#ParsedReport #CompletenessLow
23-01-2024

GitGot: GitHub leveraged by cybercriminals to store stolen data

https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data

Report completeness: Low

Threats:
Supply_chain_technique
R77rk_tool
Empire_loader
Mimikatz_tool
Seroxen_rat
Iamreboot

ChatGPT TTPs:
do not use without manual check
T1539, T1105, T1095, T1195, T1566, T1503, T1555

IOCs:
File: 3
Hash: 44

Soft:
macOS, NuGet

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/EmpireProject/Empire

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератакеры все чаще используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для осуществления атак на цепочки поставок вредоносного программного обеспечения. В частности, в тексте подчеркивается обнаружение двух вредоносных пакетов, warbeast2000 и kodiak2k, в менеджере пакетов с открытым исходным кодом npm, которые украли зашифрованные SSH-ключи Base64 из систем разработчиков. Украденные SSH-ключи хранились в репозиториях злоумышленников на GitHub. В тексте подчеркивается растущее число вредоносных пакетов, обнаруживаемых в менеджерах пакетов, и потенциальные последствия кражи SSH-ключей для безопасности. В нем также упоминается растущее использование таких платформ, как GitHub, злоумышленниками для размещения инфраструктуры командования и контроля. В заключение текст призывает разработчиков и организации сохранять бдительность и проводить тщательную оценку безопасности, прежде чем внедрять программное обеспечение от менеджеров пакетов.
-----

В менеджере пакетов с открытым исходным кодом npm были обнаружены два вредоносных пакета, warbeast2000 и kodiak2k.

В этих пакетах хранились украденные SSH-ключи, зашифрованные Base64, взятые из систем разработчиков.

Пакеты имели несколько версий, но были удалены с момента их идентификации.

Количество вредоносных пакетов в менеджерах пакетов с открытым исходным кодом выросло на 1300% в период с 2020 по конец 2023 года.

Пакет warbeast2000 содержал постинсталляционный скрипт, который извлекал и выполнял файл JavaScript, предоставляя SSH-ключ в контролируемый злоумышленником репозиторий GitHub.

Пакет kodiak2k продемонстрировал аналогичное поведение и выполнил скрипт из проекта GitHub, содержащего фреймворк Empire post-exploitation framework.

Кража SSH-ключей может предоставить доступ к репозиториям GitHub, создавая угрозу безопасности.

Злоумышленники используют программное обеспечение с открытым исходным кодом и инфраструктуру разработки, включая GitHub, для своих кампаний.

GitHub стал популярной платформой для размещения элементов вредоносной инфраструктуры управления.

Бдительность имеет решающее значение для выявления и смягчения угроз в общедоступных хранилищах.

Важно провести тщательную оценку безопасности перед использованием программного обеспечения или библиотек из менеджеров пакетов.

#ParsedReport #CompletenessMedium
23-01-2024

Threat Assessment: BianLian

https://unit42.paloaltonetworks.com/bianlian-ransomware-group-threat-assessment

Report completeness: Medium

Actors/Campaigns:
Bianlian (motivation: financially_motivated)

Threats:
Makop
Wildfire
Bianlian_ransomware
Advanced-port-scanner_tool
Proxyshell_vuln
Credential_dumping_technique
Bianlian_backdoor
Impacket_tool
Bianlian_encryptor

Victims:
Us healthcare sector, Us manufacturing sector, Eu healthcare sector, Eu manufacturing sector

Industry:
Healthcare

Geo:
California, Japanese, Russian, India, America

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1190, T1100, T1210, T1046, T1053

IOCs:
Hash: 58
IP: 34

Links:
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из приведенного текста заключается в том, что группа вымогателей BianLian в настоящее время активна и нацелена на секторы здравоохранения и производства в Соединенных Штатах и Европе. Они изменили свою стратегию с шифрования данных жертв на их кражу и угрозу опубликовать их, если выкуп не будет выплачен. Группа реагирования на инциденты подразделения 42 отреагировала на многочисленные инциденты, связанные с программой-вымогателем BianLian, и рекомендует решения безопасности Palo Alto Networks для защиты от этой угрозы. Имеются признаки возможной связи между BianLian и группой программ-вымогателей Makop, основанные на общих тактиках и инструментах. BianLian group использует украденные учетные данные, использует уязвимости, нацеливается на поставщиков VPN и развертывает веб-оболочки для проникновения в сети. У них есть отдельные компоненты шифрования и бэкдора, причем теперь шифратор заменен пользовательским бэкдором. BianLian последовательно работает с 2022 года и фокусируется исключительно на вымогательстве без шифрования данных.
-----

