#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - об инциденте с кибербезопасностью, произошедшем в декабре 2022 года, когда злоумышленники использовали общедоступный узел протокола удаленного рабочего стола (RDP). Они получили первоначальный доступ в течение нескольких часов и развернули программу-вымогатель Trigona по всей сети. Злоумышленники использовали пакетные сценарии и инструмент SoftPerfect Netscan для обнаружения сети и автоматизации. Они использовали RDP-соединения для важных целей и использовали шифрование для шифрования файлов. В отчете также упоминаются различные услуги, предлагаемые организацией, и приводится информация о показателях компрометации и наблюдаемых методах во время инцидента.
-----

Важные факты из текста:.

В конце декабря 2022 года произошел инцидент с кибербезопасностью, когда злоумышленники использовали общедоступный узел протокола удаленного рабочего стола (RDP).

Злоумышленники получили первоначальный доступ в течение трех часов и распространили программу-вымогатель Trigona по всей сети.

Пакетные сценарии использовались для эксфильтрации данных и для противодействия защитным мерам.

Злоумышленники использовали инструмент SoftPerfect Netscan для проведения операций обнаружения во время вторжения.

Злоумышленник отключил защитник Windows на файлообменных серверах и установил RDP-соединение с сервером резервного копирования.

Программа-вымогатель Trigona распространялась по сети по протоколу Server Message Block (SMB), что приводило к утечке данных и шифрованию системы.

Организация предлагает такие сервисы, как Threat Feed, который отслеживает системы командования и контроля и предоставляет аналитические данные о событиях эксплойтов и отслеживании инфраструктуры.

Первоначальная точка доступа была отследена до RDP-соединения с IP-адреса в Украине, возможно, полученного с помощью утечки или приобретенных учетных данных.

Исполнитель угрозы использовал сеансы RDP, GUI access, PowerShell и CMD для различных действий во время вторжения.

Netscan использовался для обнаружения сети и автоматизации действий, изменения настроек брандмауэра и добавления новых пользователей.

Программа-вымогатель Trigona использовала надежное шифрование и регулярно обновлялась, включая функцию очистки данных.

Сервис Mega.io использовался для удаленной эксфильтрации украденных файлов.

Отчет содержит информацию о показателях компрометации (IOCS) и наблюдаемых методах, таких как RDP-соединения, DNS-запросы, использование PowerShell и модификации защитника Windows и разделов реестра.

#ParsedReport #CompletenessLow
29-01-2024

Russian Threat Actors Abuse Cloudflare and Freenom Services to run DaaS Program

https://www.cyfirma.com/outofband/russian-threat-actors-abuse-cloudflare-and-freenom-services-to-run-daas-program

Report completeness: Low

Threats:
Inferno_drainer

Victims:


Geo:
Chinese, Russian

ChatGPT TTPs:
do not use without manual check
T1056, T1566

IOCs:
Coin: 1
Domain: 8

Soft:
telegram

Wallets:
metamask, coinbase, trezor

Crypto:
ethereum, arbitrum, binance, tether, usd_coin, uniswap, pancakeswap

Win API:
Polygon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа CYFIRMA обнаружила проект Drainer-as-a-service (DaaS), управляемый лицами российского происхождения. Операторы этого проекта предоставляют бесплатные руководства, шаблоны для фишинга, автоматическую настройку конфигурации и бесплатные домены, облегчающие злоумышленникам доступ и использование. Drainers, предназначенные для кражи средств с криптовалютных кошельков, в основном распространяются с помощью методов социальной инженерии и фишинга. Проект CG, популярный конкурент в сообществе drainer, набрал значительное количество подписчиков и аффилированных лиц. Операторы DaaS предлагают бесплатный crypto drainer, совместимый с основными сетями и кошельками, а также партнерскую программу и панель администратора. Они также делятся дизайном фишинговых страниц, имитирующим популярные криптобиржи. Исследовательская группа наблюдала рост фишинговых кампаний и кампаний социальной инженерии со стороны аффилированных лиц DaaS, часто использующих скомпрометированные учетные записи или базы данных крипто-лидов. Команда выявила адреса кошельков, связанные с аффилированными лицами, вовлеченными в фишинговые аферы, отметив рост числа проведенных кампаний.
-----

Важные факты из текста:.

Исследовательская группа CYFIRMA обнаружила проект Drainer-as-a-service (DaaS), рекламируемый на хакерских форумах и telegram-каналах.

