#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus, которая использует тему покупки автомобиля BMW, чтобы склонить цель к выполнению вредоносных файлов. Программа-дроппер и документ-приманка выполняются мощной платформой под названием Cobalt_Strike, которая используется многими APT-организациями. Процесс загрузки троянца включает в себя несколько этапов.
-----

Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus в ноябре 2023 года. В образце использовалась тема покупки автомобиля BMW для побуждения цели к выполнению вредоносных файлов. Было обнаружено, что он имеет сходство с темой индукции APT29 и процессом загрузки троянца в этом году, что указывает на то, что злоумышленники могли имитировать его намеренно. Оригинальный образец "BMW_2023 Institutional and Academician Sales Price Framework.pdf.lnk" состоял из четырех компонентов: lnk-параметров, документа-приманки, программы-дроппера и hta-файлов. Эти компоненты работали вместе для достижения желаемого результата. Параметр lnk выполнял hta-файл, который, в свою очередь, выполнял программу-дроппер и документ-приманку. Затем загружался шелл-код для выполнения программы Cobalt_Strike RAT.

Cobalt_Strike - это платный продукт для тестирования на проникновение, который позволяет злоумышленникам развернуть на компьютере жертвы агента под названием "маячок". Beacon предоставляет злоумышленникам широкий спектр возможностей, таких как выполнение команд, ведение журнала нажатий клавиш, передача файлов, SOCKS-прокси, повышение привилегий, мимикац, сканирование портов и боковое перемещение. В комплект поставки входит набор инструментов Artifact Kit для разработки загрузчиков шелл-кода. Эта мощная платформа была взята на вооружение многими APT-организациями. Процесс загрузки троянца состоит из нескольких этапов: Html - iso - ссылка - вредоносный dll-файл - шеллкод.

#ParsedReport #CompletenessHigh
04-12-2023

SQL Brute Force Leads to BlueSky Ransomware

https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware

Report completeness: High

Actors/Campaigns:
Tor2mine

Threats:
Bluesky_ransomware
Babuk
Conti
Cobalt_strike
Smbexec_tool
Xmrigcc_tool
Mimikatz_tool
Xmrig_miner
Credential_dumping_technique
Beacon
Nemucod
Process_injection_technique

Victims:
Public-facing mssql server

Geo:
Romania

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 10
Technics: 18

IOCs:
File: 5
Path: 1
Command: 1
IP: 2
Url: 8
Hash: 6

Soft:
MSSQL, MS SQL, winlogon, PaperCut, Windows Defender, Process Explorer, Windows Service, WhatsApp

Algorithms:
sha1, base64, curve25519, sha256, md5

Functions:
PrivTrue, PrivFalse

Win API:
CreateRemoteThread, OpenSCManagerW, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, SetThreadContext, RtlCreateUserThread

Languages:
powershell

Platforms:
x64, intel

Links:
https://github.com/EmpireProject/Empire/blob/master/data/module\_source/credentials/Invoke-PowerDump.ps1
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-TheHash.psm1
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19208/19208.yar
https://github.com/xmrig/xmrig/blob/8084ff37a5c8935c649a2e362da0fe570c79a2c2/CHANGELOG.md?plain=1#L499
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-SMBExec.ps1#L1

#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 3, windows: 5, table: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Публичный MSSQL-сервер был взломан злоумышленником с помощью атаки грубой силы, в результате чего были развернуты программы BlueSky ransomware и XMrig miner. Злоумышленник также использовал xp_cmdshell для выполнения команды PowerShell, чтобы установить соединение с командно-контрольным сервером Cobalt Strike. Те же сценарии и инфраструктура были повторно использованы в мае 2023 года, при этом вымогательского ПО замечено не было.
-----

В декабре 2022 года публичный сервер MSSQL Server был взломан с помощью атаки грубой силы. Злоумышленники получили доступ к сети и развернули программу BlueSky ransomware с помощью Cobalt Strike и Tor2Mine в течение часа после получения доступа. Cobalt Strike использовался для выполнения команды PowerShell, которая подключалась к серверу Tor2Mine stager и загружала полезную нагрузку майнера. Сценарий PowerShell проверял привилегии пользователей, отключал антивирусные решения и сбрасывал полезную нагрузку майнера. Угрожающий агент также использовал xp_cmdshell для выполнения команды PowerShell, которая устанавливала соединение с командно-контрольным сервером Cobalt Strike.

