CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 Diving Into Glupteba's UEFI Bootkit https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit Report completeness: Low Threats: Glupteba Smokeloader Redline_stealer Privateloader Ruzki_actor Lojax Blacklotus…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте обсуждается Glupteba, сложная и универсальная вредоносная программа, используемая в финансово мотивированных операциях по борьбе с киберпреступностью на протяжении более десяти лет, а недавняя кампания демонстрирует новую функцию UEFI bootkit. Glupteba является модульной системой, позволяющей осуществлять различные вредоносные действия, такие как кража учетных данных и проведение криптомайнинга. В статье освещается широкое использование Glupteba в кампаниях, нацеленных на организации с помощью таких методов распространения, как услуги с оплатой за установку и фишинговые атаки, подчеркивая растущую сложность современных киберугроз. В нем также затрагивается роль экосистемы PPI в распространении вредоносных программ и важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
-----
Glupteba - это сложная и универсальная вредоносная программа, которая уже более десяти лет используется в финансово мотивированных операциях по борьбе с киберпреступностью. Недавняя кампания в ноябре 2023 года выявила новую функцию: загрузочный набор Unified Extensible Firmware Interface (UEFI), который позволяет Glupteba скрывать себя во время процесса загрузки операционной системы, что затрудняет его обнаружение и удаление. Вредоносная программа является модульной, что позволяет ей загружать и запускать дополнительные компоненты для различных вредоносных действий, таких как кража учетных данных, проведение криптомайнинга и мошенничество с цифровой рекламой.
В статье обсуждается использование Glupteba в широкомасштабных кампаниях, нацеленных на организации во многих странах. Вредоносное ПО часто распространяется через сервисы с оплатой за установку, что подчеркивает прибыльность таких сервисов при распространении вредоносного программного обеспечения. В ходе недавних кампаний Glupteba распространялась с помощью веб-методов и крупномасштабных фишинговых атак, что привело к многочисленным заражениям. Одним из примечательных аспектов Glupteba является включение недокументированного загрузочного набора UEFI, демонстрирующего растущую сложность современных киберугроз.
Кроме того, в статье затрагивается экосистема PPI, которая играет решающую роль в распространении вредоносных программ. Сервисы PPI эволюционировали от распространения рекламы до распространения программ-шпионов и вредоносного ПО, а такие платформы, как Ruzki, облегчают распространение различного вредоносного программного обеспечения. Стратегии сотрудничества и монетизации в рамках экосистемы PPI подчеркивают важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте обсуждается Glupteba, сложная и универсальная вредоносная программа, используемая в финансово мотивированных операциях по борьбе с киберпреступностью на протяжении более десяти лет, а недавняя кампания демонстрирует новую функцию UEFI bootkit. Glupteba является модульной системой, позволяющей осуществлять различные вредоносные действия, такие как кража учетных данных и проведение криптомайнинга. В статье освещается широкое использование Glupteba в кампаниях, нацеленных на организации с помощью таких методов распространения, как услуги с оплатой за установку и фишинговые атаки, подчеркивая растущую сложность современных киберугроз. В нем также затрагивается роль экосистемы PPI в распространении вредоносных программ и важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
-----
Glupteba - это сложная и универсальная вредоносная программа, которая уже более десяти лет используется в финансово мотивированных операциях по борьбе с киберпреступностью. Недавняя кампания в ноябре 2023 года выявила новую функцию: загрузочный набор Unified Extensible Firmware Interface (UEFI), который позволяет Glupteba скрывать себя во время процесса загрузки операционной системы, что затрудняет его обнаружение и удаление. Вредоносная программа является модульной, что позволяет ей загружать и запускать дополнительные компоненты для различных вредоносных действий, таких как кража учетных данных, проведение криптомайнинга и мошенничество с цифровой рекламой.
В статье обсуждается использование Glupteba в широкомасштабных кампаниях, нацеленных на организации во многих странах. Вредоносное ПО часто распространяется через сервисы с оплатой за установку, что подчеркивает прибыльность таких сервисов при распространении вредоносного программного обеспечения. В ходе недавних кампаний Glupteba распространялась с помощью веб-методов и крупномасштабных фишинговых атак, что привело к многочисленным заражениям. Одним из примечательных аспектов Glupteba является включение недокументированного загрузочного набора UEFI, демонстрирующего растущую сложность современных киберугроз.
