#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что субъект угроз по имени UNC4990 нацелен на пользователей в Италии с целью получения финансовой выгоды. Они действуют с 2020 года и со временем развили свои инструменты и тактику. UNC4990 использует USB-устройства и вредоносные файлы ярлыков LNK для первоначального заражения. Они используют загрузчик под названием EMPTYSPACE, который взаимодействует с командно-контрольным сервером и загружает полезные исполняемые файлы. Кроме того, они используют бэкдор на базе Python под названием QUIETBOARD для различных вредоносных действий. UNC4990 работает в основном в Италии и нацелен на организации в Европе и США. Анализ подчеркивает их модульный подход к разработке инструментов и их готовность экспериментировать и адаптироваться, чтобы избежать обнаружения.
-----

UNC4990 - это изощренный исполнитель угроз, который в первую очередь нацелен на пользователей в Италии с целью получения финансовой выгоды. Они действуют как минимум с 2020 года и со временем развили свои инструменты и тактику. UNC4990 использует USB-устройства для первоначального заражения, при этом жертвы дважды щелкают вредоносные файлы ярлыков LNK на этих устройствах. Файлы обычно называются в честь производителя USB-устройства или метки диска. При выполнении запускается сценарий PowerShell с именем explorer.ps1.

Скрипт explorer.ps1 загружает и декодирует загрузчик под названием EMPTYSPACE, также известный как VETTA Loader и BrokerLoader. Этот загрузчик взаимодействует со своим сервером управления по протоколу HTTP и загружает и выполняет исполняемую полезную нагрузку. UNC4990 использовал популярные веб-сайты, такие как Ars Technica, GitHub, GitLab и Vimeo, для размещения полезной нагрузки, но эти сервисы не используются и не скомпрометированы.

Загрузчик EMPTYSPACE имеет несколько вариантов, написанных на Node.js, .NET, Python и даже Go. Один вариант скомпилирован с использованием nexe и включает в себя Node.js runtime версию 12.9.1. Загрузчик выполняет поиск съемных USB-накопителей с определенным символом каталога в Юникоде и, если найден, продолжает использовать его функциональность. Он может устанавливать значения реестра и запускаться как процесс с повышенными правами для связи с сервером управления. Загрузчик также может удалять пакетные файлы и выполнять их как процесс с повышенными правами.

Другой вариант EMPTYSPACE - это запутанный загрузчик на базе .NET с возможностью перезапуска с повышенными привилегиями и удаления загруженных полезных файлов. Он передает системную информацию серверу управления и ожидает аргументы командной строки для определенных действий.

UNC4990 также использует бэкдор на базе Python под названием QUIETBOARD, который обладает различными возможностями, включая выполнение произвольных команд, кражу криптовалюты, заражение USB, создание скриншотов, сбор системной информации и связь с сервером управления. QUIETBOARD является модульной и может запускать независимый код / модули на основе Python.

Mandiant Managed Defense выявила множество случаев атаки UNC4990 на организации в Италии, но базирующиеся в Европе и США, в различных отраслях промышленности. Субъект угрозы, по-видимому, действует за пределами Италии, основываясь на широком использовании итальянской инфраструктуры. Операции UNC4990 связаны с широко распространенным заражением USB, за которым следует развертывание загрузчика EMPTYSPACE. В некоторых случаях Mandiant наблюдал за развертыванием coinminer после периода бездействия, что указывает на гибкие цели UNC4990.

Анализ также показывает, как UNC4990 использовали модульный подход при разработке своих инструментов: QUIETBOARD и различные версии загрузчика EMPTYSPACE демонстрируют расширенную функциональность и управление версиями. Исполнитель угроз демонстрирует готовность экспериментировать и адаптироваться, используя несколько языков программирования и изменяя URL-адреса в зависимости от инцидентов с удалением.

