#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует субъект киберпреступной угрозы под названием TA576, который нацелен на бухгалтерские и финансовые организации, особенно во время налогового сезона в США. Они используют кампании по электронной почте небольшого объема и используют трояны удаленного доступа (RATs) в качестве основного метода атаки. Злоумышленник компрометирует учетные записи электронной почты и использует недавно зарегистрированный домен для легитимности. Они также используют приманки на налоговую тематику, чтобы запросить помощь в подготовке налогов. Цепочка атак TA576 включает в себя различные тактики и приемы, включая использование URL-адресов web.app, ZIP-файлов, LNK-файлов, сценариев PowerShell и методов living off the land binary и script (LOLBAS). Недавно они начали использовать Parallax RAT в качестве полезной нагрузки. Proofpoint отслеживает TA576 с 2018 года и обнаружила, что они нацелены на бухгалтерию, финансы и юридические услуги. Кампании, проведенные TA576 во время налогового сезона, указывают на то, что другие участники угроз могут использовать схожие темы. Цепочка атак TA576 демонстрирует растущую тенденцию среди киберпреступников, демонстрируя творческий подход и эксперименты в разработке цепочек атак.
-----

TA576 - это субъект киберпреступной угрозы, который специально нацелен на бухгалтерские и финансовые организации, в первую очередь во время налогового сезона в Соединенных Штатах. Они используют кампании по электронной почте небольшого объема для распространения троянов удаленного доступа (RATs) в качестве основного метода атаки. Чтобы создать ощущение законности, злоумышленник компрометирует учетные записи электронной почты и использует недавно зарегистрированный домен в качестве адреса для ответа. Они также используют приманки налоговой тематики, чтобы запросить помощь в подготовке налоговой декларации.

Цепочка атак TA576 включает в себя несколько тактик и приемов. Они используют URL-адрес web.app, ZIP-файлы, LNK-файлы, скрипты PowerShell и методы living off the land binary и script (LOLBAS). Полезная нагрузка доставляется через HTA-файл, который загружает исполняемый файл в папку %appdata% и выполняет его. Примечательно, что в своих кампаниях 2024 года TA576 начала использовать Parallax RAT в качестве полезной нагрузки, что является новой разработкой. Эта цепочка атак, сочетающая методы LOLBAS и несколько сценариев PowerShell, отличает их от предыдущих кампаний, в которых использовались другие типы полезной нагрузки.

Proofpoint отслеживает TA576 с 2018 года, отслеживая методы создания спам-рассылок, использование вредоносных программ, способы доставки и другие идентифицируемые характеристики. Хотя злоумышленник в первую очередь нацелен на бухгалтерские и финансовые организации, также было замечено, что он нацелен на смежные отрасли, такие как юридические услуги. Неясно, каковы их точные цели после получения доступа к целевым организациям.

Ежегодные кампании на налоговую тематику, проводимые TA576, служат напоминанием о том, что киберпреступники используют сезонные мероприятия для осуществления своей деятельности. Это также служит ранним показателем того, что другие участники угроз могут использовать аналогичные темы в течение налогового сезона. Фактически, Proofpoint уже наблюдал за другим субъектом угрозы, TA558, и другими кластерами угроз, не имеющими атрибутов, включающими налоговую тематику в свои кампании. Ожидается, что другие субъекты последуют этому примеру, по крайней мере, до апреля 2024 года.

Цепочка атак TA576 демонстрирует растущую тенденцию среди киберпреступников. Они используют такие методы поведения, как "жизнь за пределами земли", которые предполагают использование существующих сценариев и служб на скомпрометированном хосте для вредоносных целей. Кроме того, они объединяют несколько сценариев PowerShell перед выполнением окончательной полезной нагрузки. Это демонстрирует их творческий подход и эксперименты в разработке цепочек атак.

#ParsedReport #CompletenessLow
29-01-2024

Shortcut To Malice: URL Files

https://inquest.net/blog/shortcut-to-malice-url-files

Report completeness: Low

Threats:
Netsupportmanager_rat
Darkgate
Phemedrone
Motw_bypass_technique
Quant_loader
Dll_sideloading_technique
Dbatloader
Remcos_rat
Formbook
Fakesg
Romcom_rat
4shared

Industry:
Financial, Education, Healthcare

CVEs:
CVE-2016-3353 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.3
X-Force: Patch: Official fix
Soft:
- microsoft internet explorer (10, 11, 9)

CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft office (2019, 2021)
- microsoft word (2013, 2016)
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1078, T1195, T1068, T1068, T1064, T1574.002, T1023, T1068