Кроме того, в статье затрагивается экосистема PPI, которая играет решающую роль в распространении вредоносных программ. Сервисы PPI эволюционировали от распространения рекламы до распространения программ-шпионов и вредоносного ПО, а такие платформы, как Ruzki, облегчают распространение различного вредоносного программного обеспечения. Стратегии сотрудничества и монетизации в рамках экосистемы PPI подчеркивают важность надежных мер кибербезопасности для эффективной борьбы с возникающими угрозами.
#ParsedReport #CompletenessLow
12-02-2024
PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI
https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai
Report completeness: Low
Actors/Campaigns:
Smoothoperator
Industry:
Financial, Government
Geo:
American
ChatGPT TTPs:
T1566, T1585, T1583, T1584
Soft:
ChatGPT
12-02-2024
PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI
https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai
Report completeness: Low
Actors/Campaigns:
Smoothoperator
Industry:
Financial, Government
Geo:
American
ChatGPT TTPs:
do not use without manual checkT1566, T1585, T1583, T1584
Soft:
ChatGPT
SentinelOne
PinnacleOne ExecBrief | Safe, Secure, and Trustworthy AI
For this second post of our re-launched PinnacleOne ExecBrief, we summarize our response to NIST's AI RFI, including our insights on the use of AI in cyber.
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PinnacleOne ExecBrief \| Safe, Secure, and Trustworthy AI https://www.sentinelone.com/blog/pinnacleone-execbrief-safe-secure-and-trustworthy-ai Report completeness: Low Actors/Campaigns: Smoothoperator Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
В тексте подчеркивается важность федеральной политики, поддерживающей исследования и разработки в области кибербезопасности, с особым упором на роль технологий искусственного интеллекта, таких как Purple AI, в борьбе с киберугрозами. В нем обсуждается использование генеративного ИИ в кибератаках, развитие тактики социальной инженерии с использованием ИИ и преимущества ИИ в поиске угроз и анализе данных. Также подчеркивается необходимость междисциплинарного подхода с привлечением экспертов по кибербезопасности, инженеров по искусственному интеллекту и юристов для обеспечения соответствия требованиям и доверия пользователей, наряду с более широкими правовыми, этическими последствиями использования агентов искусственного интеллекта в операциях по кибербезопасности и обеспечению безопасности.
-----
В тексте подчеркивается важность федеральной политики, поддерживающей исследования и разработки в области кибербезопасности для устранения возникающих угроз. В нем упоминается технология кибербезопасности с поддержкой искусственного интеллекта Purple AI, разработанная для стимулирования инноваций и опережения рисков. Обсуждается более широкое использование генеративного ИИ для социальной инженерии в кибератаках с примерами использования ИИ для обмана жертв. Также подчеркивается, как технологии ИИ позволяют хакерам проводить продвинутые атаки социальной инженерии, сочетающие текст, голос и видео. В тексте обсуждается, как искусственный интеллект может помочь в поиске угроз с помощью анализа данных и разговорных чатов, позволяя аналитикам быстро выявлять подозрительное поведение. Кроме того, в нем подчеркивается необходимость применения методов обеспечения безопасности, учитывающих как злонамеренные угрозы, так и непреднамеренные действия пользователей, что требует сочетания экспертов по кибербезопасности, инженеров AI/ML и юристов для обеспечения соответствия требованиям и доверия пользователей. Представлено более широкое обсуждение правовых, этических соображений и соображений безопасности, связанных с растущей мощью и распространенностью агентов искусственного интеллекта в операциях по обеспечению кибербезопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
В тексте подчеркивается важность федеральной политики, поддерживающей исследования и разработки в области кибербезопасности, с особым упором на роль технологий искусственного интеллекта, таких как Purple AI, в борьбе с киберугрозами. В нем обсуждается использование генеративного ИИ в кибератаках, развитие тактики социальной инженерии с использованием ИИ и преимущества ИИ в поиске угроз и анализе данных. Также подчеркивается необходимость междисциплинарного подхода с привлечением экспертов по кибербезопасности, инженеров по искусственному интеллекту и юристов для обеспечения соответствия требованиям и доверия пользователей, наряду с более широкими правовыми, этическими последствиями использования агентов искусственного интеллекта в операциях по кибербезопасности и обеспечению безопасности.
