#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 3, windows: 5, table: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Публичный MSSQL-сервер был взломан злоумышленником с помощью атаки грубой силы, в результате чего были развернуты программы BlueSky ransomware и XMrig miner. Злоумышленник также использовал xp_cmdshell для выполнения команды PowerShell, чтобы установить соединение с командно-контрольным сервером Cobalt Strike. Те же сценарии и инфраструктура были повторно использованы в мае 2023 года, при этом вымогательского ПО замечено не было.
-----

В декабре 2022 года публичный сервер MSSQL Server был взломан с помощью атаки грубой силы. Злоумышленники получили доступ к сети и развернули программу BlueSky ransomware с помощью Cobalt Strike и Tor2Mine в течение часа после получения доступа. Cobalt Strike использовался для выполнения команды PowerShell, которая подключалась к серверу Tor2Mine stager и загружала полезную нагрузку майнера. Сценарий PowerShell проверял привилегии пользователей, отключал антивирусные решения и сбрасывал полезную нагрузку майнера. Угрожающий агент также использовал xp_cmdshell для выполнения команды PowerShell, которая устанавливала соединение с командно-контрольным сервером Cobalt Strike.

Затем угрожающие лица переместились в другую сторону, используя удаленное создание служб, и выполнили те же команды PowerShell. Примерно через 30 минут после получения первоначального доступа бинарный файл BlueSky ransomware был сброшен и запущен на плацдарме и в течение 32 минут распространился на все устройства в сети по SMB.

Скрипты PowerShell, задействованные в этом случае, а также инфраструктура сервера Tor2Mine были замечены в повторном использовании в мае 2023 года с эксплойтом PaperCut NG CVE-2023-27350 в качестве начального источника доступа. При этом вторжении не было обнаружено никаких программ-вымогателей.

Сценарий PowerShell, checking.ps1, использовался для отключения AV, включая модификацию реестра и отключение служб. Сценарий PowerShell под названием del.ps1 пытался завершить работу системных утилит, таких как Process Explorer, Task Manager, Process Monitor и Daphne Task Manager. Угрожающий агент создал 16 различных задач на хостах, где был развернут Tor2Mine. Эти задачи были названы таким образом, чтобы попытаться слиться с различными задачами Windows, которые были установлены на хостах.

Tor2Mine использовался для доступа к области памяти LSASS, и доступ был предоставлен на 0x1010. На плацдарме наблюдалось выполнение утилиты дампа учетных данных Invoke-PowerDump. Чтобы установить постоянство в сети, на плацдарме и одном из контроллеров домена были созданы несколько запланированных задач и служб Windows.

Во время вторжения был развернут майнер XMrig, который загрузил драйвер WinRing0. Этот драйвер устанавливается для помощи майнеру в работе и используется, по крайней мере, с версии 5.3.0. Была замечена активность обнаружения портов (порт 445) с плацдарма, связанная с вызовом команды PowerShell Invoke-SMBExec. Скорее всего, она была выполнена как часть фреймворка Invoke-TheHash, судя по другим замеченным модулям PowerShell.

На плацдарм был сброшен бинарный файл BlueSky ransomware под названием vmware.exe, который после выполнения приводил к появлению вымогательского ПО в масштабах сети. Для шифрования файлов использовался SMB, при этом программа-вымогатель подключалась к хосту через порт 445.

В отчете DFIR отслеживался сервер Cobalt Strike, который был активен с 16 декабря 2022 года по 17 января 2023 года, а затем вернулся на второй период с 6 апреля 2023 года по 15 апреля 2023 года. Скрипты PowerShell и инфраструктура Tor2Mine были повторно использованы в мае 2023 года, при этом никаких вымогательских программ замечено не было.

