CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#technique

Exploiting a vulnerable Minifilter Driver to create a process killer

https://antonioparata.blogspot.com/2024/02/exploiting-vulnerable-minifilter-driver.html
#ParsedReport #CompletenessLow
12-02-2024

Diving Into Glupteba's UEFI Bootkit

https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit

Report completeness: Low

Threats:
Glupteba
Smokeloader
Redline_stealer
Privateloader
Ruzki_actor
Lojax
Blacklotus
Efiguard

Victims:
Palo alto networks customers, Organizations in greece,nepal,bangladesh,brazil,korea,algeria,ukraine,slovakia,turkey,italy,sweden

Industry:
Financial

Geo:
Italy, Greece, Korea, Nepal, Turkey, Bangladesh, Slovakia, Algeria, Ukraine, Sweden, Brazil, Russian

ChatGPT TTPs:
do not use without manual check
T1542.002, T1583.001, T1566, T1547.001, T1548.002, T1059, T1014, T1112, T1119

IOCs:
File: 6
Path: 5
Hash: 32
Domain: 12

Soft:
Telegram, Windows kernel, Bindiff

Algorithms:
zip

Functions:
SetVariable

Win API:
WinMain

Links:
https://github.com/tianocore/tianocore.github.io/wiki/PI-Boot-Flow
https://github.com/hfiref0x/UPGDSED
https://github.com/Mattiwatti/EfiGuard
https://github.com/hfiref0x/DSEFix
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 Diving Into Glupteba's UEFI Bootkit https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit Report completeness: Low Threats: Glupteba Smokeloader Redline_stealer Privateloader Ruzki_actor Lojax Blacklotus…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается Glupteba, сложная и универсальная вредоносная программа, используемая в финансово мотивированных операциях по борьбе с киберпреступностью на протяжении более десяти лет, а недавняя кампания демонстрирует новую функцию UEFI bootkit. Glupteba является модульной системой, позволяющей осуществлять различные вредоносные действия, такие как кража учетных данных и проведение криптомайнинга. В статье освещается широкое использование Glupteba в кампаниях, нацеленных на организации с помощью таких методов распространения, как услуги с оплатой за установку и фишинговые атаки, подчеркивая растущую сложность современных киберугроз. В нем также затрагивается роль экосистемы PPI в распространении вредоносных программ и важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
-----

Glupteba - это сложная и универсальная вредоносная программа, которая уже более десяти лет используется в финансово мотивированных операциях по борьбе с киберпреступностью. Недавняя кампания в ноябре 2023 года выявила новую функцию: загрузочный набор Unified Extensible Firmware Interface (UEFI), который позволяет Glupteba скрывать себя во время процесса загрузки операционной системы, что затрудняет его обнаружение и удаление. Вредоносная программа является модульной, что позволяет ей загружать и запускать дополнительные компоненты для различных вредоносных действий, таких как кража учетных данных, проведение криптомайнинга и мошенничество с цифровой рекламой.

В статье обсуждается использование Glupteba в широкомасштабных кампаниях, нацеленных на организации во многих странах. Вредоносное ПО часто распространяется через сервисы с оплатой за установку, что подчеркивает прибыльность таких сервисов при распространении вредоносного программного обеспечения. В ходе недавних кампаний Glupteba распространялась с помощью веб-методов и крупномасштабных фишинговых атак, что привело к многочисленным заражениям. Одним из примечательных аспектов Glupteba является включение недокументированного загрузочного набора UEFI, демонстрирующего растущую сложность современных киберугроз.