#ParsedReport #CompletenessMedium
31-01-2024

Meet AZORult Stealer: High Risk, Open Source & Evolving. AZORult Delivery Methods

https://cyberint.com/blog/other/meet-azorult-stealer-high-risk-open-source-evolving

Report completeness: Medium

Actors/Campaigns:
Gorgon (motivation: cyber_criminal)

Threats:
Azorult
Ramnit
Chthonic
Redline_stealer
Whispergate
Supply_chain_technique
Process_hollowing_technique
Credential_dumping_technique

Industry:
Government, Telco, Financial

Geo:
Ukrainian, Spain, Russia

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 2
Domain: 1

Soft:
Telegram, Microsoft Office

Algorithms:
xor, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что AZORult - это очень опасный вирус троянского типа, который превратился в бесплатную программу с открытым исходным кодом. Это известный во всем мире вирус-похититель, известный сбором личных данных из зараженных систем. Вредоносная программа использует различные методы доставки, постоянно развивается и может быть использована для доставки других полезных вредоносных программ. Первоначальные операторы AZORult, связанные с Gorgon group, нацелились на правительственные организации в нескольких странах. Последствия атак AZORult могут быть значительными, включая компрометацию финансовых счетов, кражу личной информации, удаленное управление устройствами и атаки программ-вымогателей. Cyberint является рекомендуемым поставщиком услуг кибербезопасности для защиты от этих рисков.
-----

AZORult stealer - это вирус троянского типа, который был впервые обнаружен в 2016 году, но с тех пор превратился в бесплатную программу с открытым исходным кодом. Он рассматривается как вредоносное ПО высокого риска, предназначенное для сбора личных данных. За последние годы AZORult стала одним из самых доминирующих угонщиков во всем мире и заняла место в топ-5 угонщиков.

Вредоносное ПО использует различные способы доставки, включая фишинговые электронные письма с вводящим в заблуждение текстом, защищенные паролем офисные документы с вредоносными макросами, рекламное ПО и другие вредоносные программы. Оно может распространяться через загрузчики, такие как Ramnit и Seamless. Загрузчик загружает AZORult в обратном порядке байтов, маскируя его под изображение в формате BMP, чтобы избежать обнаружения. Вредоносная программа постоянно развивается, и модифицированные версии можно найти на известных форумах Darkweb и вредоносных каналах Telegram.

Панель управления (C2) AZORult содержит различные ресурсы, включая панель администратора, гостевой администратор, файл конфигурации JSON и отображение жертвы. Открытый файл конфигурации JSON определяет фокус похитителя на зараженном хосте. C2s активны в течение относительно короткого промежутка времени, прежде чем прекратить свою активность.

Первоначальные операторы AZORult, известные как Subaat, являются частью более крупной группы под названием Gorgon. Группа Gorgon нацелилась на правительственные организации в Соединенном Королевстве, Испании, России и Соединенных Штатах.

AZORult может использоваться в качестве загрузчика троянских программ для доставки других полезных вредоносных программ. Он может устанавливать соединения по протоколу удаленного рабочего стола (RDP) для получения полного контроля над зараженными системами. Последствия атак AZORult могут быть значительными, включая взлом финансовых аккаунтов, кражу личной информации, удаленное управление устройствами и даже запуск программ-вымогателей.

Загрузчик для AZORult написан на C# .NET и взаимодействует с C2 для получения конфигурации и основной полезной нагрузки. Полезная нагрузка загружается по указанному URL-адресу и выполняется для удаления украденных файлов с зараженного хоста. Полезная нагрузка взаимодействует с C2 с помощью последовательных POST-запросов, и ответ содержит закодированную конфигурацию с каталогами для извлечения данных.

Загрузчик содержит жестко запрограммированный домен, который удаляет DLL-файл для извлечения данных. Домен принадлежит украинскому провайдеру, который является типичной инфраструктурой для вредоносных программ C2s. Существуют также связанные с почтой поддомены и дополнительные IP-адреса, которые могут быть частью вредоносной инфраструктуры.

Клиенты могут положиться на Cyberint, надежного поставщика услуг кибербезопасности, для защиты от внешних рисков, таких как уязвимости, фишинг, заражение вредоносными программами, утечки данных и многое другое. Их услугами пользуются компании из списка Fortune 500 в различных отраслях.

#cyberthreattech
Пока получается вот такой профиль генерить на базе отчетов с 2022 года. С разделом про инфру еще надо поработать и допилить prompt.

