#ParsedReport #CompletenessMedium
24-01-2024

Dark Web Profile: INC Ransom

https://socradar.io/dark-web-profile-inc-ransom

Report completeness: Medium

Threats:
Inc_ransomware
Spear-phishing_technique
Lolbin_technique
Megasync_tool
Credential_dumping_technique

Victims:
North american and european organizations

Industry:
Financial

Geo:
America

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 12
Technics: 13

IOCs:
File: 5
Domain: 1

Soft:
Wordpad, Internet Explorer, PSExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что INC Ransom - это очень изощренная киберпреступная группировка, специализирующаяся на целенаправленных атаках с использованием программ-вымогателей. Они тщательно выбирают цели со значительными финансовыми ресурсами и конфиденциальными данными, чтобы максимизировать свои требования о выкупе. Они используют передовые методы, такие как скрытый фишинг и использование уязвимостей для получения доступа к сетям, а затем используют коммерческое готовое программное обеспечение (COTS) и законные системные инструменты для разведки и бокового перемещения внутри сети. INC Ransom выходит за рамки шифрования и блокировки данных, занимаясь кражей данных и угрозами их обнародования, оказывая дополнительное давление на жертв с целью заставить их подчиниться. Они используют различные инструменты и программное обеспечение для своих атак, в первую очередь нацеленных на организации в Северной Америке и Европе, особенно в Соединенных Штатах. Для защиты от этих угроз необходимы надежные меры безопасности и бдительность.
-----

INC Ransom - это новая и очень изощренная киберпреступная группировка, специализирующаяся на целенаправленных атаках программ-вымогателей. В отличие от оппортунистических операторов программ-вымогателей, INC Ransom тщательно выбирает свои цели, уделяя особое внимание организациям со значительными финансовыми ресурсами и конфиденциальными данными. Поступая таким образом, они стремятся максимизировать потенциальную отдачу от своих требований о выкупе.

INC Ransom использует передовые методы в своих атаках. Они начинают с проведения фишинговых кампаний или использования известных уязвимостей, таких как CVE-2023-3519 в Citrix NetScaler, чтобы получить первоначальный доступ к сети цели. Оказавшись внутри, они используют комбинацию коммерческого готового программного обеспечения (COTS) и законных системных инструментов, известных как LOLBINs, для разведки и бокового перемещения внутри сети. Это позволяет им оставаться незамеченными и уклоняться от мер обнаружения и предотвращения.

Атаки INC Ransom выходят за рамки шифрования и блокировки данных. Они также занимаются кражей данных и угрозами публичного разглашения - тактика, известная как двойное вымогательство. Угрожая раскрыть украденные данные, они оказывают дополнительное давление на жертв, заставляя их выполнить требования о выкупе.

Группа использует сложный и многоэтапный подход к атакам. Они используют различные инструменты для внутренней разведки и перемещения в стороны, включая NETSCAN.EXE, MEGAsyncSetup64.EXE, ESENTUTL.EXE и AnyDesk.exe. Для сбора и обработки данных они злоупотребляют законным программным обеспечением, таким как 7-Zip, Wordpad, Notepad и MSPaint. Передача данных облегчается за счет установки MegaSync на серверах. Такие инструменты, как Advanced IP Scanner и Internet Explorer, используются для горизонтального перемещения по сети. Команды доступа к учетным данным, потенциально использующие lsassy.py, используются для извлечения учетных данных для входа. Программы-вымогатели внедряются с использованием маскировок, таких как winupd, выполняемых через wmic.exe и PsExec. Они также адаптируют свои методы и устраняют неполадки по мере необходимости, предлагая автоматизацию с помощью пакетных файлов или скриптов.

INC Ransom работает в основном в Северной Америке и Европе, уделяя особое внимание организациям в Соединенных Штатах. Их деятельность представляет значительную угрозу для системы кибербезопасности из-за их сложной методологии атак и меняющейся тактики. Защита от этих угроз требует принятия надежных мер безопасности и сохранения бдительности для предотвращения успешных атак.