Группа вымогателей BianLian была отмечена как одна из наиболее активных групп, основываясь на данных о местах утечек, собранных исследователями Unit 42. В первую очередь они нацелены на секторы здравоохранения и производства в Соединенных Штатах и Европе, и недавно они сменили свою стратегию со схемы двойного вымогательства на схему вымогательства без шифрования. Это означает, что они больше не шифруют данные жертв, а вместо этого крадут их и угрожают опубликовать, если не будет выплачен выкуп.

Группа реагирования на инциденты подразделения 42 отреагировала на несколько инцидентов, связанных с программой-вымогателем BianLian, начиная с сентября 2022 года. Клиенты Palo Alto Networks лучше защищены от этой программы-вымогателя благодаря использованию своих решений безопасности, таких как Cortex XDR, и облачных служб безопасности для брандмауэра следующего поколения.

Группа BianLian появилась в 2022 году и в первую очередь нацелена на секторы здравоохранения, производства, профессиональных и юридических услуг. Об их атаках сообщалось в Северной Америке, ЕС и Индии. Есть признаки возможной связи между BianLian и группой вымогателей Makop, поскольку они используют один и тот же настроенный инструмент и схожую тактику.

Во время своих атак группа BianLian использует украденные учетные данные протокола удаленного рабочего стола (RDP), использует уязвимости, такие как ProxyShell, нацеливается на поставщиков VPN и развертывает веб-оболочки для проникновения в корпоративные сети. Оказавшись внутри, они используют различные общедоступные инструменты для перемещения вбок и выполнения полезной нагрузки бэкдора. Они также используют тот же продвинутый инструмент сканирования портов, что и группа вымогателей Makop.

У BianLian group есть отдельные компоненты encryptor и backdoor в качестве конечной полезной нагрузки. Шифратор использовался для двойного вымогательства, но теперь был заменен пользовательским бэкдором, написанным на Go. Бэкдор служит загрузчиком для загрузки и выполнения дополнительной полезной нагрузки. И шифровальщик, и бэкдор были обнаружены и предотвращены модулем защиты от программ-вымогателей Cortex XDR от Palo Alto Networks.

С момента своего обнаружения в 2022 году группа BianLian была неизменно активна и доминировала в сфере киберугроз. Они адаптировали свою тактику, сосредоточившись исключительно на вымогательстве, оказывая давление на жертв, чтобы они платили выкуп, не шифруя их файлы. Существует также потенциальная связь с группой программ-вымогателей Makop, основанная на общих инструментах и поведении.

#ParsedReport #CompletenessMedium
23-01-2024

Kasseika Ransomware Deploys BYOVD Attacks, Abuses PsExec and Exploits Martini Driver

https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

Report completeness: Medium

Actors/Campaigns:
Blackmatter
Darkside

Threats:
Kasseika
Byovd_technique
Akira_ransomware
Blackbyte
Avoslocker
Blackcat
Jadtre
Pincav
Procmon_tool
Themida_tool
Cryptopp_tool

Victims:
Company with unidentified industry

Geo:
Francesca

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1078, T1021.001, T1059.003, T1490, T1070.001, T1058.001, T1543.003