ХАКЕРСКАЯ ГРУППА VOLT TYPHOON

ADVERSARY
Происхождение: Считается, что хакерская группа Volt Typhoon базируется в Китае. Этот вывод подтверждается множеством факторов, таких как использование китайского языка в некоторых образцах вредоносных программ, приписываемых группе, их нацеливание на организации в Соединенных Штатах и других странах, имеющих тесные связи с Китаем, а также использование методов и инфраструктуры, совместимых с другими участниками угроз, спонсируемыми китайским государством.
Мотивы: Основные мотивы Volt Typhoon, по-видимому, сосредоточены на шпионаже с желанием собрать конфиденциальную информацию от организаций критической инфраструктуры в Соединенных Штатах и Азии. Эта информация может быть использована для получения экономической выгоды, политического влияния или стратегического преимущества. Кроме того, кража интеллектуальной собственности также является возможной целью получения конкурентного преимущества или компрометации чувствительных технологий.
Временная шкала: Исполнитель угрозы тайфуна Volt активен по меньшей мере с 2021 года, хотя считается, что он действовал под различными псевдонимами с 2006 года. Группа проводила кампании, нацеленные на телекоммуникационные компании в США и Европе, производственные компании в Китае и правительственные учреждения во многих странах.

INFRASTRUCTURE
Вредоносные программы и инструменты: Volt Typhoon использует целый ряд сложных инструментов и техник для своей вредоносной деятельности. Некоторые из известных вредоносных программ и инструментов, связанных с группой, включают в себя развертывание вредоносных программ на заказ, методы living off the land (LotL), инструменты сбора учетных данных, фишинговые электронные письма, уязвимости программного и аппаратного обеспечения, а также скомпрометированные устройства SOHO (small office/home office). Также было замечено, что они используют пользовательские каналы командования и контроля (C2) для поддержания контроля над скомпрометированными системами.

CAPABILITY
Навыки и техники: Volt Typhoon демонстрирует высокий уровень мастерства и изощренности в проведении кибератак. Они владеют такими методами разведки, как точечный фишинг и социальная инженерия, для сбора информации о своих целях. Они преуспевают в использовании уязвимостей программного и аппаратного обеспечения, включая уязвимости нулевого дня. Они демонстрируют навыки бокового перемещения в скомпрометированных сетях, используя такие методы, как "передача хэша", чтобы получить доступ к нескольким системам. Volt Typhoon также обладает опытом в извлечении данных из скомпрометированных систем, часто используя специальные инструменты шифрования и передачи.

TARGET
Страны и секторы промышленности: В число пострадавших стран входят Соединенные Штаты, Гуам, Европа и Азия. Отраслевые секторы, на которые нацелена группа, включают коммуникации, производство, коммунальные услуги, транспорт, строительство, морское судоходство, государственное управление, информационные технологии, образование, финансы, здравоохранение и розничную торговлю. Особый интерес для Volt Typhoon представляют организации критической инфраструктуры в Соединенных Штатах и Азии.

#ParsedReport #CompletenessMedium
01-02-2024

Unveiling the intricacies of DiceLoader

https://blog.sekoia.io/unveiling-the-intricacies-of-diceloader

Report completeness: Medium

Actors/Campaigns:
Carbanak (motivation: cyber_criminal)
Darkside (motivation: cyber_criminal)

Threats:
Lizar_loader
Icebot_rat
Revil
Lockbit
Blackbasta
Domino
Dll_injection_technique
Darkgate

Victims:
Retail sector, Hospitality sector, Food service industry

Industry:
Healthcare, Foodtech, Retail

Geo:
France, Australia

TTPs:
Tactics: 4
Technics: 7

IOCs:
Hash: 2

Algorithms:
fowlernollv, xor

Win API:
IoCompletionPort, GetQueuedCompletionStatus, PostQueuedCompletionStatus, VirtualAlloc