Операторы проекта DaaS упростили злоумышленникам доступ к нему и его использование, предоставив бесплатные руководства, фишинговые шаблоны, автоматическую настройку конфигурации и бесплатные домены.

Операторы подверглись ребрендингу в 2021 году и, как установлено, имеют российское происхождение.

Сливщики, также известные как крипто-похитители, предназначены для кражи средств с криптовалютных кошельков жертв с использованием методов социальной инженерии и фишинга.

Известный Drainer Inferno объявил о своем закрытии в ноябре 2023 года, создав пробел в сообществе криптодрайнеров.

Проект CG стал популярным претендентом на восполнение этого пробела, имея значительное число подписчиков и аффилированных лиц.

Операторы DaaS предоставляют бесплатный крипто-дренаж, совместимый с основными сетями и кошельками.

Они создали веб-сайты и telegram-канал для аффилированных лиц, а также отдельный канал для обмена дизайном фишинговых страниц.

Злоумышленники направляются к telegram-боту, который предоставляет бесплатные домены, шаблоны клонирования, адреса кошельков для мошеннических средств и защиту Cloudflare.

Используются бесплатные доменные сервисы Freenom, позволяющие им использовать различные TLD.

Филиалы DaaS проводили кампании фишинга и социальной инженерии, используя скомпрометированные учетные записи или полученные базы данных.

Масштабируемость сервисов DaaS позволяет быстро создавать новые фишинговые сайты с использованием шаблонов.

Спрос на базы данных криптографической персональной информации (PII) растет в хакерских сообществах.

Увеличилось количество кампаний, проводимых аффилированными лицами DaaS, и были выявлены адреса кошельков, связанные с фишинговыми мошенничествами.

В одном инциденте, связанном с криптокошельком Metamask, жертву обманом заставили подписать разрешение - распространенный метод фишинга.

#ParsedReport #CompletenessLow
26-01-2024

Securonix Threat Research Security Advisory: Technical Analysis and Detection of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN

https://www.securonix.com/blog/securonix-threat-research-security-advisory-technical-analysis-and-detection-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn

Report completeness: Low

Actors/Campaigns:
Uta0178

Threats:
Giftedvisitor_shell
Xmrig_miner
Metasploit_tool

Victims:
Ivanti connect secure vpn software

Industry:
Ics

Geo:
Chinese

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-37580 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra (<8.8.15)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1068

IOCs:
Hash: 1
Domain: 1

Soft:
curl

Crypto:
monero

Languages:
python, powershell

Links:
https://github.com/rapid7/metasploit-framework/pull/18708/files
https://gist.github.com/kittinan/e2f56351c5937af5599734446059f5abhttps:/gist.github.com/kittinan/e2f56351c5937af5599734446059f5ab

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в программном обеспечении Ivanti Connect Secure VPN существуют две критические уязвимости нулевого дня (CVE-2023-46805 и CVE-2024-21887), которые позволяют злоумышленникам обходить аутентификацию и выполнять команды оболочки с правами root. Китайские хакеры и известные группы атак активно используют эти уязвимости. Кроме того, поступают сообщения о деятельности по добыче криптовалют и доступности модулей эксплуатации в популярных фреймворках. Аналитика кибербезопасности, такая как мониторинг сетевого трафика и обнаружение подозрительных действий, необходима для выявления и смягчения последствий этих атак.
-----

В тексте обсуждаются две критические уязвимости нулевого дня, CVE-2023-46805 и CVE-2024-21887, обнаруженные в программном обеспечении Ivanti Connect Secure VPN. CVE-2023-46805 позволяет обойти аутентификацию, в то время как CVE-2024-21887 позволяет вводить команды, и то, и другое может быть использовано злоумышленниками, не прошедшими проверку подлинности, для выполнения команд оболочки с правами root. Первоначальная эксплуатационная активность была приписана злоумышленнику, известному как UTA0178, с сообщениями, предполагающими, что китайские хакеры используют эти уязвимости. Код проверки концепции доступен в открытом доступе и используется известными группами атак.

Около 1700 защищенных устройств Ivanti Connect были идентифицированы с помощью веб-оболочки под названием GIFTEDVISITOR среди общедоступных IP-адресов. Атака осуществляется путем отправки хорошо подготовленного запроса уязвимому устройству. Этот запрос может быть выполнен с помощью команды curl или популярных языков сценариев, таких как Python. Данные JSON в запросе включают команду оболочки, которая будет выполнена в системе жертвы. Один наблюдаемый образец содержал обратную оболочку Python, которая отправляет оболочку обратно на IP-адрес и порт злоумышленника. Это дает злоумышленнику привилегии суперпользователя (root) в целевой системе.