IOCs:
File: 16
Registry: 1

Soft:
PsExec, ysinternals, ysinternals.co

Algorithms:
chacha20, base64

Win API:
CreateFileW, DeviceIoControl, ZwTerminateProcess, FindWindowA

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, code: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Kasseika получила доступ к исходному коду программы-вымогателя BlackMatter, что позволяет предположить, что ею управляет опытный исполнитель. Программа-вымогатель Kasseika использует целенаправленный фишинг и средства удаленного администрирования для получения первоначального доступа к сетям. Она также использует законный протокол Windows RAT, PsExec, для запуска вредоносных файлов. Программа-вымогатель следует определенной процедуре для обеспечения бесперебойной работы, включая отключение средств защиты, передачу файлов и шифрование файлов с использованием шифрования ChaCha20. Она использует различные методы, такие как запутывание кода, чтобы затруднить анализ и обнаружение. Он также может стереть свои следы, очистив журналы системных событий, что затрудняет обнаружение его действий средствами безопасности.
-----

Программа-вымогатель Kasseika недавно получила доступ к исходному коду программы-вымогателя BlackMatter. Это говорит о том, что программа-вымогатель Kasseika управляется зрелым участником ограниченной группы, который либо приобрел, либо выкупил доступ к исходному коду BlackMatter. Стоит отметить, что BlackMatter изначально пришел из DarkSide и послужил основой для других групп программ-вымогателей.

В расследуемом случае с программой-вымогателем Kasseika для получения первоначального доступа к сети целевой компании использовались методы целевого фишинга. Кроме того, злоумышленники использовали средства удаленного администрирования (RATs) для получения привилегированного доступа и перемещения по сети.

Одной из интересных тактик, используемых программой-вымогателем Kasseika, является злоупотребление законным Windows RAT, называемым PsExec, для выполнения вредоносных файлов. Хотя PsExec был разработан для целей управления сетью, субъекты угроз могут злоупотреблять им для удаленного развертывания вредоносного файла .bat, как это наблюдалось в данном случае.

Чтобы обеспечить бесперебойную работу, программа-вымогатель Kasseika выполняет определенную процедуру. Она запускается с проверки наличия процесса с именем Martini.exe, завершая все найденные экземпляры, чтобы убедиться, что запущен только один экземпляр. Затем он проверяет наличие драйвера Martini.sys, используя уязвимости в нем для отключения средств безопасности. Вредоносная программа создает службу, загружает Martini.sys и сканирует активные процессы с помощью функции DeviceIoControl. Процессы, связанные с системным мониторингом, отслеживанием процессов и инструментами анализа, идентифицируются и завершаются. Файлы переносятся из общего сетевого ресурса в локальный каталог, а процессы, связанные с антивирусом, завершаются. Запускается двоичный файл программы-вымогателя, smartscreen_protected.exe, и выполняется файл clear.bat, чтобы стереть следы операции.

Чтобы затруднить анализ и обнаружение, программа-вымогатель Kasseika упакована с использованием Themida, инструмента, известного своими возможностями запутывания кода и защиты от отладки. Она также завершает процессы и службы, которые обращаются к диспетчеру перезапуска Windows перед шифрованием. Программа-вымогатель изменяет ключи реестра и перечисляет хэши сеансов для процессов и служб. Она удаляет теневые копии с помощью запросов WMIC и расшифровывает свое зашифрованное расширение, используя жестко закодированную строку и кодировку Base64. Алгоритм шифрования ChaCha20 с модифицированной матрицей, зашифрованный RSA, используется Kasseika. Зашифрованные файлы переименовываются, и в каждый каталог добавляется уведомление о выкупе. После шифрования меняются обои системы.

Программа-вымогатель Kasseika также обладает способностью уничтожать свои следы, очищая системные журналы событий с помощью команды wevutil.exe. Этот метод позволяет программе-вымогателю действовать незаметно, затрудняя средствам безопасности обнаружение вредоносных действий и реагирование на них.