Languages:
powershell, python

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DiceLoader/scripts/fake\_c2\_tcp\_server.py
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DiceLoader/scripts/ReflectiveDLLInjection.h
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DiceLoader/scripts/extractor.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что DiceLoader, также известный как Icebot, является вредоносной программой, используемой киберпреступной группировкой FIN7. FIN7 работает как структурированный бизнес и нацелен на такие секторы, как розничная торговля, гостиничный бизнес и общественное питание в таких странах, как США, Великобритания, Австралия и Франция. DiceLoader - это небольшая вредоносная программа-загрузчик, которая обычно удаляется скриптом PowerShell вместе с другими вредоносными программами. Он использует технологию внедрения отражающей библиотеки DLL и создает несколько потоков для взаимодействия с сервером управления. Сервер C2 отправляет определенные данные, чтобы запустить выполнение вредоносного кода и полезных нагрузок. Sekoia.io отслеживает инфраструктуру C2, связанную с DiceLoader, и указывает, что она все еще используется наборами вторжений по состоянию на январь 2024 года.
-----

DiceLoader, также известный как Icebot, - это вредоносная программа, используемая киберпреступной группировкой FIN7 с 2021 года.

FIN7 - это структурированная группа с русскоязычными членами, которая работает как корпоративный бизнес.

FIN7 использует подставные компании, чтобы скрыть свою деятельность и нанять ИТ-специалистов.

FIN7 ориентирован на различные секторы и страны, включая розничную торговлю, гостиничный бизнес, а также Соединенные Штаты, Великобританию, Австралию и Францию.

FIN7 имеет связи с киберпреступными организациями, такими как REvil, Lockbit, Darkside и BlackBasta.

DiceLoader - это малогабаритная вредоносная программа-загрузчик, входящая в арсенал FIN7.

DiceLoader удаляется скриптом PowerShell вместе с другими вредоносными программами, такими как троян удаленного доступа Carbanak (RAT).

DiceLoader использует отражающий метод внедрения DLL-файлов для внедрения DLL-файла в качестве загрузчика.

DiceLoader создает несколько потоков, которые потребляют структурированные сообщения с сервера управления (C2).

Конфигурация сервера C2 обфускируется с помощью XOR-шифрования.

DiceLoader взаимодействует с сервером C2 через необработанное TCP-соединение.

Sekoia.io аналитики отслеживают инфраструктуру DiceLoader C2 с более чем 20 активными серверами с начала 2022 года.

Количество активных серверов DiceLoader C2 значительно увеличилось с декабря 2023 года.

В проанализированной выборке DiceLoader отсутствуют методы антианализа, но по состоянию на январь 2024 года она по-прежнему активно используется наборами вторжений.

Sekoia.io заинтересован в получении дополнительной информации о DiceLoader и других наборах вторжений, использующих вредоносную программу.

#ParsedReport #CompletenessMedium
01-02-2024

Greenbean: Latest Android Banking Trojan Leveraging Simple RealTime Server (SRS) for C&C Communication

https://cyble.com/blog/greenbean-latest-android-banking-trojan-leveraging-simple-realtime-server-srs-for-cc-communication

Report completeness: Medium

Threats:
Greenbean
Enchant

Victims:
Chinese android users, Vietnamese android users

Industry:
Financial

Geo:
Vietnamese, Vietnam, China, Chinese

TTPs:
Tactics: 6
Technics: 7

IOCs:
Url: 7
File: 2
Hash: 4

Soft:
Android, WebRTC, WeChat, Gmail

Wallets:
metamask

Algorithms:
sha1, md5, sha256

Links:
https://github.com/ossrs/srs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание и анализ Greenbean, банковского трояна для Android, который нацелен на криптовалютные, платежные и банковские приложения. Вредоносная программа использует различные методы, такие как фишинг, наложение разрешений, служба специальных возможностей и потоковое видео, для сбора учетных данных пользователей, изменения транзакций и извлечения информации. Анализ подчеркивает сложность вредоносного ПО и предупреждает о возможности появления новых вариантов с более продвинутыми возможностями в будущем.
-----

