#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хактивистская группа GhostSec запустила два проекта, "Low-Cost-Database" и "WeFreeInternet", направленные на поддержку активистов и хактивистов. Проекты предполагают продажу наборов данных и предоставление бесплатных VPN-сервисов. Однако у GhostSec есть история утечки конфиденциальных данных, что создает потенциальные риски, такие как кража личных данных. Анонимность группы и поддержка вредоносных действий создают проблемы при отслеживании их действий и оценке связанных с ними рисков. Решение этой проблемы требует сотрудничества между правоохранительными органами и сообществами по кибербезопасности для смягчения киберугроз и выявления причастных к ним лиц.
-----

Недавно хактивистская группа GhostSec представила новый проект под названием "Low-Cost-Database", направленный на сбор средств для поддержки активистов и хактивистов, действующих под вымышленными именами или ищущих убежища за свои действия. Telegram-канал проекта уже насчитывает 2676 подписчиков и предложил 28 наборов данных в обмен на суммы от 40 до 70 долларов США. Влияние этих предложений распространяется на организации, базирующиеся в Индии, Японии, Вьетнаме, Черногории, Польше, России, Южной Африке, Швейцарии и Украине.

Кроме того, GhostSec запустила еще один проект под названием "WeFreeInternet", который предлагает бесплатные услуги VPN иранским активистам с планами расширения на другие страны, где доступ в Интернет ограничен правительствами. Хотя GhostSec утверждает, что их деятельность преследует социальные цели, ранее они неоднократно допускали утечку или предоставляли личную информацию (PII). Эти конфиденциальные данные могут быть использованы активистами или мошенниками для кражи личных данных.

GhostSec, самопровозглашенная группа бдительности, связанная с Anonymous collective, действует с 2015 года. Они набрали обороты в 2015 году, когда заявили, что атаковали сотни веб-сайтов и аккаунтов в социальных сетях, связанных с ИГИЛ, якобы предотвращая потенциальные террористические атаки. Группа использует хэштеги, такие как #GhostSec, #GhostSecurity или #OpISIS для продвижения своей деятельности, и участвовала в таких кампаниях, как #opisis против ИГИЛ, #OpNigeria против нигерийских организаций и #OpIsrael против израильских организаций. GhostSec является частью коллектива под названием The Five Families, наряду с ThreatSec, Stormous, BlackForums и SeigedSec. Группа поддерживает присутствие на различных платформах социальных сетей, включая Telegram, Twitter, Instagram, YouTube, BitChute, Medium и Odysee.

Анонимность, поддерживаемая такими группами, как GhostSec, создает проблемы для профессионалов в выявлении и мониторинге их действий, связанных с угрозами. Эти субъекты угроз могут быстро сменить личность, что затрудняет отслеживание их действий и оценку потенциальных рисков, которые они представляют. Поддержка, оказываемая хорошо финансируемыми группами хактивистов, такими как GhostSec, еще больше усугубляет проблему, поощряя вредоносную деятельность и потенциально помогая спонсируемым государством группам в проведении атак.

Решение проблемы анонимных участников угроз требует совместных международных усилий правоохранительных органов и сообществ по кибербезопасности. Объединяя ресурсы и опыт, эти организации могут работать над снижением рисков, связанных с киберугрозами, и выявлением лиц, стоящих за ними.

#ParsedReport #CompletenessMedium
31-01-2024

Tracking 15 Years of Qakbot Development

https://www.zscaler.com/blogs/security-research/tracking-15-years-qakbot-development

Report completeness: Medium

Threats:
Qakbot
Cobalt_strike
Blackbasta
Conti
Prolock
Egregor
Revil
Megacortex
Api_obfuscation_technique
Junk_code_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1060, T1102, T1203, T1112, T1059, T1189, T1041, T1204, T1496, T1071, have more...