Кроме того, в статье затрагивается экосистема PPI, которая играет решающую роль в распространении вредоносных программ. Сервисы PPI эволюционировали от распространения рекламы до распространения программ-шпионов и вредоносного ПО, а такие платформы, как Ruzki, облегчают распространение различного вредоносного программного обеспечения. Стратегии сотрудничества и монетизации в рамках экосистемы PPI подчеркивают важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
#ParsedReport #CompletenessLow
12-02-2024

PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI

https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai

Report completeness: Low

Actors/Campaigns:
Smoothoperator

Industry:
Financial, Government

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1566, T1585, T1583, T1584

Soft:
ChatGPT
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai Report completeness: Low Actors/Campaigns: Smoothoperator Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте подчеркивается важность федеральной политики, поддерживающей исследования и разработки в области кибербезопасности, с особым упором на роль технологий искусственного интеллекта, таких как Purple AI, в борьбе с киберугрозами. В нем обсуждается использование генеративного ИИ в кибератаках, развитие тактики социальной инженерии с использованием ИИ и преимущества ИИ в поиске угроз и анализе данных. Также подчеркивается необходимость междисциплинарного подхода с привлечением экспертов по кибербезопасности, инженеров по искусственному интеллекту и юристов для обеспечения соответствия требованиям и доверия пользователей, наряду с более широкими правовыми, этическими последствиями использования агентов искусственного интеллекта в операциях по кибербезопасности и обеспечению безопасности.
-----

В тексте подчеркивается важность федеральной политики, поддерживающей исследования и разработки в области кибербезопасности для устранения возникающих угроз. В нем упоминается технология кибербезопасности с поддержкой искусственного интеллекта Purple AI, разработанная для стимулирования инноваций и опережения рисков. Обсуждается более широкое использование генеративного ИИ для социальной инженерии в кибератаках с примерами использования ИИ для обмана жертв. Также подчеркивается, как технологии ИИ позволяют хакерам проводить продвинутые атаки социальной инженерии, сочетающие текст, голос и видео. В тексте обсуждается, как искусственный интеллект может помочь в поиске угроз с помощью анализа данных и разговорных чатов, позволяя аналитикам быстро выявлять подозрительное поведение. Кроме того, в нем подчеркивается необходимость применения методов обеспечения безопасности, учитывающих как злонамеренные угрозы, так и непреднамеренные действия пользователей, что требует сочетания экспертов по кибербезопасности, инженеров AI/ML и юристов для обеспечения соответствия требованиям и доверия пользователей. Представлено более широкое обсуждение правовых, этических соображений и соображений безопасности, связанных с растущей мощью и распространенностью агентов искусственного интеллекта в операциях по обеспечению кибербезопасности.
#ParsedReport #CompletenessMedium
12-02-2024

The (D)Evolution of Pikabot

https://www.zscaler.com/blogs/security-research/d-evolution-pikabot

Report completeness: Medium

Threats:
Pikabot
Qakbot
Blackbasta
Cobalt_strike
Advobfuscator_tool
Junk_code_technique
Beacon

Geo:
Ukrainian, Russian, Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1059, T1112, T1543, T1105, T1071, T1027.002, T1055, T1497, have more...

IOCs:
Hash: 2
IP: 13
File: 2

Algorithms:
rc4, aes, aes-cbc

Functions:
Windows

Win API:
CheckRemoteDebuggerPresent, GetVolumeInformationW

Languages:
python

Links:
https://github.com/andrivet/ADVobfuscator
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 The (D)Evolution of Pikabot https://www.zscaler.com/blogs/security-research/d-evolution-pikabot Report completeness: Medium Threats: Pikabot Qakbot Blackbasta Cobalt_strike Advobfuscator_tool Junk_code_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о Pikabot, загрузчике вредоносных программ, который со временем эволюционировал с изменениями в своей кодовой базе и тактике, нацеливаясь на русскоязычные регионы, чтобы избежать юридических последствий, и используя методы антианализа, чтобы обойти продукты безопасности.
-----

