#ParsedReport #CompletenessHigh
20-02-2024

Cisco Talos Blog. Astaroth, Mekotio & Ousaban abusing Google Cloud Run in LATAM-focused malware campaigns

https://blog.talosintelligence.com/google-cloud-run-abuse

Report completeness: High

Threats:
Astaroth
Mekotio
Ousaban
Cloaking_technique
Bitsadmin
Lolbin_technique
Sysupdate
Vmprotect_tool

Industry:
Financial, Government

Geo:
Argentina, Brazilian, Brazil, America, American, Spanish, Latam

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1027, T1105, T1547.001, T1041, T1568, T1071, T1566.001

IOCs:
Domain: 30
Url: 26
File: 35
Path: 19
IP: 1
Hash: 15

Soft:
Microsoft Outlook

Crypto:
bitcoin

Algorithms:
zip, xor, sha256

Languages:
php, autoit, jscript, delphi, powershell, javascript

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, windows: 2, code: 8, schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Google Cloud Run используется злоумышленниками для распространения банковских троянов, таких как Astaroth, Mekotio и Ousaban, посредством обширных кампаний по распространению вредоносных программ, нацеленных на жертв в основном в Латинской Америке, причем с сентября 2023 года наблюдается всплеск вредоносных электронных писем. В этих кампаниях используются вредоносные установщики Microsoft в качестве дропперов или загрузчиков полезной нагрузки вредоносного ПО, а субъекты угроз используют различные тактики, чтобы избежать обнаружения и нацелиться на испаноязычных и италоязычных получателей, что указывает на единого субъекта угрозы, стоящего за операциями. Непрерывный мониторинг и анализ IOC и TTP имеют решающее значение для обнаружения и смягчения этих сложных киберугроз.
-----

Google Cloud Run используется в кампаниях по распространению вредоносных программ, нацеленных на жертв в Латинской Америке и Европе, распространяя банковские трояны, такие как Astaroth, Mekotio и Ousaban.

Резкий рост объема вредоносной электронной почты с сентября 2023 года при продолжающихся усилиях по распространению.

Варианты вредоносного ПО распространяются через вредоносные установщики Microsoft (MSI), действующие как дропперы.

Astaroth и Mekotio распространяются в рамках одного и того же облачного проекта Google и хранилища данных.

Astaroth нацелен на более чем 300 учреждений в 15 странах Латинской Америки.

Субъекты угроз нацелены в первую очередь на испаноязычных получателей, при этом некоторая активность направлена на носителей итальянского языка.

Вредоносные электронные письма, замаскированные под счета-фактуры или сообщения, перенаправляют получателей на облачные веб-сервисы, управляемые субъектами угроз.

Связь между кампаниями "Астарот", "Мекотио" и "Усабан" указывает на единого субъекта угрозы, стоящего за этими операциями.

Возможности Astaroth включают в себя кражу учетных данных криптовалюты, нажатие клавиши и захват скриншота, а также установление постоянства с помощью манипуляций с меню запуска.

Mekotio осуществляет фильтрацию финансовых данных и использует механизмы фильтрации на основе IP-геолокации.

Хэши SHA256, URL-адреса, IP-адреса и домены являются важными показателями компрометации для обнаружения кампаний и смягчения их последствий.

Постоянный мониторинг меняющейся тактики участников угроз имеет решающее значение для эффективной защиты от этих киберугроз.

#ParsedReport #CompletenessLow
20-02-2024

Breakdown of Tycoon Phishing-as-a-Service System

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/breakdown-of-tycoon-phishing-as-a-service-system

Report completeness: Low

Threats:
Tycoon_paas
Greatness_tool
Antibot
Redrum
Phisher

IOCs:
File: 2
Url: 864

Soft:
Telegram, Gmail, Active Directory Federation Services, ADFS

Algorithms:
base64, xor

Languages:
php, javascript

Links:
https://gist.github.com/drole/1469713841ab9a5121011e2eb88c5e87

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе фреймворка Tycoon Group "фишинг как услуга" с подробным описанием его особенностей, эволюции, цепочки атак, методов коммуникации и влияния на ландшафт киберугроз. В нем подчеркивается использование группой сложных методов, таких как обход двухфакторной аутентификации, уклонение от Cloudflare и интеграция с WebSocket, а также демократизация продвинутых фишинговых атак с помощью модели PaaS.
-----