IOCs:
File: 41
IP: 35
Hash: 118

Soft:
VirtualBox, QEMU, windump

Algorithms:
base64, xor, rc4, aes, sha256, sha1, crc-32

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Qakbot - это давний и адаптируемый вредоносный троян, который превратился из банковского трояна в мощный инструмент, используемый для развертывания программ-вымогателей и их перемещения по сети. Несмотря на усилия правоохранительных органов по демонтажу своей инфраструктуры, Qakbot продолжает выпускать новые версии. Он использует передовые методы антианализа, развивает свой сетевой протокол и поддерживает модульную конструкцию для легкого добавления функций. Для борьбы с Qakbot и подобными вредоносными программами необходимы постоянные меры по обнаружению угроз и защите.
-----

Qakbot, также известный как QBot или Pinkslipbot, представляет собой вредоносный троян, который работает уже более 15 лет. Он начинался как банковский троян в 2008 году, но превратился в мощный вредоносный имплантат, используемый для перемещения по сети и внедрения программ-вымогателей. Несмотря на то, что правоохранительные органы демонтировали инфраструктуру Qakbot в августе 2023 года, новая версия была выпущена всего несколько месяцев спустя, в декабре 2023 года.

Исполнитель угроз, стоящий за Qakbot, устойчив и инновационен. За прошедшие годы вредоносная программа претерпела значительные изменения, совершенствуя методы антианализа и обходя продукты безопасности. Qakbot является модульным и может загружать плагины для расширения своей функциональности.

В самых ранних версиях Qakbot, помеченных как версия 1.0.0, использовался дроппер со встроенными компонентами, включая вредоносную библиотеку DLL и инструмент для внедрения библиотеки DLL в запущенные процессы. В нем были такие функции, как сервер SOCKS5, кража паролей, сбор файлов cookie и распространение через SMB. В этих ранних версиях даже была функция создания отчетов о сбоях.

В 2011 году Qakbot представил систему управления версиями, начиная с версии 2.0.0, отметив основные этапы разработки. Основной номер версии Qakbot представляет собой трехзначное шестнадцатеричное значение, самой последней версией является 5.0.0. Цель вредоносного ПО сместилась с банковского мошенничества на использование в качестве посредника первоначального доступа для различных разновидностей программ-вымогателей.

Методы антианализа Qakbot со временем эволюционировали, позволяя запутывать важные строки, обходить антивирусное программное обеспечение и динамически разрешать API во время выполнения. В нем были введены нефункциональные блоки кода и реализованы механизмы обнаружения для идентификации сред анализа и изолированных ящиков вредоносных программ.

Qakbot использует HTTP для обмена данными по протоколу command-and-control (C2), но обновил свой сетевой протокол, добавив шифрование, проверку подписи RSA и формат сообщений на основе JSON. Алгоритмы шифрования перешли с RC4 на AES. Инфраструктура C2 также эволюционировала, первоначально используя жестко запрограммированные C2s, а позже включив скомпрометированные системы в качестве прокси-серверов.

В последних версиях дизайн Qakbot стал более модульным, что позволяет динамически добавлять новые функции и поведение, не требуя выпуска новой версии. Ресурсы и информация о конфигурации хранились в разделе ресурсов вредоносного ПО, который со временем шифровался с использованием алгоритмов XOR и RC4.

Qakbot остается постоянной и устойчивой угрозой, о чем свидетельствует его способность адаптироваться и выпускать новые версии. Группа по борьбе с угрозами, стоящая за Qakbot, продолжает обновлять свою кодовую базу, добавляя поддержку 64-разрядной Windows, улучшая алгоритмы шифрования и внедряя больше методов запутывания.

Анализ подчеркивает необходимость постоянного обнаружения угроз и принятия мер защиты от Qakbot и аналогичных вредоносных программ.