-----
В тексте подчеркивается важность федеральной политики, поддерживающей исследования и разработки в области кибербезопасности для устранения возникающих угроз. В нем упоминается технология кибербезопасности с поддержкой искусственного интеллекта Purple AI, разработанная для стимулирования инноваций и опережения рисков. Обсуждается более широкое использование генеративного ИИ для социальной инженерии в кибератаках с примерами использования ИИ для обмана жертв. Также подчеркивается, как технологии ИИ позволяют хакерам проводить продвинутые атаки социальной инженерии, сочетающие текст, голос и видео. В тексте обсуждается, как искусственный интеллект может помочь в поиске угроз с помощью анализа данных и разговорных чатов, позволяя аналитикам быстро выявлять подозрительное поведение. Кроме того, в нем подчеркивается необходимость применения методов обеспечения безопасности, учитывающих как злонамеренные угрозы, так и непреднамеренные действия пользователей, что требует сочетания экспертов по кибербезопасности, инженеров AI/ML и юристов для обеспечения соответствия требованиям и доверия пользователей. Представлено более широкое обсуждение правовых, этических соображений и соображений безопасности, связанных с растущей мощью и распространенностью агентов искусственного интеллекта в операциях по обеспечению кибербезопасности.
#ParsedReport #CompletenessMedium
12-02-2024
The (D)Evolution of Pikabot
https://www.zscaler.com/blogs/security-research/d-evolution-pikabot
Report completeness: Medium
Threats:
Pikabot
Qakbot
Blackbasta
Cobalt_strike
Advobfuscator_tool
Junk_code_technique
Beacon
Geo:
Ukrainian, Russian, Ukraine, Russia
ChatGPT TTPs:
T1566, T1027, T1059, T1112, T1543, T1105, T1071, T1027.002, T1055, T1497, have more...
IOCs:
Hash: 2
IP: 13
File: 2
Algorithms:
rc4, aes, aes-cbc
Functions:
Windows
Win API:
CheckRemoteDebuggerPresent, GetVolumeInformationW
Languages:
python
Links:
12-02-2024
The (D)Evolution of Pikabot
https://www.zscaler.com/blogs/security-research/d-evolution-pikabot
Report completeness: Medium
Threats:
Pikabot
Qakbot
Blackbasta
Cobalt_strike
Advobfuscator_tool
Junk_code_technique
Beacon
Geo:
Ukrainian, Russian, Ukraine, Russia
ChatGPT TTPs:
do not use without manual checkT1566, T1027, T1059, T1112, T1543, T1105, T1071, T1027.002, T1055, T1497, have more...
IOCs:
Hash: 2
IP: 13
File: 2
Algorithms:
rc4, aes, aes-cbc
Functions:
Windows
Win API:
CheckRemoteDebuggerPresent, GetVolumeInformationW
Languages:
python
Links:
https://github.com/andrivet/ADVobfuscatorZscaler
Pikabot Updates | ThreatLabz
Updates to Pikabot bring less advanced string obfuscation and a modified network protocol
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 The (D)Evolution of Pikabot https://www.zscaler.com/blogs/security-research/d-evolution-pikabot Report completeness: Medium Threats: Pikabot Qakbot Blackbasta Cobalt_strike Advobfuscator_tool Junk_code_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - о Pikabot, загрузчике вредоносных программ, который со временем эволюционировал с изменениями в своей кодовой базе и тактике, нацеливаясь на русскоязычные регионы, чтобы избежать юридических последствий, и используя методы антианализа, чтобы обойти продукты безопасности.
-----
Pikabot - это загрузчик вредоносных программ, впервые выявленный в начале 2023 года и активизировавшийся после удаления Qakbot в августе 2023 года. Он состоит из загрузчика и основного модуля, причем ядро отвечает за выполнение команд с сервера управления. Ранее Pikabot использовал передовые методы обфускации, но в своей последней версии, выпущенной в феврале 2024 года, он претерпел значительные изменения в своей кодовой базе, включая более простые методы шифрования и изменения в сетевых коммуникациях. Вредоносная программа использует методы антианализа, обходит продукты безопасности, используя собственные вызовы Windows API, и проверяет наличие сеансов отладки. Pikabot нацелен на русскоязычные регионы, чтобы избежать юридических последствий, и сохраняет параметры конфигурации в виде открытого текста, чтобы избежать автоматического извлечения. Новая версия собирает информацию о хосте, шифрует ее с помощью RC4 и отправляет на сервер управления. Несмотря на продолжающуюся разработку, над некоторыми функциями все еще ведется работа.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - о Pikabot, загрузчике вредоносных программ, который со временем эволюционировал с изменениями в своей кодовой базе и тактике, нацеливаясь на русскоязычные регионы, чтобы избежать юридических последствий, и используя методы антианализа, чтобы обойти продукты безопасности.
