#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 3, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Elastic Security Labs обнаружила целенаправленное вторжение в индустрию финансовых услуг в Южной Азии. Группа угроз, стоящая за вторжением, использовала различные инструменты и методы с открытым исходным кодом, такие как обнаружение/перечисление, методы постэксплуатации и туннелирование. Они получили первоначальный доступ с помощью таких методов, как certutil.exe, bitsadmin.exe и метод PowerShell DownloadFile(), и использовали Cobalt Strike для командования и контроля. Злоумышленник также использовал методы боковой загрузки, включил режим ограниченного администрирования и использовал предупреждения о внедрении шеллкода для атак с передачей хэша. Они использовали прокси-инструменты, такие как Rakshasa и ICMP-туннелирование, а также китайскую платформу C2 под названием Supershell panel. Elastic Security Labs проанализировала тактику и методы, используя платформу MITRE ATT&CK framework.
-----

В декабре 2023 года Elastic Security Labs обнаружила целенаправленное вторжение в сферу финансовых услуг в Южной Азии. Группа угроз, стоящая за этим вторжением, использовала разнообразный набор инструментов с открытым исходным кодом и методов последующей эксплуатации. Они занимались такими действиями, как обнаружение/перечисление, использовали внутреннее корпоративное программное обеспечение против жертвы и использовали туннелеры и методы боковой загрузки для выполнения Cobalt Strike. Злоумышленник также использовал файлообменный сервис Mega для извлечения данных из сети.

Первоначальный доступ был получен различными способами, включая использование метода certutil.exe, bitsadmin.exe и PowerShell DownloadFile(). Затем злоумышленник перешел к использованию Cobalt Strike для командования и контроля (C2) и дальнейшего выполнения. Они загрузили вредоносную библиотеку DLL (msvcp140.dll) в законно подписанную версию Trend Micro Deep Security Monitor (ds_monitor.exe). Это позволило им загрузить Cobalt Strike и установить соединение с сервером C2.

Злоумышленник также включил режим ограниченного администрирования посредством модификации реестра, что позволило ему проводить атаки в стиле передачи хэша против протокола удаленного рабочего стола (RDP). Они генерировали предупреждения о внедрении шеллкода с помощью AppLaunch.exe и сохраняли результаты в файле с именем 1.txt. Введенный шелл-код был идентифицирован как двоичный файл Golang под названием iox, предназначенный для переадресации портов и проксирования с возможностью шифрования трафика.

Злоумышленник использовал различные инструменты прокси и методы туннелирования на протяжении всего вторжения. Они использовали прокси, известный как Rakshasa, загруженный с его официальной страницы на GitHub, для создания туннеля, подключающегося к определенным IP-адресам. Они также использовали туннелирование ICMP для отправки и извлечения данных из сети. Кроме того, команда наблюдала за использованием Supershell panel, китайской платформы C2, работающей по определенному IP-адресу.

Методы, наблюдаемые в рамках этой тактики, включали бэкдор-доступ с использованием Microsoft SQL Server, сброс учетных данных, очистку журнала событий, эксфильтрацию с использованием Mega CMD, а также различные сетевые туннелеры и прокси-инструменты.

#ParsedReport #CompletenessMedium
30-01-2024

CrackedCantil: A Malware Symphony Breakdown

https://any.run/cybersecurity-blog/crackedcantil-breakdown

Report completeness: Medium

Threats:
Crackedcantil
Privateloader
Smokeloader
Lumma_stealer
Redline_stealer
Riseprostealer
Amadey
Stealc
Socks5_systemz
Viper
Havoc
Sock5systemz
Vidar_stealer
Raccoon_stealer

Industry:
Chemical

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 50
Url: 6
Path: 30
IP: 40
Domain: 8
Registry: 1
Hash: 8

Soft:
Google Chrome, Chrome, Windows Defender, Task Scheduler, Windows Task Scheduler, Telegram, Mozilla Firefox, NET Framework, Windows Registry