В тексте описывается банковский троян для Android под названием Greenbean, который распространяется через фишинговый сайт, продвигающий криптовалютную схему. Вредоносное ПО нацелено на пять приложений, связанных с криптовалютами, платежами и банковским делом, и специально предназначено для пользователей Android в Китае и Вьетнаме. Вредоносная программа использует службу специальных возможностей для сбора учетных данных пользователей из целевых приложений. Она также включает потоковую передачу видео с использованием WebRTC и взаимодействует с сервером управления (C&C) с помощью проекта Simple Realtime Server (SRS). Предоставляются URL-адреса фишингового сайта и службы хостинга, связанные с вредоносной программой. После установки вредоносная программа запрашивает у пользователей разрешение на наложение и службу специальных возможностей, а затем использует эти разрешения для автоматического предоставления дополнительных необходимых разрешений. Она устанавливает соединение WebSocket для связи с сервером C&C. Вредоносная программа выполняет различные наборы команд, полученных с сервера, и отправляет команды, инициированные клиентом. Она использует службы специальных возможностей для идентификации процессов платежей, остатков на счетах и транзакций в целевых приложениях. Вредоносная программа может изменять данные получателя и переводить средства со счета жертвы на счет злоумышленника. Он также извлекает информацию с экрана и отправляет ее на сервер C&C. Вредоносная программа включает возможности потоковой передачи видео через WebRTC, что позволяет злоумышленникам отслеживать жертв в режиме реального времени. Анализ подчеркивает сложность и многогранность вредоносного ПО Greenbean, подчеркивая риск, который оно представляет для безопасности устройств и конфиденциальности. В будущем могут появиться новые варианты с дополнительными целями и функциями.

#ParsedReport #CompletenessLow
01-02-2024

Nitrogen shelling malware from hacked sites

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/nitrogen-shelling-malware-from-hacked-sites

Report completeness: Low

Threats:
Nitrogen
Dll_sideloading_technique

Geo:
Ukrainian

ChatGPT TTPs:
do not use without manual check
T1105, T1073, T1562.001, T1105, T1001, T1578.002

Soft:
WordPress

Algorithms:
zip

Languages:
python, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что анализ кибербезопасности сосредоточен на кампании под названием Nitrogen, которая распространяет вредоносное ПО через вредоносную поисковую рекламу. Кампания использует стороннюю загрузку Python и DLL для подключения к серверу управления атакующего. Первоначальная полезная нагрузка Nitrogen доставляется через скомпрометированные сайты WordPress, которые были взломаны с помощью вредоносных скриптов оболочки PHP. Анализ также подчеркивает наличие множества кампаний по вредоносной рекламе, классифицированных на основе полезной нагрузки, которую они предоставляют, и совпадения между криминальной инфраструктурой и вредоносной рекламой. Исполнитель угроз, стоящий за Nitrogen, использует взломанные сайты для размещения своей полезной нагрузки и использует запутанные файлы Python, чтобы затруднить обнаружение и анализ. Анализ также выявляет наличие файлов панели управления, связанных с кампанией, и практику злоумышленников удалять записи, сгенерированные "песочницами" вредоносных программ и исследователями. В целом, анализ подчеркивает связь между вредоносной рекламой и программами-вымогателями, а также необходимость раннего обнаружения и предотвращения вредоносных действий.
-----

В недавнем анализе кибербезопасности кампания под названием Nitrogen проверяется на предмет ее распространения через вредоносную поисковую рекламу. Кампания связана с вредоносным ПО, которое использует стороннюю загрузку Python и библиотеки DLL для подключения к серверу управления атакующего. Первоначальная полезная нагрузка Nitrogen передается жертвам через скомпрометированные сайты WordPress, которые уже были взломаны с помощью вредоносных скриптов оболочки PHP.

Анализ показывает, что отслеживается множество вредоносных рекламных кампаний, классифицированных в зависимости от полезной нагрузки, которую они доставляют. Интересно, что иногда преступная инфраструктура и сами вредоносные рекламные объявления частично совпадают. Исполнитель угроз, стоящий за Nitrogen, использует различные взломанные сайты для размещения своей вредоносной полезной нагрузки, регулярно меняя их местами. Этот метод не нов, но видеть, как поддельные установщики сосуществуют с веб-оболочками, несколько необычно.