-----
Pikabot - это загрузчик вредоносных программ, впервые выявленный в начале 2023 года и активизировавшийся после удаления Qakbot в августе 2023 года. Он состоит из загрузчика и основного модуля, причем ядро отвечает за выполнение команд с сервера управления. Ранее Pikabot использовал передовые методы обфускации, но в своей последней версии, выпущенной в феврале 2024 года, он претерпел значительные изменения в своей кодовой базе, включая более простые методы шифрования и изменения в сетевых коммуникациях. Вредоносная программа использует методы антианализа, обходит продукты безопасности, используя собственные вызовы Windows API, и проверяет наличие сеансов отладки. Pikabot нацелен на русскоязычные регионы, чтобы избежать юридических последствий, и сохраняет параметры конфигурации в виде открытого текста, чтобы избежать автоматического извлечения. Новая версия собирает информацию о хосте, шифрует ее с помощью RC4 и отправляет на сервер управления. Несмотря на продолжающуюся разработку, над некоторыми функциями все еще ведется работа.
#ParsedReport #CompletenessHigh
12-02-2024
ClearFake Campaign - Delivering Malware via Fake Browser Updates
https://www.bridewell.com/insights/blogs/detail/clearfake-campaign
Report completeness: High
Actors/Campaigns:
Ta569
Threats:
Clearfake
Etherhiding_technique
Process_injection_technique
Amadey
Watering_hole_technique
Xmrig_miner
Redline_stealer
Socgholish_loader
Lumma_stealer
Raccoon_stealer
Stealc
Hijackloader
Systembc
Chromeloader
Credential_dumping_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 19
IOCs:
File: 11
Command: 1
Hash: 6
Url: 6
Domain: 3
IP: 27
Soft:
WordPress, Chrome, Microsoft Edge, Microsoft Defender
Crypto:
binance, bitcoin, ethereum
Algorithms:
base64
Languages:
javascript, powershell, php
12-02-2024
ClearFake Campaign - Delivering Malware via Fake Browser Updates
https://www.bridewell.com/insights/blogs/detail/clearfake-campaign
Report completeness: High
Actors/Campaigns:
Ta569
Threats:
Clearfake
Etherhiding_technique
Process_injection_technique
Amadey
Watering_hole_technique
Xmrig_miner
Redline_stealer
Socgholish_loader
Lumma_stealer
Raccoon_stealer
Stealc
Hijackloader
Systembc
Chromeloader
Credential_dumping_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 19
IOCs:
File: 11
Command: 1
Hash: 6
Url: 6
Domain: 3
IP: 27
Soft:
WordPress, Chrome, Microsoft Edge, Microsoft Defender
Crypto:
binance, bitcoin, ethereum
Algorithms:
base64
Languages:
javascript, powershell, php
Bridewell
ClearFake Campaign - Delivering Malware via “Fake Browser Updates
ClearFake is a relatively new, malicious JavaScript framework that was first identified in July 2023 by security researcher Randy McEoin.
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 ClearFake Campaign - Delivering Malware via Fake Browser Updates https://www.bridewell.com/insights/blogs/detail/clearfake-campaign Report completeness: High Actors/Campaigns: Ta569 Threats: Clearfake Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - вредоносная кампания ClearFake, представляющая собой вредоносный фреймворк JavaScript, который использует тактику социальной инженерии, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. Вредоносное ПО эволюционировало, чтобы использовать технику EtherHiding, и распространяется через скомпрометированные веб-сайты с помощью плагинов WordPress. С кампанией вредоносного по связаны различные вредоносные действия, такие как кража информации, программы-вымогатели и механизмы сохранения данных.
