#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа киберугроз под названием Scaly Wolf проводит фишинговые кампании в России с 2023 года, нацеливаясь на организации в различных отраслях. Они маскируют свои фишинговые электронные письма под запросы российских государственных служб и используют вредоносное ПО под названием White Snake stealer в качестве основной полезной нагрузки. Несмотря на запрет на распространение вредоносного ПО в России и СНГ, Scaly Wolf продолжает модифицировать и использовать его. Их кампании были успешными, подчеркивая необходимость защиты организаций от фишинговых писем.
-----

Группа киберугроз, известная как Scaly Wolf, с лета 2023 года проводит фишинговые кампании, нацеленные на организации в различных отраслях промышленности России, включая производство и логистику. Группа маскировала свои фишинговые электронные письма под запросы российских государственных служб, таких как Роскомнадзор, Следственный комитет Российской Федерации и Военная прокуратура Российской Федерации. В некоторых случаях они также выдаются за коммерческое предложение. Электронные письма написаны правильно и выглядят убедительно, что приводит пользователей к запуску вредоносного файла.

Основной полезной нагрузкой, используемой Scaly Wolf, является вредоносное ПО под названием White Snake stealer, которое впервые было замечено в теневом сегменте Интернета в феврале 2023 года. Stealer распространяется через канал в мессенджере Telegram и может быть арендован за 140 долларов в месяц. Он предназначен для проведения целенаправленных атак и обладает кроссплатформенными возможностями. В Windows он действует как троян удаленного доступа, настраиваемый на основе конфигурации XML и включающий кейлоггер для кражи информации. Успешные атаки с помощью stealer могут предоставлять доступ к корпоративным ресурсам, собирать аутентификационные данные, копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированным устройствам.

Несмотря на запрет на распространение вредоносного ПО в России и СНГ, злоумышленники, подобные Scaly Wolf, находят способы модифицировать и использовать его в этих регионах. Группа известна своим постоянным использованием White Snake stealer и своей тактикой рассылки фишинговых писем, замаскированных под государственные службы. Электронные письма часто содержат защищенный паролем ZIP-архив с паролем, указанным в имени файла архива. Scaly Wolf нацелился на организации под прикрытием Роскомнадзора, Следственного комитета Российской Федерации и Главной военной прокуратуры Российской Федерации.

Кампании группы продолжались и в 2024 году, при этом тематика их фишинговых писем со временем менялась. Они совершали атаки под предлогом судебных постановлений, уголовных расследований и нормативных документов. Постоянный успех этих кампаний указывает на работающую схему и подчеркивает необходимость защиты организаций от фишинговых писем.

#cyberthreattech

Скрестил Google Bard и ChatGPT для автоматической генерации описания группировок по Diamond-модели, на основе корпуса всех собранных отчетов.
Пока пилотирую внутри и собираю инфру вокруг движочка.

Для генерации описания профилей под малварь надо будет немного допилить prompt-ы.

#ParsedReport #CompletenessLow
31-01-2024

When RAR Roared!

https://labs.k7computing.com/index.php/when-rar-roared

Report completeness: Low

Victims:
Users of winrar

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1203, T1486

IOCs:
File: 2
Hash: 1

Algorithms:
zip, base64

Win API:
ShellExecuteExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что уязвимость WinRAR сроком действия 0 дней, известная как CVE-2023-38831, была обнаружена и активно эксплуатировалась участниками угроз. Эта уязвимость позволяет выполнять удаленный код. В открытом доступе было опубликовано доказательство концепции уязвимости, показывающее, что когда пользователь открывает самораспаковывающийся архивный файл в WinRAR, выполняется вредоносный код. Образец, связанный с этой уязвимостью, был загружен на VirusTotal, который запускает программу-вымогатель при открытии в WinRAR. Есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, либо тестовым запуском, проведенным исследователем безопасности для понимания уязвимости.
-----

В августе 2023 года в WinRAR была обнаружена уязвимость сроком действия 0 дней, которая, как было установлено, активно эксплуатировалась несколькими участниками угроз. Эта уязвимость, известная как CVE-2023-38831, допускает удаленное выполнение кода (RCE). Исследователи проследили первоначальное использование этой уязвимости вплоть до апреля 2023 года, и на момент написания этой статьи она все еще эксплуатировалась в дикой природе.