#ParsedReport #CompletenessMedium
31-01-2024

ESET takes part in global operation to disrupt the Grandoreiro banking trojan

https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-grandoreiro-banking-trojan

Report completeness: Medium

Threats:
Grandoreiro
Mekotio
Vadokrist
Saint_tool

Industry:
Financial

Geo:
Spain, American, Peru, France, Mexico, Argentina, Portugal, Ukraine, Brazil, Greece

TTPs:
Tactics: 10
Technics: 23

IOCs:
Hash: 4
IP: 13

Soft:
Windows registry, Outlook

Algorithms:
zip, base64, xor

Languages:
delphi, python

Links:
https://github.com/CloudDelphi/RTC-Portal-VCL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ESET сотрудничала с Федеральной полицией Бразилии для уничтожения ботнета Grandoreiro, латиноамериканского банковского трояна. ESET предоставила технический анализ, статистическую информацию и известные данные сервера управления, что позволило идентифицировать и арестовать лиц, причастных к операции Grandoreiro. ESET продолжит отслеживать любую дальнейшую деятельность Grandoreiro.
-----

ESET, компания, занимающаяся кибербезопасностью, сотрудничала с Федеральной полицией Бразилии, чтобы разрушить ботнет Grandoreiro. ESET предоставила технический анализ, статистическую информацию и известные доменные имена и IP-адреса серверов командования и контроля (C&C). Из-за конструктивной ошибки в сетевом протоколе Grandoreiro исследователи ESET смогли получить представление о виктимологии.

Автоматизированные системы ESET обработали десятки тысяч образцов Grandoreiro. Вредоносная программа использовала алгоритм генерации доменов (DGA) для отправки отчетов на свои серверы C&C. DGA генерировал один основной домен и несколько отказоустойчивых доменов в день. Также было обнаружено 105 статических конфигураций. Операторы Grandoreiro использовали облачных провайдеров, таких как Azure и AWS, для размещения своей сетевой инфраструктуры, а исследователи ESET предоставили важные данные для идентификации ответственных учетных записей.

Grandoreiro - это латиноамериканский банковский троян, который активен по крайней мере с 2017 года. Первоначально он был нацелен на Бразилию и Мексику, но распространил свое действие на Испанию, Мексику и Аргентину. Троянец отслеживает процессы в веб-браузере и связывается с сервером C&C при обнаружении окна, связанного с банком. Оператору необходимо вручную взаимодействовать со взломанным компьютером, чтобы украсть деньги. Grandoreiro подвергается частой разработке, регулярно выпускаются новые сборки. Он имеет сходство с другими латиноамериканскими банковскими троянами и ранее использовал уникальный механизм бинарного заполнения.

ESET отслеживает Grandoreiro с конца 2017 года, извлекая информацию о версии, серверах C&C, целевых объектах и конфигурациях DGA. Конфигурация DGA жестко запрограммирована в вредоносном ПО, и разные конфигурации предоставляют разные домены. ESET проанализировала 105 различных конфигураций DGA, при этом 79 из них генерировали домены, которые были преобразованы в активные IP-адреса серверов C&C. Большинство этих доменов зарегистрировано через службу динамического DNS No-IP, а IP-адреса предоставляются облачными провайдерами.

Серверы C&C Grandoreiro предоставляют информацию о подключенных жертвах. Каждая жертва идентифицируется по строке входа при подключении, содержащей информацию о стране, кодовом названии банка и версии. ESET обнаружила, что большинство жертв приходится на Бразилию (41%), за ней следуют Мексика (30%) и Испания (28%). Также было несколько жертв, помеченных как другие страны, что может быть опечаткой или иметь другое значение.

В среднем каждый день к серверам Grandoreiro C&C подключалось 563 жертвы, но это число содержало дубликаты. С учетом новых уникальных жертв среднее значение было рассчитано как 114 в день. ESET также подробно описывает DGA и сетевой протокол, используемые Grandoreiro, включая алгоритм и методы шифрования.

Это сотрудничество между ESET и Федеральной полицией Бразилии привело к выявлению и аресту лиц, причастных к операции Grandoreiro. ESET продолжит отслеживать любую дальнейшую деятельность Grandoreiro после этой операции по сбою.

