#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа вымогателей Play атакует предприятия и критически важную инфраструктуру с июня 2022 года и использует двойную модель вымогательства. Организациям следует уделять первоочередное внимание устранению известных уязвимостей, использовать многофакторную аутентификацию, ставить заплатки и обновлять программное обеспечение и приложения, а также регулярно проводить оценку уязвимостей для предотвращения атак. ФБР и CISA предоставляют ресурсы для борьбы с ransomware и ищут информацию о действующих лицах, платежах и файлах-расшифровщиках.
-----

Группа вымогателей Play действует с июня 2022 года и поражает предприятия и критически важные объекты инфраструктуры по всему миру. Действующие лица Play ransomware используют модель двойного вымогательства, шифруя системы после извлечения данных. Чтобы предотвратить атаку, организациям следует в первую очередь устранять известные уязвимости, по возможности использовать многофакторную аутентификацию, регулярно ставить заплатки и обновлять программное обеспечение и приложения до последних версий, а также регулярно проводить оценку уязвимостей.

Разработчики вымогательских программ получают первоначальный доступ к сетям жертв с помощью действующих учетных записей и использования общедоступных приложений. Они используют такие внешние сервисы, как AdFind и Grixba, и такие инструменты, как PsExec и PowerTool, для бокового перемещения и выполнения файлов. Они также используют Mimikatz credential dumper для получения доступа администратора домена, Windows Privilege Escalation Awesome Scripts для поиска дополнительных путей, WinRAR для сжатия файлов и WinSCP для передачи данных. Затем файлы шифруются гибридным шифрованием AES-RSA с использованием прерывистого шифрования.

Выкуп выплачивается в криптовалюте на адреса кошельков, предоставленные актерами Play. Они также угрожают опубликовать полученные данные на своем сайте утечки в сети Tor и используют IOBit для отключения антивирусного программного обеспечения.

Stopransomware.gov - это инициатива ФБР, CISA и ASD's ACSC, которая предоставляет ресурсы и предупреждения об атаках вымогательского ПО. Ресурсы включают руководство #StopRansomware Guide, а также бесплатные услуги по кибергигиене.

ФБР также ищет информацию, которой можно поделиться, например пограничные журналы, заметки о выкупе, переписка с игроками, информация о кошельке Bitcoin, файлы-дешифраторы и/или доброкачественный образец зашифрованного файла. Однако ФБР и CISA не рекомендуют платить выкуп, поскольку оплата не гарантирует восстановления файлов жертвы и может побудить других преступников заняться распространением ransomware. Организациям следует сообщать о случаях заражения вымогательским ПО в местное отделение ФБР, в Центр жалоб на интернет-преступления ФБР или в круглосуточный оперативный центр CISA. Австралийским организациям следует обратиться в ACSC КАН или отправить сообщение на сайт cyber.gov.au.

#cyberthreattech

В канале с трендами добавили саммари на базе YandexGPT.
Теперь публикуется не просто ссылка на отчет, но и сгенерированое саммари на русском.

#ParsedReport #CompletenessMedium
18-12-2023

BianLian Ransomware: Victimology and TTPs. Malware, Toolset & TTPs

https://cyberint.com/blog/research/bianlian-ransomware-victimology-and-ttps

Report completeness: Medium

Actors/Campaigns:
Bianlian

Threats:
Bianlian_ransomware
Spear-phishing_technique
Atera_tool
Teamviewer_tool
Splashtop_tool
Anydesk_tool
Sharpshares_tool
Pingcastle_tool
Supply_chain_technique

Victims:
Businesses, government entities, healthcare institutions, and educational organizations

Industry:
Education, Healthcare, Government, Entertainment, Biotechnology, Financial

Geo:
America, Asia, Indonesia, Canada, Chinese

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 2

Soft:
Windows Defender, SoftPerfect Network Scanner, Local Security Authority, Active Directory, PsExec, Windows firewall, Android

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что BianLian - это сложный и адаптивный агент угроз, который стал крупным игроком в мире киберпреступности, используя взломанные учетные данные протокола Remote Desktop Protocol (RDP) и атакуя предприятия, государственные структуры, медицинские учреждения и образовательные организации. Организациям важно сохранять бдительность и принимать необходимые меры для защиты от этой постоянно развивающейся угрозы.
-----

BianLian - это сложный и адаптивный агент угроз, который управляет вымогательским ПО BianLian. Впервые появившись в 2019 году в виде банковского трояна для Android, BianLian с тех пор переключила свою деятельность на атаки с целью выкупа, впервые появившись в качестве штамма вымогательского ПО в июле 2022 года. Эта группировка завоевала репутацию быстро развивающейся, совершенствующей свои тактики, код и диверсифицирующей методы атак, чтобы избежать обнаружения и противодействия защитным мерам.

