#cyberthreattech
Раздачу доступа к отчетам закрываю.
Большое спасибо всем, кто проявил интерес. Каталог с отчетами будем вам доступен до конца февраля.

#ParsedReport #CompletenessMedium
10-01-2024

Black Basta-Affiliated Water Curupiras Pikabot Spam Campaign.

https://www.trendmicro.com/en_be/research/24/a/a-look-into-pikabot-spam-wave-campaign.html

Report completeness: Medium

Actors/Campaigns:
Water_curupira

Threats:
Blackbasta
Pikabot
Qakbot
Darkgate
Cobalt_strike
Icedid

Geo:
Russian, Russia, Ukraine, Ukrainian

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 19
Path: 1
IP: 7

Soft:
Curl, Microsoft OneDrive

Algorithms:
zip, exhibit

Win API:
NtQueryInformationProcess, GetProcAddress, LoadLibraryA, HeapFree, LoadLibrary, wsprintfW, CreateToolHelp32Snapshot, Process32Next

Languages:
javascript

Links:
https://github.com/CheckPointSW/Evasions/blob/master/\_techniques/processes.md

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, code: 3, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исполнитель угроз, известный как Water Curupira, использовал программу-вымогатель Black Basta и вредоносный загрузчик Pikabot в своих спам-кампаниях. Вредоносная программа Pikabot позволяет осуществлять несанкционированный удаленный доступ и выполнение команд, и она все чаще используется в фишинговых кампаниях, возможно, из-за уничтожения Qakbot правоохранительными органами. Water Curupira в первую очередь использует кампании по удалению бэкдоров, таких как Cobalt Strike, что в конечном итоге приводит к атакам программ-вымогателей Black Basta. Они используют технику перехвата потоков, чтобы обманом заставить получателей открывать вредоносные ссылки или вложения. Спам-письма, содержащие полезную информацию от Pikabot, отправляются с адресов, созданных с помощью новых доменов или бесплатных почтовых сервисов, с именами отправителей, найденными в исходных сообщениях электронной почты, захваченных злоумышленниками. Вложением в электронных письмах может быть защищенный паролем ZIP-архив, содержащий файл IMG или PDF, с паролем, указанным в сообщении электронной почты. Полезная нагрузка Pikabot может доставляться с помощью сильно запутанных файлов JavaScript, защищенных паролем архивных вложений или PDF-вложений, замаскированных под ссылки Microsoft OneDrive. В программе загрузки вредоносных программ, используемой в кампаниях, используются методы запутывания, включающие использование массивов и манипулирование ими. Проанализированный DLL-файл содержит несколько экспортов и выполняет шелл-код для проверки отладки, расшифровывает и загружает другой DLL-файл, расшифровывает зашифрованные изображения в формате PNG и вводит основную полезную нагрузку в приостановленный процесс. Вредоносная программа также собирает системные данные и отправляет их на сервер управления в формате JSON. Конечной целью кампаний Water Curupira является устранение бэкдоров, таких как Cobalt Strike, и проведение атак с использованием программ-вымогателей Black Basta.
-----

Water Curupira, известный исполнитель угроз, использовал программу-вымогатель Black Basta и вредоносное ПО Pikabot loader в спам-кампаниях.

Pikabot похож на Qakbot и использовался Water Curupira в первом квартале 2023 года, в последнее время участились фишинговые кампании.

Pikabot позволяет осуществлять несанкционированный удаленный доступ и выполнение команд через сервер управления.

Water Curupira проводит кампании по удалению бэкдоров, таких как Cobalt Strike, что приводит к атакам программ-вымогателей Black Basta.

Water Curupira использует технику перехвата потоков, используя украденные потоки электронной почты, чтобы обмануть жертв.

Электронные письма, содержащие полезную информацию от Pikabot, отправляются с адресов, созданных с помощью новых доменов или бесплатных почтовых сервисов.

Вложения в электронных письмах могут быть защищенными паролем ZIP-архивами или PDF-файлами.