Недавно в открытом доступе появилось доказательство концепции (PoC) для этой уязвимости. При тестировании PoC было замечено, что когда пользователь открывает самораспаковывающийся архивный файл (SFX) с помощью WinRAR и пытается получить доступ к включенному файлу, дважды щелкнув по нему, выполняется вредоносный код. Интересно, что там присутствовал другой каталог с таким же именем, но попытка выполнить то же действие с помощью различных других утилит не привела к таким же результатам. Кроме того, если доступ к файлу осуществляется через кнопку меню просмотра в WinRAR, использование не происходит.

22 ноября 2023 года образец, связанный с этой уязвимостью, был загружен в VirusTotal (VT). Образец, по-видимому, предназначался для энтузиастов безопасности и содержал PDF-файл с именем "Hack_Wifi_with_Kali_Linux.pdf_". Открытие этого файла в WinRAR вызвало запуск программы-вымогателя. Программа-вымогатель зашифровала файлы в каталоге Documents. Образец также включал сценарий PowerShell, содержащий команды для декодирования содержимого другого сценария в кодировке base64 в исполняемый файл с именем "updater.exe". Затем этот файл был запущен для шифрования каталога документов. Основываясь на анализе, есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, проходящей тестирование, либо тестовым запуском, проведенным исследователем безопасности с целью понимания поведения уязвимости.

#ParsedReport #CompletenessMedium
31-01-2024

Pawn Storm Uses Brute Force and Stealth Against High-Value Targets

https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, financially_motivated)
Forest_blizzard

Threats:
Spear-phishing_technique
Cactus

Victims:
High-value individuals, Government departments, Defense industry, Energy industry, Transportation organizations

Industry:
Energy, Military, Financial, Logistic, Transport, Aerospace, Government, Foodtech, Healthcare

Geo:
Asia, America, French, Africa

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1110, T1193, T1190, T1606

IOCs:
IP: 1
Domain: 2
Hash: 2
Path: 1
File: 1

Soft:
EdgeOS, Microsoft Outlook, CactusVPN, PrivateVPN, WorldVPN, VPNSecure, Outlook, SMB server, Microsoft Exchange, mockbin, have more...

Algorithms:
sha256, des

Languages:
php, powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Pawn Storm, продвинутый исполнитель постоянных угроз (APT), использует различные тактики, методы и процедуры (TTP) для нацеливания на ценных людей и организации посредством фишинговых кампаний по электронной почте. Они скомпрометировали тысячи учетных записей электронной почты, сосредоточив внимание на правительственных ведомствах, оборонной промышленности, энергетике, транспорте и других организациях. Pawn Storm использует для своей деятельности такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS. Они использовали уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows, для удаленных атак и компрометации серверов Microsoft Exchange. Группа сохранила свою агрессивность и использует передовые методы скрытности, чтобы затруднить обнаружение. Однако правозащитники могут использовать предоставленные показатели, чтобы проверить, не стала ли их организация мишенью.
-----

Ключевые факты из текста:.

Pawn Storm - это продвинутый агент постоянной угрозы (APT), нацеленный на ценных людей и организации.

Они используют повторяющиеся тактики, методы и процедуры (TTP) в рамках фишинговых кампаний по электронной почте.

Pawn Storm скомпрометировал тысячи учетных записей электронной почты в правительственных ведомствах, оборонной промышленности, энергетике, транспорте и т.д.

Они используют атаки ретрансляции хэша NTLMv2 и изменяют права доступа к папкам для сохранения.

Атаки с использованием учетных данных методом грубой силы используются для взлома систем и адресов электронной почты.

Pawn Storm использует такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS.

Они используют уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows.

Против европейских правительств была развернута кампания по фишингу учетных данных.

Они используют сокращенные URL-адреса и VPN-сервисы, такие как Mullvad, Whoer и IPVanish, для скрытого фишинга.

Pawn Storm использует похитителя информации в качестве вложения, что затрудняет атрибуцию.

Несмотря на сложность обнаружения, защитники могут использовать предоставленные индикаторы для проверки целенаправленных атак.