Tycoon Group - это фреймворк "фишинг как услуга" (PaaS), обнаруженный командой по борьбе с глобальными угрозами Trustwave SpiderLabs вскоре после их отчета о PaaS Greatness. Продаваемый в Telegram всего за 120 долларов, Tycoon Group может похвастаться такими функциями, как обход двухфакторной аутентификации Microsoft, достижение высокой скорости соединения и использование Cloudflare для обхода мер защиты от ботов. Команда обнаружила этот PaaS во время расследования фишингового инцидента, отметив его уникальный метод связи с фишинговыми серверами.

Самая ранняя отправка фишинговой страницы Tycoon Group была обнаружена в августе 2023 года, а в обновлениях в октябре была представлена интеграция WebSocket для улучшения взаимодействия браузера с сервером. К февралю 2024 года была добавлена новая возможность обхода двухфакторной аутентификации для пользователей Gmail, расширив ее целевой диапазон за пределы пользователей Microsoft 365. Цепочка атак начинается со стандартной фишинговой кампании с использованием авторитетных доменов и облачных сервисов для маскировки истинного URL главной целевой страницы фишинга.

Перенаправление в рамках кампании предполагает переход по ссылке в электронном письме для доступа к документу-приманке, содержащему фишинговую ссылку. Целевая страница содержит PHP-скрипт "index.php", который загружает дополнительный компонент, файл JavaScript с именем "myscr", для генерации HTML-кода фишинговой страницы. Index.php может использовать методы запутывания, такие как кодирование Base64 и операции XOR, в то время как myscr использует множество методов, чтобы избежать обнаружения, включая длинные массивы десятичных целых чисел и непрозрачные предикаты.

JavaScript-скрипт аутентифицирует клики через турникет Cloudflare, чтобы отличать пользователей-людей от автоматических ботов, загружая специальную страницу входа после проверки. Он использует socket.io, библиотеку WebSocket, для связи с сервером фишера для извлечения учетных данных жертвы. Сервер WebSocket обычно размещается в том же домене, что и фишинговая страница, что обеспечивает эффективную передачу данных.

Подписчики Tycoon Group получают доступ к административной панели для управления кампаниями и контроля учетных данных в зависимости от их плана подписки. Панель позволяет создавать фишинговые темы, переключать функции PaaS и управлять фишинговыми учетными данными, включая имена пользователей, пароли и сеансовые файлы cookie. Подписчики могут пересылать результаты в свою учетную запись Telegram и загружать файл JavaScript, чтобы установить украденные файлы cookie в браузерах для несанкционированного доступа к учетной записи.

Модель фишинга как услуги, популяризируемая такими группами, как Tycoon Group и Greatness Phishing, демократизирует сложные фишинговые атаки даже для менее квалифицированных участников угроз. Использование WebSocket Tycoon Group отличает его тем, что оно облегчает эффективную передачу данных между браузерами и серверами, оптимизирует кампанию и управление учетными данными подписчиков.

#ParsedReport #CompletenessMedium
20-02-2024

Migo - a Redis Miner with Novel System Weakening Techniques

https://www.cadosecurity.com/migo-a-redis-miner-with-novel-system-weakening-techniques

Report completeness: Medium

Threats:
Migo
Upx_tool
Xmrig_miner
Dynamic_linker_hijacking_technique
Libprocesshider_rootkit
Log4shell_vuln

Geo:
Asian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1496, T1105, T1059.004, T1027, T1574.002, T1564.001, T1543.003, T1053.005, T1497.001, have more...