Для выполнения полезной нагрузки Pikabot используются методы JavaScript и обфускации.

Другая цепочка атак включает защищенные паролем архивные вложения с замаскированным DLL-файлом.

В четвертом квартале 2023 года полезные файлы Pikabot доставлялись с помощью вложений в формате PDF, замаскированных под ссылки OneDrive.

Проанализированный DLL-файл содержит множественный экспорт и выполняет шелл-код, расшифровывая зашифрованные изображения в формате PNG и вводя основную полезную нагрузку.

Water Curupira нацелена на устранение бэкдоров, таких как Cobalt Strike, что приводит к атакам программ-вымогателей Black Basta.

#ParsedReport #CompletenessMedium
11-01-2024

Exploring FBot \| Python-Based Malware Targeting Cloud and Payment Services

https://www.sentinelone.com/labs/exploring-fbot-python-based-malware-targeting-cloud-and-payment-services

Report completeness: Medium

Threats:
Fbot
Androxgh0st
Legion
Credential_harvesting_technique
Alienfox
Greenbot_tool
Legion_stealer

Industry:
Retail, Financial

Geo:
Indonesian

ChatGPT TTPs:
do not use without manual check
TA0006, T1078, T1110

IOCs:
Url: 1
File: 4
Hash: 3

Soft:
Office365, Sendgrid, Laravel, phpBB, Drupal, vBulletin, Esportsify, MediaWiki, FluxBB, WordPress, have more...

Languages:
python, php

Links:
https://github.com/adriyansyah-mf/bot-laravel/
https://github.com/search?q=androxgh0st&type=code

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что FBot - это инструмент для взлома на основе Python, предназначенный для веб-серверов, облачных сервисов и платформ SaaS. Он не использует широко используемый код Androxgh0st, но имеет сходство с Legion cloud infostealer. FBot обладает различными функциями для сбора учетных данных, перехвата учетных записей и атак на учетные записи PayPal и SaaS. Он занимает меньше места и предполагает частную разработку и целевое распространение. FBot взаимосвязан с другими инструментами в сфере облачных хакерских инструментов, но имеет свой особый вкус. Он наблюдался с июля 2022 по январь 2024 года и, как полагают, был разработан и распространен частным образом.
-----

FBot - это инструмент для взлома на базе Python, предназначенный для веб-серверов, облачных сервисов и SaaS-платформ.

Он не использует широко используемый код Androxgh0st, но имеет сходство с облачным инфостилером Legion.

У FBot есть такие функции, как сбор учетных данных, захват аккаунта AWS и атаки на PayPal и различные SaaS-аккаунты.

Он занимает меньшую площадь и предполагает частную разработку и целевое распространение.

FBot напрямую не подключен к Androxgh0st, но, возможно, адаптировал код для infostealer Legion cloud.

В нем есть функции, предназначенные для атак на учетные записи AWS, нацеленные на PayPal, Sendgrid и Twilio.

Он также может быть нацелен на платформы CMS и веб-фреймворки.

FBot полагается на значения конфигурации и доступен в виде скомпилированного исполняемого файла Windows.

Авторский дескриптор "iDevXploit" неизменно присутствует во всех образцах.

FBot наблюдался с июля 2022 по январь 2024 года, что указывает на его продолжающееся распространение.

Считается, что он разработан частным образом и распространяется в меньших масштабах, без выделенного канала распространения.

#ParsedReport #CompletenessLow
11-01-2024

DreamBus Unleashes Metabase Mayhem With New Exploit Module

https://www.zscaler.com/blogs/security-research/dreambus-unleashes-metabase-mayhem-new-exploit-module

Report completeness: Low

Threats:
Dreambus_botnet
Xmrig_miner
Upx_tool

CVEs:
CVE-2023-33246 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- apache rocketmq (<5.1.1)

CVE-2023-38646 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- metabase (<0.44.7.1, <1.44.7.1, <1.43.7.2, <0.43.7.2, <1.45.4.1, <0.45.4.1, <1.46.6.1, <0.46.6.1)


