#ParsedReport #CompletenessMedium
19-01-2024

XMRig Coin Miner installed through game hack

https://asec.ahnlab.com/ko/60542

Report completeness: Medium

Threats:
Xmrig_miner
Dosvc
Defendercontrol_tool

Victims:
Game hack users

Industry:
Entertainment

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1204, T1059, T1064, T1107, T1112, T1053, T1007, T1057, T1518, have more...

IOCs:
File: 10
Path: 1
Command: 1
Coin: 1
Domain: 1
Hash: 3
Url: 1

Soft:
Windows Defender, AutoHotkey, wuauserv

Algorithms:
md5

Win Services:
UsoSvc, bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что майнеры монет XMRig распространяются среди пользователей с помощью игровых взломов. Эти майнеры монет замаскированы под сжатые файлы и загружаются на веб-сайты, предлагающие игровые взломы. Веб-сайт содержит инструкции о том, как блокировать загрузку из браузера и отключать антивирусное программное обеспечение, поощряя пользователей устанавливать и выполнять вредоносный код. Вредоносные файлы содержат загрузчик, который устанавливает coin miner и завершает работу антивирусного программного обеспечения. Затем coin miner загружается с помощью программы под названием loader.exe, которая устанавливает и запускает ее по пути к папке %temp%. Текст предупреждает пользователей быть осторожными при загрузке игровых взломов или исполняемых файлов из неизвестных источников и рекомендует принять соответствующие меры предосторожности для защиты от этого типа вредоносных программ.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно подтвердил, что майнеры XMRig coin распространяются с помощью игровых взломов. Этот метод аналогичен тому, как XMRig Coin Miner распространялся с использованием платформы web hard в прошлом.

The coin miner распространяется через веб-сайт, предлагающий игровые взломы для популярных игр. На сайт загружаются сжатые файлы, замаскированные под игровые взломы. Чтобы избежать обнаружения браузером и антивирусным программным обеспечением, на веб-сайте представлены инструкции о том, как блокировать загрузки из браузера и отключать антивирусное программное обеспечение. Это побуждает пользователей устанавливать и выполнять вредоносный код. Пользователи игрового сообщества сообщили, что им известно о вредоносном коде в программе.

Загруженный сжатый файл содержит загрузчик, который устанавливает coin miner, и вредоносный код для завершения работы антивирусного программного обеспечения. Злоумышленник инструктирует пользователя вручную завершить работу антивирусной программы, что затрудняет пользователю идентификацию повреждения.

Как только процесс подготовки к запуску coin miner завершен, пользователь загружает coin miner с помощью программы под названием loader.exe. Этот начальный загрузчик создается с помощью AutoHotkey и устанавливает и запускает coin miner по пути к папке %temp%. При запуске coin miner не позволяет защитнику Windows сканировать расширение .exe в пути ProgramData через PowerShell. Он также удаляет службы, связанные с обновлениями Windows, и пытается обойти обнаружение путем изменения файла hosts.

Предоставленная информация включает идентификатор кошелька, пул майнинга и другие детали, связанные с распространяемым майнером монет.

Пользователям важно быть осторожными, поскольку вредоносный код активно распространяется через игры и игровые взломы. При использовании игровых взломов пользователям часто требуется периодически загружать загрузчик, подобный loader.exe, который потенциально может содержать другие вредоносные коды в дополнение к упомянутому в статье coin miner. Пользователям рекомендуется проявлять осторожность при загрузке исполняемых файлов с сайтов обмена данными из неизвестных источников и скачивании программ с официальных веб-сайтов.

AhnLab идентифицирует этот тип вредоносного ПО и рекомендует принять соответствующие меры предосторожности для защиты от него.