#ParsedReport #CompletenessLow
31-01-2024

GhostSec Continues to Extend their Support for Cyber Threat Actors and Hacktivists

https://cyble.com/blog/ghostsec-continues-to-extend-their-support-for-cyber-threat-actors-and-hacktivists

Report completeness: Low

Actors/Campaigns:
Ghostsec (motivation: hacktivism)
Threatsec (motivation: hacktivism)
Opisrael
Stormous
Blackforums
Seigedsec

Industry:
Government

Geo:
Poland, Japan, Nigeria, Africa, Montenegro, Ukraine, Russia, Israel, Vietnam, India, Switzerland, Iranian

ChatGPT TTPs:
do not use without manual check
T1492, T1586

Soft:
Telegram, Instagram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хактивистская группа GhostSec запустила два проекта, "Low-Cost-Database" и "WeFreeInternet", направленные на поддержку активистов и хактивистов. Проекты предполагают продажу наборов данных и предоставление бесплатных VPN-сервисов. Однако у GhostSec есть история утечки конфиденциальных данных, что создает потенциальные риски, такие как кража личных данных. Анонимность группы и поддержка вредоносных действий создают проблемы при отслеживании их действий и оценке связанных с ними рисков. Решение этой проблемы требует сотрудничества между правоохранительными органами и сообществами по кибербезопасности для смягчения киберугроз и выявления причастных к ним лиц.
-----

Недавно хактивистская группа GhostSec представила новый проект под названием "Low-Cost-Database", направленный на сбор средств для поддержки активистов и хактивистов, действующих под вымышленными именами или ищущих убежища за свои действия. Telegram-канал проекта уже насчитывает 2676 подписчиков и предложил 28 наборов данных в обмен на суммы от 40 до 70 долларов США. Влияние этих предложений распространяется на организации, базирующиеся в Индии, Японии, Вьетнаме, Черногории, Польше, России, Южной Африке, Швейцарии и Украине.

Кроме того, GhostSec запустила еще один проект под названием "WeFreeInternet", который предлагает бесплатные услуги VPN иранским активистам с планами расширения на другие страны, где доступ в Интернет ограничен правительствами. Хотя GhostSec утверждает, что их деятельность преследует социальные цели, ранее они неоднократно допускали утечку или предоставляли личную информацию (PII). Эти конфиденциальные данные могут быть использованы активистами или мошенниками для кражи личных данных.

GhostSec, самопровозглашенная группа бдительности, связанная с Anonymous collective, действует с 2015 года. Они набрали обороты в 2015 году, когда заявили, что атаковали сотни веб-сайтов и аккаунтов в социальных сетях, связанных с ИГИЛ, якобы предотвращая потенциальные террористические атаки. Группа использует хэштеги, такие как #GhostSec, #GhostSecurity или #OpISIS для продвижения своей деятельности, и участвовала в таких кампаниях, как #opisis против ИГИЛ, #OpNigeria против нигерийских организаций и #OpIsrael против израильских организаций. GhostSec является частью коллектива под названием The Five Families, наряду с ThreatSec, Stormous, BlackForums и SeigedSec. Группа поддерживает присутствие на различных платформах социальных сетей, включая Telegram, Twitter, Instagram, YouTube, BitChute, Medium и Odysee.

Анонимность, поддерживаемая такими группами, как GhostSec, создает проблемы для профессионалов в выявлении и мониторинге их действий, связанных с угрозами. Эти субъекты угроз могут быстро сменить личность, что затрудняет отслеживание их действий и оценку потенциальных рисков, которые они представляют. Поддержка, оказываемая хорошо финансируемыми группами хактивистов, такими как GhostSec, еще больше усугубляет проблему, поощряя вредоносную деятельность и потенциально помогая спонсируемым государством группам в проведении атак.

Решение проблемы анонимных участников угроз требует совместных международных усилий правоохранительных органов и сообществ по кибербезопасности. Объединяя ресурсы и опыт, эти организации могут работать над снижением рисков, связанных с киберугрозами, и выявлением лиц, стоящих за ними.

#ParsedReport #CompletenessMedium
31-01-2024

Tracking 15 Years of Qakbot Development

https://www.zscaler.com/blogs/security-research/tracking-15-years-qakbot-development

Report completeness: Medium

Threats:
Qakbot
Cobalt_strike
Blackbasta
Conti
Prolock
Egregor
Revil
Megacortex
Api_obfuscation_technique
Junk_code_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1060, T1102, T1203, T1112, T1059, T1189, T1041, T1204, T1496, T1071, have more...