Команда исследователей угроз Securonix обнаружила случаи, когда использование уязвимости используется для майнинга криптовалют. Злоумышленники используют тот же исходный эксплойт для отправки команд целевому серверу, используя такие инструменты, как wget или curl, для загрузки и выполнения сценария .sh с удаленного IP-адреса. Цель скрипта - майнить Monero с помощью xmrig, программного обеспечения для майнинга криптовалют.

Кроме того, недавно во фреймворке Metasploit появился модуль эксплуатации, облегчающий злоумышленникам использование этих уязвимостей. Модуль позволяет настраивать и развертывать прослушиватель обратной оболочки.

Что касается аналитики кибербезопасности, то в тексте упоминается несколько аналитических правил. Эти правила, такие как PXY-PAN83-RUN и NTA-CRL30-RUN, помогают выявлять потенциальные попытки эксплуатации, отслеживать исходящий трафик и обнаруживать подозрительные действия, связанные с RDP, SSH, SMB, прокси-серверами и туннелями. Эти аналитические данные могут быть использованы для обнаружения атак, нацеленных на программное обеспечение Ivanti Connect Secure VPN, и реагирования на них.

Подводя итог, в тексте подчеркивается обнаружение критических уязвимостей в программном обеспечении Ivanti Connect Secure VPN, которые могут быть использованы злоумышленниками, не прошедшими проверку подлинности, для выполнения команд оболочки с правами root. Уязвимости активно используются китайскими хакерами и известными группами атак. Кроме того, имеются свидетельства деятельности по добыче криптовалют и доступности модулей эксплуатации в популярных фреймворках. Аналитика кибербезопасности играет решающую роль в обнаружении и смягчении последствий таких атак путем мониторинга сетевого трафика и выявления подозрительных действий.

#ParsedReport #CompletenessLow
29-01-2024

THREAT ALERT: DarkGate Loader

https://www.cybereason.com/blog/threat-alert-darkgate-loader

Report completeness: Low

Threats:
Darkgate
Cobalt_strike
Meterpreter_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1059.003, T1105, T1106, T1486, T1210

IOCs:
Url: 2
IP: 3
Domain: 3
Hash: 5
File: 5

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cybereason выпустила предупреждение о новой угрозе под названием DarkGate Loader. Этот модульный загрузчик поставляется по фишинговым электронным письмам и используется для развертывания инструментов постэксплуатации, таких как Cobalt Strike и Meterpreter. DarkGate Loader поставляется с помощью вредоносных PDF-файлов и сценариев автоматической загрузки, внутри которых скрыта зашифрованная полезная нагрузка. После запуска DarkGate Loader быстро развертывает эти инструменты после эксплуатации и осуществляет боковое перемещение, нацеливаясь на критически важную инфраструктуру. Защитная платформа Cybereason обнаружила действия после эксплуатации, связанные с загрузчиком DarkGate, и предоставила индикаторы компрометации (IOCs), чтобы помочь в усилиях по поиску угроз. Организациям рекомендуется проявлять бдительность, принимать необходимые меры безопасности и использовать предоставленные IOCS для активного обнаружения загрузчика DarkGate и противодействия ему.
-----

Компания Cybereason выпустила предупреждение об угрозе, чтобы проинформировать своих клиентов о появляющейся угрозе, известной как загрузчик DarkGate. Этот модульный загрузчик поставляется по фишинговым электронным письмам и отвечает за развертывание полезных нагрузок после эксплуатации. Злоумышленники обычно используют загрузчик DarkGate, встраивая его в скрипт AutoIt, содержащий зашифрованную полезную нагрузку. Скрипт расшифровывает полезную нагрузку и внедряет ее в различные процессы, что приводит к запуску инструментов постэксплуатации, таких как Cobalt Strike и Meterpreter.

Основная цель DarkGate Loader - развертывать эти инструменты после эксплуатации, избегая обнаружения. Цепочка заражения начинается с того, что жертвы обманом загружают вредоносные PDF-файлы, которые затем запускают вредоносный скрипт VBS. Загрузчик DarkGate поставляется в формате сценария AutoIt, внутри которого скрыта зашифрованная полезная нагрузка. Во время выполнения сценарий AutoIt расшифровывает полезную нагрузку и внедряется в удаленные процессы.