IOCs:
Hash: 1
File: 2

Soft:
Windows Shell, internet explorer

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что файлы URL, также известные как файлы быстрого доступа в Интернет, могут использоваться киберпреступниками для создания значительных угроз безопасности. Эти файлы использовались в недавних кампаниях по борьбе с угрозами для распространения вредоносных программ и выполнения вредоносных действий в системах. Организациям рекомендуется принимать такие меры, как мониторинг и блокирование доступа к удаленно размещенным файлам URL-адресов, проверка URL-адресов на наличие аномалий и использование передовых технологий проверки файлов для снижения этих рисков.
-----

Файлы URL-адресов, также известные как файлы быстрого доступа в Интернет, могут представлять угрозу безопасности.

InQuest специализируется на выявлении угроз кибербезопасности и противодействии им, связанных со злоупотреблением сложными типами файлов.

Злоумышленники используют сложную систему обмена файлами для нацеливания на отдельных лиц и организации.

Недавние кампании по борьбе с угрозами включали использование файлов URL-адресов и использовали уязвимость Windows.

Microsoft устранила аналогичную уязвимость в Internet Explorer в 2016 году.

Файлами URL можно злоупотреблять с помощью сторонней загрузки библиотеки DLL и использовать в качестве ярлыков для выполнения вредоносных действий.

Различные кампании по распространению вредоносных программ использовали URL-файлы для распространения.

Чтобы снизить риски, организациям следует отслеживать и блокировать доступ к удаленно размещенным файлам URL-адресов, анализировать URL-адреса на наличие аномалий, проверять исходящие сеансы SMB и WebDAV и блокировать подключения к внешним службам SMB.

FileTAC от InQuest может помочь более эффективно обнаруживать и разоблачать файловые атаки.

Даррен Спруэлл возглавляет отдел разведки угроз в InQuest и имеет опыт работы во многих областях кибербезопасности.

#ParsedReport #CompletenessLow
30-01-2024

Pythons Byte: The Rise of Scripted Ransomware. Python s Byte: The Rise of Scripted Ransomware

https://labs.k7computing.com/index.php/pythons-byte-the-rise-of-scripted-ransomware

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1204, T1140, T1064, T1486, T1036, T1083, T1165, T1078, T1566

IOCs:
File: 2
Path: 2
Hash: 1

Soft:
Microsoft Visual C++

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста - анализ атаки программы-вымогателя, закодированной на Python и замаскированной под PDF-файл. Анализ раскрывает исходный код и функциональность программы-вымогателя, включая сбор информации, шифрование файлов с использованием алгоритма Fernet и отображение всплывающих сообщений жертвам. В тексте подчеркивается использование Python в качестве инструмента для написания программ-вымогателей и важность строгих мер кибербезопасности и бдительности пользователей для предотвращения подобных атак.
-----

В этом блоге автор обсуждает конкретную атаку программы-вымогателя, которая привлекла их внимание. Программа-вымогатель закодирована на Python, который является широко используемым языком программирования. Анализ показывает, что программа-вымогатель на самом деле представляет собой исполняемый файл, скомпилированный в Microsoft Visual C++. Исполняемый файл отображается в виде значка PDF, маскирующего его вредоносные намерения.

При дальнейшем исследовании файлы Python извлекаются из исполняемого файла с помощью инструмента под названием pyintextractor. Основной исходный код находится в файле с именем grinchv3.pyc. Все функции в коде Python поддерживаются в рамках одного класса с именем "sweet".

Функция __init__ класса "sweet" отвечает за сбор информации, необходимой для выполнения программы-вымогателя. Это включает в себя выборку текущего пользователя компьютера-жертвы, сканирование разделов диска от A:\ до Z:\ и определение типов файлов для шифрования.

Чтобы обеспечить постоянство, программа-вымогатель самокопирует себя в папку автозагрузки. Как только это будет сделано и проблем с правами доступа не возникнет, функция get_asset просканирует все настроенные диски и добавит текстовый файл с именем UNLOCK MY FILES.txt в каждый отсканированный каталог. Содержимое этого файла информирует жертву о шифровании и о том, как разблокировать их файлы.

Программа-вымогатель использует алгоритм шифрования симметричным ключом Fernet для шифрования данных жертвы. Fernet - это функция, доступная в модуле криптографии Python. После шифрования всех пользовательских данных жертве отображается всплывающее сообщение, уведомляющее их о шифровании файла. Это сообщение отображается десять раз, прежде чем вредоносная программа перейдет в спящий режим.

