CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Python s Colorama Typosquatting Meets Fade Stealer Malware https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware Report completeness: Medium Actors/Campaigns: Dropping_elephant…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи киберугроз обнаружили попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python под названием Colorama, который в настоящее время входит в число самых загружаемых пакетов на PyPI. Это открытие выявляет тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения, в частности, нацеливаясь на пользователей Windows для извлечения конфиденциальных данных с популярных веб-сайтов. Анализ также подчеркивает необходимость бдительности в сообществе кибербезопасности для оперативного выявления таких действий и сообщения о них, а также важность тщательного изучения деталей пакетов, чтобы не стать жертвой этих атак.
-----

Исследование угроз Imperva выявило попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python Colorama, который в настоящее время занимает 44-е место среди наиболее загружаемых пакетов на PyPI. Это открытие высвечивает тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения и обмана ничего не подозревающих разработчиков. В прошлом году было выявлено несколько аналогичных попыток использовать пакет colorama с помощью typosquatting, таких как colarama, colourama и colorama-api, которые впоследствии были удалены из PyPI.

В ходе анализа кода setup.py была обнаружена ссылка на Fade Stealer, что привело к дальнейшему расследованию. Информация из различных блогов, в том числе из Fortinet, показала, что Fade Stealer в первую очередь нацелен на пользователей Windows, о чем свидетельствуют конкретные переменные среды и пути внутри вредоносного ПО. Вредоносная программа предназначена для извлечения конфиденциальных данных с популярных веб-сайтов в различных секторах, таких как игры, социальные сети и развлечения. Известные цели включают Facebook, Telegram, Roblox и Discord, с акцентом на получение платежных реквизитов от пользователей Discord. Используя Discord API с использованием обозначения @me, злоумышленник может получить доступ к токенам сеанса для несанкционированных действий.

Интересным наблюдением из анализа кода стало использование термина "methode", который указывает на возможного неродного носителя английского языка, стоящего за созданием Fade Stealer. Это расхождение в написании больше соответствует словам в других языках, таких как французский, а не стандартной английской терминологии. Комбинация тактик, включающих как Fade Stealer, так и typosquatting из Colorama, представляет собой новый подход в сфере кибербезопасности. В нем подчеркиваются изощренные методы, используемые участниками угроз для использования доверия сообщества Python, подчеркивается критическая важность тщательного изучения деталей пакета, включая имена и авторов, чтобы не стать жертвой таких атак.

Инцидент также подчеркивает ключевую роль сопровождающих репозитория и более широкого сообщества в оперативном обнаружении вредоносных действий и сообщении о них для защиты целостности экосистемы. Поддержание бдительности и внедрение надежных методов обеспечения безопасности необходимы для пресечения такой тактики обмана и обеспечения общей безопасности процессов разработки программного обеспечения. В заключение, этот случай служит предостерегающим напоминанием пользователям о необходимости проявлять осторожность и осмотрительность при работе с программными пакетами, особенно в критически важных проектах, где повышены риски компрометации.
#ParsedReport #CompletenessHigh
13-02-2024

From Cracked to Hacked: Malware Spread via YouTube Videos

https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos

Report completeness: High

Threats:
Redline_stealer
Raccoon_stealer
Smokeloader
Seo_poisoning_technique
Tropicracked_actor
Vidar_stealer
Privateloader
De4dot_tool
Process_injection_technique

Industry:
Education

Geo:
Spanish, Finland, American, Indonesian, Portuguese, Korean, French, America, Bangladesh, Italian

TTPs:
Tactics: 4
Technics: 8

IOCs:
File: 1
IP: 1
Hash: 2

Soft:
Adobe Animate, Microsoft Office, Telegram

Algorithms:
sha256

Win API:
decompress

Languages:
visual_basic

Links:
https://github.com/dnSpy/dnSpy
https://github.com/de4dot/de4dot
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 From Cracked to Hacked: Malware Spread via YouTube Videos https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos Report completeness: High Threats: Redline_stealer Raccoon_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
В отчете об анализе угроз подчеркивается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносного ПО, замаскированного под взломанные версии популярного программного обеспечения, уделяя особое внимание недорогим целевым кампаниям в Южной Америке. В нем подчеркивается тактика, используемая субъектами угроз, распространенные типы вредоносных программ, такие как Redline и RacoonStealer, и конкретный субъект угроз с именем TropiCracked. В отчете рекомендуется обучать пользователей, обновлять системы обнаружения на основе сигнатур и внедрять механизмы обнаружения, основанные на поведении, такие как платформа защиты от киберугроз, для повышения безопасности от таких атак.
-----