IOCs:
IP: 1
File: 3
Hash: 7

Soft:
Redis, curl, SELinux, systemd, UNIX, macOS

Algorithms:
gzip

Languages:
golang

Links:
https://github.com/gianlucaborello/libprocesshider
https://github.com/cado-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Cado Security Labs выявили новую вредоносную кампанию под названием Migo, которая нацелена на серверы Redis с целью криптоджекинга. Кампания предполагает использование уникальных методов ослабления системы против Redis, при этом вредоносное ПО поставляется в виде двоичного файла Golang ELF. Злоумышленники используют сложные тактики, такие как внедрение новых команд Redis, настройка вредоносных полезных нагрузок, размещенных на Transfer.sh, и использование руткита пользовательского режима для скрытия на скомпрометированных хостах. Кампания Migo иллюстрирует эволюционирующую тактику атакующих, ориентированных на облако, использующих передовые методы, чтобы избежать обнаружения и затруднить анализ.
-----

Новая вредоносная кампания под названием Migo нацелена на серверы Redis с целью криптоджекинга.

Migo использует уникальные методы ослабления системы для использования серверов Redis, поставляемых в виде двоичного файла Golang ELF.

Злоумышленники используют сложные методы, такие как добавление новых команд ослабления Redis и использование руткита пользовательского режима для тактики уклонения.

Основная полезная нагрузка - это упакованный ELF, скомпилированный из кода Go с использованием защитных мер, таких как запутывание во время компиляции.

Migo проводит системные проверки, изменяет ограничения ресурсов и оптимизирует операции интеллектуального анализа данных, устанавливая параметры огромных страниц.

Чтобы добиться постоянства, Migo использует службу systemd и таймер, а также руткит пользовательского режима для скрытия артефактов на диске.

Кампания демонстрирует эволюционирующую тактику атакующих, ориентированных на облако, и демонстрирует переход к более сложным и запутанным методам атак, препятствующим усилиям по обнаружению.

#ParsedReport #CompletenessMedium
20-02-2024

Pelmeni Wrapper: New Wrapper of Kazuar (Turla Backdoor). Infection Chain

https://lab52.io/blog/pelmeni-wrapper-new-wrapper-of-kazuar-turla-backdoor

Report completeness: Medium

Actors/Campaigns:
Turla

Threats:
Pelmeni_wrapper
Kazuar
Dll_sideloading_technique

Industry:
Government, Healthcare, Telco, Energy

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1574, T1574.002, T1055, T1055.012, T1041

IOCs:
Url: 3
Hash: 12

Soft:
Jenkins

Algorithms:
caesar_cipher, xor

Win API:
CreateThread, LoadLibrary

Languages:
dotnet

Links:
https://gist.github.com/lastguest/%20235cbf7d9f5cf97abb79

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развивающейся тактике группы Turla advanced persistent threat (APT), связанной с Федеральной службой безопасности России (ФСБ), при проведении целенаправленных кибератак с использованием сложных методов обфускации и шифрования, чтобы избежать обнаружения и потенциально использовать уязвимости в механизмах расшифровки вредоносных программ.
-----

Turla, группа продвинутых постоянных угроз (APT), по сообщениям, связанная с Федеральной службой безопасности России (ФСБ), действует в подразделении "Центр-16", занимающемся сбором радиоэлектронной разведки. Их деятельность включает перехват, расшифровку и обработку электронных сообщений от иностранных объектов. Основанная в 2004 году, Turla в первую очередь нацелена на организации в странах бывшего Советского Союза, охватывающие различные секторы, включая правительства, исследовательские центры, посольства, энергетику, телекоммуникации и фармацевтику.

Недавние расследования показали, что Turla использовала новую оболочку Kazuar в своей цепочке заражения, уделяя особое внимание одному из образцов (образец №6). Эта целенаправленная атака предполагает потенциальное внедрение вредоносного ПО после предыдущего заражения для маскировки своей деятельности. Используя метод боковой загрузки DLL, Turla скрывает вредоносную библиотеку Dll в законных библиотеках, таких как SkyTel, NVIDIA GeForce Experience, vncutil или ASUS. Следовательно, вредоносная библиотека Dll загружается при запуске законного приложения, позволяя заражению прогрессировать.

