эта мощная платформа была взята на вооружение многими APT-организациями. Процесс загрузки троянца состоит из нескольких этапов: Html - iso - ссылка - вредоносный dll-файл - шеллкод.

#ParsedReport #CompletenessHigh
04-12-2023

SQL Brute Force Leads to BlueSky Ransomware

https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware

Report completeness: High

Actors/Campaigns:
Tor2mine

Threats:
Bluesky_ransomware
Babuk
Conti
Cobalt_strike
Smbexec_tool
Xmrigcc_tool
Mimikatz_tool
Xmrig_miner
Credential_dumping_technique
Beacon
Nemucod
Process_injection_technique

Victims:
Public-facing mssql server

Geo:
Romania

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 10
Technics: 18

IOCs:
File: 5
Path: 1
Command: 1
IP: 2
Url: 8
Hash: 6

Soft:
MSSQL, MS SQL, winlogon, PaperCut, Windows Defender, Process Explorer, Windows Service, WhatsApp

Algorithms:
sha1, base64, curve25519, sha256, md5

Functions:
PrivTrue, PrivFalse

Win API:
CreateRemoteThread, OpenSCManagerW, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, SetThreadContext, RtlCreateUserThread

Languages:
powershell

Platforms:
x64, intel

Links:
https://github.com/EmpireProject/Empire/blob/master/data/module\_source/credentials/Invoke-PowerDump.ps1
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-TheHash.psm1
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19208/19208.yar
https://github.com/xmrig/xmrig/blob/8084ff37a5c8935c649a2e362da0fe570c79a2c2/CHANGELOG.md?plain=1#L499
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-SMBExec.ps1#L1

#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 3, windows: 5, table: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Публичный MSSQL-сервер был взломан злоумышленником с помощью атаки грубой силы, в результате чего были развернуты программы BlueSky ransomware и XMrig miner. Злоумышленник также использовал xp_cmdshell для выполнения команды PowerShell, чтобы установить соединение с командно-контрольным сервером Cobalt Strike. Те же сценарии и инфраструктура были повторно использованы в мае 2023 года, при этом вымогательского ПО замечено не было.
-----

В декабре 2022 года публичный сервер MSSQL Server был взломан с помощью атаки грубой силы. Злоумышленники получили доступ к сети и развернули программу BlueSky ransomware с помощью Cobalt Strike и Tor2Mine в течение часа после получения доступа. Cobalt Strike использовался для выполнения команды PowerShell, которая подключалась к серверу Tor2Mine stager и загружала полезную нагрузку майнера. Сценарий PowerShell проверял привилегии пользователей, отключал антивирусные решения и сбрасывал полезную нагрузку майнера. Угрожающий агент также использовал xp_cmdshell для выполнения команды PowerShell, которая устанавливала соединение с командно-контрольным сервером Cobalt Strike.

Затем угрожающие лица переместились в другую сторону, используя удаленное создание служб, и выполнили те же команды PowerShell. Примерно через 30 минут после получения первоначального доступа бинарный файл BlueSky ransomware был сброшен и запущен на плацдарме и в течение 32 минут распространился на все устройства в сети по SMB.

Скрипты PowerShell, задействованные в этом случае, а также инфраструктура сервера Tor2Mine были замечены в повторном использовании в мае 2023 года с эксплойтом PaperCut NG CVE-2023-27350 в качестве начального источника доступа. При этом вторжении не было обнаружено никаких программ-вымогателей.

Сценарий PowerShell, checking.ps1, использовался для отключения AV, включая модификацию реестра и отключение служб. Сценарий PowerShell под названием del.ps1 пытался завершить работу системных утилит, таких как Process Explorer, Task Manager, Process Monitor и Daphne Task Manager. Угрожающий агент создал 16 различных задач на хостах, где был развернут Tor2Mine. Эти задачи были названы таким образом, чтобы попытаться слиться с различными задачами Windows, которые были установлены на хостах.

Tor2Mine использовался для доступа к области памяти LSASS, и доступ был предоставлен на 0x1010. На плацдарме наблюдалось выполнение утилиты дампа учетных данных Invoke-PowerDump. Чтобы установить постоянство в сети, на плацдарме и одном из контроллеров домена были созданы несколько запланированных задач и служб Windows.

Во время вторжения был развернут майнер XMrig, который загрузил драйвер WinRing0. Этот драйвер устанавливается для помощи майнеру в работе и используется, по крайней мере, с версии 5.3.0. Была замечена активность обнаружения портов (порт 445) с плацдарма, связанная с вызовом команды PowerShell Invoke-SMBExec. Скорее всего, она была выполнена как часть фреймворка Invoke-TheHash, судя по другим замеченным модулям PowerShell.

На плацдарм был сброшен бинарный файл BlueSky ransomware под названием vmware.exe, который после выполнения приводил к появлению вымогательского ПО в масштабах сети. Для шифрования файлов использовался SMB, при этом программа-вымогатель подключалась к хосту через порт 445.