В отчете об анализе угроз обсуждается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносных программ, в частности таких инфокрадов, как Redline и Racoonstealer, под видом взломанных версий популярного платного программного обеспечения. Эти атаки характеризуются недорогими кампаниями с медленным запуском, которые нацелены на жертв в основном в Южной Америке. Участники угроз используют различные методы, такие как SEO-отравление и поддельные положительные комментарии, чтобы заманить жертв на загрузку вредоносных файлов. Наиболее часто встречающиеся вредоносные программы включают Redline и RacoonStealer, оба из которых относительно дешевы и доступны для исполнителей угроз. В отчете также подробно описывается конкретный исполнитель угроз по имени TropiCracked, который скомпрометировал более 800 аккаунтов YouTube в Южной Америке для распространения вредоносной полезной нагрузки. TropiCracked использует облегченную архитектуру и использует такие платформы, как Telegraph и Mediafire, для размещения и распространения вредоносных программ. Часто обновляя ссылки для скачивания и полезную нагрузку, злоумышленники могут избежать обнаружения и продолжать нацеливаться на ничего не подозревающих пользователей.

Для защиты от таких атак организациям рекомендуется информировать пользователей о рисках загрузки программного обеспечения из ненадежных источников и регулярно обновлять механизмы обнаружения на основе сигнатур. Внедрение механизмов обнаружения, основанных на поведении, таких как платформа Cybereason Defense Platform, может помочь в обнаружении и предотвращении инфекций за счет блокирования вредоносных файлов и использования анализа угроз, машинного обучения и возможностей антивирусов нового поколения. Включение таких функций, как контроль приложений, защита от программ-вымогателей и защита от различных видов полезной нагрузки, может повысить уровень безопасности организации от вредоносных угроз.
#ParsedReport #CompletenessMedium
13-02-2024

Malware Development Competition Fuels Creation of 20+ Malware

https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware

Report completeness: Medium

Threats:
Xsslite
Dll_sideloading_technique
Timestomp_technique

Industry:
Healthcare

Geo:
Russian, Chinese

ChatGPT TTPs:
do not use without manual check
T1587, T1588, T1204, T1547, T1082, T1055, T1497, T1552, T1056, T1071, have more...

IOCs:
Hash: 1

Soft:
Flask, Hyper-V

Wallets:
metamask

Crypto:
dogecoin

Algorithms:
sha1, md5, sha256

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Malware Development Competition Fuels Creation of 20+ Malware https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware Report completeness: Medium Threats: Xsslite Dll_…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение появления XSSLite Stealer, разработанного в рамках конкурса вредоносных программ, организованного российским хакерским сообществом, и его последующего распространения в китайских хакерских сообществах. В тексте также освещаются возможности и функционал XSSLite Stealer, влияние конкуренции на ландшафт угроз и взаимосвязанный характер подпольной кибердеятельности.
-----

В отчете обсуждается появление программы XSSLite Stealer, которая была разработана в рамках конкурса разработчиков вредоносных программ под названием XSSWare, организованного российским хакерским сообществом, известным как XSS. Разработчик XSSLite поделился исходным кодом проекта и указал на переход к новому проекту. После публикации на российском форуме stealer был распространен среди китайских хакерских сообществ, демонстрируя его распространение за пределы первоначальной платформы.

Сообщается, что XSSLite Stealer, созданный на C# с веб-панелью, встроенной в Python Flask, претерпевает переход на C++. Вредоносная программа оснащена различными функциональными возможностями, такими как использование инструментария управления Windows (WMI) для вредоносных команд, использование дополнительной загрузки библиотеки DLL для выполнения полезных нагрузок, извлечение конфиденциальной информации об устройстве, использование контроля записи при выделении памяти и проверка файла hosts на наличие доступных конечных точек. Кроме того, он идентифицирует жертв с помощью проверки общедоступных IP-адресов, реализует методы обхода "песочницы" и защиты от отладки, а также осуществляет кражу учетных данных браузера и ведение журнала нажатий клавиш. Инструкции по настройке сборки для передачи журналов на частный сервер управления перед компиляцией указывают на ее расширенные возможности.