#ParsedReport #CompletenessLow
31-01-2024

ColdRiver: Russia-Backed APT Tactics with Spica Malware

https://www.secureblink.com/cyber-security-news/cold-river-russia-backed-apt-tactics-with-spica-malware

Report completeness: Low

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage, government_sponsored)

Threats:
Spica

Victims:
High-profile individuals in ngos, Former intelligence and military officials, Nato governments

Industry:
Government, Military, Ngo

Geo:
Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1189, T1553, T1553.002, T1027, T1053, T1041, T1005, T1213, T1083, have more...

IOCs:
File: 1

Soft:
Gmail, Chrome

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что поддерживаемая Россией APT-группа под названием ColdRiver изменила свою тактику, внедрив пользовательскую вредоносную программу под названием "Spica", отказавшись от своего прежнего фокуса на фишинге учетных данных. Группа анализа угроз Google (TAG) отслеживает деятельность ColdRiver и предоставляет информацию об их развивающихся методах. ColdRiver нацелен на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительств стран НАТО. Теперь они распространяют вредоносное ПО с помощью поддельных PDF-документов и тактики олицетворения. Вредоносная программа Spica, написанная на Rust, позволяет выполнять различные вредоносные действия, такие как выполнение команд оболочки, кража файлов cookie браузера и эксфильтрация документов. TAG рекомендует активные меры безопасности против ColdRiver и предоставляет инструменты обнаружения, включая правила YARA.
-----

ColdRiver, поддерживаемая Россией группа advanced persistent threat (APT), недавно изменила свою тактику, представив пользовательскую вредоносную программу под названием "Spica". Это знаменует собой значительный отход от их традиционных методов фишинга учетных данных. Группа анализа угроз Google (TAG) активно отслеживает действия ColdRiver и предоставляет информацию об их развивающихся методах.

ColdRiver в первую очередь нацелен на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительства стран НАТО. В прошлом они фокусировались на фишинге учетных данных, но теперь они расширили свои возможности по распространению вредоносного ПО, в частности, используя PDF-файлы в качестве документов-приманки.

Чтобы установить доверие, ColdRiver выдает себя за экспертов или частных лиц, связанных с целью. Недавно они применили сложную тактику, при которой целевым пользователям доставляются доброкачественные PDF-файлы, представленные в виде обзоров или статей. Если целевой объект не может расшифровать содержимое, ему отправляется ссылка на утилиту "дешифрования", которая фактически вводит бэкдор Spica.

Spica написана на Rust и использует JSON через websockets для управления. После выполнения она декодирует встроенный PDF-файл, настраивает сохранение и подключается к серверу управления. Вредоносная программа также использует запутанную команду PowerShell для сохранения.

Вредоносная программа Spica универсальна, позволяя злоумышленникам выполнять произвольные команды оболочки, красть файлы cookie из различных браузеров, загружать файлы, просматривать файловую систему и перечислять документы для эксфильтрации. Существует множество вариантов Spica, что указывает на непрерывную эволюцию ColdRiver.

Хотя Spica впервые была замечена TAG в сентябре 2023 года, ее использование, вероятно, датируется ноябрем 2022 года. Вредоносная программа, идентифицированная как "Proton-decrypter.exe", была активна примерно в августе и сентябре 2023 года. TAG подозревает существование нескольких версий Spica, каждая из которых содержит различные встроенные документы-приманки.

Изменение тактики ColdRiver указывает на их стремление к более широким возможностям, выходящим за рамки фишинга. Их целями являются Украина, страны НАТО, академические учреждения и НПО. TAG подчеркивает ограниченное и целенаправленное использование Spica, что согласуется с устоявшейся тактикой ColdRiver.

Для противодействия угрозе ColdRiver TAG предлагает упреждающие меры безопасности. Домены, веб-сайты и файлы, связанные с угрозой, добавляются в списки блокировки безопасного просмотра. Пользователи Gmail и Workspace, на которых нацелены поддерживаемые правительством злоумышленники, получают оповещения, позволяющие включить расширенный безопасный просмотр в Chrome и обеспечить обновление устройств.