#ParsedReport #CompletenessLow
04-12-2023

Linux version of Qilin ransomware focuses on VMware ESXi

https://www.bleepingcomputer.com/news/security/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi

Report completeness: Low

Threats:
Qilin_ransomware
Melissa

Victims:
Vmware esxi servers, linux, freebsd, and virtual machines

ChatGPT TTPs:
do not use without manual check
T1035, T1105, T1036, T1499, T1486, T1490, T1480, T1482

IOCs:
File: 1

Soft:
ESXi, esxcli

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Qilin ransomware - это высокотехнологичный и настраиваемый Linux-шифровальщик, предназначенный для серверов Linux, FreeBSD и VMware ESXi, и представляющий значительную угрозу для корпоративных сетей.
-----

Qilin ransomware - один из самых продвинутых и настраиваемых Linux-шифровальщиков на сегодняшний день. Она предназначена для серверов Linux, FreeBSD и VMware ESXi и ориентирована на шифрование виртуальных машин и удаление их моментальных снимков. При выполнении программа сначала завершает работу всех виртуальных машин и удаляет их снимки, а затем шифрует все обнаруженные виртуальные машины. Затем создается записка с именем _RECOVER.txt, содержащая ссылки на Tor-переговорный сайт банды вымогателей и учетные данные, необходимые для доступа к странице чата жертвы.

Qilin ransomware была запущена в августе 2022 года под названием "Agenda". Однако к сентябрю она провела ребрендинг под названием Qilin. С тех пор количество жертв постоянно увеличивалось, а активность возросла к концу 2023 года.

Как правило, Qilin проникает в сети компаний и похищает данные, распространяясь на другие системы. Собрав данные и получив учетные данные администратора сервера, они развертывают программу-вымогатель, чтобы зашифровать все устройства в сети. Благодаря своему уникальному шифровальщику, программы-вымогатели Qilin представляют собой серьезную угрозу для корпоративных сетей.

#ParsedReport #CompletenessLow
04-12-2023

The Lumma Stealer InfoStealer: The Details

https://cyberint.com/blog/research/the-lumma-stealer-infostealer-the-details

Report completeness: Low

Threats:
Lumma_stealer
Supply_chain_technique

Industry:
Financial

TTPs:
Tactics: 9
Technics: 22

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Lumma Stealer - это вредоносная программа, которая продается в "темной паутине" для незаконного получения конфиденциальных данных со взломанных устройств, и частные лица и организации должны предпринять необходимые шаги, чтобы защитить себя от рисков, связанных с ней.
-----

Lumma Stealer - это вредоносная программа, которая в последние месяцы становится все более распространенной. Впервые она была обнаружена в августе 2022 года и в настоящее время является трендом на форумах "темной паутины". Lumma Stealer специально разработан для незаконного получения конфиденциальных данных со взломанных устройств. Он продается через официальный магазин Lumma при содействии угрожающего актера Shamel.

После установки Lumma Stealer может атаковать веб-браузеры, криптовалютные кошельки, расширения 2FA и сервисы обмена мгновенными сообщениями вроде Telegram для извлечения ценных данных. Он также может внедрять дополнительные вредоносные программы и выполнять дополнительные команды с помощью своего модуля Loader. Lumma Stealer постоянно обновляется и совершенствуется, чтобы избежать обнаружения.

Lumma Stealer может распространяться различными способами, такими как загрузка с диска, поддельные обновления программного обеспечения, спам по электронной почте и сообщения, а также пакетные загрузки. Это может привести к серьезным последствиям для пострадавших, включая кражу конфиденциальных данных, таких как личные данные, учетные данные для входа в систему, финансовая информация и другие важные данные. Похищенная информация может быть использована для кражи личных данных или несанкционированного доступа к учетной записи. Lumma Stealer также может создавать бэкдоры и отключать защитное программное обеспечение, что может еще больше подорвать безопасность системы. Кроме того, если вредоносная программа проникнет в систему организации и скомпрометирует конфиденциальную информацию клиентов, это может нанести серьезный ущерб ее репутации и привести к снижению деловой активности и авторитета.