В ответ на объявление о конкурсе на разработку вредоносных программ более 20 разработчиков вредоносных программ представили свои разработки на Российском хакерском форуме, что позволило пользователям бесплатно получить доступ к этим вредоносным инструментам. Среди представленных материалов участник представил три различных вредоносных программы, в том числе XSSLite infostealer, а также средство проверки начальных фраз криптографических данных и брутер кошелька Metamask. Конкуренция спровоцировала распространение различных типов бесплатных вредоносных программ, начиная от утилит, связанных с криптографией, и заканчивая похитителями информации, демонстрируя широту распространения изобретательных и вредоносных инструментов.

Влияние конкуренции на ландшафт угроз очевидно, демонстрируя, как денежные стимулы и вовлечение общественности в такие мероприятия стимулируют производство и распространение опасных вредоносных программ. В условиях продолжающейся конкуренции, стимулирующей создание большего количества вредоносных программ, форум готов увидеть всплеск вредоносных кампаний, использующих разработанные инструменты. Взаимосвязанный характер этой подпольной кибердеятельности подчеркивает важность мониторинга и понимания меняющейся тактики, используемой субъектами угроз в цифровой сфере.
#ParsedReport #CompletenessLow
13-02-2024

Warzone RAT infrastructure seized

https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized

Report completeness: Low

Threats:
Warzone_rat
Avemaria_rat

Geo:
Malta, Nigeria

ChatGPT TTPs:
do not use without manual check
T1566, T1569.002, T1056.001, T1113, T1056.001, T1185

IOCs:
Hash: 7
File: 3
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Warzone RAT infrastructure seized https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized Report completeness: Low Threats: Warzone_rat Avemaria_rat Geo: Malta, Nigeria ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Министерство юстиции объявило об успешном захвате интернет-доменов, продающих вредоносное ПО для кражи информации под названием Warzone RAT, что привело к арестам на Мальте и в Нигерии. Аналитики выявили признаки компрометации, связанные с вредоносным ПО, призывая отдельных лиц сообщать об инцидентах в ФБР и применять передовые методы безопасности для защиты от RATs, таких как Warzone. Внедрение таких решений, как Malwarebytes и ThreatDown, может помочь в обнаружении и уничтожении вредоносных программ, подчеркивая важность упреждающих мер безопасности в свете растущих киберугроз.
-----

9 февраля 2024 года Министерство юстиции сделало важное заявление о международной операции, в ходе которой был успешно захвачен интернет-домен, связанный с продажей вредоносного ПО для кражи информации. Операция, проводимая федеральными властями в Бостоне, была нацелена на www.warzone.ws и три связанных домена, которые продавали вредоносное ПО Warzone RAT. Эта конкретная вредоносная программа, известная как троян удаленного доступа (RAT), была очень сложной и предоставляла киберпреступникам несанкционированный доступ к системам жертв. Используя Warzone RAT, злоумышленники могли перемещаться по файловым системам жертв, делать скриншоты, регистрировать нажатия клавиш, воровать имена пользователей и пароли и даже шпионить за жертвами с помощью их веб-камер, и все это тайно, без ведома или согласия жертв.

После операции 7 февраля 2024 года правоохранительные органы произвели аресты на Мальте и в Нигерии. Двое задержанных подозреваемых были обвинены в продаже вредоносного ПО Warzone RAT и оказании поддержки киберпреступникам, которые использовали его для вредоносных действий. Любому человеку, который считает, что он стал жертвой компьютерного вторжения с участием Warzone RAT, настоятельно рекомендуется незамедлительно сообщить об инциденте в ФБР.

В свете этих событий аналитики выявили несколько индикаторов компрометации (IOCs), связанных с последними версиями Warzone RAT, альтернативно известной как AveMaria Stealer. Вредоносное ПО обычно распространяется с помощью мошеннических кампаний по электронной почте, которые используют тактику социальной инженерии, чтобы обманом заставить получателей загрузить и активировать вредоносную полезную нагрузку. Следовательно, распознавание определенных признаков того, что RAT активен в вашей системе, имеет решающее значение для быстрого обнаружения и устранения потенциальных угроз.