#ParsedReport #CompletenessHigh
19-01-2024

The regiment of warriors arrived

https://www.facct.ru/blog/radx-rat

Report completeness: High

Threats:
Radx
Dcrat
Spear-phishing_technique

Industry:
E-commerce, Retail, Telco, Financial

Geo:
Russian

TTPs:
Tactics: 13
Technics: 29

IOCs:
Email: 1
File: 19
IP: 3
Path: 3
Coin: 1
Url: 29
Hash: 33

Soft:
Telegram, Discord, task scheduler, Microsoft Edge, Chrome, Opera, Slimjet, Vivaldi, Windows Defender, elegram an, have more...

Wallets:
electrum, coinomi

Algorithms:
md5, zip, des, base64, sha256, sha1

Languages:
visual_basic

Links:
https://github.com/Fody/Costura
https://github.com/Fody/Home/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что преступная группа рассылала российским компаниям фишинговые электронные письма, содержащие трояны удаленного доступа (RATs) под названием DarkCrystal RAT и RADX RAT. Эти RAT позволили злоумышленникам получить доступ к конфиденциальной информации и выполнять различные вредоносные действия в скомпрометированных системах. Управляемая система XDR F.A.C.C.T. успешно заблокировала фишинговые электронные письма. RADX RAT - это семейство вредоносных программ, специально разработанных для сбора секретной информации и обладающих различными возможностями, такими как захват скриншотов, выполнение команд и таргетинг на определенные веб-браузеры и криптовалютные кошельки. Он взаимодействует с сервером управления, используя UUID, и шифрует свои строки. F.A.C.C.T. рекомендует свою управляемую систему XDR для проактивной защиты от киберугроз.
-----

Важные факты из текста:.

В конце 2023 года F.A.C.C.T. Threat Intelligence обнаружила преступную группу, нацелившуюся на российские компании с помощью фишинговых электронных писем.

Фишинговые электронные письма содержали вложения, которые устанавливали троянские программы удаленного доступа (RATs) в системы жертв.

Первой выявленной крысой была DarkCrystal RAT, которая позволила злоумышленникам получить доступ к внутренним финансовым и юридическим документам, клиентским базам данных, а также учетным записям электронной почты и обмена сообщениями.

Управляемая F.A.C.C.T. система XDR успешно перехватила и заблокировала эти фишинговые электронные письма.

При анализе фишинговых писем была обнаружена новая крыса под названием RADX RAT.

Как DarkCrystal RAT, так и RADX RAT были распространены через фишинговые электронные письма с вложениями.

RADX RAT - это вредоносная программа, предназначенная для сбора секретной информации, включая сведения об оборудовании, данные веб-браузера, криптовалютные кошельки и токены мессенджеров.

RADX RAT может делать скриншоты, выполнять команды, открывать ссылки, загружать и запускать файлы, поддерживать виртуальные сетевые вычисления (VNC) и создавать задачи в планировщике задач.

RADX RAT взаимодействует с сервером управления (C2), используя сгенерированные uuid, и шифрует строки с использованием алгоритма Triple DES ECB.

F.A.C.C.T. рекомендует свою управляемую систему XDR в качестве проактивной защиты от различных киберугроз.

Эти факты подчеркивают угрозу, исходящую от преступной группы, нацеленной на российские компании с помощью фишинговых электронных писем, и наличие двух троянских программ удаленного доступа (DarkCrystal RAT и RADX RAT). Подробно описаны возможности и поведение RADX RAT, подчеркивается его способность собирать конфиденциальную информацию и избегать обнаружения. Подчеркивается важность принятия упреждающих мер защиты, таких как управляемая система XDR от F.A.C.C.T., в качестве защиты от киберугроз.

#ParsedReport #CompletenessMedium
19-01-2024

Dark Web Profile: Scattered Spider

https://socradar.io/dark-web-profile-scattered-spider

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft, cyber_espionage)
Muddled_libra

Threats:
Blackcat
Octopus
Spear-phishing_technique
Raccoon_stealer
Vidar_stealer
Mimikatz_tool
Screenconnect_tool
Splashtop_tool
Teamviewer_tool
Avemaria_rat
Rig_tool

Victims:
Federal government, Major corporate networks, Caesars, Mgm resorts, Telecom companies, Bpo companies, Riot games, Mailchimp, Twilio, Doordash, have more...