Для первоначального доступа к сетям BianLian часто использует скомпрометированные учетные данные протокола удаленного рабочего стола (RDP). Командование и контроль (C2) осуществляется с помощью пользовательских бэкдоров, закодированных в Go, и программ удаленного управления и доступа, таких как TeamViewer, Atera Agent, SplashTop и AnyDesk. BianLian использует PowerShell и Windows Command Shell для отключения антивирусных инструментов, в частности, Windows Defender и Anti-Malware Scan Interface (AMSI). Для обнаружения используются такие инструменты, как Advanced Port Scanner, SoftPerfect Network Scanner (netscan . exe), SharpShares и PingCastle. Доступ к учетным данным осуществляется с помощью командной оболочки Windows для поиска незащищенных учетных данных на локальной машине, сбора учетных данных из памяти службы Local Security Authority Subsystem Service (LSASS), загрузки RDP Recognizer на систему жертвы и попытки доступа к базе данных домена Active Directory (NTDS.dit).

Попадая в сеть, BianLian ransomware шифрует данные жертвы, а затем требует выкуп за восстановление доступа. Операции BianLian имеют глобальный охват: чаще всего атаки происходят в Северной Америке, затем в Азии и Европе. Приблизительно 60 % целей BianLian находятся в США, за ними следуют Великобритания (10 %) и Канада (7 %). Изначально BianLian использовала модель двойного вымогательства, но затем перешла к модели, основанной на эксфильтрации. В октябре, ноябре и декабре 2023 года BianLian атаковал множество организаций, включая Dow Golub Remels & Beverly, Low Keng Huat, Prasan Enterprises, Akumin и AMCO Proteins.

BianLian - сложный объект угроз, и его адаптивность позволила ему стать крупным игроком в мире киберпреступности. Его основной целью являются предприятия, государственные структуры, медицинские учреждения и образовательные организации - секторы с конфиденциальными данными и финансовыми возможностями для удовлетворения значительных требований о выкупе. Этот субъект угроз продолжает совершенствовать свою тактику, улучшать код и диверсифицировать методы атак, чтобы опередить все возможные средства защиты. Поэтому организациям важно сохранять бдительность и принимать необходимые меры для защиты от этой постоянно развивающейся угрозы.

#ParsedReport #CompletenessLow
19-12-2023

Malware leveraging public infrastructure like GitHub on the rise

https://www.reversinglabs.com/blog/malware-leveraging-public-infrastructure-like-github-on-the-rise

Report completeness: Low

Threats:
W4sp
Seroxen_rat
Iamreboot
Supply_chain_technique

IOCs:
Hash: 16

Soft:
Discord, Microsoft OneDrive, NuGet

Algorithms:
base64

Languages:
python

Links:
https://docs.github.com/en/get-started/writing-on-github/editing-and-sharing-content-with-gists/creating-gists

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники используют публичные сервисы, такие как Google Drive, Microsoft OneDrive, GitHub, Dropbox и Discord, для создания и запуска двухэтапных вредоносных программ и получения адресов своих C2-серверов. Команда исследователей угроз ReversingLabs обнаружила два новых типа вредоносных программ, использующих возможности GitHub. Разработчики и команды безопасности приложений должны уметь различать вредоносные и легитимные пакеты на этих платформах, чтобы защитить свои системы от дальнейших атак.
-----

Публичные сервисы, такие как Google Drive, Microsoft OneDrive, GitHub, Dropbox и Discord, уже давно используются злоумышленниками для размещения двухэтапных вредоносных программ и получения адресов своих C2-серверов. Эти сервисы привлекательны для злоумышленников, поскольку их проще настроить и запустить, чем собственный сервер, а связь с ними вызывает меньше подозрений, чем связь с непонятным доменом или IP-адресом.