Wallets:
harmony_wallet

Algorithms:
aes-256, md5, base64, salsa20

Languages:
php, powershell

Platforms:
amd64, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основной идеей этого текста является анализ вредоносной программы под названием CrackedCantil, которая состоит из различных компонентов, работающих вместе для выполнения различных вредоносных действий. Вредоносное ПО включает в себя загрузчики, такие как PrivateLoader и Smoke, инфостилеры, такие как Lumma, RedLine, RisePro, Amadey и Stealc, вредоносное ПО для прокси-ботов под названием Socks5Systemz и программу-вымогатель STOP. Автор подчеркивает опасность взломанного программного обеспечения как распространенного средства заражения этой вредоносной программой, выделяя характеристики и поведение каждого компонента, участвующего в этой организованной вредоносной кампании.
-----

В этом сообщении в блоге автор обсуждает недавний случай вредоносного ПО под названием CrackedCantil. Они объясняют, что различные семейства вредоносных программ могут работать вместе скоординированным образом, подобно инструментам в оркестре. Вредоносная программа CrackedCantil включает в себя различные компоненты, такие как загрузчики, инфокрады, криптоминеры, вредоносные программы для прокси-ботов и программы-вымогатели.

Загрузчиками, задействованными в вредоносном ПО CrackedCantil, являются PrivateLoader и Smoke. PrivateLoader известен распространением различных типов вредоносных программ и обычно распространяется через взломанное программное обеспечение. Smoke, с другой стороны, представляет собой модульную вредоносную программу, которая загружает другие вредоносные программы и крадет информацию. Он может имитировать законные процессы и внедрять вредоносный код в системные процессы.

Среди взломщиков вредоносной программы CrackedCantil - Lumma, RedLine, RisePro, Amadey и Stealc. Lumma - это программа для кражи информации, которая нацелена на широкий спектр систем и крадет конфиденциальную информацию, такую как криптовалютные кошельки и учетные данные. RedLine также выступает в роли infostealer и собирает пароли, данные кредитных карт, файлы cookie и многое другое. RisePro - еще одна вредоносная программа для кражи информации, которая крадет информацию о кредитной карте, пароле и крипто-кошельке. Amadey - универсальная вредоносная программа, которая может выступать в качестве загрузчика или инфокрада, выполняя вредоносные действия, такие как разведка и эксфильтрация данных. Stealc, написанный на C, крадет конфиденциальную информацию из браузеров и отправляет ее на сервер управления с помощью HTTP POST-запросов.

Вредоносная программа CrackedCantil также включает в себя вредоносный прокси-бот под названием Socks5Systemz. Эта вредоносная программа заражает устройства через PrivateLoader и Amadey и превращает их в прокси-серверы для перенаправления трафика для вредоносных действий. Он подключается к своему серверу управления с помощью алгоритма генерации домена (DGA).

Наконец, вредоносная программа CrackedCantil использует программу-вымогатель STOP, которая шифрует пользовательские данные и требует выкуп за восстановление. STOP/DJVU, вариант программы-вымогателя STOP, использует AES-256 и Salsa20 для шифрования. Он сотрудничает с вредоносной программой infostealer для кражи конфиденциальной информации перед шифрованием файлов.

Автор подчеркивает опасность взломанного программного обеспечения как распространенного источника заражения для вредоносного ПО CrackedCantil. Они предоставляют подробную информацию о характеристиках и поведении каждого компонента вредоносного ПО, участвующего в этой симфонии вредоносных программ.

#ParsedReport #CompletenessMedium
30-01-2024

Scaly Wolf uses White Snake stealer against Russian industry

https://bi.zone/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti

Report completeness: Medium

Actors/Campaigns:
Scaly_wolf (motivation: cyber_criminal)

Threats:
White_snake
Snake_keylogger
Gozi
Spear-phishing_technique

Victims:
Russian organizations

Industry:
Logistic, Military, Financial, Government

Geo:
Russian, Russia

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 16
IP: 4
Hash: 10
Path: 1
Command: 1