Затем угрожающие лица переместились в другую сторону, используя удаленное создание служб, и выполнили те же команды PowerShell. Примерно через 30 минут после получения первоначального доступа бинарный файл BlueSky ransomware был сброшен и запущен на плацдарме и в течение 32 минут распространился на все устройства в сети по SMB.

Скрипты PowerShell, задействованные в этом случае, а также инфраструктура сервера Tor2Mine были замечены в повторном использовании в мае 2023 года с эксплойтом PaperCut NG CVE-2023-27350 в качестве начального источника доступа. При этом вторжении не было обнаружено никаких программ-вымогателей.

Сценарий PowerShell, checking.ps1, использовался для отключения AV, включая модификацию реестра и отключение служб. Сценарий PowerShell под названием del.ps1 пытался завершить работу системных утилит, таких как Process Explorer, Task Manager, Process Monitor и Daphne Task Manager. Угрожающий агент создал 16 различных задач на хостах, где был развернут Tor2Mine. Эти задачи были названы таким образом, чтобы попытаться слиться с различными задачами Windows, которые были установлены на хостах.

Tor2Mine использовался для доступа к области памяти LSASS, и доступ был предоставлен на 0x1010. На плацдарме наблюдалось выполнение утилиты дампа учетных данных Invoke-PowerDump. Чтобы установить постоянство в сети, на плацдарме и одном из контроллеров домена были созданы несколько запланированных задач и служб Windows.

Во время вторжения был развернут майнер XMrig, который загрузил драйвер WinRing0. Этот драйвер устанавливается для помощи майнеру в работе и используется, по крайней мере, с версии 5.3.0. Была замечена активность обнаружения портов (порт 445) с плацдарма, связанная с вызовом команды PowerShell Invoke-SMBExec. Скорее всего, она была выполнена как часть фреймворка Invoke-TheHash, судя по другим замеченным модулям PowerShell.

На плацдарм был сброшен бинарный файл BlueSky ransomware под названием vmware.exe, который после выполнения приводил к появлению вымогательского ПО в масштабах сети. Для шифрования файлов использовался SMB, при этом программа-вымогатель подключалась к хосту через порт 445.

В отчете DFIR отслеживался сервер Cobalt Strike, который был активен с 16 декабря 2022 года по 17 января 2023 года, а затем вернулся на второй период с 6 апреля 2023 года по 15 апреля 2023 года. Скрипты PowerShell и инфраструктура Tor2Mine были повторно использованы в мае 2023 года, при этом никаких вымогательских программ замечено не было.

#ParsedReport #CompletenessLow
04-12-2023

Linux version of Qilin ransomware focuses on VMware ESXi

https://www.bleepingcomputer.com/news/security/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi

Report completeness: Low

Threats:
Qilin_ransomware
Melissa

Victims:
Vmware esxi servers, linux, freebsd, and virtual machines

ChatGPT TTPs:
do not use without manual check
T1035, T1105, T1036, T1499, T1486, T1490, T1480, T1482

IOCs:
File: 1

Soft:
ESXi, esxcli

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Qilin ransomware - это высокотехнологичный и настраиваемый Linux-шифровальщик, предназначенный для серверов Linux, FreeBSD и VMware ESXi, и представляющий значительную угрозу для корпоративных сетей.
-----

Qilin ransomware - один из самых продвинутых и настраиваемых Linux-шифровальщиков на сегодняшний день. Она предназначена для серверов Linux, FreeBSD и VMware ESXi и ориентирована на шифрование виртуальных машин и удаление их моментальных снимков. При выполнении программа сначала завершает работу всех виртуальных машин и удаляет их снимки, а затем шифрует все обнаруженные виртуальные машины. Затем создается записка с именем _RECOVER.txt, содержащая ссылки на Tor-переговорный сайт банды вымогателей и учетные данные, необходимые для доступа к странице чата жертвы.

Qilin ransomware была запущена в августе 2022 года под названием "Agenda". Однако к сентябрю она провела ребрендинг под названием Qilin. С тех пор количество жертв постоянно увеличивалось, а активность возросла к концу 2023 года.