Недавно команда исследователей угроз ReversingLabs обнаружила два новых типа вредоносных программ, использующих возможности GitHub. Первая использует Gists GitHub, кодируя вредоносные URL в Base64. Скрывая вредоносный код в файле setup.py, автор вредоносной программы затрудняет его обнаружение средствами безопасности. Эта техника встречается нечасто.

Второй обнаруженный тип вредоносного ПО использует возможности системы контроля версий и был обнаружен в PyPI-пакете easyhttprequest. После установки на компьютер жертвы вредоносный код клонирует определенный git-репозиторий с GitHub и проверяет, содержит ли головной коммит этого репозитория сообщение о коммите, начинающееся с определенной строки. Если это так, он удаляет эту магическую строку и декодирует остальную часть сообщения о фиксации в Base64-кодировке, выполняя ее как команду Python в новом процессе.

Авторы вредоносных программ становятся все более искусными в их внедрении, поэтому разработчикам и командам безопасности приложений необходимо уметь отличать вредоносные пакеты от легитимных на этих платформах. Современные инструменты, использующие сложный бинарный анализ, могут обеспечить комплексную безопасность цепочки поставок программного обеспечения. Несмотря на удаление этих вредоносных пакетов с PyPI, ожидается, что в ближайшее время на GitHub появятся новые подобные трюки.

#ParsedReport #CompletenessLow
19-12-2023

Inhospitality malspam campaign targets hotel industry

https://news.sophos.com/en-us/2023/12/19/inhospitality-malspam-campaign-targets-hotel-industry

Report completeness: Low

Threats:
Grief
Rude
Vidar_stealer
Redline_stealer
Quantum_locker

Victims:
Hospitality industry

Industry:
Retail, Healthcare, Financial

IOCs:
IP: 4
Hash: 84

Soft:
Discord, Telegram

Algorithms:
sha256, zip

Links:
https://github.com/sophoslabs/IoCs/blob/master/Troj-Agent-BKJE.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Sophos X-Ops предупреждает представителей гостиничного бизнеса о кампании по краже паролей, направленной на отели по всему миру с использованием социальной инженерии и вредоносной полезной нагрузки, которая обычно представляет собой разновидности Redline Stealer или Vidar Stealer. Отелям следует принять меры по защите от этой атаки и внедрить дополнительные меры безопасности.
-----

Sophos X-Ops предупреждает представителей гостиничного бизнеса о том, что кампания по краже паролей с помощью вредоносного ПО использует социальную инженерию для атак на отели по всему миру. Угрожающий агент рассылает электронные письма, выдавая их за жалобы на проблемы с обслуживанием или запросы информации, в надежде завоевать доверие получателя. После того как представитель отеля отвечает на первоначальный запрос, в ответ приходит вредоносная полезная нагрузка, замаскированная под документацию или доказательства и упакованная в защищенный паролем архивный файл.

Вредоносная полезная нагрузка обычно представляет собой сжатые архивы Zip или Rar, в которых используется список паролей. В письмах содержатся жалобы на то, что гости заразились различными заболеваниями, получили аллергическую реакцию на чистящие средства, отравились в отеле и т. д., а также просьбы о размещении или помощи гостям с ограниченной подвижностью или доступом к технике. Архивы составлены таким образом, чтобы затруднить сканирование или обнаружение вредоносного содержимого, а сама вредоносная программа обладает характеристиками, которые также помогают ей избежать немедленного обнаружения.

Большинство образцов представляют собой варианты Redline Stealer или Vidar Stealer. Код вредоносной программы прикрепляется к концу больших файлов с помощью команд перехода и подключается к URL-адресу в сервисе обмена зашифрованными сообщениями Telegram для управления. Он отправляет телеметрию на сервер C2, включая информацию об учетной записи и скриншоты рабочего стола, но не сохраняется на хост-машине. Sophos X-Ops обнаружила более 50 уникальных образцов из облачного хранилища, которые практически не были обнаружены в Virustotal, но были обнаружены продуктами Sophos для защиты конечных точек как Troj/Agent-BKJE. Для блокирования попыток эксфильтрации используется Creds_2D.