Soft:
Telegram, Chromium

Algorithms:
base64, zip

Functions:
ReadOnly

Languages:
python

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа киберугроз под названием Scaly Wolf проводит фишинговые кампании в России с 2023 года, нацеливаясь на организации в различных отраслях. Они маскируют свои фишинговые электронные письма под запросы российских государственных служб и используют вредоносное ПО под названием White Snake stealer в качестве основной полезной нагрузки. Несмотря на запрет на распространение вредоносного ПО в России и СНГ, Scaly Wolf продолжает модифицировать и использовать его. Их кампании были успешными, подчеркивая необходимость защиты организаций от фишинговых писем.
-----

Группа киберугроз, известная как Scaly Wolf, с лета 2023 года проводит фишинговые кампании, нацеленные на организации в различных отраслях промышленности России, включая производство и логистику. Группа маскировала свои фишинговые электронные письма под запросы российских государственных служб, таких как Роскомнадзор, Следственный комитет Российской Федерации и Военная прокуратура Российской Федерации. В некоторых случаях они также выдаются за коммерческое предложение. Электронные письма написаны правильно и выглядят убедительно, что приводит пользователей к запуску вредоносного файла.

Основной полезной нагрузкой, используемой Scaly Wolf, является вредоносное ПО под названием White Snake stealer, которое впервые было замечено в теневом сегменте Интернета в феврале 2023 года. Stealer распространяется через канал в мессенджере Telegram и может быть арендован за 140 долларов в месяц. Он предназначен для проведения целенаправленных атак и обладает кроссплатформенными возможностями. В Windows он действует как троян удаленного доступа, настраиваемый на основе конфигурации XML и включающий кейлоггер для кражи информации. Успешные атаки с помощью stealer могут предоставлять доступ к корпоративным ресурсам, собирать аутентификационные данные, копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированным устройствам.

Несмотря на запрет на распространение вредоносного ПО в России и СНГ, злоумышленники, подобные Scaly Wolf, находят способы модифицировать и использовать его в этих регионах. Группа известна своим постоянным использованием White Snake stealer и своей тактикой рассылки фишинговых писем, замаскированных под государственные службы. Электронные письма часто содержат защищенный паролем ZIP-архив с паролем, указанным в имени файла архива. Scaly Wolf нацелился на организации под прикрытием Роскомнадзора, Следственного комитета Российской Федерации и Главной военной прокуратуры Российской Федерации.

Кампании группы продолжались и в 2024 году, при этом тематика их фишинговых писем со временем менялась. Они совершали атаки под предлогом судебных постановлений, уголовных расследований и нормативных документов. Постоянный успех этих кампаний указывает на работающую схему и подчеркивает необходимость защиты организаций от фишинговых писем.

#cyberthreattech

Скрестил Google Bard и ChatGPT для автоматической генерации описания группировок по Diamond-модели, на основе корпуса всех собранных отчетов.
Пока пилотирую внутри и собираю инфру вокруг движочка.

Для генерации описания профилей под малварь надо будет немного допилить prompt-ы.

#ParsedReport #CompletenessLow
31-01-2024

When RAR Roared!

https://labs.k7computing.com/index.php/when-rar-roared

Report completeness: Low

Victims:
Users of winrar

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1203, T1486

IOCs:
File: 2
Hash: 1

Algorithms:
zip, base64

Win API:
ShellExecuteExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что уязвимость WinRAR сроком действия 0 дней, известная как CVE-2023-38831, была обнаружена и активно эксплуатировалась участниками угроз. Эта уязвимость позволяет выполнять удаленный код. В открытом доступе было опубликовано доказательство концепции уязвимости, показывающее, что когда пользователь открывает самораспаковывающийся архивный файл в WinRAR, выполняется вредоносный код. Образец, связанный с этой уязвимостью, был загружен на VirusTotal, который запускает программу-вымогатель при открытии в WinRAR. Есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, либо тестовым запуском, проведенным исследователем безопасности для понимания уязвимости.
-----

В августе 2023 года в WinRAR была обнаружена уязвимость сроком действия 0 дней, которая, как было установлено, активно эксплуатировалась несколькими участниками угроз. Эта уязвимость, известная как CVE-2023-38831, допускает удаленное выполнение кода (RCE). Исследователи проследили первоначальное использование этой уязвимости вплоть до апреля 2023 года, и на момент написания этой статьи она все еще эксплуатировалась в дикой природе.