ChatGPT TTPs:
do not use without manual check
T1496, T1078, T1211, T1110

IOCs:
File: 4
Domain: 2
IP: 3
Coin: 1

Soft:
Metabase, RocketMQ, PostgreSQL, Redis, Hadoop, systemd, curl

Crypto:
monero

Algorithms:
base64, zip

Languages:
java, javascript

Links:
https://github.com/threatlabz/iocs/blob/main/dreambus/postgres\_redis\_passwd\_20240109.txt
https://github.com/threatlabz/iocs/blob/main/dreambus/ssh\_pw\_20240109.txt
https://github.com/vulhub/vulhub/tree/master/metabase/CVE-2023-38646

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что DreamBus - это семейство вредоносных программ на базе Linux, которое недавно представило новые модули, нацеленные на уязвимости в Metabase и Apache RocketMQ. Вредоносное ПО использует различные методы для использования уязвимостей и добычи криптовалюты Monero. Он способен распространяться по сетям и обходить программное обеспечение безопасности. Организациям рекомендуется принимать такие меры, как защита приложений, использование надежных паролей и внедрение систем мониторинга для снижения риска.
-----

DreamBus - семейство вредоносных программ на базе Linux, которые были отслежены исследовательской группой Zscaler ThreatLabZ. Эта вредоносная программа недавно внесла коррективы, чтобы обойти программное обеспечение безопасности, путем незначительных исправлений ошибок и модификаций. Разработчик угроз, управляющий DreamBus, представил два новых модуля, нацеленных на уязвимости в Metabase и Apache RocketMQ.

DreamBus использует различные методы для использования неявного доверия, слабых паролей, а также определенных приложений и баз данных. Основной целью заражения DreamBus является майнинг криптовалюты Monero. Как модульный ботнет на базе Linux, DreamBus обладает способностью распространяться по Интернету и внутренним сетям.

В июне 2023 года автор вредоносного ПО обновил код DreamBus, чтобы еще больше избежать обнаружения. Эти обновления включали разработку двух новых модулей эксплойтов, специально нацеленных на уязвимости в Metabase и Apache RocketMQ. DreamBus продолжает представлять угрозу с помощью атак методом перебора и новых эксплойтов против популярных бизнес-приложений.

Zscaler ThreatLabZ ранее проанализировал DreamBus и его модули. Модули упакованы с использованием UPX packer с измененными верхними и нижними колонтитулами для предотвращения статической распаковки. В последних образцах DreamBus магические байты UPX заменены на ".gnu". Каждый модуль сканирует серверы на определенных портах и использует уязвимости. В случае успеха выполняются сценарии оболочки для загрузки основного модуля DreamBus, который затем развертывает XMRig для майнинга криптовалюты.

Чтобы убедиться, что запущен только один экземпляр, модули DreamBus создают файл блокировки с именем "/tmp/.systemd.3". Модули эксплойта выполняют сканирование во внутренних диапазонах RFC 1918 и случайным образом сканируют общедоступные диапазоны IP. PostgreSQL является общей целью для модулей DreamBus. Предоставляются списки паролей, используемых для грубого взлома Redis, PostgreSQL и учетных данных SSH.

Версии Metabase 0.46.6.1 и более ранние уязвимы для CVE-2023-38646, который позволяет выполнять произвольные команды. DreamBus использует эту уязвимость, сканируя серверы Metabase на порту 3000 и размещая определенный файл эксплойта.

Другая уязвимость, используемая DreamBus, обнаружена в Apache RocketMQ версий 5.1.0 и более ранних. Модуль эксплойта RocketMQ сканирует уязвимые серверы на порту 10911 и создает определенный файл эксплойта. Эта уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, обновить конфигурационный файл брокера и выполнить произвольные команды. Результатом успешной эксплуатации является загрузка и выполнение основного модуля DreamBus.