-----
В тексте обсуждается вредоносная кампания ClearFake, вредоносный фреймворк JavaScript, выявленный в июле 2023 года. Первоначально названный из-за отсутствия методов запутывания, ClearFake использует тактику социальной инженерии для предоставления жертвам поддельных страниц обновлений браузера, что приводит к загрузке вредоносной полезной нагрузки. Вредоносная программа эволюционировала, чтобы использовать технологию EtherHiding, используя смарт-цепочку Binance для сокрытия полезной нагрузки и доставки файлов JavaScript второго этапа. Субъекты угроз внедряют вредоносный код на скомпрометированные веб-сайты с помощью плагинов WordPress, размещая вредоносный контент и выполняя его, когда жертвы посещают сайты. Анализ инцидентов выявил распространение ChromeSetup.exe вредоносного ПО, способного к краже информации с помощью различных методов, таких как внедрение процессов и запросы WMI. Вредоносная программа взаимодействует с внешними IP-адресами для управления, и наблюдаются дополнительные полезные нагрузки, приписываемые Amadey и другим семействам вредоносных программ, включая программы-вымогатели и похитители информации. Вредоносная программа Amadey также демонстрирует механизмы сохранения и тактику обхода защиты.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - вредоносная кампания ClearFake, представляющая собой вредоносный фреймворк JavaScript, который использует тактику социальной инженерии, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. Вредоносное ПО эволюционировало, чтобы использовать технику EtherHiding, и распространяется через скомпрометированные веб-сайты с помощью плагинов WordPress. С кампанией вредоносного по связаны различные вредоносные действия, такие как кража информации, программы-вымогатели и механизмы сохранения данных.
-----
В тексте обсуждается вредоносная кампания ClearFake, вредоносный фреймворк JavaScript, выявленный в июле 2023 года. Первоначально названный из-за отсутствия методов запутывания, ClearFake использует тактику социальной инженерии для предоставления жертвам поддельных страниц обновлений браузера, что приводит к загрузке вредоносной полезной нагрузки. Вредоносная программа эволюционировала, чтобы использовать технологию EtherHiding, используя смарт-цепочку Binance для сокрытия полезной нагрузки и доставки файлов JavaScript второго этапа. Субъекты угроз внедряют вредоносный код на скомпрометированные веб-сайты с помощью плагинов WordPress, размещая вредоносный контент и выполняя его, когда жертвы посещают сайты. Анализ инцидентов выявил распространение ChromeSetup.exe вредоносного ПО, способного к краже информации с помощью различных методов, таких как внедрение процессов и запросы WMI. Вредоносная программа взаимодействует с внешними IP-адресами для управления, и наблюдаются дополнительные полезные нагрузки, приписываемые Amadey и другим семействам вредоносных программ, включая программы-вымогатели и похитители информации. Вредоносная программа Amadey также демонстрирует механизмы сохранения и тактику обхода защиты.
#ParsedReport #CompletenessHigh
12-02-2024
DarkGate: Opening Gates for Financially Motivated Threat Actors
https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors
Report completeness: High
Actors/Campaigns:
Ta577 (motivation: financially_motivated)
Bianlian (motivation: financially_motivated)
Lunar_spider
Shathak
Threats:
Darkgate
Qakbot
Blackbasta
Ducktail_stealer
Seo_poisoning_technique
Icedid
Rastafareye_actor
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Netpass_tool
Lolbas_technique
Lolbin_technique
Dll_sideloading_technique
Bianlian_ransomware
Cobalt_strike
Victims:
Financial institutions, Bank deutsches kraftfahrzeuggewerbe (bdk)
Industry:
Financial
Geo:
Ukraine, Russia, Russian, Germany, Usa, German
ChatGPT TTPs:
T1566, T1193, T1204, T1486, T1027, T1218, T1059, T1070, T1014, T1568, have more...
IOCs:
File: 8
Url: 2
Domain: 3
Hash: 13
Soft:
PSexec, Windows Defender, Curl, Windows registry, ChatGPT
Algorithms:
zip, xor, md5, base64
Languages:
visual_basic, autoit, cscript
12-02-2024
DarkGate: Opening Gates for Financially Motivated Threat Actors
https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors
Report completeness: High
Actors/Campaigns:
Ta577 (motivation: financially_motivated)
Bianlian (motivation: financially_motivated)
Lunar_spider
Shathak
Threats:
Darkgate
Qakbot
Blackbasta
Ducktail_stealer
Seo_poisoning_technique
Icedid
Rastafareye_actor
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Netpass_tool
Lolbas_technique
Lolbin_technique
Dll_sideloading_technique
Bianlian_ransomware
Cobalt_strike
Victims:
Financial institutions, Bank deutsches kraftfahrzeuggewerbe (bdk)
Industry:
Financial
Geo:
Ukraine, Russia, Russian, Germany, Usa, German
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1204, T1486, T1027, T1218, T1059, T1070, T1014, T1568, have more...