#ParsedReport #CompletenessLow
24-01-2024

Dark Web Profile: Malek Team

https://socradar.io/dark-web-profile-malek-team

Report completeness: Low

Threats:
Mosesstaff

Victims:
Ziv medical center, Ono academic college, Israeli defense forces, Israeli government bodies

Industry:
Government, Education, Healthcare

Geo:
Israeli, Iran, Asia, Iranian, Israel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Malek Team, предполагаемая хакерская группа, связанная с Ираном, проводила кибератаки против ключевых израильских учреждений. Эти атаки, нацеленные на такие сектора, как здравоохранение и образование, демонстрируют растущую изощренность киберпреступников и подчеркивают уязвимость критически важной инфраструктуры. Нарушения вызывают обеспокоенность по поводу национальной безопасности и демонстрируют взаимосвязь между геополитическим соперничеством и кибервойной. Для смягчения этих угроз необходимы надежные меры кибербезопасности и постоянная бдительность.
-----

Malek Team, хакерская группа, предположительно связанная с Ираном, активизировала свои кибератаки против ключевых израильских учреждений, что указывает на рост цифровых угроз в регионе. Эта группа, которая вербует хактивистов из Южной Азии и Ближнего Востока, нацелена на различные сектора в Израиле. Наиболее заметные атаки включают изощренную атаку на израильский медицинский центр "Зив", компрометирующую конфиденциальные медицинские записи, и взлом в академическом колледже Оно, компрометирующий студенческие записи.

Кибератака на медицинский центр "Зив" привела к краже 500 ГБ данных, включая высокочувствительную личную и медицинскую информацию пациентов, некоторые из которых были военнослужащими Армии обороны Израиля (ЦАХАЛ). Это нарушение вызвало обеспокоенность по поводу национальной безопасности и высветило уязвимость критически важной инфраструктуры здравоохранения. Израильское национальное киберуправление приняло немедленные меры, и медицинский центр Ziv отключил свой почтовый сервер и критически важные системы, чтобы локализовать нарушение. Это была третья кибератака на медицинский центр за четыре месяца.

Атаки Malek Team на медицинский центр "Зив", академический колледж Оно, израильские правительственные учреждения и ЦАХАЛ указывают на более широкую стратегию использования уязвимостей в цифровой инфраструктуре ключевых учреждений. Эти кибератаки отражают растущую изощренность киберпреступников и эскалацию кибервойны в регионе. Ни один сектор не застрахован от этих угроз, поскольку мишенями становятся различные сектора, такие как здравоохранение и образование.

Утечки, связанные с конфиденциальными данными, включая информацию о персонале ЦАХАЛа, вызывают опасения по поводу национальной безопасности. Они также согласуются с более широкой тенденцией связанной с государством или поддерживаемой государством кибердеятельности, потенциально связанной с напряженностью в отношениях между Израилем и Ираном. Для смягчения последствий таких атак требуются постоянная бдительность, надежные меры кибербезопасности и практика кибергигиены.

Эти кибератаки выходят за рамки непосредственного воздействия на целевые организации и демонстрируют стирание границ между геополитическим соперничеством и кибервойной. В контексте сложной региональной динамики Израиля они служат напоминанием о цифровом поле битвы, которое дополняет физические и дипломатические конфликты.

#ParsedReport #CompletenessMedium
24-01-2024

Cybercrime Central: VexTrio Operates Massive Criminal Affiliate Program

https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program

Report completeness: Medium

Threats:
Vextrio
Clearfake
Socgholish_loader
Glupteba
Sidewalk
Popunder_technique
Amadey
Beacon
Parrot_tds
Antibot

Industry:
Education, Financial

Geo:
Russian, Africa, Italian, Italy, Indian, German, Colombia

ChatGPT TTPs:
do not use without manual check
T1568, T1140, T1203, T1059, T1107, T1189, T1562, T1102, T1059.007, T1059, have more...

IOCs:
Domain: 28
Coin: 1
File: 2
Hash: 1

Soft:
TikTok, WordPress, Chrome, macOS, Tinder

Crypto:
binance

Algorithms:
sha256, base64

Functions:
DNS, HTTP, Keitaro, atob, b64_to_utf8

Languages:
javascript

Platforms:
intel

Links:
https://github.com/infobloxopen/threat-intelligence/blob/main/cta\_indicators/vextrio\_cta\_20240123\_iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 14, chart: 1, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что VexTrio - это высокоорганизованная киберпреступная группировка, которая действует как брокер трафика и использует системы распределения трафика (TDS) для перенаправления пользователей на нелегальный контент в злонамеренных целях. Они сотрудничают с другими участниками, такими как ClearFake и SocGholish, и имеют обширную сеть филиалов и скомпрометированных веб-сайтов. Схемы и методы генерации доменов VexTrio продолжают развиваться, что затрудняет обнаружение их вредоносных действий. Они также используют методы обфускации, чтобы скрыть свой код, и часто обновляют свои инструменты, тактику, доменные имена и домены верхнего уровня, чтобы избежать обнаружения.
-----

VexTrio - это киберпреступная группировка, действующая в рамках более крупной криминальной экономики.