Pikabot - это загрузчик вредоносных программ, впервые выявленный в начале 2023 года и активизировавшийся после удаления Qakbot в августе 2023 года. Он состоит из загрузчика и основного модуля, причем ядро отвечает за выполнение команд с сервера управления. Ранее Pikabot использовал передовые методы обфускации, но в своей последней версии, выпущенной в феврале 2024 года, он претерпел значительные изменения в своей кодовой базе, включая более простые методы шифрования и изменения в сетевых коммуникациях. Вредоносная программа использует методы антианализа, обходит продукты безопасности, используя собственные вызовы Windows API, и проверяет наличие сеансов отладки. Pikabot нацелен на русскоязычные регионы, чтобы избежать юридических последствий, и сохраняет параметры конфигурации в виде открытого текста, чтобы избежать автоматического извлечения. Новая версия собирает информацию о хосте, шифрует ее с помощью RC4 и отправляет на сервер управления. Несмотря на продолжающуюся разработку, над некоторыми функциями все еще ведется работа.
#ParsedReport #CompletenessHigh
12-02-2024

ClearFake Campaign - Delivering Malware via Fake Browser Updates

https://www.bridewell.com/insights/blogs/detail/clearfake-campaign

Report completeness: High

Actors/Campaigns:
Ta569

Threats:
Clearfake
Etherhiding_technique
Process_injection_technique
Amadey
Watering_hole_technique
Xmrig_miner
Redline_stealer
Socgholish_loader
Lumma_stealer
Raccoon_stealer
Stealc
Hijackloader
Systembc
Chromeloader
Credential_dumping_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 19

IOCs:
File: 11
Command: 1
Hash: 6
Url: 6
Domain: 3
IP: 27

Soft:
WordPress, Chrome, Microsoft Edge, Microsoft Defender

Crypto:
binance, bitcoin, ethereum

Algorithms:
base64

Languages:
javascript, powershell, php
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 ClearFake Campaign - Delivering Malware via Fake Browser Updates https://www.bridewell.com/insights/blogs/detail/clearfake-campaign Report completeness: High Actors/Campaigns: Ta569 Threats: Clearfake Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - вредоносная кампания ClearFake, представляющая собой вредоносный фреймворк JavaScript, который использует тактику социальной инженерии, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. Вредоносное ПО эволюционировало, чтобы использовать технику EtherHiding, и распространяется через скомпрометированные веб-сайты с помощью плагинов WordPress. С кампанией вредоносного по связаны различные вредоносные действия, такие как кража информации, программы-вымогатели и механизмы сохранения данных.
-----

В тексте обсуждается вредоносная кампания ClearFake, вредоносный фреймворк JavaScript, выявленный в июле 2023 года. Первоначально названный из-за отсутствия методов запутывания, ClearFake использует тактику социальной инженерии для предоставления жертвам поддельных страниц обновлений браузера, что приводит к загрузке вредоносной полезной нагрузки. Вредоносная программа эволюционировала, чтобы использовать технологию EtherHiding, используя смарт-цепочку Binance для сокрытия полезной нагрузки и доставки файлов JavaScript второго этапа. Субъекты угроз внедряют вредоносный код на скомпрометированные веб-сайты с помощью плагинов WordPress, размещая вредоносный контент и выполняя его, когда жертвы посещают сайты. Анализ инцидентов выявил распространение ChromeSetup.exe вредоносного ПО, способного к краже информации с помощью различных методов, таких как внедрение процессов и запросы WMI. Вредоносная программа взаимодействует с внешними IP-адресами для управления, и наблюдаются дополнительные полезные нагрузки, приписываемые Amadey и другим семействам вредоносных программ, включая программы-вымогатели и похитители информации. Вредоносная программа Amadey также демонстрирует механизмы сохранения и тактику обхода защиты.
#ParsedReport #CompletenessHigh
12-02-2024

DarkGate: Opening Gates for Financially Motivated Threat Actors

https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors

Report completeness: High

Actors/Campaigns:
Ta577 (motivation: financially_motivated)
Bianlian (motivation: financially_motivated)
Lunar_spider
Shathak

Threats:
Darkgate
Qakbot
Blackbasta
Ducktail_stealer
Seo_poisoning_technique
Icedid
Rastafareye_actor
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Netpass_tool
Lolbas_technique
Lolbin_technique
Dll_sideloading_technique
Bianlian_ransomware
Cobalt_strike

Victims:
Financial institutions, Bank deutsches kraftfahrzeuggewerbe (bdk)

Industry:
Financial

Geo:
Ukraine, Russia, Russian, Germany, Usa, German

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1204, T1486, T1027, T1218, T1059, T1070, T1014, T1568, have more...