Как правило, Qilin проникает в сети компаний и похищает данные, распространяясь на другие системы. Собрав данные и получив учетные данные администратора сервера, они развертывают программу-вымогатель, чтобы зашифровать все устройства в сети. Благодаря своему уникальному шифровальщику, программы-вымогатели Qilin представляют собой серьезную угрозу для корпоративных сетей.

#ParsedReport #CompletenessLow
04-12-2023

The Lumma Stealer InfoStealer: The Details

https://cyberint.com/blog/research/the-lumma-stealer-infostealer-the-details

Report completeness: Low

Threats:
Lumma_stealer
Supply_chain_technique

Industry:
Financial

TTPs:
Tactics: 9
Technics: 22

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Lumma Stealer - это вредоносная программа, которая продается в "темной паутине" для незаконного получения конфиденциальных данных со взломанных устройств, и частные лица и организации должны предпринять необходимые шаги, чтобы защитить себя от рисков, связанных с ней.
-----

Lumma Stealer - это вредоносная программа, которая в последние месяцы становится все более распространенной. Впервые она была обнаружена в августе 2022 года и в настоящее время является трендом на форумах "темной паутины". Lumma Stealer специально разработан для незаконного получения конфиденциальных данных со взломанных устройств. Он продается через официальный магазин Lumma при содействии угрожающего актера Shamel.

После установки Lumma Stealer может атаковать веб-браузеры, криптовалютные кошельки, расширения 2FA и сервисы обмена мгновенными сообщениями вроде Telegram для извлечения ценных данных. Он также может внедрять дополнительные вредоносные программы и выполнять дополнительные команды с помощью своего модуля Loader. Lumma Stealer постоянно обновляется и совершенствуется, чтобы избежать обнаружения.

Lumma Stealer может распространяться различными способами, такими как загрузка с диска, поддельные обновления программного обеспечения, спам по электронной почте и сообщения, а также пакетные загрузки. Это может привести к серьезным последствиям для пострадавших, включая кражу конфиденциальных данных, таких как личные данные, учетные данные для входа в систему, финансовая информация и другие важные данные. Похищенная информация может быть использована для кражи личных данных или несанкционированного доступа к учетной записи. Lumma Stealer также может создавать бэкдоры и отключать защитное программное обеспечение, что может еще больше подорвать безопасность системы. Кроме того, если вредоносная программа проникнет в систему организации и скомпрометирует конфиденциальную информацию клиентов, это может нанести серьезный ущерб ее репутации и привести к снижению деловой активности и авторитета.

Как частным лицам, так и организациям важно знать о рисках, связанных с Lumma Stealer, и принять необходимые меры для защиты. Необходимо внедрять решения безопасности для обнаружения и предотвращения вредоносных действий, а пользователям следует сохранять бдительность и проявлять осторожность при работе с онлайн-контентом. Настоятельно рекомендуем обратиться в компанию, занимающуюся анализом угроз, чтобы узнать больше о способах защиты предприятий от программ-вымогателей и других угроз.

#ParsedReport #CompletenessHigh
04-12-2023

TrickMo s Return: Banking Trojan Resurgence With New Features

https://cyble.com/blog/trickmos-return-banking-trojan-resurgence-with-new-features

Report completeness: High

Threats:
Trickmo
Jsonpacker_tool
Trickbot
Hydra
Ermac
Sova
Mirai

Industry:
Financial, Foodtech

Geo:
Germany, Canada

TTPs:
Tactics: 5
Technics: 5

IOCs:
Hash: 6
Url: 3
IP: 1
File: 8

Soft:
Android, Google Chrome, Zoom, outlook, Microsoft Outlook

Wallets:
metamask, coinbase

Crypto:
bitcoin, kucoin, binance

Algorithms:
exhibit, sha1, zip, sha256, md5

Functions:
DeleteAll, SetSmsApp, GetAllPhotos, GetPhoto, SetClickerConfig, SetVars, ReadSms, GetAllVideos, GetVideo, ReadCalls, have more...