Они занимаются покупкой и продажей товаров и услуг и поддерживают злонамеренные отношения с другими субъектами, такими как ClearFake и SocGholish.

VexTrio управляет системами распределения трафика (TDS) для маршрутизации пользователей в зависимости от устройства и местоположения.

Они выступают в качестве посредника трафика для нескольких киберпреступников, имеющих по меньшей мере 60 филиалов.

Блокировка доменов TDS на уровне DNS может быть эффективной защитой от доступа к вредоносному контенту.

У VexTrio есть обширная сеть филиалов и скомпрометированных веб-сайтов, используемых для перенаправления веб-трафика.

Они используют различные цепочки атак и используют реферальные программы, связанные с McAfee и Benaughty.

Схемы генерации доменов VexTrio постоянно совершенствуются, чтобы избежать обнаружения.

Они управляют веб-серверами на базе HTTP и DNS-серверами как частью своих TDS.

Партнеры VexTrio перенаправляют скомпрометированный трафик на свои веб-серверы, и значения из строк URL-запросов важны для определения авторства и оценки активности партнеров.

ClearFake использует вредоносный фреймворк JavaScript для представления вредоносного контента и перенаправляет пользователей на TDS-серверы VexTrio.

SocGholish - это вредоносная программа на основе JavaScript, связанная с VexTrio и предназначенная для пользователей ОС Windows.

SocGholish внедряет вредоносный JavaScript и предлагает пользователям загрузить замаскированное обновление для браузера.

Партнеры VexTrio регистрируют похожие домены и перенаправляют веб-трафик на кампании VexTrio.

VexTrio постоянно обновляет свои инструменты, тактику и доменные имена.

Филиалы VexTrio собирают трафик жертв с помощью компрометации проезжающих мимо и рассылки спама по электронной почте.

VexTrio и ее филиалы маскируют свой вредоносный код, используя методы JavaScript.

Неизвестный партнер, сотрудничающий с VexTrio, маскируется под службу защиты от ботов и собирает информацию о жертвах.

Филиалы используют средства сокращения URL-адресов для перенаправления трафика в сеть VexTrio.

#ParsedReport #CompletenessMedium
25-01-2024

From Screen Captures to Crypto wallets: Analyzing the Multi-Faceted Threat of Rage Stealer

https://www.cyfirma.com/outofband/from-screen-captures-to-crypto-wallets-analyzing-the-multi-faceted-threat-of-rage-stealer

Report completeness: Medium

Threats:
Rage_stealer
Xstealer
Spear-phishing_technique

Industry:
Financial, Entertainment, Telco

Geo:
Germany

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 13
Path: 2
Url: 1
Hash: 1

Soft:
Discord, Telegram, Mozilla Firefox, Windows Registry

Wallets:
atomicwallet, bitcoincore, electrum, litecoincore, zcash, jaxx

Crypto:
ethereum, monero

Algorithms:
exhibit, sha256, zip, md5, sha1

Functions:
GetTokens

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа CYFIRMA обнаружила новую вредоносную программу для кражи информации под названием Rage Stealer. Эта вредоносная программа маскируется под Minecraft.exe и нацелена на игровую индустрию и отдельных геймеров. Он собирает широкий спектр конфиденциальных данных, включая учетные данные для входа в систему, пароли, информацию о кредитных картах и данные из популярных веб-браузеров. Украденные данные упорядочиваются, сжимаются и загружаются с помощью Telegram API. Имеются свидетельства ребрендинга или повторного использования предыдущих версий вредоносного ПО, что указывает на растущий рынок для похитителей информации в мире киберпреступности. Для защиты от таких угроз организации должны внедрять надежные меры кибербезопасности. Появление Rage Stealer подчеркивает растущую угрозу, исходящую от похитителей информации, и необходимость упреждающей защиты от кибербезопасности.
-----

Rage Stealer - это новая вредоносная программа для кражи информации, которая маскируется под Minecraft.exe.