Для защиты систем от опасностей, создаваемых RATs, важно придерживаться основных рекомендаций по обеспечению безопасности. Использование решений для обеспечения безопасности, таких как Malwarebytes и ThreatDown, может помочь в обнаружении и уничтожении Warzone RAT. Эти продукты предназначены для устранения любых остатков вредоносных программ и защиты систем от последующих атак, предлагая комплексную защиту от целого ряда киберугроз, включая программы-вымогатели.

Учитывая растущую распространенность сложных вредоносных программ, таких как Warzone RAT, компаниям и частным лицам настоятельно рекомендуется сохранять бдительность и принимать упреждающие меры безопасности для защиты своих активов и информации. Оставаясь в курсе возникающих угроз и инвестируя в надежные решения для кибербезопасности, организации могут снизить риски и предотвратить потенциально разрушительные киберинциденты. Заинтересованные стороны могут изучить дополнительные возможности повышения своей кибербезопасности, получив доступ к бесплатным пробным предложениям от авторитетных поставщиков услуг безопасности.
#ParsedReport #CompletenessHigh
12-02-2024

Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer (English ver.). Executive Summary

https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Troll-stealer
Supply_chain_technique
Appleseed
Alphaseed
Vmprotect_tool
Gobear
Meterpreter_tool

Victims:
Sga solutions

Industry:
Government

Geo:
Korean, Korea

TTPs:
Tactics: 8
Technics: 17

IOCs:
File: 3
Path: 15
Hash: 10
Command: 3
Url: 7
Domain: 6
IP: 1

Soft:
chrome

Algorithms:
sha512, md5, xor, sha256, rc4, base64, rsa-4096

Languages:
golang, powershell

Platforms:
x86

Links:
https://github.com/moonD4rk/HackBrowserData
https://github.com/moonD4rk/HackBrowserData/
https://github.com/kbinani/screenshot
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer (English ver.). Executive Summary https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Центр исследования угроз и разведки S2W обнаружил новую вредоносную программу под названием Troll Stealer, связанную с группой Kimsuky, которая специализируется на краже информации из зараженных систем. Вредоносное ПО, замаскированное под программу безопасности, обладает сложными возможностями, приписываемыми Kimsuky на основе сходства кода, но с потенциальным участием другой группы. Вредоносное ПО использует методы уклонения, передовые методы шифрования и коммуникации с серверами C&C, что указывает на ориентацию на административные и общественные организации в Южной Корее. Возникают опасения по поводу будущих вредоносных действий в связи с обнаружением другой вредоносной программы GoBear, обладающей схожими характеристиками и подписанной тем же законным сертификатом.
-----

Центр исследований и разведки угроз S2W, Talon, недавно обнаружил новую вредоносную программу, предположительно связанную с группой Kimsuky. Названная Troll Stealer, эта вредоносная программа представляет собой угрозу для кражи информации, написанную на языке Go и способную красть различные данные из зараженных систем. Вредоносное ПО распространялось со страницы, которая перенаправляла пользователей на определенный сайт в Южной Корее, где предлагалась для скачивания программа безопасности. Было отмечено, что только 2 из 5 установщиков, распространяемых сайтом, содержали вредоносное ПО.

Вредоносная программа Troll Stealer работает путем удаления и запуска из файла-дроппера, замаскированного под установку программы безопасности от SGA Solutions. Как дроппер, так и сама вредоносная программа подписаны действительным сертификатом D2innovation Co.,LTD, что указывает на возможную кражу сертификата. Troll Stealer может извлекать такую информацию, как данные SSH, учетные данные FileZilla, файлы с диска C, активность браузера, системные сведения и даже делать снимки экрана, отправляя эти данные на свой сервер управления (C&C).