Подводя итог, DreamBus - это развивающееся семейство вредоносных программ на базе Linux, использующее различные методы для использования уязвимостей и добычи криптовалюты. Недавно компания представила новые модули, нацеленные на уязвимости в Metabase и Apache RocketMQ. Чтобы снизить риск, организациям рекомендуется защищать приложения, использовать надежные пароли и MFA, а также внедрять системы мониторинга для выявления потенциальных компрометаций.

#ParsedReport #CompletenessLow
11-01-2024

Python s Poisoned Package: Another Blank Grabber Malware in PyPI

https://www.imperva.com/blog/blank-grabber-malware-in-pypi-package

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Blankgrabber
Supply_chain_technique

Victims:
Users of the pypi repository, Python community

ChatGPT TTPs:
do not use without manual check
T1195, T1193, T1213, T1543.003, T1048, T1105

IOCs:
File: 3
Domain: 1
Hash: 11

Soft:
Discord, roblox

Languages:
python, powershell

Links:
https://github.com/searxng/searxng

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в индексе пакетов Python (PyPI) был обнаружен вредоносный пакет под названием sellpass-sdk, который распространял вредоносную программу infostealer Blank-Grabber и извлекал данные жертвы через ссылку Discord Canary. Злоумышленник манипулировал пакетом, чтобы он выглядел законным, разместил его на подозрительном домене и использовал команды PowerShell для загрузки и запуска вредоносного ПО. Этот инцидент подчеркивает необходимость проверки информации о пакете пользователями, а сопровождающим репозитория и сообществу отслеживать вредоносные действия и сообщать о них. Применение мер безопасности может помочь снизить риски таких атак.
-----

Краткое содержание:.

Индекс пакетов Python (PyPI) - это платформа, предоставляющая широкий спектр пакетов для разработчиков. Однако она стала мишенью для злоумышленников, которые загружают фишинговые пакеты для доставки вредоносных программ или компрометации сред. Недавно Imperva Threat Research обнаружила вредоносный пакет под названием sellpass-sdk в PyPI, который распространял вредоносную программу infostealer Blank-Grabber и извлекал данные жертв через ссылку Discord Canary. Команда PyPI незамедлительно удалила посылку после получения информации.

Вредоносный пакет маскировался под незараженный пакет под названием sellpass, используя доверие потенциальных пользователей. Злоумышленник слегка изменил имя автора, чтобы создать иллюзию легитимности. Пакет был размещен на домене o5.gg, который является дешевым и менее распространенным доменом верхнего уровня, часто используемым злоумышленниками. Домен был зарегистрирован всего за день до загрузки вредоносного пакета, что свидетельствует о попытке избежать обнаружения.

Вредоносная программа была размещена за маршрутом метапоиска SearXNG, используя команды PowerShell для загрузки и выполнения двоичного файла. После установки зараженный пакет запускал выполнение команды PowerShell, которая загружала и запускала средство кражи пустой информации. Эта вредоносная программа отфильтровывала данные и отправляла их по определенной ссылке Discord Canary. Статический анализ подтвердил, что этот двоичный файл является версией похитителя информации Blank-Grabber.

Этот инцидент демонстрирует продуманные усилия злоумышленников воспользоваться доверием пользователей в сообществе Python. В нем подчеркивается важность двойной проверки имен пакетов, авторов и метаданных, особенно для критически важных или конфиденциальных проектов. Специалисты по сопровождению репозиториев и сообщество играют решающую роль в мониторинге и сообщении о таких вредоносных действиях для защиты экосистемы. Клиенты Imperva RASP защищены от подобных атак в цепочке поставок. Проявляя бдительность и используя меры безопасности, можно снизить риски, связанные с подобными угрозами.

#ParsedReport #CompletenessMedium
10-01-2024

Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN

https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn

Report completeness: Medium

Actors/Campaigns:
Uta0178

Threats:
Glasstoken
Pysoxy_tool
Credential_harvesting_technique
Regeorg

Industry:
Ics

Geo:
China, Chinese

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.1
X-Force: Patch: Official fix

CVE-2023-46805 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1210, T1211, T1068, T1213, T1059.001, T1001, T1082, T1505, T1205, T1041, have more...