TAG предоставляет правило YARA для обнаружения бэкдора Spica, которое помогает специалистам по кибербезопасности выявлять и смягчать потенциальные угрозы.

#ParsedReport #CompletenessMedium
31-01-2024

ApateWeb: An Evasive Large-Scale Scareware and PUP Delivery Campaign

https://unit42.paloaltonetworks.com/apateweb-scareware-pup-delivery-campaign

Report completeness: Medium

Actors/Campaigns:
Apateweb (motivation: cyber_criminal)

Threats:
Cloaking_technique

Industry:
Telco, Financial

Geo:
Apac, Asia, Emea, America, Japanese, Greek, Japan

ChatGPT TTPs:
do not use without manual check
T1140, T1204, T1059.007, T1568.002, T1189, T1574.008, T1566.001, T1553.005, T1090.004

IOCs:
Domain: 12
IP: 10
Hash: 1

Languages:
perl, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи обнаружили крупномасштабную кампанию под названием ApateWeb, которая распространяет вредоносное ПО, потенциально нежелательные программы (PUPs) и другие мошеннические страницы. Кампания использует вводящие в заблуждение электронные письма и JavaScript, встроенные в страницы веб-сайтов, для перенаправления трафика на их вредоносный контент. ApateWeb использует различные тактики обхода, чтобы избежать обнаружения, и оказала значительное влияние на интернет-пользователей. Кампания работает на трех уровнях перенаправления, причем последний уровень доставляет вредоносную полезную нагрузку. ApateWeb использует такие меры предосторожности, как перенаправление на поисковые системы, отображение страниц с ошибками и злоупотребление DNS с подстановочными знаками. Большинство доменов, связанных с кампанией, контролируются одним субъектом угрозы. Palo Alto Networks поделилась этой информацией с Альянсом по борьбе с киберугрозами, чтобы принять меры против ApateWeb.
-----

ApateWeb - это крупномасштабная кампания, использующая более 130 000 доменов для распространения вредоносных программ, PUPs и мошеннических страниц.

Выявленные уязвимости включают рекламные программы и вредоносные расширения для браузера.

ApateWeb использует вводящие в заблуждение электронные письма и JavaScript, встроенные в веб-сайты, для перенаправления трафика на вредоносный контент.

Кампания использует тактику уклонения, такую как маскировка и злоупотребление подстановочными знаками DNS, чтобы избежать обнаружения.

ApateWeb активен с 2022 года, а с августа 2022 года наблюдается рост активности.

В кампании используются три уровня перенаправления: уровень 1, уровень 2 и уровень 3.

Уровень 1 служит точкой входа, уровень 2 генерирует промежуточные перенаправления, а уровень 3 доставляет вредоносную полезную нагрузку.

Кампания защищает себя, перенаправляя на поисковые системы, отображая страницы с ошибками и используя DNS с подстановочными знаками.

Каждое посещение веб-сайта ApateWeb отслеживается с помощью уникального идентификатора, присвоенного централизованным сервером.

Большинство доменов ApateWeb контролируются одним субъектом угрозы.

Уровень 3 ведет к странице, на которой размещаются различные вредоносные программы, включая PUPs, scareware и мошеннические уведомления.

ApateWeb генерирует трафик с помощью встроенных скриптов на веб-сайтах и вводящих в заблуждение электронных писем.

Palo Alto Networks поделилась информацией с Альянсом по борьбе с киберугрозами, чтобы нарушить работу ApateWeb.