IOCs:
File: 41
IP: 35
Hash: 118

Soft:
VirtualBox, QEMU, windump

Algorithms:
base64, xor, rc4, aes, sha256, sha1, crc-32

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Qakbot - это давний и адаптируемый вредоносный троян, который превратился из банковского трояна в мощный инструмент, используемый для развертывания программ-вымогателей и их перемещения по сети. Несмотря на усилия правоохранительных органов по демонтажу своей инфраструктуры, Qakbot продолжает выпускать новые версии. Он использует передовые методы антианализа, развивает свой сетевой протокол и поддерживает модульную конструкцию для легкого добавления функций. Для борьбы с Qakbot и подобными вредоносными программами необходимы постоянные меры по обнаружению угроз и защите.
-----

Qakbot, также известный как QBot или Pinkslipbot, представляет собой вредоносный троян, который работает уже более 15 лет. Он начинался как банковский троян в 2008 году, но превратился в мощный вредоносный имплантат, используемый для перемещения по сети и внедрения программ-вымогателей. Несмотря на то, что правоохранительные органы демонтировали инфраструктуру Qakbot в августе 2023 года, новая версия была выпущена всего несколько месяцев спустя, в декабре 2023 года.

Исполнитель угроз, стоящий за Qakbot, устойчив и инновационен. За прошедшие годы вредоносная программа претерпела значительные изменения, совершенствуя методы антианализа и обходя продукты безопасности. Qakbot является модульным и может загружать плагины для расширения своей функциональности.

В самых ранних версиях Qakbot, помеченных как версия 1.0.0, использовался дроппер со встроенными компонентами, включая вредоносную библиотеку DLL и инструмент для внедрения библиотеки DLL в запущенные процессы. В нем были такие функции, как сервер SOCKS5, кража паролей, сбор файлов cookie и распространение через SMB. В этих ранних версиях даже была функция создания отчетов о сбоях.

В 2011 году Qakbot представил систему управления версиями, начиная с версии 2.0.0, отметив основные этапы разработки. Основной номер версии Qakbot представляет собой трехзначное шестнадцатеричное значение, самой последней версией является 5.0.0. Цель вредоносного ПО сместилась с банковского мошенничества на использование в качестве посредника первоначального доступа для различных разновидностей программ-вымогателей.

Методы антианализа Qakbot со временем эволюционировали, позволяя запутывать важные строки, обходить антивирусное программное обеспечение и динамически разрешать API во время выполнения. В нем были введены нефункциональные блоки кода и реализованы механизмы обнаружения для идентификации сред анализа и изолированных ящиков вредоносных программ.

Qakbot использует HTTP для обмена данными по протоколу command-and-control (C2), но обновил свой сетевой протокол, добавив шифрование, проверку подписи RSA и формат сообщений на основе JSON. Алгоритмы шифрования перешли с RC4 на AES. Инфраструктура C2 также эволюционировала, первоначально используя жестко запрограммированные C2s, а позже включив скомпрометированные системы в качестве прокси-серверов.

В последних версиях дизайн Qakbot стал более модульным, что позволяет динамически добавлять новые функции и поведение, не требуя выпуска новой версии. Ресурсы и информация о конфигурации хранились в разделе ресурсов вредоносного ПО, который со временем шифровался с использованием алгоритмов XOR и RC4.

Qakbot остается постоянной и устойчивой угрозой, о чем свидетельствует его способность адаптироваться и выпускать новые версии. Группа по борьбе с угрозами, стоящая за Qakbot, продолжает обновлять свою кодовую базу, добавляя поддержку 64-разрядной Windows, улучшая алгоритмы шифрования и внедряя больше методов запутывания.

Анализ подчеркивает необходимость постоянного обнаружения угроз и принятия мер защиты от Qakbot и аналогичных вредоносных программ.