Industry:
Government, Telco, Entertainment, Bp_outsourcing, Healthcare, Financial

CVEs:
CVE-2021-35464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- forgerock am (<6.5.3)
- forgerock openam (<14.6.3)

CVE-2022-41328 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.2.13, le6.4.11, le7.0.9, le7.2.3)

CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)


TTPs:
Tactics: 14
Technics: 0

IOCs:
File: 4
Domain: 1

Soft:
audacity, Discord, Telegram, Fortinet FortiOS, Active Directory, ESXi, Pulseway

Functions:
IOCTL

Languages:
java

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Scattered Spider - печально известная и неуловимая группа хакеров, представляющая значительную угрозу для федеральных правоохранительных органов, экспертов по кибербезопасности и различных отраслей промышленности по всему миру. Они действуют под несколькими псевдонимами и успешно проникли в крупные корпоративные сети. Их тактика со временем эволюционировала, и они были связаны с агрессивными атаками программ-вымогателей, утечкой данных, мошенничеством с кредитными картами и другими финансово мотивированными действиями. Несмотря на усилия правоохранительных органов, личности участников Spider Spider остаются неизвестными. Их деятельность подчеркивает необходимость международного сотрудничества в противодействии этим безграничным киберугрозам. Для эффективной борьбы с такими группами, как Spider, организации должны уделять приоритетное внимание активным мерам безопасности, обучению сотрудников и надежным стратегиям реагирования на инциденты.
-----

Scattered Spider - печально известный хакерский коллектив, который представляет серьезную проблему для федеральных правоохранительных органов и экспертов по кибербезопасности.

Они действуют под несколькими псевдонимами, включая Muddled Libra, UNC3944, Starfraud и Octo Tempest.

Правоохранительные органы утверждают, что знают их личности, но не смогли задержать их из-за их слабо структурированного и хаотичного характера.

Группа состоит из молодых англоговорящих участников, которые общаются и сотрудничают на хакерских форумах.

Идентификация конкретных людей в коллективе является сложной задачей из-за их разнообразных навыков и использования различных псевдонимов.

Их тактика включает использование поддельных веб-сайтов, социальную инженерию, агрессивные атаки программ-вымогателей, утечку данных, мошенничество с кредитными картами и другие финансово мотивированные действия.

Они эволюционировали, чтобы использовать более разрушительные формы кибератак, включая программы-вымогатели и уничтожение данных.

Их деятельность расширилась по всему миру, ориентируясь на крупные корпоративные сети, финансовые институты и правительственные учреждения.

Они используют сложные методы фишинга, социальную инженерию, мобильный фишинг и точечный фишинг на основе голоса.

Они используют известные уязвимости и фокусируются на повышении привилегий, чтобы получить привилегии учетной записи более высокого уровня.

Они извлекают конфиденциальные данные, используя различные веб-сервисы и центры обработки данных.

Они организовали громкие атаки на компании в различных отраслях и странах, включая Caesars Entertainment, MGM Resorts, телекоммуникационные компании и BPO, а также Riot Games.

Точное определение их деятельности остается сложной задачей из-за их неуловимого характера и передовых методов уклонения.

Для борьбы с такими группами, как Рассеянный паук, организациям необходимо уделять приоритетное внимание упреждающим и адаптивным мерам безопасности, обучению сотрудников и надежным стратегиям реагирования на инциденты.