#ParsedReport #CompletenessHigh
31-01-2024

Evolution of UNC4990: Uncovering USB Malware's Hidden Depths. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware

Report completeness: High

Actors/Campaigns:
Unc4990 (motivation: financially_motivated)

Threats:
Yash_rat
Ars_loader
Vetta_loader
Quietboard
Beacon
Screen_shotting_technique

Victims:
Users based in italy, Organizations located in italy, europe, and the u.s

Industry:
Transport, Financial, Logistic, Education, Healthcare

Geo:
Korean, Italy, Italian

TTPs:

IOCs:
Command: 3
Path: 4
Hash: 13
File: 15
Url: 27
Registry: 1
Coin: 1
Domain: 2

Soft:
Node.js, Unix

Wallets:
yoroi

Crypto:
monero, ethereum, dogecoin, bitcoin

Algorithms:
aes, zip, aes-256-cbc, sha256, base64, cbc

Languages:
powershell, php, javascript, python

Platforms:
x86

Links:
https://github.com/nexe/nexe

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что субъект угроз по имени UNC4990 нацелен на пользователей в Италии с целью получения финансовой выгоды. Они действуют с 2020 года и со временем развили свои инструменты и тактику. UNC4990 использует USB-устройства и вредоносные файлы ярлыков LNK для первоначального заражения. Они используют загрузчик под названием EMPTYSPACE, который взаимодействует с командно-контрольным сервером и загружает полезные исполняемые файлы. Кроме того, они используют бэкдор на базе Python под названием QUIETBOARD для различных вредоносных действий. UNC4990 работает в основном в Италии и нацелен на организации в Европе и США. Анализ подчеркивает их модульный подход к разработке инструментов и их готовность экспериментировать и адаптироваться, чтобы избежать обнаружения.
-----

UNC4990 - это изощренный исполнитель угроз, который в первую очередь нацелен на пользователей в Италии с целью получения финансовой выгоды. Они действуют как минимум с 2020 года и со временем развили свои инструменты и тактику. UNC4990 использует USB-устройства для первоначального заражения, при этом жертвы дважды щелкают вредоносные файлы ярлыков LNK на этих устройствах. Файлы обычно называются в честь производителя USB-устройства или метки диска. При выполнении запускается сценарий PowerShell с именем explorer.ps1.

Скрипт explorer.ps1 загружает и декодирует загрузчик под названием EMPTYSPACE, также известный как VETTA Loader и BrokerLoader. Этот загрузчик взаимодействует со своим сервером управления по протоколу HTTP и загружает и выполняет исполняемую полезную нагрузку. UNC4990 использовал популярные веб-сайты, такие как Ars Technica, GitHub, GitLab и Vimeo, для размещения полезной нагрузки, но эти сервисы не используются и не скомпрометированы.

Загрузчик EMPTYSPACE имеет несколько вариантов, написанных на Node.js, .NET, Python и даже Go. Один вариант скомпилирован с использованием nexe и включает в себя Node.js runtime версию 12.9.1. Загрузчик выполняет поиск съемных USB-накопителей с определенным символом каталога в Юникоде и, если найден, продолжает использовать его функциональность. Он может устанавливать значения реестра и запускаться как процесс с повышенными правами для связи с сервером управления. Загрузчик также может удалять пакетные файлы и выполнять их как процесс с повышенными правами.

Другой вариант EMPTYSPACE - это запутанный загрузчик на базе .NET с возможностью перезапуска с повышенными привилегиями и удаления загруженных полезных файлов. Он передает системную информацию серверу управления и ожидает аргументы командной строки для определенных действий.

UNC4990 также использует бэкдор на базе Python под названием QUIETBOARD, который обладает различными возможностями, включая выполнение произвольных команд, кражу криптовалюты, заражение USB, создание скриншотов, сбор системной информации и связь с сервером управления. QUIETBOARD является модульной и может запускать независимый код / модули на основе Python.

Mandiant Managed Defense выявила множество случаев атаки UNC4990 на организации в Италии, но базирующиеся в Европе и США, в различных отраслях промышленности. Субъект угрозы, по-видимому, действует за пределами Италии, основываясь на широком использовании итальянской инфраструктуры. Операции UNC4990 связаны с широко распространенным заражением USB, за которым следует развертывание загрузчика EMPTYSPACE. В некоторых случаях Mandiant наблюдал за развертыванием coinminer после периода бездействия, что указывает на гибкие цели UNC4990.