#ParsedReport #CompletenessMedium
31-01-2024

ESET takes part in global operation to disrupt the Grandoreiro banking trojan

https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-grandoreiro-banking-trojan

Report completeness: Medium

Threats:
Grandoreiro
Mekotio
Vadokrist
Saint_tool

Industry:
Financial

Geo:
Spain, American, Peru, France, Mexico, Argentina, Portugal, Ukraine, Brazil, Greece

TTPs:
Tactics: 10
Technics: 23

IOCs:
Hash: 4
IP: 13

Soft:
Windows registry, Outlook

Algorithms:
zip, base64, xor

Languages:
delphi, python

Links:
https://github.com/CloudDelphi/RTC-Portal-VCL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ESET сотрудничала с Федеральной полицией Бразилии для уничтожения ботнета Grandoreiro, латиноамериканского банковского трояна. ESET предоставила технический анализ, статистическую информацию и известные данные сервера управления, что позволило идентифицировать и арестовать лиц, причастных к операции Grandoreiro. ESET продолжит отслеживать любую дальнейшую деятельность Grandoreiro.
-----

ESET, компания, занимающаяся кибербезопасностью, сотрудничала с Федеральной полицией Бразилии, чтобы разрушить ботнет Grandoreiro. ESET предоставила технический анализ, статистическую информацию и известные доменные имена и IP-адреса серверов командования и контроля (C&C). Из-за конструктивной ошибки в сетевом протоколе Grandoreiro исследователи ESET смогли получить представление о виктимологии.

Автоматизированные системы ESET обработали десятки тысяч образцов Grandoreiro. Вредоносная программа использовала алгоритм генерации доменов (DGA) для отправки отчетов на свои серверы C&C. DGA генерировал один основной домен и несколько отказоустойчивых доменов в день. Также было обнаружено 105 статических конфигураций. Операторы Grandoreiro использовали облачных провайдеров, таких как Azure и AWS, для размещения своей сетевой инфраструктуры, а исследователи ESET предоставили важные данные для идентификации ответственных учетных записей.

Grandoreiro - это латиноамериканский банковский троян, который активен по крайней мере с 2017 года. Первоначально он был нацелен на Бразилию и Мексику, но распространил свое действие на Испанию, Мексику и Аргентину. Троянец отслеживает процессы в веб-браузере и связывается с сервером C&C при обнаружении окна, связанного с банком. Оператору необходимо вручную взаимодействовать со взломанным компьютером, чтобы украсть деньги. Grandoreiro подвергается частой разработке, регулярно выпускаются новые сборки. Он имеет сходство с другими латиноамериканскими банковскими троянами и ранее использовал уникальный механизм бинарного заполнения.

ESET отслеживает Grandoreiro с конца 2017 года, извлекая информацию о версии, серверах C&C, целевых объектах и конфигурациях DGA. Конфигурация DGA жестко запрограммирована в вредоносном ПО, и разные конфигурации предоставляют разные домены. ESET проанализировала 105 различных конфигураций DGA, при этом 79 из них генерировали домены, которые были преобразованы в активные IP-адреса серверов C&C. Большинство этих доменов зарегистрировано через службу динамического DNS No-IP, а IP-адреса предоставляются облачными провайдерами.

Серверы C&C Grandoreiro предоставляют информацию о подключенных жертвах. Каждая жертва идентифицируется по строке входа при подключении, содержащей информацию о стране, кодовом названии банка и версии. ESET обнаружила, что большинство жертв приходится на Бразилию (41%), за ней следуют Мексика (30%) и Испания (28%). Также было несколько жертв, помеченных как другие страны, что может быть опечаткой или иметь другое значение.

В среднем каждый день к серверам Grandoreiro C&C подключалось 563 жертвы, но это число содержало дубликаты. С учетом новых уникальных жертв среднее значение было рассчитано как 114 в день. ESET также подробно описывает DGA и сетевой протокол, используемые Grandoreiro, включая алгоритм и методы шифрования.

Это сотрудничество между ESET и Федеральной полицией Бразилии привело к выявлению и аресту лиц, причастных к операции Grandoreiro. ESET продолжит отслеживать любую дальнейшую деятельность Grandoreiro после этой операции по сбою.

#ParsedReport #CompletenessLow
31-01-2024

ColdRiver: Russia-Backed APT Tactics with Spica Malware

https://www.secureblink.com/cyber-security-news/cold-river-russia-backed-apt-tactics-with-spica-malware

Report completeness: Low

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage, government_sponsored)

Threats:
Spica

Victims:
High-profile individuals in ngos, Former intelligence and military officials, Nato governments

Industry:
Government, Military, Ngo

Geo:
Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1189, T1553, T1553.002, T1027, T1053, T1041, T1005, T1213, T1083, have more...

IOCs:
File: 1

Soft:
Gmail, Chrome

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4