#technique #llm

LeftoverLocals: Listening to LLM responses through leaked GPU local memory

https://blog.trailofbits.com/2024/01/16/leftoverlocals-listening-to-llm-responses-through-leaked-gpu-local-memory/

#technique

Beyond the Facade: Unraveling URL Redirection in Google Services

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/beyond-the-facade-unraveling-url-redirection-in-google-services/

#ParsedReport #CompletenessMedium
22-01-2024

A Glimpse into Future ScarCruft Campaigns \| Attackers Gather Strategic Intelligence and Target Cybersecurity Professionals

https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Rokrat

Victims:
Media organizations, Experts in north korean affairs, South korean academic sector, News organization focusing on north korea

Geo:
Korea, Lithuania, Russian, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1065, T1566.001, T1195

IOCs:
Email: 3
File: 7
Domain: 28
Url: 7
Hash: 22
IP: 7

Soft:
Microsoft Office

Algorithms:
exhibit, sha1, xor

Functions:
LinkValue

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности SentinelLabs наблюдала за деятельностью ScarCruft, предполагаемой северокорейской группы advanced persistent threat (APT). ScarCruft нацелена на медиа-организации и экспертов по делам Северной Кореи с целью сбора стратегической информации и получения представления о непубличных разведданных о киберугрозах и стратегиях защиты. Группа использует различные тактики, включая фишинговые электронные письма с вредоносными файлами и использование бэкдора RokRAT. ScarCruft демонстрирует настойчивость и адаптивность в своей целенаправленной деятельности и стремится избежать обнаружения.
-----

Краткое содержание:.

В тексте обсуждается деятельность ScarCruft, предполагаемой северокорейской группы advanced persistent threat (APT), нацеленной на организации средств массовой информации и экспертов по делам Северной Кореи. Компания SentinelLabs, занимающаяся кибербезопасностью, наблюдала за кампаниями ScarCruft, направленными на сбор стратегической информации и получение информации о непубличных киберугрозах и стратегиях защиты.

Кампании были нацелены на экспертов по северокорейским делам из академического сектора Южной Кореи и новостную организацию, специализирующуюся на Северной Корее. Атаки были связаны с фишинговыми электронными письмами, выдававшими себя за сотрудников Северокорейского исследовательского института. Электронные письма содержали вредоносные файлы, замаскированные под презентационные материалы или данные анализа рыночных цен Северной Кореи, которые при активации запускали бэкдор RokRAT.

ScarCruft использовала отчет об исследовании технических угроз в качестве приманки в своих цепочках заражения вредоносными программами. Группа также экспериментировала с новыми цепочками заражения, включая использование файлов быстрого доступа Windows большого размера (LNK), предоставляющих бэкдор RokRAT. Бэкдор RokRAT позволяет осуществлять эффективное наблюдение за целевыми объектами.

Есть сходство между кампаниями ScarCruft и предыдущими действиями, раскрытыми другими фирмами по кибербезопасности в 2023 году. Основная цель ScarCruft - собрать стратегическую разведданную о Северной Корее и понять, как международное сообщество воспринимает события в стране. Группа ориентируется на потребителей отчетов о технических угрозах, чтобы получить представление о непубличных разведданных о киберугрозах и стратегиях защиты.

В ходе расследования деятельности ScarCruft были обнаружены различные артефакты, связанные с их процессами планирования и тестирования. Были восстановлены образцы вредоносных программ, варианты шеллкода и общедоступные инструменты. Два файла LNK большого размера с именем inteligence.были найдены lnk и news.lnk, причем последний рассматривался как полностью разработанная версия, потенциально пригодная для будущих кампаний ScarCruft. В обоих файлах LNK использовался один и тот же документ-приманка, публичный исследовательский отчет Genians о группе угроз Kimsuky.

ScarCruft демонстрирует настойчивость и адаптивность в своей целевой деятельности. Группа стремится избежать обнаружения путем модификации реализаций вредоносного кода и исключения определенных файлов из этапов заражения. SentinelLabs предполагает, что ScarCruft ищет непубличную информацию о киберугрозах и стратегии защиты, которые могут принести пользу и другим северокорейским группам, представляющим угрозу.