Цепочка заражения Turla включает в себя расшифровку имени функции с использованием хэша, созданного именем компьютера жертвы, умноженного на константу, с использованием алгоритма Jenkins one_at_a_time для хэширования и генератора псевдослучайных чисел Ranqd1 для расшифровки. Вредоносная программа в конечном итоге запускает подготовленный поток, который расшифровывает сборку .NET и запускает ее из памяти. Кроме того, пока Pelmeni работает с .NET в фоновом режиме, он проверяет подключение, отправляя запросы в Google. Целенаправленный характер атаки препятствует продолжению заражения на альтернативных компьютерах, а ее алгоритмы дешифрования потенциально подвержены атакам методом перебора из-за сходства методов шифрования.

Анализ кода выявляет запутанную и зашифрованную природу вредоносного ПО с использованием алгоритма подстановки, напоминающего Kazuar. Это согласуется с характеристиками мультиплатформенного трояна Kazuar, выявленными в 2017 году, часто адаптированного для конкретных целей. Примечательно, что недавно обнаруженный образец, обсуждаемый в статье, подчеркивает использование Pelmeni в качестве оболочки для вредоносного ПО Kazuar, демонстрируя заметные отклонения от предыдущих образцов. В то время как общедоступные зашифрованные образцы затрудняют легкую идентификацию, предоставленные индикаторы компрометации призваны облегчить обнаружение этого нового варианта угрозы.

Кроме того, анализ показывает, что эта версия Kazuar поддерживает эксфильтрацию данных через сокет, расширяя свой арсенал для потенциального использования различных протоколов. В целом, детальное изучение проливает свет на эволюционирующую тактику Turla, уделяя особое внимание целенаправленным атакам, передовым методам запутывания и потенциальным уязвимостям в механизмах расшифровки вредоносного ПО для дальнейшего анализа кибербезопасности и стратегий защиты от таких угроз.

#ParsedReport #CompletenessLow
20-02-2024

Dark Web Profile: Hunters International

https://socradar.io/dark-web-profile-hunters-international

Report completeness: Low

Actors/Campaigns:
Hunters_international (motivation: information_theft, cyber_criminal)

Threats:
Hive

Industry:
Logistic, Education, Financial, Energy, Foodtech, Healthcare

Geo:
Japan, Canada, Nigeria, Brazil

ChatGPT TTPs:
do not use without manual check
T1583, T1585, T1027, T1560, T1486, T1071, T1490, T1105, T1552, T1021, have more...

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и эволюции группы по борьбе с киберугрозами Hunters International, предположительно связанной с ликвидированной группой программ-вымогателей Hive, демонстрирующей адаптивную природу киберпреступных сетей. Hunters International отрицает прямую принадлежность к Hive, но признает, что унаследовала ее исходный код и инфраструктуру, подчеркивая, что они сосредоточены на краже данных, а не на шифровании. Изощренная тактика группы, глобальный таргетинг на отрасли, потенциальные связи с Нигерией и влияние на организации подчеркивают проблемы в выявлении киберпреступлений и необходимость в стратегиях упреждающей защиты и международном сотрудничестве для эффективной борьбы с развивающимися киберугрозами.
-----

Hunters International - это группа Ransomware-as-a-Service (RaaS), которая возникла после распада группы программ-вымогателей Hive, что предполагает возможную связь.

Группа фокусируется на краже данных, а не на шифровании, используя индивидуальные программы-вымогатели с оптимизированным управлением ключами шифрования.

Hunters International ориентирована на различные отрасли промышленности по всему миру, демонстрируя недискриминационный подход в различных секторах и странах.

Есть подозрения в связях с Нигерией, основанные на регистрациях доменов и адресах электронной почты, связанных с группой.

Атаки группы с использованием программ-вымогателей привели к значительным утечкам данных, финансовым потерям и репутационному ущербу для пострадавших организаций.

Эксперты по кибербезопасности рекомендуют активные меры защиты и сотрудничество с правоохранительными органами для борьбы с развивающимися киберугрозами.