#ParsedReport #CompletenessLow
23-01-2024

Blink-and-Update: All About Rhadamanthys Stealer

https://cyberint.com/blog/research/blink-and-update-all-about-rhadamanthys-stealer

Report completeness: Low

Threats:
Rhadamanthys
Lumma_stealer
Stealc
Riseprostealer
White_snake
Supply_chain_technique

Victims:
Users of notepad++, discord, telegram, and crypto wallet owners

TTPs:
Tactics: 7
Technics: 22

Soft:
Discord, Telegram, Google Chrome

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Rhadamanthys - это сложный похититель информации, который активно разрабатывается и распространяется его разработчиками. Он продается как вредоносное ПО как услуга (MaaS) и совместим с различными операционными системами Windows. Rhadamanthys нацелен на извлечение широкого спектра данных из зараженных систем, включая информацию реестра, сведения о компьютере и данные браузера. Он распространяется с помощью кампаний вредоносной рекламы и malspam и может использовать уязвимости в Google Chrome для получения доступа к аккаунтам Google. Как только компьютер жертвы скомпрометирован, Rhadamanthys может украсть пароли, файлы cookie, информацию о сеансах, учетные данные коммуникационной платформы, крипто-кошельки и многое другое.
-----

Rhadamanthys - это похититель информации, который впервые был замечен 22 августа 2022 года. Он написан на C++ и продолжает получать обновления и патчи. В последней версии, 0.5.0, появилась более гибкая платформа, которая позволяет субъектам угроз противодействовать мерам безопасности и использовать уязвимости с помощью целевых плагинов. Одним из таких плагинов является Data Spy, который отслеживает входы в систему по протоколу удаленного рабочего стола (RDP).

Rhadamanthys работает по модели "Вредоносное ПО как услуга" (MaaS), что означает, что оно продается и распространяется его разработчиками. Вредоносное ПО совместимо с Windows XP через Windows 11 и поддерживает архитектуры как X86, так и X64. Разработчики утверждают, что все сетевые коммуникации зашифрованы, причем каждая структура имеет уникальный ключ шифрования.

Основной целью Rhadamanthys является извлечение различных типов данных из зараженных систем. Это включает информацию реестра, сведения о конкретном компьютере и данные браузера. Украденная информация затем используется злоумышленниками для своей вредоносной деятельности.

Stealer продается в специальном Telegram-канале, цены варьируются от 59 до 999 долларов за пожизненную подписку. Это указывает на то, что Rhadamanthys пользуется спросом среди киберпреступников.

Наиболее распространенным способом доставки Rhadamanthys является вредоносная реклама, в частности, через Google Ads. Злоумышленники создают рекламу Google, которая приводит к поддельным страницам загрузки популярных приложений, таких как Notepad++. Эти поддельные страницы загрузки содержат вредоносный загрузчик, ответственный за загрузку и запуск Rhadamanthys на компьютере жертвы. Другой способ доставки включает кампании malspam, когда жертв обманом заставляют подписать PDF-документ, связанный с деловыми вопросами. PDF-документ содержит вредоносный загрузчик, который в конечном итоге запускает Rhadamanthys на компьютере жертвы.

В конце 2023 года появились сообщения о том, что операторы вредоносных программ используют недокументированный API Google Chrome, в частности конечную точку OAuth MultiLogin. Этот метод позволил им генерировать новые файлы cookie для аутентификации в аккаунтах Google. Радамантис, наряду с другими похитителями, такими как Lumma, Stealc, Medusa, RisePro и Whitesnake, изначально использовали эту технику в своих интересах.

Как только компьютер жертвы будет скомпрометирован Rhadamanthys, они могут потерять всю свою личную информацию и другие ценные активы, на получение которых злоумышленники настроили похитителя. Сюда входят сохраненные пароли, файлы cookie и информация о сеансах из различных браузеров. Rhadamanthys также нацелен на учетные данные и сеансовые ключи популярных коммуникационных платформ, таких как Discord и Telegram. Он также может искать файлы на рабочем столе жертвы и делать скриншоты. Кроме того, Rhadamanthys имеет возможность красть криптокошельки, найденные на компьютере жертвы.

#ParsedReport #CompletenessLow
23-01-2024

Info Stealing Packages Hidden in PyPI

https://www.fortinet.com/blog/threat-research/info-stealing-packages-hidden-in-pypi

Report completeness: Low

Threats:
White_snake
Havoc
Kryptik
Clipbanker
W32/agent.orr!tr.pws

Victims:
All platforms where pypi packages can be installed, Over 2000 identified victims

ChatGPT TTPs:
do not use without manual check
T1056, T1022, T1213, T1105, T1115, T1005, T1025, T1003, T1090, T1105, have more...