Недавно в открытом доступе появилось доказательство концепции (PoC) для этой уязвимости. При тестировании PoC было замечено, что когда пользователь открывает самораспаковывающийся архивный файл (SFX) с помощью WinRAR и пытается получить доступ к включенному файлу, дважды щелкнув по нему, выполняется вредоносный код. Интересно, что там присутствовал другой каталог с таким же именем, но попытка выполнить то же действие с помощью различных других утилит не привела к таким же результатам. Кроме того, если доступ к файлу осуществляется через кнопку меню просмотра в WinRAR, использование не происходит.

22 ноября 2023 года образец, связанный с этой уязвимостью, был загружен в VirusTotal (VT). Образец, по-видимому, предназначался для энтузиастов безопасности и содержал PDF-файл с именем "Hack_Wifi_with_Kali_Linux.pdf_". Открытие этого файла в WinRAR вызвало запуск программы-вымогателя. Программа-вымогатель зашифровала файлы в каталоге Documents. Образец также включал сценарий PowerShell, содержащий команды для декодирования содержимого другого сценария в кодировке base64 в исполняемый файл с именем "updater.exe". Затем этот файл был запущен для шифрования каталога документов. Основываясь на анализе, есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, проходящей тестирование, либо тестовым запуском, проведенным исследователем безопасности с целью понимания поведения уязвимости.

#ParsedReport #CompletenessMedium
31-01-2024

Pawn Storm Uses Brute Force and Stealth Against High-Value Targets

https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, financially_motivated)
Forest_blizzard

Threats:
Spear-phishing_technique
Cactus

Victims:
High-value individuals, Government departments, Defense industry, Energy industry, Transportation organizations

Industry:
Energy, Military, Financial, Logistic, Transport, Aerospace, Government, Foodtech, Healthcare

Geo:
Asia, America, French, Africa

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1110, T1193, T1190, T1606

IOCs:
IP: 1
Domain: 2
Hash: 2
Path: 1
File: 1

Soft:
EdgeOS, Microsoft Outlook, CactusVPN, PrivateVPN, WorldVPN, VPNSecure, Outlook, SMB server, Microsoft Exchange, mockbin, have more...

Algorithms:
sha256, des

Languages:
php, powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Pawn Storm, продвинутый исполнитель постоянных угроз (APT), использует различные тактики, методы и процедуры (TTP) для нацеливания на ценных людей и организации посредством фишинговых кампаний по электронной почте. Они скомпрометировали тысячи учетных записей электронной почты, сосредоточив внимание на правительственных ведомствах, оборонной промышленности, энергетике, транспорте и других организациях. Pawn Storm использует для своей деятельности такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS. Они использовали уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows, для удаленных атак и компрометации серверов Microsoft Exchange. Группа сохранила свою агрессивность и использует передовые методы скрытности, чтобы затруднить обнаружение. Однако правозащитники могут использовать предоставленные показатели, чтобы проверить, не стала ли их организация мишенью.
-----

Ключевые факты из текста:.

Pawn Storm - это продвинутый агент постоянной угрозы (APT), нацеленный на ценных людей и организации.

Они используют повторяющиеся тактики, методы и процедуры (TTP) в рамках фишинговых кампаний по электронной почте.

Pawn Storm скомпрометировал тысячи учетных записей электронной почты в правительственных ведомствах, оборонной промышленности, энергетике, транспорте и т.д.

Они используют атаки ретрансляции хэша NTLMv2 и изменяют права доступа к папкам для сохранения.

Атаки с использованием учетных данных методом грубой силы используются для взлома систем и адресов электронной почты.

Pawn Storm использует такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS.

Они используют уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows.

Против европейских правительств была развернута кампания по фишингу учетных данных.

Они используют сокращенные URL-адреса и VPN-сервисы, такие как Mullvad, Whoer и IPVanish, для скрытого фишинга.

Pawn Storm использует похитителя информации в качестве вложения, что затрудняет атрибуцию.

Несмотря на сложность обнаружения, защитники могут использовать предоставленные индикаторы для проверки целенаправленных атак.