Одним из ключевых аспектов анализа является отнесение вредоносного ПО к группе Kimsuky на основе сходства кода с известными вредоносными программами, такими как AppleSeed и AlphaSeed. Однако определенные различия в тактике, методах и процедурах (TTP) привели к предположению, что к распространению вредоносного ПО может быть причастна другая группа, тесно связанная с Kimsuky. Примечательно, что Troll Stealer включает в себя функции таргетинга на папку GPKI в зараженных системах, что предполагает ориентацию на административные и общественные организации в Южной Корее.

Вредоносная программа использует различные методы уклонения, включая удаление определенных задач во время выполнения и шифрование украденных данных с использованием комбинации алгоритмов RC4 и RSA. Она также использует последовательности обмена данными, оптимизированные для эксфильтрации, удаления доказательств после передачи данных и самоудаления с помощью сценариев PowerShell. Детали анализа указывают на то, что поведение вредоносной программы Troll Stealer отражает поведение предыдущих угроз, связанных с Kimsuky, что усиливает принадлежность к этой группе.

Кроме того, обнаружение дополнительных вредоносных программ, подписанных тем же законным сертификатом, вызывает опасения по поводу потенциальных будущих вредоносных действий. Другая часть вредоносного ПО, названная GoBear, была идентифицирована как бэкдор на основе языка Go, подписанный тем же сертификатом. GoBear продемонстрировал возможности, согласованные с командами сервера C&C, при этом некоторые строки имен функций перекрывались с известной вредоносной программой-бэкдором на основе C++ под названием BetaSeed, используемой Kimsuky group.
#cyberthreattech

В части детекта TTPs по их описанию удалось чуток продвинуться за счет улучшения prompt и GPT4. Ошибок стало меньше. Будем дальше экспериментировать.
Следующий этап - набрать статистику по тому в каких TTP GPT ошибается чаще и их уже обрабатывать как-то иначе.
Вот кусочек.
[{
"mitre_id": "T1027",
"mitre_name": "Obfuscated Files or Information",
"reason": "CharmingCypress delivers NOKNOK as a string that has been base64 encoded five times."
},
{
"mitre_id": "T1071",
"mitre_name": "Application Layer Protocol",
"reason": "The malware-laden VPN application establishes a connection to a CharmingCypress-controlled VPN endpoint using the supplied credentials and an OpenVPN configuration file."
},
{
"mitre_id": "T1555.003",
"mitre_name": "Credentials from Password Stores: Credentials from Web Browsers",
"reason": "A browser information stealer module named blacksmith.exe can steal passwords, cookies and browser history."
},
{
"mitre_id": "T1095",
"mitre_name": "Non-Application Layer Protocol",
"reason": "The macOS version achieves a similar VPN connection using the Apple utility networksetup to install a SOCKS proxy."
},
{
"mitre_id": "T1047",
"mitre_name": "Windows Management Instrumentation",
"reason": "This module uses a variety of WMI queries to gather an extensive set of information about the compromised machine."
}]
Очередное подтверждение того, что бывают случаи, когда в Community driven CTI инфа появляется раньше, чем у производителей СЗИ
Forwarded from vx-underground
No but seriously, this is the first time we've beaten VirusTotal and other AV vendors to a malware sample.

feels_good_man.exe
#ParsedReport #CompletenessMedium
14-02-2024

Kryptina RaaS \| From Underground Commodity to Open Source Threat

https://www.sentinelone.com/blog/kryptina-raas-from-underground-commodity-to-open-source-threat

Report completeness: Medium

Threats:
Kryptina
Babuk

Industry:
Financial

TTPs:
Tactics: 1
Technics: 12

IOCs:
Hash: 21

Soft:
OpenSSL, flask

Crypto:
monero, bitcoin

Algorithms:
base64, aes-256, cbc, xor

Functions:
krptna_process_file, EVP_CIPHER_CTX_new, EVP_CipherUpdate, secure_delete_file

Languages:
python

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessMedium 14-02-2024 Kryptina RaaS \| From Underground Commodity to Open Source Threat https://www.sentinelone.com/blog/kryptina-raas-from-underground-commodity-to-open-source-threat Report completeness: Medium Threats: Kryptina…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении угрозы Kryptina для систем Linux, особенно в виде программ-вымогателей, и ее эволюции из платной услуги в инструмент с открытым исходным кодом. В тексте исследуется влияние Kryptina RaaS на ландшафт кибербезопасности, его функциональные возможности, последствия использования открытых источников и важность защиты организаций от этой развивающейся киберугрозы.
-----