#ParsedReport #CompletenessMedium
22-01-2024

Zloader: No Longer Silent in the Night

https://www.zscaler.com/blogs/security-research/zloader-no-longer-silent-night

Report completeness: Medium

Threats:
Z_loader
Zeus
Qakbot
Junk_code_technique

Victims:
German banks

Industry:
Financial

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1078, T1497, T1027, T1060, T1568

IOCs:
IP: 3
File: 48
Hash: 15
Url: 3
Registry: 1
Path: 3

Algorithms:
xor, rc4

Win API:
NtWriteVirtualMemory, NtProtectVirtualMemory, NtGetContextThread, NtCreateThreadEx, NtResumeThread, RtlGetVersion, NtReadVirtualMemory, NtAllocateVirtualMemory, NtCreateUserProcess, RtlUserThreadStart, have more...

Languages:
php, python

Links:
https://github.com/threatlabz/tools/tree/main/zloader

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Zloader, модульный троян, созданный на основе исходного кода Zeus, эволюционировал и вернулся с новыми версиями и возможностями. Впервые он был обнаружен в 2016 году, нацеленный на немецкие банки, и с тех пор перешел от банковского мошенничества к атакам с использованием программ-вымогателей. Последняя версия Zloader включает в себя новые методы запутывания, обновленный алгоритм генерации домена (DGA), шифрование RSA для сетевых коммуникаций и встроенную поддержку 64-разрядных систем Windows. Троянец использует различные методы антианализа, чтобы затруднить анализ вредоносных программ, а его конфигурация и методы связи были изменены. Возвращение Zloader после удаления указывает на сохраняющуюся угрозу и потенциал для новых атак программ-вымогателей. Облачная платформа безопасности Zscaler обнаруживает индикаторы, связанные с Zloader, используя многоуровневые механизмы защиты.
-----

Важные факты из текста:.

Zloader - это модульный троян, созданный на основе просочившегося исходного кода Zeus.

Впервые он был обнаружен в ходе целенаправленной кампании против немецких банков в 2016 году, но начал действовать уже в августе 2015 года.

После паузы в активности в начале 2018 года она вновь появилась в конце 2019 года под названием Silent Night и с тех пор эволюционировала до версии 2.0.0.0 к сентябрю 2021 года.

Zloader перешел от банковского мошенничества к атакам с использованием программ-вымогателей.

В апреле 2022 года исследователи безопасности провели операцию по удалению ботнета Zloader, в результате чего наступил период бездействия.

Zloader вернулся в новой версии, разработка которой началась в сентябре 2023 года и включает в себя новые методы запутывания, обновленный алгоритм генерации домена (DGA), шифрование RSA для сетевых коммуникаций и встроенную поддержку 64-разрядных систем Windows.

В последних версиях Zloader используются методы антианализа, такие как хэширование импорта API, нежелательный код, проверка имен файлов и запутывание строк.

Статическая конфигурация Zloader зашифрована с помощью RC4 с жестко закодированным ключом, а открытый ключ RSA заменяет старый ключ RC4 для сетевого шифрования.

Zloader взаимодействует со своим сервером управления (C2) с помощью HTTP POST-запросов и использует 1024-битное шифрование RSA с алгоритмами визуального шифрования RC4 и Zeus для сетевого шифрования.

Возвращение Zloader после операции удаления указывает на то, что он остается серьезной угрозой, потенциально приводящей к новым атакам программ-вымогателей.

Облачная платформа безопасности Zscaler обнаруживает индикаторы, связанные с Zloader, на различных уровнях, используя многоуровневые механизмы защиты.

#ParsedReport #CompletenessLow
22-01-2024

Apache ActiveMQ Vulnerability Leads to Stealthy Godzilla Webshell

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/apache-activemq-vulnerability-leads-to-stealthy-godzilla-webshell

Report completeness: Low

Threats:
Godzilla_webshell
Mimikatz_tool
Meterpreter_tool

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1486, T1078, T1068, T1505.003

IOCs:
File: 1
Hash: 6

Soft:
ActiveMQ

Algorithms:
sha256, md5

Languages:
java

Links:
https://github.com/X1r0z/ActiveMQ-RCE
https://github.com/BeichenDream/Godzilla

#ParsedReport #GeneratedSchema
Generated with GPT-4