Программы-вымогатели часто получают доступ к системам через фишинговые электронные письма, вредоносные вложения или скомпрометированные веб-сайты. Пользователи неосознанно загружают и запускают полезную нагрузку программы-вымогателя, позволяя ей проникнуть в их систему.

Этот анализ подчеркивает использование Python в качестве инструмента для написания программ-вымогателей, демонстрируя необходимость принятия строгих мер кибербезопасности и бдительности пользователей для предотвращения подобных атак.

#ParsedReport #CompletenessHigh
30-01-2024

Unmasking a Financial Services Intrusion: REF0657

https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657

Report completeness: High

Actors/Campaigns:
Ref0657

Threats:
Cobalt_strike
Supershell
Dll_sideloading_technique
Beacon
Passthehash_technique
Rakshasa_tool
Upx_tool

Victims:
Financial services organization in south asia

Industry:
Financial

Geo:
Asia, Chinese

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 18
IP: 7
Domain: 1
Registry: 1
Command: 2
Path: 4
Hash: 2

Soft:
Microsoft SQL Server, MSSQL, Windows service, Windows Firewall, NET Framework, Kibana

Algorithms:
sha256, base64, zip, xor

Functions:
DownloadFile

Languages:
golang, powershell

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_suspicious\_powershell\_execution.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_execution\_via\_renamed\_signed\_binary\_proxy.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/lateral\_movement\_potential\_lateral\_movement\_via\_smbexec.toml
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Multi\_Hacktool\_Rakshasa.yar
https://github.com/EddieIvan01/iox
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Hacktool\_Iox.yar
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Multi\_Hacktool\_Nps.yar
https://github.com/ShadowMccc/MemoryEvasion
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Hacktool\_SleepObfLoader.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_rundll32\_with\_unusual\_arguments.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/command\_and\_control\_ingress\_tool\_transfer\_via\_inet\_cache.toml
https://github.com/tdragon6/Supershell/tree/main
https://github.com/elastic/labs-releases/tree/main/indicators/ref0657
https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.md#abusing-ssrf-in-aws-ec2-environment
https://github.com/tutorial0/WebShell/blob/master/Aspx/ASPXspy.aspx
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_CobaltStrike.yar
https://github.com/ehang-io/nps/tree/master
https://github.com/Mob2003/rakshasa
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_windows\_error\_manager.toml
https://github.com/L-codes/Neo-reGeorg/blob/master/templates/tunnel.ashx
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_suspicious\_cmd\_execution\_via\_wmi.toml

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 3, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Elastic Security Labs обнаружила целенаправленное вторжение в индустрию финансовых услуг в Южной Азии. Группа угроз, стоящая за вторжением, использовала различные инструменты и методы с открытым исходным кодом, такие как обнаружение/перечисление, методы постэксплуатации и туннелирование. Они получили первоначальный доступ с помощью таких методов, как certutil.exe, bitsadmin.exe и метод PowerShell DownloadFile(), и использовали Cobalt Strike для командования и контроля. Злоумышленник также использовал методы боковой загрузки, включил режим ограниченного администрирования и использовал предупреждения о внедрении шеллкода для атак с передачей хэша. Они использовали прокси-инструменты, такие как Rakshasa и ICMP-туннелирование, а также китайскую платформу C2 под названием Supershell panel. Elastic Security Labs проанализировала тактику и методы, используя платформу MITRE ATT&CK framework.
-----

В декабре 2023 года Elastic Security Labs обнаружила целенаправленное вторжение в сферу финансовых услуг в Южной Азии. Группа угроз, стоящая за этим вторжением, использовала разнообразный набор инструментов с открытым исходным кодом и методов последующей эксплуатации. Они занимались такими действиями, как обнаружение/перечисление, использовали внутреннее корпоративное программное обеспечение против жертвы и использовали туннелеры и методы боковой загрузки для выполнения Cobalt Strike. Злоумышленник также использовал файлообменный сервис Mega для извлечения данных из сети.

Первоначальный доступ был получен различными способами, включая использование метода certutil.exe, bitsadmin.exe и PowerShell DownloadFile(). Затем злоумышленник перешел к использованию Cobalt Strike для командования и контроля (C2) и дальнейшего выполнения. Они загрузили вредоносную библиотеку DLL (msvcp140.dll) в законно подписанную версию Trend Micro Deep Security Monitor (ds_monitor.exe). Это позволило им загрузить Cobalt Strike и установить соединение с сервером C2.