В отчете DFIR отслеживался сервер Cobalt Strike, который был активен с 16 декабря 2022 года по 17 января 2023 года, а затем вернулся на второй период с 6 апреля 2023 года по 15 апреля 2023 года. Скрипты PowerShell и инфраструктура Tor2Mine были повторно использованы в мае 2023 года, при этом никаких вымогательских программ замечено не было.

#ParsedReport #CompletenessLow
04-12-2023

Linux version of Qilin ransomware focuses on VMware ESXi

https://www.bleepingcomputer.com/news/security/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi

Report completeness: Low

Threats:
Qilin_ransomware
Melissa

Victims:
Vmware esxi servers, linux, freebsd, and virtual machines

ChatGPT TTPs:
do not use without manual check
T1035, T1105, T1036, T1499, T1486, T1490, T1480, T1482

IOCs:
File: 1

Soft:
ESXi, esxcli

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Qilin ransomware - это высокотехнологичный и настраиваемый Linux-шифровальщик, предназначенный для серверов Linux, FreeBSD и VMware ESXi, и представляющий значительную угрозу для корпоративных сетей.
-----

Qilin ransomware - один из самых продвинутых и настраиваемых Linux-шифровальщиков на сегодняшний день. Она предназначена для серверов Linux, FreeBSD и VMware ESXi и ориентирована на шифрование виртуальных машин и удаление их моментальных снимков. При выполнении программа сначала завершает работу всех виртуальных машин и удаляет их снимки, а затем шифрует все обнаруженные виртуальные машины. Затем создается записка с именем _RECOVER.txt, содержащая ссылки на Tor-переговорный сайт банды вымогателей и учетные данные, необходимые для доступа к странице чата жертвы.

Qilin ransomware была запущена в августе 2022 года под названием "Agenda". Однако к сентябрю она провела ребрендинг под названием Qilin. С тех пор количество жертв постоянно увеличивалось, а активность возросла к концу 2023 года.

Как правило, Qilin проникает в сети компаний и похищает данные, распространяясь на другие системы. Собрав данные и получив учетные данные администратора сервера, они развертывают программу-вымогатель, чтобы зашифровать все устройства в сети. Благодаря своему уникальному шифровальщику, программы-вымогатели Qilin представляют собой серьезную угрозу для корпоративных сетей.

#ParsedReport #CompletenessLow
04-12-2023

The Lumma Stealer InfoStealer: The Details

https://cyberint.com/blog/research/the-lumma-stealer-infostealer-the-details

Report completeness: Low

Threats:
Lumma_stealer
Supply_chain_technique

Industry:
Financial

TTPs:
Tactics: 9
Technics: 22

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Lumma Stealer - это вредоносная программа, которая продается в "темной паутине" для незаконного получения конфиденциальных данных со взломанных устройств, и частные лица и организации должны предпринять необходимые шаги, чтобы защитить себя от рисков, связанных с ней.
-----

Lumma Stealer - это вредоносная программа, которая в последние месяцы становится все более распространенной. Впервые она была обнаружена в августе 2022 года и в настоящее время является трендом на форумах "темной паутины". Lumma Stealer специально разработан для незаконного получения конфиденциальных данных со взломанных устройств. Он продается через официальный магазин Lumma при содействии угрожающего актера Shamel.

После установки Lumma Stealer может атаковать веб-браузеры, криптовалютные кошельки, расширения 2FA и сервисы обмена мгновенными сообщениями вроде Telegram для извлечения ценных данных. Он также может внедрять дополнительные вредоносные программы и выполнять дополнительные команды с помощью своего модуля Loader. Lumma Stealer постоянно обновляется и совершенствуется, чтобы избежать обнаружения.

Lumma Stealer может распространяться различными способами, такими как загрузка с диска, поддельные обновления программного обеспечения, спам по электронной почте и сообщения, а также пакетные загрузки. Это может привести к серьезным последствиям для пострадавших, включая кражу конфиденциальных данных, таких как личные данные, учетные данные для входа в систему, финансовая информация и другие важные данные. Похищенная информация может быть использована для кражи личных данных или несанкционированного доступа к учетной записи. Lumma Stealer также может создавать бэкдоры и отключать защитное программное обеспечение, что может еще больше подорвать безопасность системы. Кроме того, если вредоносная программа проникнет в систему организации и скомпрометирует конфиденциальную информацию клиентов, это может нанести серьезный ущерб ее репутации и привести к снижению деловой активности и авторитета.

Как частным лицам, так и организациям важно знать о рисках, связанных с Lumma Stealer, и принять необходимые меры для защиты. Необходимо внедрять решения безопасности для обнаружения и предотвращения вредоносных действий, а пользователям следует сохранять бдительность и проявлять осторожность при работе с онлайн-контентом. Настоятельно рекомендуем обратиться в компанию, занимающуюся анализом угроз, чтобы узнать больше о способах защиты предприятий от программ-вымогателей и других угроз.