IOCs:
File: 5
Domain: 5
IP: 13

Soft:
curl, Active Directory

Algorithms:
base64

Functions:
Volexity

Languages:
powershell, javascript, python, perl

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10%20Ivanti%20Connect%20Secure/attachments/glasstoken\_v2.aspx
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10%20Ivanti%20Connect%20Secure/attachments/glasstoken\_v1.aspx
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10%20Ivanti%20Connect%20Secure/indicators/yara.yar
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10%20Ivanti%20Connect%20Secure/indicators/iocs.csv
https://github.com/sadshade/veeam-creds
https://github.com/MisterDaneel/pysoxy/blob/master/pysoxy.py
https://github.com/L-codes/Neo-reGeorg/blob/master/templates/tunnel.aspx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что имело место активное использование уязвимостей в устройствах Ivanti Connect Secure VPN, что привело к несанкционированному доступу и потенциальной компрометации данных. Атака была приписана неизвестному китайскому субъекту угроз на уровне национального государства под названием UTA0178. Злоумышленник использовал эксплойты нулевого дня для получения доступа к удаленному выполнению кода и установил веб-оболочки для постоянного доступа. Организации могут обнаружить признаки компрометации, отслеживая сетевой трафик, журналы устройств VPN и используя средство проверки целостности. В случае компрометации необходимы немедленные действия, включая сбор доказательств, сброс паролей, расследование случаев компрометации данных и просмотр журналов и телеметрии.
-----

Активно использовались две уязвимости в устройствах Ivanti Connect Secure VPN.

Уязвимости позволяют выполнять удаленный код без проверки подлинности и размещать веб-оболочки на внутренних и внешних веб-серверах.

Злоумышленник стер логи на устройстве VPN и отключил ведение журнала, чтобы замести следы.

Volexity подозревает использование эксплойтов нулевого дня в атаке, при этом идентифицированы два эксплойта нулевого дня.

Злоумышленник украл данные конфигурации, модифицировал файлы, загрузил удаленные файлы и создал обратный туннель.

Злоумышленник взломал CGI-файл и модифицировал файл JavaScript для сбора учетных данных пользователя с помощью кейлоггинга.

Атака была приписана китайскому исполнителю угроз на уровне национального государства UTA0178.

Злоумышленник использовал сброс памяти и доступ к резервным копиям, чтобы получить учетные данные.

Веб-оболочки были установлены на внешних веб-серверах для постоянного доступа.

Были использованы две вариации webshell с различной функциональностью.

Организации могут обнаружить компрометацию, анализируя сетевой трафик, журналы устройств VPN и используя инструмент проверки целостности.

В случае компрометации необходимы немедленные действия, включая сбор доказательств, сброс паролей и расследование случаев компрометации данных.

#ParsedReport #CompletenessHigh
11-01-2024

Medusa Ransomware Turning Your Files into Stone

https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site

Report completeness: High

Threats:
Medusa_ransomware
Wildfire
Medusalocker
Lolbin_technique
Bitsadmin
Connectwise_rat
Upx_tool
Netscan_tool
Vssadmin_tool
Taskkill

Industry:
Financial, Healthcare, Education

Geo:
America, Africa, Asia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1078, T1486, T1505.003, T1027, T1112, T1140, T1016

IOCs:
File: 21
Domain: 3
Command: 5
Hash: 5

Soft:
Telegram, Microsoft Exchange Server, PsExec, ntrtscan, SQLBrowser, onenote, outlook, thebat, thebat64, wordpad, have more...

Algorithms:
sha256, exhibit, zip, xor, aes-256

Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, mydesktopqos, mydesktopservice, ocautoupds, ocomm, have more...