#ParsedReport #CompletenessLow
31-01-2024

GhostSec Continues to Extend their Support for Cyber Threat Actors and Hacktivists

https://cyble.com/blog/ghostsec-continues-to-extend-their-support-for-cyber-threat-actors-and-hacktivists

Report completeness: Low

Actors/Campaigns:
Ghostsec (motivation: hacktivism)
Threatsec (motivation: hacktivism)
Opisrael
Stormous
Blackforums
Seigedsec

Industry:
Government

Geo:
Poland, Japan, Nigeria, Africa, Montenegro, Ukraine, Russia, Israel, Vietnam, India, Switzerland, Iranian

ChatGPT TTPs:
do not use without manual check
T1492, T1586

Soft:
Telegram, Instagram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хактивистская группа GhostSec запустила два проекта, "Low-Cost-Database" и "WeFreeInternet", направленные на поддержку активистов и хактивистов. Проекты предполагают продажу наборов данных и предоставление бесплатных VPN-сервисов. Однако у GhostSec есть история утечки конфиденциальных данных, что создает потенциальные риски, такие как кража личных данных. Анонимность группы и поддержка вредоносных действий создают проблемы при отслеживании их действий и оценке связанных с ними рисков. Решение этой проблемы требует сотрудничества между правоохранительными органами и сообществами по кибербезопасности для смягчения киберугроз и выявления причастных к ним лиц.
-----

Недавно хактивистская группа GhostSec представила новый проект под названием "Low-Cost-Database", направленный на сбор средств для поддержки активистов и хактивистов, действующих под вымышленными именами или ищущих убежища за свои действия. Telegram-канал проекта уже насчитывает 2676 подписчиков и предложил 28 наборов данных в обмен на суммы от 40 до 70 долларов США. Влияние этих предложений распространяется на организации, базирующиеся в Индии, Японии, Вьетнаме, Черногории, Польше, России, Южной Африке, Швейцарии и Украине.

Кроме того, GhostSec запустила еще один проект под названием "WeFreeInternet", который предлагает бесплатные услуги VPN иранским активистам с планами расширения на другие страны, где доступ в Интернет ограничен правительствами. Хотя GhostSec утверждает, что их деятельность преследует социальные цели, ранее они неоднократно допускали утечку или предоставляли личную информацию (PII). Эти конфиденциальные данные могут быть использованы активистами или мошенниками для кражи личных данных.

GhostSec, самопровозглашенная группа бдительности, связанная с Anonymous collective, действует с 2015 года. Они набрали обороты в 2015 году, когда заявили, что атаковали сотни веб-сайтов и аккаунтов в социальных сетях, связанных с ИГИЛ, якобы предотвращая потенциальные террористические атаки. Группа использует хэштеги, такие как #GhostSec, #GhostSecurity или #OpISIS для продвижения своей деятельности, и участвовала в таких кампаниях, как #opisis против ИГИЛ, #OpNigeria против нигерийских организаций и #OpIsrael против израильских организаций. GhostSec является частью коллектива под названием The Five Families, наряду с ThreatSec, Stormous, BlackForums и SeigedSec. Группа поддерживает присутствие на различных платформах социальных сетей, включая Telegram, Twitter, Instagram, YouTube, BitChute, Medium и Odysee.

Анонимность, поддерживаемая такими группами, как GhostSec, создает проблемы для профессионалов в выявлении и мониторинге их действий, связанных с угрозами. Эти субъекты угроз могут быстро сменить личность, что затрудняет отслеживание их действий и оценку потенциальных рисков, которые они представляют. Поддержка, оказываемая хорошо финансируемыми группами хактивистов, такими как GhostSec, еще больше усугубляет проблему, поощряя вредоносную деятельность и потенциально помогая спонсируемым государством группам в проведении атак.

Решение проблемы анонимных участников угроз требует совместных международных усилий правоохранительных органов и сообществ по кибербезопасности. Объединяя ресурсы и опыт, эти организации могут работать над снижением рисков, связанных с киберугрозами, и выявлением лиц, стоящих за ними.