Win API:
LoadModule

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банковский троянец TrickMo постоянно развивается с момента своего обнаружения в 2019 году. В последнем варианте он обладает такими расширенными возможностями, как оверлейные методы внедрения, функции кликера и возможность захвата содержимого экрана. Кроме того, вредоносная программа включает в себя команду VNC, что говорит о том, что угрожающий агент планирует внедрить новые функции в ближайшем будущем, подчеркивая необходимость принятия проактивных мер перед лицом развивающихся киберугроз.
-----

Банковский троян TrickMo был впервые обнаружен в сентябре 2019 года.

Самый последний вариант TrickMo, обнаруженный в сентябре 2023 года, обладает расширенными функциональными возможностями, такими как техника внедрения оверлея, функция кликера и возможность захвата содержимого экрана.

TrickMo устанавливает соединение с C&C-сервером и передает различные данные, такие как список установленных приложений, информация об устройстве, статус доступности и статус разрешения.

Вредоносная программа получает от сервера инструкцию предложить пользователям включить службу доступности.

TrickMo может автоматически выполнять действия на зараженном устройстве без ведома жертвы, используя функцию кликера.

Вредоносная программа получает команды с C&C-сервера, включая идентификационный номер команды, сообщение и описание кнопки.

Вредоносная программа может получить команду 11 (RequestInfo), которая содержит URL-адрес оверлея.

С момента своего первого открытия в 2019 году TrickMo продемонстрировал удивительную устойчивость и способность к адаптации.

Возрождение TrickMo в сентябре 2023 года - наглядный пример постоянных проблем в сфере мобильной безопасности.

#ParsedReport #CompletenessLow
04-12-2023

It's Turtles All The Way Down. Analyzing the newly discovered Turtle ransomware.

https://objective-see.org/blog/blog_0x76.html

Report completeness: Low

Threats:
Turtle_ransomware

Geo:
Spain, Chinese

IOCs:
File: 15
Hash: 1

Soft:
macOS, Gatekeeper, ChatGPT

Algorithms:
aes, zip

Languages:
python

Platforms:
intel, arm, apple

Links:
https://github.com/objective-see/Malware/raw/main/Turtle.zip
https://github.com/Objective-see/Ransomwhere

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания Austin оповестила сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS, и Apple внедрила различные средства защиты от атак вымогательского ПО. Пользователям следует принять меры по защите своих систем и знать о новейших методах анализа вредоносного ПО для Mac, чтобы оставаться в безопасности.
-----

Недавно Остин предупредил сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS. 24 антивирусных системы отметили его как вредоносный и идентифицировали как Other:Malware-gen, Trojan.Generic или Possible Threat. Вредоносная программа была написана на языке Go и называлась TURTLERANS (она же Turtle Ransomware) или TurmiRansom. Процесс шифрования заключался в чтении файла в память, шифровании его с помощью AES (в режиме CTR), переименовании файла и последующей перезаписи оригинального содержимого зашифрованными данными. Он шифрует только файлы с расширениями .doc, .docx или .txt.

Apple реализовала несколько мер защиты от атак вымогателей. Защита целостности системы (SIP) и системные тома, доступные только для чтения, предназначены для защиты файлов уровня ОС, а прозрачный контроль согласия (TCC) используется для защиты пользовательских файлов в защищенных каталогах. RansomWhere? - это устаревший инструмент для общего обнаружения действий Turtle Ransomware.

Хотя на данный момент эта вредоносная программа не представляет серьезной угрозы для пользователей macOS, она доказывает, что авторы вымогательских программ продолжают атаковать эту платформу. Чтобы оставаться в безопасности, пользователям следует принять меры по защите своих систем и быть в курсе последних технологий анализа вредоносного ПО для Mac.

#technique

Targeting abuse of ESC7 in AD CS

https://mp-weixin-qq-com.translate.goog/s/TqW3ONBdcUFijg4keSiO1g?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
05-12-2023

Crypto Deception Unveiled: Check Point Research Reports Manipulation of Pool Liquidity Skyrockets Token Price by 22,000%.

https://research.checkpoint.com/2023/crypto-deception-unveiled-check-point-research-reports-manipulation-of-pool-liquidity-skyrockets-token-price-by-22000

Report completeness: Low

Victims:
Token holders

Industry:
Financial

IOCs:
Coin: 5

Crypto:
ethereum

Languages:
swift

Platforms:
intel