Злоумышленник также включил режим ограниченного администрирования посредством модификации реестра, что позволило ему проводить атаки в стиле передачи хэша против протокола удаленного рабочего стола (RDP). Они генерировали предупреждения о внедрении шеллкода с помощью AppLaunch.exe и сохраняли результаты в файле с именем 1.txt. Введенный шелл-код был идентифицирован как двоичный файл Golang под названием iox, предназначенный для переадресации портов и проксирования с возможностью шифрования трафика.

Злоумышленник использовал различные инструменты прокси и методы туннелирования на протяжении всего вторжения. Они использовали прокси, известный как Rakshasa, загруженный с его официальной страницы на GitHub, для создания туннеля, подключающегося к определенным IP-адресам. Они также использовали туннелирование ICMP для отправки и извлечения данных из сети. Кроме того, команда наблюдала за использованием Supershell panel, китайской платформы C2, работающей по определенному IP-адресу.

Методы, наблюдаемые в рамках этой тактики, включали бэкдор-доступ с использованием Microsoft SQL Server, сброс учетных данных, очистку журнала событий, эксфильтрацию с использованием Mega CMD, а также различные сетевые туннелеры и прокси-инструменты.

#ParsedReport #CompletenessMedium
30-01-2024

CrackedCantil: A Malware Symphony Breakdown

https://any.run/cybersecurity-blog/crackedcantil-breakdown

Report completeness: Medium

Threats:
Crackedcantil
Privateloader
Smokeloader
Lumma_stealer
Redline_stealer
Riseprostealer
Amadey
Stealc
Socks5_systemz
Viper
Havoc
Sock5systemz
Vidar_stealer
Raccoon_stealer

Industry:
Chemical

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 50
Url: 6
Path: 30
IP: 40
Domain: 8
Registry: 1
Hash: 8

Soft:
Google Chrome, Chrome, Windows Defender, Task Scheduler, Windows Task Scheduler, Telegram, Mozilla Firefox, NET Framework, Windows Registry

Wallets:
harmony_wallet

Algorithms:
aes-256, md5, base64, salsa20

Languages:
php, powershell

Platforms:
amd64, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основной идеей этого текста является анализ вредоносной программы под названием CrackedCantil, которая состоит из различных компонентов, работающих вместе для выполнения различных вредоносных действий. Вредоносное ПО включает в себя загрузчики, такие как PrivateLoader и Smoke, инфостилеры, такие как Lumma, RedLine, RisePro, Amadey и Stealc, вредоносное ПО для прокси-ботов под названием Socks5Systemz и программу-вымогатель STOP. Автор подчеркивает опасность взломанного программного обеспечения как распространенного средства заражения этой вредоносной программой, выделяя характеристики и поведение каждого компонента, участвующего в этой организованной вредоносной кампании.
-----

В этом сообщении в блоге автор обсуждает недавний случай вредоносного ПО под названием CrackedCantil. Они объясняют, что различные семейства вредоносных программ могут работать вместе скоординированным образом, подобно инструментам в оркестре. Вредоносная программа CrackedCantil включает в себя различные компоненты, такие как загрузчики, инфокрады, криптоминеры, вредоносные программы для прокси-ботов и программы-вымогатели.

Загрузчиками, задействованными в вредоносном ПО CrackedCantil, являются PrivateLoader и Smoke. PrivateLoader известен распространением различных типов вредоносных программ и обычно распространяется через взломанное программное обеспечение. Smoke, с другой стороны, представляет собой модульную вредоносную программу, которая загружает другие вредоносные программы и крадет информацию. Он может имитировать законные процессы и внедрять вредоносный код в системные процессы.

Среди взломщиков вредоносной программы CrackedCantil - Lumma, RedLine, RisePro, Amadey и Stealc. Lumma - это программа для кражи информации, которая нацелена на широкий спектр систем и крадет конфиденциальную информацию, такую как криптовалютные кошельки и учетные данные. RedLine также выступает в роли infostealer и собирает пароли, данные кредитных карт, файлы cookie и многое другое. RisePro - еще одна вредоносная программа для кражи информации, которая крадет информацию о кредитной карте, пароле и крипто-кошельке. Amadey - универсальная вредоносная программа, которая может выступать в качестве загрузчика или инфокрада, выполняя вредоносные действия, такие как разведка и эксфильтрация данных. Stealc, написанный на C, крадет конфиденциальную информацию из браузеров и отправляет ее на сервер управления с помощью HTTP POST-запросов.

Вредоносная программа CrackedCantil также включает в себя вредоносный прокси-бот под названием Socks5Systemz. Эта вредоносная программа заражает устройства через PrivateLoader и Amadey и превращает их в прокси-серверы для перенаправления трафика для вредоносных действий. Он подключается к своему серверу управления с помощью алгоритма генерации домена (DGA).