Угроза Kryptina для систем Linux стала серьезной проблемой в сфере киберугроз, вызывающей беспокойство организаций и специалистов по кибербезопасности. Распространение моделей "программы-вымогатели как услуга" (RaaS) привело к увеличению числа атак с использованием программ-вымогателей в последние годы, поскольку киберпреступники получили простые в использовании инструменты по низкой цене, позволяющие им эффективно проводить кампании с использованием программ-вымогателей. Kryptina RaaS, платформа для атак, ориентированная на Linux, которая перешла от платного сервиса к инструменту с открытым исходным кодом, представляет собой новый поворот в этом меняющемся ландшафте угроз.

Первоначально представленная в декабре 2023 года на подпольных форумах, Kryptina RaaS рекламировалась как легкое, быстрое и легко настраиваемое решение для программ-вымогателей для систем Linux, привлекающее киберпреступников, ищущих эффективные способы воздействия на критически важную инфраструктуру. Разработчик, известный как Corlys, предложил два варианта покупки: автономную сборку за 20 долларов и полный пакет с исходным кодом, конструктором и документацией за 500 долларов. Со временем были добавлены новые функции, такие как расширенная целевая поддержка, обновленный веб-интерфейс и варианты оплаты криптовалютой, что привело к повышению цены до 800 долларов за полный пакет. При неожиданном повороте событий в феврале разработчик опубликовал весь исходный код на BreachForums, сделав его доступным для всех. Мотивы, стоящие за этим шагом, неясны, но могут варьироваться от неудачных попыток привлечь покупателей до признания сообществом или конфликтов с другими участниками угроз.

Kryptina - это специфичная для Linux программа-вымогатель, которая работает на архитектурах elf64 или elf32, нацеливаясь на указанные каталоги и файлы в процессе шифрования. Она использует однопроходный метод для перезаписи данных, что затрудняет восстановление исходных файлов. Архитектура программы-вымогателя использует скрипты Python для компоновщика полезной нагрузки и веб-сервера с такими зависимостями, как pycrypto, termcolor и flask. В версии 2.0 были внесены улучшения, включая веб-интерфейс на базе Flask, позволяющий управлять кампаниями, общаться с жертвами и настраивать полезную нагрузку программ-вымогателей. Инструмент предоставляет операторам детальный контроль с помощью аргументов командной строки для указания сведений о цели, ключей шифрования и каталогов для шифрования.

Открытый исходный код Kryptina RaaS имеет значительные последствия для ландшафта кибербезопасности. Это снижает барьер для входа для начинающих киберпреступников, потенциально приводя к всплеску атак и развитию различных форм Kryptina. Наличие обширной документации и настраиваемых функций делает Kryptina универсальным и привлекательным инструментом для участников угроз, требуя от организаций проявлять бдительность при защите от этой развивающейся угрозы.

Чтобы снизить риски, связанные с Kryptina и подобными угрозами, организации могут использовать решения для кибербезопасности, такие как SentinelOne Singularity, который обнаруживает полезную нагрузку Kryptina и защищает системы Linux от атак программ-вымогателей. Поскольку злоумышленники продолжают использовать открытый исходный код Kryptina, для сетевых защитников крайне важно быть в курсе событий и внедрять надежные меры безопасности для защиты своих систем от развивающихся киберугроз.
#ParsedReport #CompletenessMedium
14-02-2024

TicTacToe Dropper

https://www.fortinet.com/blog/threat-research/tictactoe-dropper

Report completeness: Medium

Threats:
Tictactoe
Leonem
Agent_tesla
Snake_keylogger
Remloader
Sabsik
Lokibot_stealer
Taskun
Androm
Upatre
Remcos_rat
Motw_bypass_technique
De4dot_tool
Tinba
Kryptik
Warzone_rat
Mamut

Victims:
Microsoft windows users

Industry:
Financial

Geo:
Polish

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566.001, T1553.005, T1027, T1055, T1045, T1106, T1140, T1027.002, T1559.001

IOCs:
File: 11
Hash: 9
Url: 2

Algorithms:
sha1, gzip, sha256

Links:
https://github.com/de4dot/de4dot