Она ориентирована на игровую индустрию и отдельных геймеров.

Он собирает конфиденциальные данные, включая учетные данные для входа в систему, пароли, информацию о кредитной карте и многое другое.

Он специально нацелен на VPN-приложения, игровые платформы, такие как Discord и FileZilla, и платформу обмена сообщениями Telegram.

Украденные данные упорядочиваются, хранятся в определенных каталогах и сжимаются в архив для последующей фильтрации.

Вредоносная программа устанавливает соединение с Telegram API для загрузки украденных данных и создания лог-сообщения с подробной информацией о системе и данных.

Существует предыдущий вариант Rage Stealer под названием priv8 stealer, предполагающий ребрендинг или повторное использование киберпреступниками.

Оператор вредоносного ПО продвигает его в Telegram-канале, указывая на растущий рынок похитителей информации в мире киберпреступности.

Для защиты от этих угроз организациям следует внедрять надежные меры кибербезопасности, включая регулярные обновления, надежные пароли, многофакторную аутентификацию и комплексные решения для обеспечения безопасности конечных точек.

Rage Stealer - это исполняемый файл PE Win32, закодированный в .NET с подсистемой графического интерфейса пользователя.

Он собирает широкий спектр данных и ориентирован на различные платформы и приложения.

Собранные данные сжимаются и загружаются через Telegram API с использованием определенного формата именования.

Операторы получают ответ, подтверждающий успешное выполнение операции.

Появление Rage Stealer подчеркивает растущую угрозу со стороны похитителей информации в сфере киберпреступности.

Организации должны опережать развивающиеся киберугрозы и усиливать свою защиту от кибербезопасности.

#ParsedReport #CompletenessHigh
25-01-2024

CherryLoader: A New Go-based Loader Discovered in Recent Intrusions

https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions

Report completeness: High

Threats:
Cherryloader
Printspoofer_tool
Juicypotato_tool
Process_ghosting_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1574.007

IOCs:
IP: 1
File: 6
Command: 1
Hash: 10

Soft:
Microsoft Defender, Windows defender, windows service, Remote Desktop services

Algorithms:
sha256, xor, md5, aes

Functions:
CreateFile

Win API:
GetProcAddress, CreateFileW, CreateProcessW, DeleteFileW, RemoveDirectoryW, DeleteFile, NtSetInformationFile, WriteFile, NtCreateSection, CreateFileMappingA, have more...

Languages:
golang, python

Links:
https://github.com/antonioCoco/JuicyPotatoNG
https://github.com/itm4n/PrintSpoofer
https://github.com/giuspen/cherrytree

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Arctic Wolf Labs обнаружила новый загрузчик вредоносных программ под названием CherryLoader. Этот загрузчик позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции кода и замаскирован под законное приложение для создания заметок CherryTree. После выполнения CherryLoader отключает инструменты повышения привилегий, такие как PrintSpoofer и JuicyPotatoNG, чтобы обеспечить сохранение на устройстве жертвы. В анализе также выделяются различные действия, выполняемые участниками угроз для компрометации компьютера жертвы, и предлагаются меры по усилению защиты системы.
-----

Важные факты из текста:.

Arctic Wolf Labs обнаружила два вторжения, связанных с новым загрузчиком вредоносных программ на базе Go под названием CherryLoader.

CherryLoader позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции какого-либо кода и маскируется под законное приложение для ведения заметок CherryTree.

Первоначальная атака использовала IP-адрес 141.11.187.70 для обслуживания CherryLoader и связанных с ним файлов. Загруженные файлы включают защищенный паролем rar-файл с именем Packed.rar и исполняемый файл с именем main.exe для распаковки.

CherryLoader удаляет PrintSpoofer или JuicyPotatoNG, инструменты повышения привилегий, чтобы установить постоянство на устройстве жертвы.

Вредоносную программу CherryLoader трудно проанализировать, поскольку она удаляет и уничтожает свою таблицу адресов импорта.

Arctic Wolf Labs создала скрипт на Python, который помогает расшифровать зашифрованные файлы Spof.Data и Juicy.Data.

CherryLoader использует призрачность процесса для замены Spof.Данные другим кодом эксплойта без перекомпиляции основного исполняемого файла.

Вторжения в CherryLoader были связаны с инструментами повышения привилегий PrintSpoofer и JuicyPotatoNG.