IOCs:
File: 3
Path: 1
Registry: 1
Coin: 1
IP: 48
Hash: 26

Soft:
PyInstaller, Windows Defender, Chrome, Discord

Wallets:
coinbase

Algorithms:
exhibit, base64, zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, table: 1, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что платформа PyPI, на которой размещены пакеты, разработанные сообществом Python, стала мишенью злоумышленников, загружающих пакеты, зараженные вредоносным ПО. Эти вредоносные пакеты представляют значительный риск, потенциально приводящий к утечке учетных данных и конфиденциальной информации. Конкретный автор вредоносного ПО, известный как WS, был идентифицирован как один из преступников. Варианты вредоносного ПО используют различные методы для удаления и выполнения вредоносных полезных нагрузок, в частности, нацеленных на пользователей Windows. Возможности вредоносного ПО включают в себя эксфильтрацию конфиденциальной информации, извлечение содержимого буфера обмена и перезапись адресов криптовалют. В тексте подчеркивается важность осторожного использования пакетов с открытым исходным кодом и необходимость проактивной защиты от вредоносных программ, крадущих информацию.
-----

Из текста мы узнаем, что платформа PyPI, на которой размещены программные пакеты, разработанные сообществом Python, стала мишенью злоумышленников, которые загружают пакеты, зараженные вредоносным ПО. Влияние этих вредоносных пакетов значительно, с потенциальной утечкой учетных данных и конфиденциальной информации. Уровень серьезности этой проблемы считается высоким.

Конкретный автор вредоносного ПО, известный как WS, был идентифицирован как один из виновников загрузки этих вредоносных пакетов. Более 2000 жертв были идентифицированы исключительно по описанным пакетам. Методы атаки, используемые в этих пакетах, аналогичны предыдущим вредоносным кампаниям.

Пакеты включают исходный код, закодированный в base64 файлов PE (переносимых исполняемых файлов) или скриптов Python. Как только эти пакеты Python установлены, вредоносная полезная нагрузка удаляется и выполняется. Используются различные полезные нагрузки, нацеленные на устройства Windows и Linux. В последнее время основное внимание уделялось таргетингу на пользователей Windows.

Варианты вредоносного ПО используют различные IP-адреса в качестве адресатов для передачи данных. Их основная цель - извлечь конфиденциальную информацию из систем жертв. Предыдущие полезные программы вредоносного ПО, разработанные с использованием .NET, теперь отображаются в виде исполняемых файлов, скомпилированных на Python, созданных с помощью инструмента PyInstaller.

Примечательной особенностью этих вредоносных пакетов является их способность извлекать содержимое буфера обмена и перезаписывать его предопределенными криптовалютными адресами. Это может обманом заставить жертв отправлять криптовалютные транзакции в непреднамеренные пункты назначения.

Вредоносная программа устанавливает соединения с вредоносным IP-адресом (194.36.177.30), используя socket.io. Если соединение потеряно, вредоносная программа автоматически попытается восстановить соединение. Строки, обнаруженные в коде вредоносной программы, указывают на ее способность перехватывать действия мыши и клавиатуры, а также красть данные кошелька и браузера. Целевые сервисы включают Chrome, Discord, Filezilla и Coinbase.

В заключение в тексте подчеркивается важность соблюдения осторожности при использовании пакетов с открытым исходным кодом с таких платформ, как PyPI. Пользователи должны проявлять бдительность при проверке на наличие вредоносного контента или полезной нагрузки, которые могут сделать их устройства уязвимыми для кражи информации. История этого конкретного автора вредоносного ПО разворачивалась в течение нескольких месяцев, подчеркивая масштабы причиненного ущерба. Защита от таких настойчивых злоумышленников требует упреждающего и стратегического подхода для усиления защиты от вредоносных программ, крадущих информацию.