IOCs:
File: 8
Url: 2
Domain: 3
Hash: 13
Soft:
PSexec, Windows Defender, Curl, Windows registry, ChatGPT
Algorithms:
zip, xor, md5, base64
Languages:
visual_basic, autoit, cscript
Eclecticiq
DarkGate: Opening Gates for Financially Motivated Threat Actors
EclecticIQ analysts observed an increase in the delivery of the DarkGate loader following the FBI's takedown of Qakbot infrastructure in August 2023.
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 DarkGate: Opening Gates for Financially Motivated Threat Actors https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors Report completeness: High Actors/Campaigns: Ta577 (motivation:…
#ParsedReport #ExtractedSchema
Classified images:
schema: 3, code: 2, chats: 1, windows: 3, dump: 2, table: 1
Classified images:
schema: 3, code: 2, chats: 1, windows: 3, dump: 2, table: 1
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 DarkGate: Opening Gates for Financially Motivated Threat Actors https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors Report completeness: High Actors/Campaigns: Ta577 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наблюдении и анализе возросшего распространения загрузчика DarkGate киберпреступниками, нацеленными на финансовые учреждения в Европе и США, после уничтожения ФБР инфраструктуры Qakbot. В нем освещается использование DarkGate для развертывания различных типов вредоносных программ, методы, используемые для распространения вредоносного ПО, сходство с IcedID, особенности версий DarkGate, эволюционирующие методы доставки и решающая роль инструментов "Вредоносное ПО как услуга", таких как DarkGate, в современных операциях по борьбе с киберпреступностью. Также предоставляются рекомендации по обнаружению для снижения риска, связанного с вредоносным ПО DarkGate.
-----
Аналитики по анализу киберугроз из EclecticIQ заметили увеличение распространения загрузчика DarkGate киберпреступниками после того, как ФБР уничтожило инфраструктуру Qakbot в августе 2023 года. С высокой степенью уверенности можно утверждать, что финансово мотивированные исполнители угроз и организации, использующие программы-вымогатели как услугу (RaaS), в основном используют DarkGate для нацеливания на финансовые учреждения в Европе и США. Загрузчик DarkGate используется для создания начальной точки опоры в корпоративных сетях, развертывания различных типов вредоносных программ, таких как программы-вымогатели, похитители информации и инструменты удаленного управления, а также для увеличения объема данных, извлекаемых для получения финансовой выгоды за счет успешных операций с программами-вымогателями. Операторы DarkGate использовали такие методы, как фишинговые электронные письма, злоупотребление законными сервисами, такими как Google DoubleClick Ad и облачное хранилище файлов, а также доставку вредоносных программ через зараженные вложения для распространения вредоносного ПО. Кроме того, существуют сходства в методах выполнения между DarkGate и IcedID, что предполагает потенциальное сотрудничество или совместное использование технологий участниками угроз. В тексте также описываются особенности DarkGate версий 5 и 6.1.6, включая тактику уклонения, методы расшифровки полезной нагрузки и параметры конфигурации. Было замечено, что субъекты угроз со временем адаптируют свои методы доставки, в частности, недавнее злоупотребление рекламными сервисами Google DoubleClick и переход к использованию форматов файлов CAB и MSI для распространения. Документ дает представление об эволюционирующей тактике и методах, используемых киберпреступниками, использующими DarkGate, подчеркивая решающую роль инструментов Malware-as-a-Service (MaaS), таких как DarkGate loader, в современных операциях по борьбе с киберпреступностью. Также предлагаются рекомендации по обнаружению для снижения риска, создаваемого вредоносным ПО DarkGate для конечных точек и сетей Windows.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наблюдении и анализе возросшего распространения загрузчика DarkGate киберпреступниками, нацеленными на финансовые учреждения в Европе и США, после уничтожения ФБР инфраструктуры Qakbot. В нем освещается использование DarkGate для развертывания различных типов вредоносных программ, методы, используемые для распространения вредоносного ПО, сходство с IcedID, особенности версий DarkGate, эволюционирующие методы доставки и решающая роль инструментов "Вредоносное ПО как услуга", таких как DarkGate, в современных операциях по борьбе с киберпреступностью. Также предоставляются рекомендации по обнаружению для снижения риска, связанного с вредоносным ПО DarkGate.