Nitrogen выполняет боковую загрузку библиотеки DLL с использованием подписанного исполняемого файла, инициируя запуск своей полезной нагрузки. Затем полезная нагрузка запускает Python из недавно созданной папки в %appdata%. Исполняемый файл Python сильно запутан, что затрудняет обнаружение и анализ. Однако ThreatDown, инструмент безопасности, может обнаружить и поместить в карантин этот вредоносный файл Python, не позволяя ему связаться со своим сервером управления.

Анализ последних установщиков Nitrogen Zip выявил наличие двух файлов, которые, вероятно, связаны с панелью управления кампании. Примечательно, что один из этих файлов на украинском языке. Злоумышленники добавляют жертв в свою панель управления для дальнейшей обработки и потенциальной компрометации их сетей. Для поддержания операционной безопасности злоумышленники очищают свою базу данных, удаляя записи, сгенерированные "песочницами" вредоносных программ и исследователями. Оставшиеся жертвы становятся мишенями для команды специалистов, которые используют инструменты постэксплуатации для сбора информации и запуска дополнительных полезных нагрузок.

Этот анализ подчеркивает связь между вредоносной рекламой и программами-вымогателями, демонстрируя меняющийся ландшафт веб-атак. В нем подчеркивается важность раннего обнаружения и предотвращения вредоносных действий для снижения риска, создаваемого такими кампаниями, как Nitrogen.

#ParsedReport #CompletenessLow
01-02-2024

RE#TURGENCE: A Deep Dive into Turkish Hackers Campaign Targeting MSSQL Servers

https://socradar.io/returgence-a-deep-dive-into-turkish-hackers-campaign-targeting-mssql-servers

Report completeness: Low

Actors/Campaigns:
Re_turgence (motivation: financially_motivated)
Db-jammer

Threats:
Mimic_ransomware
Cobalt_strike
Anydesk_tool
Advanced-port-scanner_tool
Mimikatz_tool

Victims:
Mssql database servers

Geo:
Turkish, Latam

ChatGPT TTPs:
do not use without manual check
T1110, T1210, T1059.001, T1136, T1076.003, T1003.001, T1486

IOCs:
Domain: 1

Soft:
MSSQL

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует новая кампания кибератак под названием RE#TURGENCE, возглавляемая финансово мотивированными турецкими злоумышленниками. Кампания нацелена на серверы баз данных MSSQL с целью получения первоначального доступа. Злоумышленники либо продают доступ к скомпрометированным хостам, либо развертывают полезные программы-вымогатели. Они используют такие методы, как перебор паролей, использование уязвимостей, использование команд PowerShell и установка служб для сохранения. Конечная цель - развернуть программу-вымогатель MIMIC, нанеся значительный ущерб. Кампания поддерживается сложной инфраструктурой с IP-адресами командования и контроля и специальным доменом для маяка Cobalt Strike. Специалисты по кибербезопасности могут использовать платформу SOCRadar, чтобы быть в курсе связанных с ней уязвимостей и эффективно бороться с этими угрозами.
-----

Кампания RE#TURGENCE - это новая кибератака, запущенная финансово мотивированными турецкими злоумышленниками. Кампания специально нацелена на серверы баз данных MSSQL, чтобы получить первоначальный доступ. У злоумышленников две основные цели: либо они продают доступ к скомпрометированным хостам, либо размещают полезные программы-вымогатели.

Для достижения своих целей злоумышленники используют несколько методов. Сначала они пытаются взломать административные пароли на незащищенных серверах MSSQL. Оказавшись внутри, они используют процедуру xp_cmdshell для выполнения команд в хост-системе. Затем они загружают и выполняют файл с помощью команды PowerShell. Этот файл содержит сильно запутанную полезную нагрузку Cobalt Strike, которая загружается в текущий процесс.

Постоянство устанавливается путем создания локальных пользователей и установки службы AnyDesk. Это гарантирует, что злоумышленники смогут сохранить контроль над скомпрометированными серверами. Злоумышленники также используют Mimikatz для доступа к учетным данным и расширенную утилиту сканирования портов для перемещения по сети.

Конечной целью кампании RE#TURGENCE является внедрение программы-вымогателя MIMIC. Эта программа-вымогатель нарушает работу скомпрометированных серверов, нанося значительный ущерб и потенциально приводя к потере конфиденциальных данных.