#ParsedReport #CompletenessLow
20-02-2024

Cracking Akira Ransomware: Prevention and Analysis by TTPs. Introduction

https://blog.morphisec.com/akira-ransomware-prevention-and-analysis

Report completeness: Low

Threats:
Akira_ransomware
Mimikatz_tool
Pchunter64_tool
Lazagne_tool
Netscan_tool

Victims:
Small and medium-sized organizations, Hospitals, Businesses

Industry:
Telco, Education, Government, Healthcare

Geo:
America, Sweden

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 2

Soft:
WinSCP, chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ тактики группы Akira Ransomware as a Service (RaaS) и эффективности решения Morphisec для защиты от программ-вымогателей с автоматической защитой от движущихся целей (AMTD) в противодействии этой угрозе. В нем подчеркивается рост числа атак программ-вымогателей и финансовые последствия для целевых организаций, подчеркивается необходимость учитывать эти риски в рамках стратегии кибербезопасности. В тексте объясняется тактика Akira, целевые сектора и заметные атаки, а также демонстрируется, как решение Morphisec обеспечивает расширенную защиту от программ-вымогателей, особенно тех, которые исходят от Akira, путем постоянного изменения системных ресурсов для предотвращения выполнения вредоносного кода. Сравнение тактики Akira и защиты Morphisec подчеркивает проактивный подход последней к снижению средней стоимости восстановления для пострадавших организаций.
-----

Этот блог посвящен группе Akira Ransomware as a Service (RaaS) и анализирует их тактику, методы и процедуры (TTP), стремясь продемонстрировать, как решение Morphisec для защиты от программ-вымогателей, интегрированное с автоматической защитой от движущихся целей (AMTD), может эффективно противостоять этой угрозе. Рост числа атак программ-вымогателей является заметной тенденцией, имеющей значительные финансовые последствия для целевых организаций из-за затрат на восстановление и потенциальных долгосрочных последствий для бизнес-операций, репутации и доверия.

Akira появилась в начале 2023 года как известная RaaS-группа, специализирующаяся на работе с малыми и средними организациями. Используя тактику двойного вымогательства, Акира извлекает данные перед шифрованием файлов, чтобы принудить жертв заплатить выкуп в размере от 200 000 до 4 миллионов долларов. Группа в основном сосредоточена на предприятиях в Северной Америке, Великобритании и Европе в различных секторах, таких как государственное управление, производство, технологии, образование, консалтинг, фармацевтика и телекоммуникации. Akira приобрела дурную славу благодаря своим мощным атакам, включая инцидент, в ходе которого она зашифровала центры обработки данных провайдера в Швеции, затронув множество организаций, включая больницы и предприятия.

В блоге подчеркивается, что все инциденты с программами-вымогателями сопряжены с затратами, что вынуждает организации учитывать эти риски в рамках своей стратегии кибербезопасности. Вместо того чтобы полагаться исключительно на обнаружение, решение Morphisec защищает конечные точки, постоянно изменяя и рандомизируя системные ресурсы, эффективно предотвращая выполнение вредоносного кода.

Решение Morphisec для защиты от программ-вымогателей, основанное на технологии AMTD, объединяет несколько уровней безопасности для предотвращения атак программ-вымогателей, в том числе совершенных Akira, на разных этапах атаки. Он позиционирует себя как передовой в области кибербезопасности, защищая миллионы устройств за счет предотвращения программ-вымогателей и других обходных атак, перехитряя традиционные решения для защиты конечных точек, такие как EDR/XDRs.

В блоге освещается подробное сравнение TTP от Akira и AMTD от Morphisec для защиты от программ-вымогателей. Анализ подчеркивает, что Morphisec предлагает модульные функциональные возможности для активного предотвращения инцидентов с программами-вымогателями, подобных тем, которые были организованы Akira, что в конечном итоге снижает среднюю стоимость восстановления для пострадавших организаций.

#ParsedReport #CompletenessMedium
20-02-2024

Attackers leverage PyPI to sideload malicious DLLs

https://www.reversinglabs.com/blog/attackers-leverage-pypi-to-sideload-malicious-dlls

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Dll_sideloading_technique
Typosquatting_technique
Cobalt_strike
Spear-phishing_technique

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1574, T1105, T1547, T1027, T1218, T1588, T1047

IOCs:
File: 6
Url: 2
Hash: 11

Algorithms:
base64, zip, xor

Win API:
Dllinstall, NotifyIpInterfaceChange

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, dump: 1