Вредоносные атаки особенно актуальны в напряженный сезон праздничных поездок в конце года, поэтому отели должны знать об этой угрозе и принять необходимые меры для защиты своих гостей и данных. Отели должны убедиться, что их персонал обучен тому, как распознавать подозрительные электронные письма и ссылки, а также принять соответствующие меры безопасности для обнаружения и защиты от вредоносного контента. Кроме того, им следует рассмотреть возможность внедрения дополнительных мер безопасности, таких как двухфакторная аутентификация, для защиты учетных записей пользователей.

#ParsedReport #CompletenessLow
19-12-2023

Behind the Scenes: JaskaGO s Coordinated Strike on macOS and Windows

https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows

Report completeness: Low

Threats:
Jaskago

Victims:
Windows and macos users

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 6
Hash: 17

Soft:
macOS, Anyconnect, VirtualBox, Chrome, Windows Terminal, Gatekeeper, Windows Service

Algorithms:
sha256

Languages:
powershell, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: JaskaGO - это сложный штамм вредоносного ПО, основанный на языке программирования Go и представляющий серьезную угрозу для операционных систем Windows и macOS, использующий такие стратегии, как обман, антивирусная тактика и механизмы персистенции для утечки конфиденциальной информации от ничего не подозревающих жертв.
-----

Обнаруженный недавно JaskaGO, сложный штамм вредоносного ПО для кражи данных на языке программирования Go, представляет серьезную угрозу для операционных систем Windows и macOS. Вредоносная программа оснащена обширным набором команд, поступающих с командно-контрольного сервера (C&C), и отлично справляется с похищением ценной информации, такой как учетные данные браузера, данные криптовалютного кошелька и другие конфиденциальные файлы пользователя. Простота, эффективность и кросс-платформенные возможности Go делают его привлекательным выбором для авторов вредоносных программ, стремящихся создать универсальные и сложные угрозы.

Исторически сложилось так, что пользователи macOS считали свои системы неуязвимыми для вредоносного ПО из-за относительной редкости угроз, направленных на macOS, по сравнению с другими платформами. Однако JaskaGO служит ярким напоминанием о том, что и пользователи Windows, и пользователи macOS постоянно подвергаются риску атак вредоносного ПО. Использование им имен файлов, напоминающих такие известные приложения, как Capcut_Installer_Intel_M1.dmg и Anyconnect.exe, говорит о распространенной стратегии распространения вредоносных программ под видом легального ПО на веб-страницах пиратских приложений.

При первом запуске вредоносная программа выдает обманчивое окно с сообщением об ошибке, утверждая, что файл отсутствует. Это стратегически рассчитано на то, чтобы ввести пользователя в заблуждение и заставить его поверить, что вредоносный код не удалось запустить. Затем вредоносная программа проводит тщательную проверку, чтобы определить, работает ли она на виртуальной машине (ВМ). Если обнаружение ВМ не удалось, JaskaGO приступает к сбору информации о жертве и устанавливает соединение с командным пунктом для дальнейших действий. Среди возможных команд - создание устойчивости вредоносной программы, кража функций, таких как сбор информации с зараженного устройства и передача ее на сервер, пинг командно-контрольного пункта, выполнение команд оболочки, вывод предупреждающих сообщений, получение списка запущенных процессов, выполнение файлов на диске или в памяти, запись в буфер обмена, выполнение случайных задач, загрузка и выполнение дополнительной полезной нагрузки, а также инициирование процесса на выход (self) или удаление себя.

JaskaGO также оснащен функцией эксфильтрации данных, которая сохраняет полученные данные в специально созданной папке и отправляет их агенту угроз. В Windows вредоносная программа устанавливает постоянство с помощью создания служб и профилей Windows Terminal. В macOS вредоносная программа использует многоступенчатый процесс для обеспечения постоянства, включая выполнение от имени root, отключение Gatekeeper, создание LaunchDaemon и LaunchAgent.

JaskaGO является ярким примером эволюционирующего ландшафта угроз, подчеркивая общую уязвимость систем Windows и macOS. Используя сложную тактику борьбы с виртуальными машинами, JaskaGO обходит автоматический анализ, что делает его сложной задачей для обнаружения. Механизмы сохранения вируса свидетельствуют о его решительных усилиях по внедрению в системы, а возможности кражи превращают вредоносную программу в опасную угрозу, вытягивающую конфиденциальную информацию из ничего не подозревающих жертв. Поэтому пользователям следует сохранять бдительность и принимать меры предосторожности для защиты от этой и других вредоносных программ.