Злоумышленники выполнили различные действия, чтобы скомпрометировать компьютер жертвы, включая создание учетной записи администратора с неправильным именем пользователя и изменение настроек безопасности.

Arctic Wolf Labs внедрила средства обнаружения для CherryLoader и советует клиентам регулярно исправлять программное обеспечение и отслеживать изменения брандмауэра.

CherryTree.exe это инструмент расшифровки, используемый CherryLoader, в то время как File.log использует алгоритм AES ECB для расшифровки.

В команду Arctic Wolf Labs, ответственную за исследование, входят Хейди, старший исследователь по безопасности, и Кристофер, ведущий исследователь по безопасности.

#ParsedReport #CompletenessHigh
25-01-2024

Uncovering Atomic Stealer (AMOS) Strikes and the Rise of Dead Cookies Restoration

https://cyble.com/blog/uncovering-atomic-stealer-amos-strikes-and-the-rise-of-dead-cookies-restoration

Report completeness: High

Threats:
Amos_stealer
Revive_rat
Xehook
Seo_poisoning_technique
Applescript
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 6
Technics: 7

IOCs:
Url: 4
IP: 2
File: 2
Hash: 5

Soft:
Google Chrome, macOS, Telegram, Curl, Chrome, Opera, OperaGX, Vivaldi, Chromium, Mozilla Firefox, have more...

Wallets:
metamask, electrum, coinomi

Crypto:
binance

Algorithms:
zip, sha256, md5, sha1

Functions:
fivenet, sentdata

Win API:
Arc

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ведется постоянная фишинговая кампания, нацеленная на пользователей Mac, с использованием вредоносного ПО под названием AMOS Stealer. Кампания включает распространение мошеннических установщиков через обманчивые веб-сайты, выдающие себя за законные приложения для Mac. Вредоносная программа крадет конфиденциальные данные, такие как пароли, файлы cookie и финансовые данные с устройств Mac. Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и недавно присоединился к тенденции восстановления просроченных файлов cookie Google Chrome. Анализ также предполагает потенциальную связь между кампаниями или участниками угроз. Фишинговые веб-сайты и развивающиеся методы AMOS Stealer подчеркивают необходимость повышения бдительности в области кибербезопасности Mac.
-----

Продолжается фишинговая кампания, нацеленная на пользователей Mac.

Кампания распространяет вредоносное ПО AMOS Stealer, ориентированное на macOS, через обманчивые веб-сайты, выдающие себя за законные приложения для Mac.

Вредоносная программа крадет конфиденциальные данные, такие как автозаполнение, пароли, файлы cookie и финансовые данные.

Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и повысил цену на эти услуги.

В среде InfoStealer наблюдается тенденция восстановления просроченных файлов cookie Google Chrome, что вызывает озабоченность, поскольку они могут быть включены в полезные программы вредоносного ПО.

Анализ предполагает потенциальную связь между кампанией AMOS Stealer и предыдущими кампаниями с участием Atomic Stealer.

Вредоносная программа AMOS Stealer использует различные методы для сбора данных, включая запросы к каталогам браузеров и таргетинг на крипто-кошельки.

Он извлекает пароли из связки ключей macOS, уделяя особое внимание Google Chrome.

Собранные данные объединяются в единый каталог и отправляются на сервер управления.

Фишинговые веб-сайты, выдающие себя за подлинные приложения для Mac, и развивающиеся методы AMOS Stealer демонстрируют стремление злоумышленника совершенствовать свою вредоносную деятельность.

#ParsedReport #CompletenessMedium
25-01-2024

Researcher Blog - ITOCHU Cyber & Intelligence Inc.. The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis

https://blog-en.itochuci.co.jp/entry/2024/01/24/134100

Report completeness: Medium

Actors/Campaigns:
Stone_panda

Threats:
Lodeinfo
Spear-phishing_technique
Dll_sideloading_technique
Junk_code_technique
Downiissa

Victims:
Japanese media, Diplomacy, Public institutions, Defense industries, Think tanks

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1001, T1055, T1055.001, T1213, T1221, T1036

IOCs:
Hash: 9
IP: 7
Url: 1
File: 2

Soft:
Microsoft Word, microsoft office

Algorithms:
sha1, xor, vigenere, hmac, aes, zip, base64, md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 5, dump: 3, chart: 1