#ParsedReport #CompletenessMedium
24-01-2024

Dark Web Profile: INC Ransom

https://socradar.io/dark-web-profile-inc-ransom

Report completeness: Medium

Threats:
Inc_ransomware
Spear-phishing_technique
Lolbin_technique
Megasync_tool
Credential_dumping_technique

Victims:
North american and european organizations

Industry:
Financial

Geo:
America

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 12
Technics: 13

IOCs:
File: 5
Domain: 1

Soft:
Wordpad, Internet Explorer, PSExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что INC Ransom - это очень изощренная киберпреступная группировка, специализирующаяся на целенаправленных атаках с использованием программ-вымогателей. Они тщательно выбирают цели со значительными финансовыми ресурсами и конфиденциальными данными, чтобы максимизировать свои требования о выкупе. Они используют передовые методы, такие как скрытый фишинг и использование уязвимостей для получения доступа к сетям, а затем используют коммерческое готовое программное обеспечение (COTS) и законные системные инструменты для разведки и бокового перемещения внутри сети. INC Ransom выходит за рамки шифрования и блокировки данных, занимаясь кражей данных и угрозами их обнародования, оказывая дополнительное давление на жертв с целью заставить их подчиниться. Они используют различные инструменты и программное обеспечение для своих атак, в первую очередь нацеленных на организации в Северной Америке и Европе, особенно в Соединенных Штатах. Для защиты от этих угроз необходимы надежные меры безопасности и бдительность.
-----

INC Ransom - это новая и очень изощренная киберпреступная группировка, специализирующаяся на целенаправленных атаках программ-вымогателей. В отличие от оппортунистических операторов программ-вымогателей, INC Ransom тщательно выбирает свои цели, уделяя особое внимание организациям со значительными финансовыми ресурсами и конфиденциальными данными. Поступая таким образом, они стремятся максимизировать потенциальную отдачу от своих требований о выкупе.

INC Ransom использует передовые методы в своих атаках. Они начинают с проведения фишинговых кампаний или использования известных уязвимостей, таких как CVE-2023-3519 в Citrix NetScaler, чтобы получить первоначальный доступ к сети цели. Оказавшись внутри, они используют комбинацию коммерческого готового программного обеспечения (COTS) и законных системных инструментов, известных как LOLBINs, для разведки и бокового перемещения внутри сети. Это позволяет им оставаться незамеченными и уклоняться от мер обнаружения и предотвращения.

Атаки INC Ransom выходят за рамки шифрования и блокировки данных. Они также занимаются кражей данных и угрозами публичного разглашения - тактика, известная как двойное вымогательство. Угрожая раскрыть украденные данные, они оказывают дополнительное давление на жертв, заставляя их выполнить требования о выкупе.

Группа использует сложный и многоэтапный подход к атакам. Они используют различные инструменты для внутренней разведки и перемещения в стороны, включая NETSCAN.EXE, MEGAsyncSetup64.EXE, ESENTUTL.EXE и AnyDesk.exe. Для сбора и обработки данных они злоупотребляют законным программным обеспечением, таким как 7-Zip, Wordpad, Notepad и MSPaint. Передача данных облегчается за счет установки MegaSync на серверах. Такие инструменты, как Advanced IP Scanner и Internet Explorer, используются для горизонтального перемещения по сети. Команды доступа к учетным данным, потенциально использующие lsassy.py, используются для извлечения учетных данных для входа. Программы-вымогатели внедряются с использованием маскировок, таких как winupd, выполняемых через wmic.exe и PsExec. Они также адаптируют свои методы и устраняют неполадки по мере необходимости, предлагая автоматизацию с помощью пакетных файлов или скриптов.

INC Ransom работает в основном в Северной Америке и Европе, уделяя особое внимание организациям в Соединенных Штатах. Их деятельность представляет значительную угрозу для системы кибербезопасности из-за их сложной методологии атак и меняющейся тактики. Защита от этих угроз требует принятия надежных мер безопасности и сохранения бдительности для предотвращения успешных атак.

#ParsedReport #CompletenessLow
24-01-2024

Dark Web Profile: Malek Team

https://socradar.io/dark-web-profile-malek-team

Report completeness: Low

Threats:
Mosesstaff

Victims:
Ziv medical center, Ono academic college, Israeli defense forces, Israeli government bodies

Industry:
Government, Education, Healthcare

Geo:
Israeli, Iran, Asia, Iranian, Israel