-----
Аналитики по анализу киберугроз из EclecticIQ заметили увеличение распространения загрузчика DarkGate киберпреступниками после того, как ФБР уничтожило инфраструктуру Qakbot в августе 2023 года. С высокой степенью уверенности можно утверждать, что финансово мотивированные исполнители угроз и организации, использующие программы-вымогатели как услугу (RaaS), в основном используют DarkGate для нацеливания на финансовые учреждения в Европе и США. Загрузчик DarkGate используется для создания начальной точки опоры в корпоративных сетях, развертывания различных типов вредоносных программ, таких как программы-вымогатели, похитители информации и инструменты удаленного управления, а также для увеличения объема данных, извлекаемых для получения финансовой выгоды за счет успешных операций с программами-вымогателями. Операторы DarkGate использовали такие методы, как фишинговые электронные письма, злоупотребление законными сервисами, такими как Google DoubleClick Ad и облачное хранилище файлов, а также доставку вредоносных программ через зараженные вложения для распространения вредоносного ПО. Кроме того, существуют сходства в методах выполнения между DarkGate и IcedID, что предполагает потенциальное сотрудничество или совместное использование технологий участниками угроз. В тексте также описываются особенности DarkGate версий 5 и 6.1.6, включая тактику уклонения, методы расшифровки полезной нагрузки и параметры конфигурации. Было замечено, что субъекты угроз со временем адаптируют свои методы доставки, в частности, недавнее злоупотребление рекламными сервисами Google DoubleClick и переход к использованию форматов файлов CAB и MSI для распространения. Документ дает представление об эволюционирующей тактике и методах, используемых киберпреступниками, использующими DarkGate, подчеркивая решающую роль инструментов Malware-as-a-Service (MaaS), таких как DarkGate loader, в современных операциях по борьбе с киберпреступностью. Также предлагаются рекомендации по обнаружению для снижения риска, создаваемого вредоносным ПО DarkGate для конечных точек и сетей Windows.
#ParsedReport #CompletenessMedium
12-02-2024
Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner
https://habr.com/ru/companies/f_a_c_c_t/news/792672
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer
Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations
Industry:
Healthcare, Financial, Government
Geo:
Czech, Belarus, Belarusian, Russian, Russia
ChatGPT TTPs:
T1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105
IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1
Soft:
NSIS Installer
Algorithms:
md5, sha1, sha256
Languages:
autoit
12-02-2024
Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner
https://habr.com/ru/companies/f_a_c_c_t/news/792672
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer
Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations
Industry:
Healthcare, Financial, Government
Geo:
Czech, Belarus, Belarusian, Russian, Russia
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105
IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1
Soft:
NSIS Installer
Algorithms:
md5, sha1, sha256
Languages:
autoit
Хабр
Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner
Кибершпионская APT-группа Sticky Werewolf , вероятно , попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного...
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner https://habr.com/ru/companies/f_a_c_c_t/news/792672 Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----
Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----
Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
#ParsedReport #CompletenessMedium
12-02-2024
Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion
https://www.crowdstrike.com/blog/hijackloader-expands-techniques
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique
TTPs:
IOCs:
Url: 4
Path: 3
File: 4
Hash: 2
Algorithms:
xor
Functions:
Gate, WriteFileW
Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...
Platforms:
x64
Links:
12-02-2024
Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion
https://www.crowdstrike.com/blog/hijackloader-expands-techniques
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique
TTPs:
IOCs:
Url: 4
Path: 3
File: 4
Hash: 2
Algorithms:
xor
Functions:
Gate, WriteFileW
Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...
Platforms:
x64
Links:
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29CrowdStrike.com
HijackLoader Expands Techniques to Improve Defense Evasion
Read this blog to learn about the HijackLoader sample that employs sophisticated evasion techniques to enhance the complexity of the threat.