Анализ также показывает, как UNC4990 использовали модульный подход при разработке своих инструментов: QUIETBOARD и различные версии загрузчика EMPTYSPACE демонстрируют расширенную функциональность и управление версиями. Исполнитель угроз демонстрирует готовность экспериментировать и адаптироваться, используя несколько языков программирования и изменяя URL-адреса в зависимости от инцидентов с удалением.

#ParsedReport #CompletenessMedium
31-01-2024

Meet AZORult Stealer: High Risk, Open Source & Evolving. AZORult Delivery Methods

https://cyberint.com/blog/other/meet-azorult-stealer-high-risk-open-source-evolving

Report completeness: Medium

Actors/Campaigns:
Gorgon (motivation: cyber_criminal)

Threats:
Azorult
Ramnit
Chthonic
Redline_stealer
Whispergate
Supply_chain_technique
Process_hollowing_technique
Credential_dumping_technique

Industry:
Government, Telco, Financial

Geo:
Ukrainian, Spain, Russia

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 2
Domain: 1

Soft:
Telegram, Microsoft Office

Algorithms:
xor, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что AZORult - это очень опасный вирус троянского типа, который превратился в бесплатную программу с открытым исходным кодом. Это известный во всем мире вирус-похититель, известный сбором личных данных из зараженных систем. Вредоносная программа использует различные методы доставки, постоянно развивается и может быть использована для доставки других полезных вредоносных программ. Первоначальные операторы AZORult, связанные с Gorgon group, нацелились на правительственные организации в нескольких странах. Последствия атак AZORult могут быть значительными, включая компрометацию финансовых счетов, кражу личной информации, удаленное управление устройствами и атаки программ-вымогателей. Cyberint является рекомендуемым поставщиком услуг кибербезопасности для защиты от этих рисков.
-----

AZORult stealer - это вирус троянского типа, который был впервые обнаружен в 2016 году, но с тех пор превратился в бесплатную программу с открытым исходным кодом. Он рассматривается как вредоносное ПО высокого риска, предназначенное для сбора личных данных. За последние годы AZORult стала одним из самых доминирующих угонщиков во всем мире и заняла место в топ-5 угонщиков.

Вредоносное ПО использует различные способы доставки, включая фишинговые электронные письма с вводящим в заблуждение текстом, защищенные паролем офисные документы с вредоносными макросами, рекламное ПО и другие вредоносные программы. Оно может распространяться через загрузчики, такие как Ramnit и Seamless. Загрузчик загружает AZORult в обратном порядке байтов, маскируя его под изображение в формате BMP, чтобы избежать обнаружения. Вредоносная программа постоянно развивается, и модифицированные версии можно найти на известных форумах Darkweb и вредоносных каналах Telegram.

Панель управления (C2) AZORult содержит различные ресурсы, включая панель администратора, гостевой администратор, файл конфигурации JSON и отображение жертвы. Открытый файл конфигурации JSON определяет фокус похитителя на зараженном хосте. C2s активны в течение относительно короткого промежутка времени, прежде чем прекратить свою активность.

Первоначальные операторы AZORult, известные как Subaat, являются частью более крупной группы под названием Gorgon. Группа Gorgon нацелилась на правительственные организации в Соединенном Королевстве, Испании, России и Соединенных Штатах.

AZORult может использоваться в качестве загрузчика троянских программ для доставки других полезных вредоносных программ. Он может устанавливать соединения по протоколу удаленного рабочего стола (RDP) для получения полного контроля над зараженными системами. Последствия атак AZORult могут быть значительными, включая взлом финансовых аккаунтов, кражу личной информации, удаленное управление устройствами и даже запуск программ-вымогателей.

Загрузчик для AZORult написан на C# .NET и взаимодействует с C2 для получения конфигурации и основной полезной нагрузки. Полезная нагрузка загружается по указанному URL-адресу и выполняется для удаления украденных файлов с зараженного хоста. Полезная нагрузка взаимодействует с C2 с помощью последовательных POST-запросов, и ответ содержит закодированную конфигурацию с каталогами для извлечения данных.