Наконец, вредоносная программа CrackedCantil использует программу-вымогатель STOP, которая шифрует пользовательские данные и требует выкуп за восстановление. STOP/DJVU, вариант программы-вымогателя STOP, использует AES-256 и Salsa20 для шифрования. Он сотрудничает с вредоносной программой infostealer для кражи конфиденциальной информации перед шифрованием файлов.

Автор подчеркивает опасность взломанного программного обеспечения как распространенного источника заражения для вредоносного ПО CrackedCantil. Они предоставляют подробную информацию о характеристиках и поведении каждого компонента вредоносного ПО, участвующего в этой симфонии вредоносных программ.

#ParsedReport #CompletenessMedium
30-01-2024

Scaly Wolf uses White Snake stealer against Russian industry

https://bi.zone/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti

Report completeness: Medium

Actors/Campaigns:
Scaly_wolf (motivation: cyber_criminal)

Threats:
White_snake
Snake_keylogger
Gozi
Spear-phishing_technique

Victims:
Russian organizations

Industry:
Logistic, Military, Financial, Government

Geo:
Russian, Russia

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 16
IP: 4
Hash: 10
Path: 1
Command: 1

Soft:
Telegram, Chromium

Algorithms:
base64, zip

Functions:
ReadOnly

Languages:
python

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа киберугроз под названием Scaly Wolf проводит фишинговые кампании в России с 2023 года, нацеливаясь на организации в различных отраслях. Они маскируют свои фишинговые электронные письма под запросы российских государственных служб и используют вредоносное ПО под названием White Snake stealer в качестве основной полезной нагрузки. Несмотря на запрет на распространение вредоносного ПО в России и СНГ, Scaly Wolf продолжает модифицировать и использовать его. Их кампании были успешными, подчеркивая необходимость защиты организаций от фишинговых писем.
-----

Группа киберугроз, известная как Scaly Wolf, с лета 2023 года проводит фишинговые кампании, нацеленные на организации в различных отраслях промышленности России, включая производство и логистику. Группа маскировала свои фишинговые электронные письма под запросы российских государственных служб, таких как Роскомнадзор, Следственный комитет Российской Федерации и Военная прокуратура Российской Федерации. В некоторых случаях они также выдаются за коммерческое предложение. Электронные письма написаны правильно и выглядят убедительно, что приводит пользователей к запуску вредоносного файла.

Основной полезной нагрузкой, используемой Scaly Wolf, является вредоносное ПО под названием White Snake stealer, которое впервые было замечено в теневом сегменте Интернета в феврале 2023 года. Stealer распространяется через канал в мессенджере Telegram и может быть арендован за 140 долларов в месяц. Он предназначен для проведения целенаправленных атак и обладает кроссплатформенными возможностями. В Windows он действует как троян удаленного доступа, настраиваемый на основе конфигурации XML и включающий кейлоггер для кражи информации. Успешные атаки с помощью stealer могут предоставлять доступ к корпоративным ресурсам, собирать аутентификационные данные, копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированным устройствам.

Несмотря на запрет на распространение вредоносного ПО в России и СНГ, злоумышленники, подобные Scaly Wolf, находят способы модифицировать и использовать его в этих регионах. Группа известна своим постоянным использованием White Snake stealer и своей тактикой рассылки фишинговых писем, замаскированных под государственные службы. Электронные письма часто содержат защищенный паролем ZIP-архив с паролем, указанным в имени файла архива. Scaly Wolf нацелился на организации под прикрытием Роскомнадзора, Следственного комитета Российской Федерации и Главной военной прокуратуры Российской Федерации.

Кампании группы продолжались и в 2024 году, при этом тематика их фишинговых писем со временем менялась. Они совершали атаки под предлогом судебных постановлений, уголовных расследований и нормативных документов. Постоянный успех этих кампаний указывает на работающую схему и подчеркивает необходимость защиты организаций от фишинговых писем.

#cyberthreattech

Скрестил Google Bard и ChatGPT для автоматической генерации описания группировок по Diamond-модели, на основе корпуса всех собранных отчетов.
Пока пилотирую внутри и собираю инфру вокруг движочка.

Для генерации описания профилей под малварь надо будет немного допилить prompt-ы.

#ParsedReport #CompletenessLow
31-01-2024

When RAR Roared!

https://labs.k7computing.com/index.php/when-rar-roared

Report completeness: Low

Victims:
Users of winrar

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1203, T1486

IOCs:
File: 2
Hash: 1

Algorithms:
zip, base64

Win API:
ShellExecuteExW

Languages:
powershell