Как частным лицам, так и организациям важно знать о рисках, связанных с Lumma Stealer, и принять необходимые меры для защиты. Необходимо внедрять решения безопасности для обнаружения и предотвращения вредоносных действий, а пользователям следует сохранять бдительность и проявлять осторожность при работе с онлайн-контентом. Настоятельно рекомендуем обратиться в компанию, занимающуюся анализом угроз, чтобы узнать больше о способах защиты предприятий от программ-вымогателей и других угроз.

#ParsedReport #CompletenessHigh
04-12-2023

TrickMo s Return: Banking Trojan Resurgence With New Features

https://cyble.com/blog/trickmos-return-banking-trojan-resurgence-with-new-features

Report completeness: High

Threats:
Trickmo
Jsonpacker_tool
Trickbot
Hydra
Ermac
Sova
Mirai

Industry:
Financial, Foodtech

Geo:
Germany, Canada

TTPs:
Tactics: 5
Technics: 5

IOCs:
Hash: 6
Url: 3
IP: 1
File: 8

Soft:
Android, Google Chrome, Zoom, outlook, Microsoft Outlook

Wallets:
metamask, coinbase

Crypto:
bitcoin, kucoin, binance

Algorithms:
exhibit, sha1, zip, sha256, md5

Functions:
DeleteAll, SetSmsApp, GetAllPhotos, GetPhoto, SetClickerConfig, SetVars, ReadSms, GetAllVideos, GetVideo, ReadCalls, have more...

Win API:
LoadModule

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банковский троянец TrickMo постоянно развивается с момента своего обнаружения в 2019 году. В последнем варианте он обладает такими расширенными возможностями, как оверлейные методы внедрения, функции кликера и возможность захвата содержимого экрана. Кроме того, вредоносная программа включает в себя команду VNC, что говорит о том, что угрожающий агент планирует внедрить новые функции в ближайшем будущем, подчеркивая необходимость принятия проактивных мер перед лицом развивающихся киберугроз.
-----

Банковский троян TrickMo был впервые обнаружен в сентябре 2019 года.

Самый последний вариант TrickMo, обнаруженный в сентябре 2023 года, обладает расширенными функциональными возможностями, такими как техника внедрения оверлея, функция кликера и возможность захвата содержимого экрана.

TrickMo устанавливает соединение с C&C-сервером и передает различные данные, такие как список установленных приложений, информация об устройстве, статус доступности и статус разрешения.

Вредоносная программа получает от сервера инструкцию предложить пользователям включить службу доступности.

TrickMo может автоматически выполнять действия на зараженном устройстве без ведома жертвы, используя функцию кликера.

Вредоносная программа получает команды с C&C-сервера, включая идентификационный номер команды, сообщение и описание кнопки.

Вредоносная программа может получить команду 11 (RequestInfo), которая содержит URL-адрес оверлея.

С момента своего первого открытия в 2019 году TrickMo продемонстрировал удивительную устойчивость и способность к адаптации.

Возрождение TrickMo в сентябре 2023 года - наглядный пример постоянных проблем в сфере мобильной безопасности.

#ParsedReport #CompletenessLow
04-12-2023

It's Turtles All The Way Down. Analyzing the newly discovered Turtle ransomware.

https://objective-see.org/blog/blog_0x76.html

Report completeness: Low

Threats:
Turtle_ransomware

Geo:
Spain, Chinese

IOCs:
File: 15
Hash: 1

Soft:
macOS, Gatekeeper, ChatGPT

Algorithms:
aes, zip

Languages:
python

Platforms:
intel, arm, apple

Links:
https://github.com/objective-see/Malware/raw/main/Turtle.zip
https://github.com/Objective-see/Ransomwhere

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания Austin оповестила сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS, и Apple внедрила различные средства защиты от атак вымогательского ПО. Пользователям следует принять меры по защите своих систем и знать о новейших методах анализа вредоносного ПО для Mac, чтобы оставаться в безопасности.
-----

Недавно Остин предупредил сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS. 24 антивирусных системы отметили его как вредоносный и идентифицировали как Other:Malware-gen, Trojan.Generic или Possible Threat. Вредоносная программа была написана на языке Go и называлась TURTLERANS (она же Turtle Ransomware) или TurmiRansom. Процесс шифрования заключался в чтении файла в память, шифровании его с помощью AES (в режиме CTR), переименовании файла и последующей перезаписи оригинального содержимого зашифрованными данными. Он шифрует только файлы с расширениями .doc, .docx или .txt.