Загрузчик содержит жестко запрограммированный домен, который удаляет DLL-файл для извлечения данных. Домен принадлежит украинскому провайдеру, который является типичной инфраструктурой для вредоносных программ C2s. Существуют также связанные с почтой поддомены и дополнительные IP-адреса, которые могут быть частью вредоносной инфраструктуры.

Клиенты могут положиться на Cyberint, надежного поставщика услуг кибербезопасности, для защиты от внешних рисков, таких как уязвимости, фишинг, заражение вредоносными программами, утечки данных и многое другое. Их услугами пользуются компании из списка Fortune 500 в различных отраслях.

#cyberthreattech
Пока получается вот такой профиль генерить на базе отчетов с 2022 года. С разделом про инфру еще надо поработать и допилить prompt.

ХАКЕРСКАЯ ГРУППА VOLT TYPHOON

ADVERSARY
Происхождение: Считается, что хакерская группа Volt Typhoon базируется в Китае. Этот вывод подтверждается множеством факторов, таких как использование китайского языка в некоторых образцах вредоносных программ, приписываемых группе, их нацеливание на организации в Соединенных Штатах и других странах, имеющих тесные связи с Китаем, а также использование методов и инфраструктуры, совместимых с другими участниками угроз, спонсируемыми китайским государством.
Мотивы: Основные мотивы Volt Typhoon, по-видимому, сосредоточены на шпионаже с желанием собрать конфиденциальную информацию от организаций критической инфраструктуры в Соединенных Штатах и Азии. Эта информация может быть использована для получения экономической выгоды, политического влияния или стратегического преимущества. Кроме того, кража интеллектуальной собственности также является возможной целью получения конкурентного преимущества или компрометации чувствительных технологий.
Временная шкала: Исполнитель угрозы тайфуна Volt активен по меньшей мере с 2021 года, хотя считается, что он действовал под различными псевдонимами с 2006 года. Группа проводила кампании, нацеленные на телекоммуникационные компании в США и Европе, производственные компании в Китае и правительственные учреждения во многих странах.

INFRASTRUCTURE
Вредоносные программы и инструменты: Volt Typhoon использует целый ряд сложных инструментов и техник для своей вредоносной деятельности. Некоторые из известных вредоносных программ и инструментов, связанных с группой, включают в себя развертывание вредоносных программ на заказ, методы living off the land (LotL), инструменты сбора учетных данных, фишинговые электронные письма, уязвимости программного и аппаратного обеспечения, а также скомпрометированные устройства SOHO (small office/home office). Также было замечено, что они используют пользовательские каналы командования и контроля (C2) для поддержания контроля над скомпрометированными системами.

CAPABILITY
Навыки и техники: Volt Typhoon демонстрирует высокий уровень мастерства и изощренности в проведении кибератак. Они владеют такими методами разведки, как точечный фишинг и социальная инженерия, для сбора информации о своих целях. Они преуспевают в использовании уязвимостей программного и аппаратного обеспечения, включая уязвимости нулевого дня. Они демонстрируют навыки бокового перемещения в скомпрометированных сетях, используя такие методы, как "передача хэша", чтобы получить доступ к нескольким системам. Volt Typhoon также обладает опытом в извлечении данных из скомпрометированных систем, часто используя специальные инструменты шифрования и передачи.

TARGET
Страны и секторы промышленности: В число пострадавших стран входят Соединенные Штаты, Гуам, Европа и Азия. Отраслевые секторы, на которые нацелена группа, включают коммуникации, производство, коммунальные услуги, транспорт, строительство, морское судоходство, государственное управление, информационные технологии, образование, финансы, здравоохранение и розничную торговлю. Особый интерес для Volt Typhoon представляют организации критической инфраструктуры в Соединенных Штатах и Азии.