IOCs:
File: 8
Url: 2
Domain: 3
Hash: 13

Soft:
PSexec, Windows Defender, Curl, Windows registry, ChatGPT

Algorithms:
zip, xor, md5, base64

Languages:
visual_basic, autoit, cscript
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 DarkGate: Opening Gates for Financially Motivated Threat Actors https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors Report completeness: High Actors/Campaigns: Ta577 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в наблюдении и анализе возросшего распространения загрузчика DarkGate киберпреступниками, нацеленными на финансовые учреждения в Европе и США, после уничтожения ФБР инфраструктуры Qakbot. В нем освещается использование DarkGate для развертывания различных типов вредоносных программ, методы, используемые для распространения вредоносного ПО, сходство с IcedID, особенности версий DarkGate, эволюционирующие методы доставки и решающая роль инструментов "Вредоносное ПО как услуга", таких как DarkGate, в современных операциях по борьбе с киберпреступностью. Также предоставляются рекомендации по обнаружению для снижения риска, связанного с вредоносным ПО DarkGate.
-----

Аналитики по анализу киберугроз из EclecticIQ заметили увеличение распространения загрузчика DarkGate киберпреступниками после того, как ФБР уничтожило инфраструктуру Qakbot в августе 2023 года. С высокой степенью уверенности можно утверждать, что финансово мотивированные исполнители угроз и организации, использующие программы-вымогатели как услугу (RaaS), в основном используют DarkGate для нацеливания на финансовые учреждения в Европе и США. Загрузчик DarkGate используется для создания начальной точки опоры в корпоративных сетях, развертывания различных типов вредоносных программ, таких как программы-вымогатели, похитители информации и инструменты удаленного управления, а также для увеличения объема данных, извлекаемых для получения финансовой выгоды за счет успешных операций с программами-вымогателями. Операторы DarkGate использовали такие методы, как фишинговые электронные письма, злоупотребление законными сервисами, такими как Google DoubleClick Ad и облачное хранилище файлов, а также доставку вредоносных программ через зараженные вложения для распространения вредоносного ПО. Кроме того, существуют сходства в методах выполнения между DarkGate и IcedID, что предполагает потенциальное сотрудничество или совместное использование технологий участниками угроз. В тексте также описываются особенности DarkGate версий 5 и 6.1.6, включая тактику уклонения, методы расшифровки полезной нагрузки и параметры конфигурации. Было замечено, что субъекты угроз со временем адаптируют свои методы доставки, в частности, недавнее злоупотребление рекламными сервисами Google DoubleClick и переход к использованию форматов файлов CAB и MSI для распространения. Документ дает представление об эволюционирующей тактике и методах, используемых киберпреступниками, использующими DarkGate, подчеркивая решающую роль инструментов Malware-as-a-Service (MaaS), таких как DarkGate loader, в современных операциях по борьбе с киберпреступностью. Также предлагаются рекомендации по обнаружению для снижения риска, создаваемого вредоносным ПО DarkGate для конечных точек и сетей Windows.
#ParsedReport #CompletenessMedium
12-02-2024

Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner

https://habr.com/ru/companies/f_a_c_c_t/news/792672

Report completeness: Medium

Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)

Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer

Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations

Industry:
Healthcare, Financial, Government

Geo:
Czech, Belarus, Belarusian, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105

IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1

Soft:
NSIS Installer

Algorithms:
md5, sha1, sha256

Languages:
autoit