#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Cado Security Labs выявили новую вредоносную кампанию под названием Migo, которая нацелена на серверы Redis с целью криптоджекинга. Кампания предполагает использование уникальных методов ослабления системы против Redis, при этом вредоносное ПО поставляется в виде двоичного файла Golang ELF. Злоумышленники используют сложные тактики, такие как внедрение новых команд Redis, настройка вредоносных полезных нагрузок, размещенных на Transfer.sh, и использование руткита пользовательского режима для скрытия на скомпрометированных хостах. Кампания Migo иллюстрирует эволюционирующую тактику атакующих, ориентированных на облако, использующих передовые методы, чтобы избежать обнаружения и затруднить анализ.
-----

Новая вредоносная кампания под названием Migo нацелена на серверы Redis с целью криптоджекинга.

Migo использует уникальные методы ослабления системы для использования серверов Redis, поставляемых в виде двоичного файла Golang ELF.

Злоумышленники используют сложные методы, такие как добавление новых команд ослабления Redis и использование руткита пользовательского режима для тактики уклонения.

Основная полезная нагрузка - это упакованный ELF, скомпилированный из кода Go с использованием защитных мер, таких как запутывание во время компиляции.

Migo проводит системные проверки, изменяет ограничения ресурсов и оптимизирует операции интеллектуального анализа данных, устанавливая параметры огромных страниц.

Чтобы добиться постоянства, Migo использует службу systemd и таймер, а также руткит пользовательского режима для скрытия артефактов на диске.

Кампания демонстрирует эволюционирующую тактику атакующих, ориентированных на облако, и демонстрирует переход к более сложным и запутанным методам атак, препятствующим усилиям по обнаружению.

#ParsedReport #CompletenessMedium
20-02-2024

Pelmeni Wrapper: New Wrapper of Kazuar (Turla Backdoor). Infection Chain

https://lab52.io/blog/pelmeni-wrapper-new-wrapper-of-kazuar-turla-backdoor

Report completeness: Medium

Actors/Campaigns:
Turla

Threats:
Pelmeni_wrapper
Kazuar
Dll_sideloading_technique

Industry:
Government, Healthcare, Telco, Energy

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1574, T1574.002, T1055, T1055.012, T1041

IOCs:
Url: 3
Hash: 12

Soft:
Jenkins

Algorithms:
caesar_cipher, xor

Win API:
CreateThread, LoadLibrary

Languages:
dotnet

Links:
https://gist.github.com/lastguest/%20235cbf7d9f5cf97abb79

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развивающейся тактике группы Turla advanced persistent threat (APT), связанной с Федеральной службой безопасности России (ФСБ), при проведении целенаправленных кибератак с использованием сложных методов обфускации и шифрования, чтобы избежать обнаружения и потенциально использовать уязвимости в механизмах расшифровки вредоносных программ.
-----

Turla, группа продвинутых постоянных угроз (APT), по сообщениям, связанная с Федеральной службой безопасности России (ФСБ), действует в подразделении "Центр-16", занимающемся сбором радиоэлектронной разведки. Их деятельность включает перехват, расшифровку и обработку электронных сообщений от иностранных объектов. Основанная в 2004 году, Turla в первую очередь нацелена на организации в странах бывшего Советского Союза, охватывающие различные секторы, включая правительства, исследовательские центры, посольства, энергетику, телекоммуникации и фармацевтику.

Недавние расследования показали, что Turla использовала новую оболочку Kazuar в своей цепочке заражения, уделяя особое внимание одному из образцов (образец №6). Эта целенаправленная атака предполагает потенциальное внедрение вредоносного ПО после предыдущего заражения для маскировки своей деятельности. Используя метод боковой загрузки DLL, Turla скрывает вредоносную библиотеку Dll в законных библиотеках, таких как SkyTel, NVIDIA GeForce Experience, vncutil или ASUS. Следовательно, вредоносная библиотека Dll загружается при запуске законного приложения, позволяя заражению прогрессировать.

Цепочка заражения Turla включает в себя расшифровку имени функции с использованием хэша, созданного именем компьютера жертвы, умноженного на константу, с использованием алгоритма Jenkins one_at_a_time для хэширования и генератора псевдослучайных чисел Ranqd1 для расшифровки. Вредоносная программа в конечном итоге запускает подготовленный поток, который расшифровывает сборку .NET и запускает ее из памяти. Кроме того, пока Pelmeni работает с .NET в фоновом режиме, он проверяет подключение, отправляя запросы в Google. Целенаправленный характер атаки препятствует продолжению заражения на альтернативных компьютерах, а ее алгоритмы дешифрования потенциально подвержены атакам методом перебора из-за сходства методов шифрования.

Анализ кода выявляет запутанную и зашифрованную природу вредоносного ПО с использованием алгоритма подстановки, напоминающего Kazuar. Это согласуется с характеристиками мультиплатформенного трояна Kazuar, выявленными в 2017 году, часто адаптированного для конкретных целей. Примечательно, что недавно обнаруженный образец, обсуждаемый в статье, подчеркивает использование Pelmeni в качестве оболочки для вредоносного ПО Kazuar, демонстрируя заметные отклонения от предыдущих образцов. В то время как общедоступные зашифрованные образцы затрудняют легкую идентификацию, предоставленные индикаторы компрометации призваны облегчить обнаружение этого нового варианта угрозы.

Кроме того, анализ показывает, что эта версия Kazuar поддерживает эксфильтрацию данных через сокет, расширяя свой арсенал для потенциального использования различных протоколов. В целом, детальное изучение проливает свет на эволюционирующую тактику Turla, уделяя особое внимание целенаправленным атакам, передовым методам запутывания и потенциальным уязвимостям в механизмах расшифровки вредоносного ПО для дальнейшего анализа кибербезопасности и стратегий защиты от таких угроз.