Одним из примечательных аспектов DarkGate Loader является быстрое предоставление инструментов для последующей эксплуатации. Наблюдения показали, что в течение шести часов после запуска DarkGate Loader субъекты угроз уже использовали такие инструменты, как Meterpreter и Cobalt Strike. Эти действия после эксплуатации также предполагают боковое перемещение, что позволяет злоумышленникам нацеливаться на критически важную инфраструктуру и оказывать большее воздействие на организации.

Платформа защиты Cybereason обнаружила действия после эксплуатации, связанные с загрузчиком DarkGate. Чтобы помочь в поиске угроз, служба безопасности Cybereason предоставила список индикаторов компрометации (IOCS), связанных с известными действиями после эксплуатации. Эти IOC включают такие домены, как "eventionevents.com," "prestige-castom.com," и "tsvsnjv.com," вместе с соответствующими IP-адресами. Кроме того, в качестве индикаторов были определены конкретные хэши файлов, такие как "eaeacd7fd94df79722822196f20e739eadc1a68d40e94ef.exe,".

Используя эти IOC, организации могут активно отслеживать признаки DarkGate Loader и его действия после эксплуатации в своих сетях. Для организаций крайне важно сохранять бдительность и внедрять необходимые меры безопасности для защиты от этой возникающей угрозы.

#ParsedReport #CompletenessLow
26-01-2024

Ransomware Roundup - Albabat

https://www.fortinet.com/blog/threat-research/ransomware-roundup-albabat

Report completeness: Low

Victims:
Companies and individuals in argentina, Brazil, Czech republic, Germany, Hungary, Kazakhstan, Russia, United states

Geo:
Czech, Argentina, Germany, Russia, Portuguese, Kazakhstan, Brazil, Hungary

ChatGPT TTPs:
do not use without manual check
T1189, T1486, T1048, T1566

IOCs:
File: 15
Path: 22
IP: 1
Domain: 13
Hash: 5

Soft:
Chrome, outlook

Crypto:
bitcoin

Win API:
arc

Win Services:
powerpnt, MySQL57, MySQL80

Languages:
rust

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Albabat, также известная как White Bat, является финансово мотивированной программой-вымогателем, которая в первую очередь нацелена на пользователей, маскируясь под мошенническое программное обеспечение. Она шифрует важные пользовательские файлы и требует выкуп за их освобождение. Программа-вымогатель распространяется с помощью поддельных средств активации Windows 10 или читерских программ для Counter-Strike 2. Она способна нацеливаться как на платформы Windows, так и на Linux, хотя образцы Linux пока не найдены. Программа-вымогатель завершает определенные процессы и может красть или изменять файлы. В записке о выкупе предлагаются варианты перевода, в качестве рекомендуемого языка указан португальский, что указывает на то, что разработчик, возможно, в основном говорит по-португальски. Программа-вымогатель направляет жертв на сайт TOR для переговоров, но в записках о выкупе не упоминается извлечение данных.
-----

Отчет FortiGuard Labs Roundup Ransomware содержит информацию о варианте программы-вымогателя Albabat, также известном как White Bat. Albabat - это финансово мотивированная программа-вымогатель, написанная на Rust, которая шифрует важные пользовательские файлы и требует выкуп за их освобождение. Впервые это было замечено в ноябре 2023 года с версией 0.1.0, за которой последовали последующие обновления, включая версию 0.3.0 в декабре и версию 0.3.3 в январе 2024 года.

Программа-вымогатель Albabat в основном распространяется как мошенническое программное обеспечение, маскируясь под поддельный инструмент цифровой активации Windows 10 или чит-программу для Counter-Strike 2. Однако из-за такого метода распространения она потенциально может повлиять на любого, кто попадется на поддельное программное обеспечение.

После запуска Albabat выполняет поиск файлов для шифрования, исключая определенные типы файлов. Зашифрованным файлам присваивается расширение .abbt, и программа-вымогатель заменяет обои для рабочего стола своей собственной настраиваемой версией. Интересно, что программа-вымогатель Albabat утверждает, что поддерживает платформы Windows и Linux, хотя образцы для Linux пока не найдены. Из-за гибкости языка Rust при кросс-компиляции в будущем может быть выпущена версия для Linux.