Languages:
jscript, powershell

Platforms:
x86

Links:
https://github.com/tennc/webshell/blob/master/web-malware-collection-13-06-2012/ASP/cmd.aspx
https://github.com/DosX-dev/ASM-Guard

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в 2023 году наблюдается рост активности программ-вымогателей Medusa с переходом к тактике вымогательства. Исполнители угроз Medusa внедрили сайт утечек под названием блог Medusa, где они раскрывают конфиденциальные данные жертв, которые отказываются выполнять их требования о выкупе. Группа реагирования на инциденты подразделения 42 столкнулась с программой-вымогателем Medusa и раскрыла различные тактики, инструменты и процедуры, используемые группой. В тексте также упоминается, что Palo Alto Networks предлагает защиту от программы-вымогателя Medusa через свои службы безопасности. Программа-вымогатель Medusa - это платформа ransomware-as-a-service (RaaS), которая в первую очередь нацелена на среды Windows и использует методы "жизни за пределами земли". Группа использует множество методов вымогательства и стремится создать бренд путем обмена файлами скомпрометированных организаций. В тексте представлена информация о воздействии, географическом распространении и конкретных методах, используемых злоумышленниками Medusa. В нем подчеркивается необходимость принятия организациями упреждающих и надежных стратегий защиты от этой угрозы.
-----

В 2023 году активность программ-вымогателей Medusa возросла с акцентом на тактику вымогательства.

У исполнителей угроз Medusa есть специальный сайт для утечек информации, который называется блог Medusa.

Группа реагирования на инциденты подразделения 42 столкнулась с вирусом-вымогателем Medusa и обнаружила интересную тактику, используемую группой.

Palo Alto Networks обеспечивает защиту от программ-вымогателей Medusa с помощью облачных служб безопасности Cortex XDR и WildFire.

Программа-вымогатель Medusa в первую очередь нацелена на среду Windows и использует методы "жизни за пределами земли".

Группа использует множество методов вымогательства и стремится создать бренд и репутацию.

Программа-вымогатель Medusa, возможно, затронула 74 организации по всему миру, причем наиболее пострадавшими секторами являются высокие технологии, образование и производство.

Больше всего инцидентов произошло в Соединенных Штатах, за ними следует Европа, с отдельными инцидентами в Африке, Южной Америке и Азии.

Исследователи подразделения 42 обнаружили несколько инструментов и техник, используемых злоумышленниками-вымогателями Medusa во время мероприятий по реагированию на инциденты.

Злоумышленники-вымогатели Medusa используют webshell, PowerShell, ConnectWise и драйверы ядра.

Группа также использует портативную версию Netscan для удаленного обнаружения служб и развертывания двоичного файла программы-вымогателя.

Двоичный файл программы-вымогателя Medusa называется Gaze и использует строковое шифрование и асимметричное шифрование RSA.

Программа-вымогатель переименовывает зашифрованные файлы с расширением .medusa и препятствует восстановлению и судебно-медицинской экспертизе, удаляя саму себя.

Появление программы-вымогателя Medusa в 2022 году и ее известность в 2023 году представляют собой значительное событие в мире программ-вымогателей.

Блог "Медузы" демонстрирует переход группы к многократному вымогательству и прозрачной тактике давления.

Средства защиты организации должны быть проактивными и надежными для защиты от программ-вымогателей Medusa.

#ParsedReport #CompletenessMedium
12-01-2024

WorkersDevBackdoor Delivered via Malvertising

https://www.esentire.com/blog/workersdevbackdoor-delivered-via-malvertising

Report completeness: Medium

Threats:
Workdevbackdoor
Lolbas_technique
Lolbin_technique

Geo:
Emea, Africa, America, Apac

ChatGPT TTPs:
do not use without manual check
T1189, T1204, T1071, T1001, T1056, TA0011, TA0010, T1059, T1086, T1064, have more...

IOCs:
Domain: 3
File: 7
Registry: 1
Path: 2
Url: 1
Hash: 7

Soft:
Windows registry, Unix

Algorithms:
xor, rc4, zip, base64

Functions:
LinkRunPS, ZyKZ

Languages:
powershell

Links:
https://github.com/RussianPanda95/Yara-Rules/tree/main/WorkersDevBackdoor