#ParsedReport #CompletenessMedium
19-12-2023

Seedworm: Iranian Hackers Target Telecoms Orgs in North and East Africa

https://symantec-enterprise-blogs.security.com/threat-intelligence/iran-apt-seedworm-africa-telecoms

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Muddyc2go
Venom_proxy_tool
Simplehelp_tool
Lolbin_technique
Impacket_tool
Revsocks
Anydesk_tool

Victims:
Organizations operating in the telecommunications sector in egypt, sudan, and tanzania

Industry:
Telco

Geo:
Tanzania, Iranian, Egypt, African, Israel, Africa, Iran, Sudan

IOCs:
File: 2
Command: 2
IP: 8
Registry: 1
Hash: 4

Soft:
Windows registry

Languages:
powershell, java

Platforms:
cross-platform

Links:
https://github.com/emilarner/revsocks
https://github.com/Dliv3/Venom/blob/master/README-en.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Seedworm - иранская шпионская группа, действующая с 2017 года и нацеленная на телекоммуникационные организации в Африке. Они разработали собственные инструменты и продолжают использовать PowerShell и инструменты, связанные с PowerShell.
-----

Иранская шпионская группа Seedworm (она же Muddywater) действует с 2017 года и, как полагают, является подчиненной частью Министерства разведки и безопасности Ирана (MOIS). Группа атаковала организации во многих странах, уделяя особое внимание тем, кто работает в телекоммуникационном секторе в Египте, Судане и Танзании. В ноябре 2023 года исследователи из команды Threat Hunter Team компании Symantec обнаружили доказательства активности Seedworm, включая использование инфраструктуры MuddyC2Go, инструмента удаленного доступа SimpleHelp, Venom Proxy и пользовательского кейлоггера.

Впервые о фреймворке MuddyC2Go было написано в 2020 году, и он заменил предыдущую C&C-инфраструктуру PhonyC2. Он считывает URL-адрес команды и управления из значения реестра Windows и выполняет команду PowerShell для связи со своим C&C-сервером. Серверы размещены в компании Stark Industries, которая известна своей вредоносной активностью. MuddyC2Go использовался в атаках, начиная с 2020 года.

Помимо вышеперечисленных инструментов, Seedworm также использует такие "живые" инструменты, как Jabswitch.exe, Impacket WMIExec hacktool, Revsocks tool, AnyDesk, JumpCloud remote access software и Windows Scripting Files (WSF). Злоумышленники использовали WMI для запуска программы установки SimpleHelp в сети жертвы.

Деятельность Seedworm указывает на то, что они заинтересованы в телекоммуникационных организациях, особенно в африканских. Группа способна разрабатывать собственные инструменты и продолжает активно использовать PowerShell и инструменты, связанные с PowerShell. Эта деятельность представляет стратегический интерес для иранских угроз, и Seedworm продолжает активно действовать.

Интересный проект по определению TTP по описанию.
Заявляется F1 Score = 0.64, против 0.28 у ChatGPT 3.5
https://github.com/Qihoo360/Luwak/tree/master

Вот преза
https://github.com/onhexgroup/Conferences/blob/main/Black%20Hat%20Asia%202023%20slides/AS-23-Wu-When-Knowledge-Graph-Meets-TTPs-Highly-Automated-and-Adaptive-Executable-TTP-Intelligence-for-Security-Evaluation.pdf

Будем тестить.

Черт, опять подстава :) Тут моделька обучена на 89 TTP.
А я то думал...

Если BERT-модель используется в TRAM-решении, то здесь взяли ERNIE 2.0.
Я не настоящий сварщик, но вроде как ERNIE 2.0 точнее BERT на ряде задач, включая задачу классификации.

#ParsedReport #CompletenessLow
20-12-2023

Shielding Against Android Phishing in Indian Banking

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/shielding-against-android-phishing-in-indian-banking

Report completeness: Low

Victims:
Users of mobile banking applications in india

Industry:
Financial

Geo:
Indian, India

IOCs:
Hash: 38

Soft:
Android, WhatsApp