Кампания поддерживается сложной инфраструктурой, состоящей из нескольких IP-адресов командования и контроля (C2) и специального домена для маяка Cobalt Strike. IP-адреса C2 используют случайные, нестандартные номера портов, чтобы избежать обнаружения. Используемый домен, seruvadessigen.3utilities.com, был получен из конфигурации маяка Cobalt Strike.

Чтобы быть в курсе последних новостей, связанных с ними уязвимостей и действующих лиц угроз, связанных с кампанией RE#TURGENCE, а также получить доступ к доступным правилам YARA для обнаружения, специалисты по кибербезопасности могут использовать платформу SOCRadar. Эта платформа автоматически обновляет разведывательную информацию об угрозах всякий раз, когда она доступна, обеспечивая эффективную борьбу с киберугрозами.

#ParsedReport #CompletenessHigh
01-02-2024

Securonix Threat Research Security Advisory: Analysis and Detection of STEADY#URSA Attack Campaign Targeting Ukraine Military Dropping New Covert SUBTLE-PAWS PowerShell Backdoor

https://www.securonix.com/blog/security-advisory-steadyursa-attack-campaign-targets-ukraine-military

Report completeness: High

Actors/Campaigns:
Steady_ursa
Gamaredon

Threats:
Subtle-paws

Industry:
Military

Geo:
Russia, Ukrainian, Ukraine

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 5
Registry: 7
Url: 4
IP: 6
Domain: 1
Hash: 45

Soft:
curl, telegram, Windows Registry, Windows Powershell

Algorithms:
zip, xor, base64

Functions:
SetLink, SetValue

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что продолжается кампания кибератак, нацеленная на Украину. Кампания предполагает использование бэкдора на базе PowerShell под названием SUBTLE-PAWS и использует методы скрытности, позволяющие избежать обнаружения. Атака связана с группой, известной как Shuckworm, которая ранее нацеливалась на украинских военных. Кампания использует фишинговые электронные письма для доставки сжатого файла, содержащего файлы со ссылками на украинские города и военные термины. Когда жертва взаимодействует с файлами, инициируется атака. Скрипт бэкдора SUBTLE-PAWS содержит различные функции, которые обеспечивают выполнение, сохранение, скрытность, сетевую связь и распространение через USB-накопители. Злоумышленники используют методы запутывания и динамически корректируют свое поведение в зависимости от среды операционной системы. Кампания демонстрирует эволюционирующую тактику и демонстрирует сходство с предыдущей деятельностью Shuckworm со значительными тактическими изменениями.
-----

Продолжающаяся кампания кибератак, нацеленная на Украину.

Кампания под названием STEADY#URSA.

Использует бэкдор на базе PowerShell под названием SUBTLE-PAWS.

Связан с группой, известной как шелушащийся червь.

Доставляется в виде сжатых файлов, возможно, по фишинговым электронным письмам.

Атаку инициируют файлы-ярлыки с названиями, основанными на украинских городах или военных терминах.

Файлы в архиве содержат однострочник PowerShell с бэкдором SUBTLE-PAWS.

Создает постоянство путем создания и загрузки раздела реестра.

Попытка установить связь с сервером командования и контроля (C2) через URL-адрес Telegraph.

Сценарий бэкдора PowerShell содержит множество функций, служащих различным целям.

Для распространения полагается на заражение USB-накопителей.

Уклоняется от обнаружения антивирусом с помощью обфускации и разделения строк.

Взаимодействует с удаленным сервером посредством DNS-запросов и HTTP-запросов.

Использует методы обфускации, такие как кодирование Base64 и XOR.

Демонстрирует эволюционирующую тактику и сходство с предыдущей активностью шелушащегося червя.

Пожалуйста, обратите внимание, что это краткое изложение важных фактов из текста. Фактический масштаб и воздействие кампании могут быть шире и сложнее.

#cyberthreattech

Попробую податься с темой про наш разбор TI-отчетов.
Вдруг будет интересно послушать про наш дикий коктейль из парсеров, ML (CatBoost, распознавание образов), ChatGPT и Bard. Может быть, что к PhD даже уже будут какие-то результаты по Fine-tune LLama 2.