Apple реализовала несколько мер защиты от атак вымогателей. Защита целостности системы (SIP) и системные тома, доступные только для чтения, предназначены для защиты файлов уровня ОС, а прозрачный контроль согласия (TCC) используется для защиты пользовательских файлов в защищенных каталогах. RansomWhere? - это устаревший инструмент для общего обнаружения действий Turtle Ransomware.

Хотя на данный момент эта вредоносная программа не представляет серьезной угрозы для пользователей macOS, она доказывает, что авторы вымогательских программ продолжают атаковать эту платформу. Чтобы оставаться в безопасности, пользователям следует принять меры по защите своих систем и быть в курсе последних технологий анализа вредоносного ПО для Mac.

#technique

Targeting abuse of ESC7 in AD CS

https://mp-weixin-qq-com.translate.goog/s/TqW3ONBdcUFijg4keSiO1g?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
05-12-2023

Crypto Deception Unveiled: Check Point Research Reports Manipulation of Pool Liquidity Skyrockets Token Price by 22,000%.

https://research.checkpoint.com/2023/crypto-deception-unveiled-check-point-research-reports-manipulation-of-pool-liquidity-skyrockets-token-price-by-22000

Report completeness: Low

Victims:
Token holders

Industry:
Financial

IOCs:
Coin: 5

Crypto:
ethereum

Languages:
swift

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавнее ограбление на $80 000 в сфере децентрализованных финансов подчеркивает уязвимость пулов ликвидности перед сложными схемами манипулирования и важность бдительности в криптовалютном пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька мошенника, и предоставляет информацию, чтобы помочь инвесторам безопасно ориентироваться в криптовалютном пространстве.
-----

Становится все более очевидным, что децентрализованное финансовое пространство уязвимо для сложных схем манипулирования. Недавно было раскрыто ограбление на сумму 80 000 долларов, в ходе которого мошенник использовал пул ликвидности для кражи у ничего не подозревающих держателей токенов. Это произошло после того, как была раскрыта еще одна афера на миллион долларов, в которой использовалась поддельная фабрика токенов.

Мошенник, стоящий за этим последним инцидентом, разместил контрактный токен WIZ и связанный с ним адрес пары пула ликвидности. Затем мошенник создал вредоносный контракт, содержащий бэкдор, который позволил ему манипулировать ценой токена WIZ и украсть $80 000.

Эта схема манипулирования подчеркивает восприимчивость пулов ликвидности к мошенническим действиям. Мошенники смогли использовать бэкдоры и эксплойты для манипулирования ценами на токены, что подчеркивает важность бдительности в децентрализованном финансовом пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька выявленного мошенника, а также аналогичные случаи. С помощью своей блокчейн-системы Threat Intel они накапливают ценную информацию о возникающих угрозах, и эти данные будут переданы инвесторам, чтобы помочь им безопасно ориентироваться в криптовалютном пространстве и защитить себя от потенциальных ловушек.

#ParsedReport #CompletenessLow
05-12-2023

BlueNoroff: new Trojan attacking macOS users

https://securelist.com/bluenoroff-new-macos-malware/111290

Report completeness: Low

Actors/Campaigns:
Bluenoroff (motivation: cyber_criminal)

Threats:
Rustbucket
Applescript

Industry:
Financial

IOCs:
Hash: 9
Url: 3

Soft:
macOS

Algorithms:
xor, zip

Languages:
swift

Platforms:
apple, intel