Программа-вымогатель завершает такие процессы, как Chrome.exe и пытается завершить дополнительные процессы, начиная с версии 0.3.0. Она также может красть или изменять определенные файлы. Как только процесс шифрования завершен, Albabat удаляет определенные файлы, включая уведомление о выкупе. Примечательно, что в записке о выкупе предлагаются варианты перевода с использованием сервиса Google Translate, при этом в качестве языка перевода автоматически выбирается португальский, что позволяет предположить, что разработчик программы-вымогателя может в основном говорить по-португальски.

Хотя один из образцов программы-вымогателя Albabat инструктирует жертв посещать сайт TOR, сайт был недоступен во время расследования. Вероятно, сайт TOR использовался только для переговоров о выкупе, поскольку в примечаниях о выкупе нет упоминания об утечке данных.

#ParsedReport #CompletenessLow
29-01-2024

APT-C-26 Lazarus PDF. 1. Analysis of attack activities

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494879&idx=1&sn=5e0d5c7fc8439a4ef2b08d3677506998&chksm=f9c1dfd6ceb656c0d75a5c38107c8347d2a69f5586559a176fb1379565da91830576eddf8bcf&scene=178&cur_album_id=1915287066892959748&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Lazarus

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1192, T1003, T1083, T1012, T1059, T1204, T1053, have more...

IOCs:
File: 3
Registry: 1
Hash: 7

Soft:
SumatraPDF, Windows Task Scheduler, Telegram

Algorithms:
xor, base64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 23, windows: 3, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста заключается в том, что организация Lazarus, высокоактивная и изощренная группа по борьбе с киберугрозами, осуществила кибератаку, вооружив программу чтения SumatraPDF. Атака заключалась в установлении доверия с пользователями на социальных платформах и обманом вынудила их выполнить вредоносный код. Анализ показывает, что этот метод атаки соответствует историческим моделям поведения группы Lazarus, известной тем, что использует проекты с открытым исходным кодом в качестве оружия. Для защиты от таких атак предоставляются специальные рекомендации по предотвращению и устранению неполадок. Атака подчеркивает угрозу, исходящую от надежных проектов с открытым исходным кодом, используемых в качестве средств для кибератак. Основной целью атаки была кража важной пользовательской информации. Злоумышленники продемонстрировали передовые технические возможности и сложные стратегии, продемонстрировав свой профессионализм и техническую компетентность.
-----

Организация Lazarus, также известная как APT-C-26, является высокоактивной группой продвинутых постоянных угроз, известной своими изощренными методами атак.

Для осуществления кибератаки злоумышленники использовали вооруженный SumatraPDF Reader, проект с открытым исходным кодом.

Метод атаки соответствует исторической модели поведения группы Lazarus, что указывает на их причастность.

Социальные платформы использовались злоумышленниками для установления доверительных отношений с пользователями и обманом заставить их выполнить вредоносный код.

Для защиты от таких атак предоставляются специальные рекомендации по профилактике и устранению неполадок.

Организация Lazarus в первую очередь нацелена на финансовые учреждения и криптовалютные биржи, стремясь незаконно получить средства и украсть конфиденциальную информацию.

Злоумышленники устанавливают доверительные отношения с пользователем через Telegram и отправляют защищенные PDF-документы через модифицированный ридер SumatraPDF.

Внедренный вредоносный код запускает серию вредоносных действий, оставаясь незамеченным, несмотря на его передовые технические возможности.

Вооруженный считыватель SumatraPDF расшифровывает и высвобождает другие вредоносные полезные файлы, а для загрузки других полезных файлов выполняется вредоносный код типа downloader.

Анализ выявляет профессионализм и техническую компетентность злоумышленника в области передачи данных и управления ими, повышая устойчивость атаки и предоставляя злоумышленнику обратную связь в режиме реального времени.

#ParsedReport #CompletenessLow
29-01-2024

Attackers installing Linux backdoor accounts

https://asec.ahnlab.com/ko/60979

Report completeness: Low

Actors/Campaigns:
Kimsuky
Kono_dio_da

Threats:
Xmrig_miner
Tsunami_botnet
Shellbot
Logcleaner_tool

Victims:
Improperly managed linux systems

ChatGPT TTPs:
do not use without manual check
T1110, T1078, T1486, T1078.003, T1505.003, T1070, T1071, T1219, T1059

IOCs:
IP: 9

Soft:
task scheduler, ntab -l #, -l # w #, hadoop

#ParsedReport #GeneratedSchema
Generated with GPT-4