#ParsedReport #CompletenessLow
20-02-2024

Dark Web Profile: Hunters International

https://socradar.io/dark-web-profile-hunters-international

Report completeness: Low

Actors/Campaigns:
Hunters_international (motivation: information_theft, cyber_criminal)

Threats:
Hive

Industry:
Logistic, Education, Financial, Energy, Foodtech, Healthcare

Geo:
Japan, Canada, Nigeria, Brazil

ChatGPT TTPs:
do not use without manual check
T1583, T1585, T1027, T1560, T1486, T1071, T1490, T1105, T1552, T1021, have more...

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и эволюции группы по борьбе с киберугрозами Hunters International, предположительно связанной с ликвидированной группой программ-вымогателей Hive, демонстрирующей адаптивную природу киберпреступных сетей. Hunters International отрицает прямую принадлежность к Hive, но признает, что унаследовала ее исходный код и инфраструктуру, подчеркивая, что они сосредоточены на краже данных, а не на шифровании. Изощренная тактика группы, глобальный таргетинг на отрасли, потенциальные связи с Нигерией и влияние на организации подчеркивают проблемы в выявлении киберпреступлений и необходимость в стратегиях упреждающей защиты и международном сотрудничестве для эффективной борьбы с развивающимися киберугрозами.
-----

Hunters International - это группа Ransomware-as-a-Service (RaaS), которая возникла после распада группы программ-вымогателей Hive, что предполагает возможную связь.

Группа фокусируется на краже данных, а не на шифровании, используя индивидуальные программы-вымогатели с оптимизированным управлением ключами шифрования.

Hunters International ориентирована на различные отрасли промышленности по всему миру, демонстрируя недискриминационный подход в различных секторах и странах.

Есть подозрения в связях с Нигерией, основанные на регистрациях доменов и адресах электронной почты, связанных с группой.

Атаки группы с использованием программ-вымогателей привели к значительным утечкам данных, финансовым потерям и репутационному ущербу для пострадавших организаций.

Эксперты по кибербезопасности рекомендуют активные меры защиты и сотрудничество с правоохранительными органами для борьбы с развивающимися киберугрозами.

#ParsedReport #CompletenessLow
20-02-2024

Cracking Akira Ransomware: Prevention and Analysis by TTPs. Introduction

https://blog.morphisec.com/akira-ransomware-prevention-and-analysis

Report completeness: Low

Threats:
Akira_ransomware
Mimikatz_tool
Pchunter64_tool
Lazagne_tool
Netscan_tool

Victims:
Small and medium-sized organizations, Hospitals, Businesses

Industry:
Telco, Education, Government, Healthcare

Geo:
America, Sweden

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 2

Soft:
WinSCP, chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ тактики группы Akira Ransomware as a Service (RaaS) и эффективности решения Morphisec для защиты от программ-вымогателей с автоматической защитой от движущихся целей (AMTD) в противодействии этой угрозе. В нем подчеркивается рост числа атак программ-вымогателей и финансовые последствия для целевых организаций, подчеркивается необходимость учитывать эти риски в рамках стратегии кибербезопасности. В тексте объясняется тактика Akira, целевые сектора и заметные атаки, а также демонстрируется, как решение Morphisec обеспечивает расширенную защиту от программ-вымогателей, особенно тех, которые исходят от Akira, путем постоянного изменения системных ресурсов для предотвращения выполнения вредоносного кода. Сравнение тактики Akira и защиты Morphisec подчеркивает проактивный подход последней к снижению средней стоимости восстановления для пострадавших организаций.
-----

Этот блог посвящен группе Akira Ransomware as a Service (RaaS) и анализирует их тактику, методы и процедуры (TTP), стремясь продемонстрировать, как решение Morphisec для защиты от программ-вымогателей, интегрированное с автоматической защитой от движущихся целей (AMTD), может эффективно противостоять этой угрозе. Рост числа атак программ-вымогателей является заметной тенденцией, имеющей значительные финансовые последствия для целевых организаций из-за затрат на восстановление и потенциальных долгосрочных последствий для бизнес-операций, репутации и доверия.

Akira появилась в начале 2023 года как известная RaaS-группа, специализирующаяся на работе с малыми и средними организациями. Используя тактику двойного вымогательства, Акира извлекает данные перед шифрованием файлов, чтобы принудить жертв заплатить выкуп в размере от 200 000 до 4 миллионов долларов. Группа в основном сосредоточена на предприятиях в Северной Америке, Великобритании и Европе в различных секторах, таких как государственное управление, производство, технологии, образование, консалтинг, фармацевтика и телекоммуникации. Akira приобрела дурную славу благодаря своим мощным атакам, включая инцидент, в ходе которого она зашифровала центры обработки данных провайдера в Швеции, затронув множество организаций, включая больницы и предприятия.

В блоге подчеркивается, что все инциденты с программами-вымогателями сопряжены с затратами, что вынуждает организации учитывать эти риски в рамках своей стратегии кибербезопасности. Вместо того чтобы полагаться исключительно на обнаружение, решение Morphisec защищает конечные точки, постоянно изменяя и рандомизируя системные ресурсы, эффективно предотвращая выполнение вредоносного кода.

Решение Morphisec для защиты от программ-вымогателей, основанное на технологии AMTD, объединяет несколько уровней безопасности для предотвращения атак программ-вымогателей, в том числе совершенных Akira, на разных этапах атаки. Он позиционирует себя как передовой в области кибербезопасности, защищая миллионы устройств за счет предотвращения программ-вымогателей и других обходных атак, перехитряя традиционные решения для защиты конечных точек, такие как EDR/XDRs.

В блоге освещается подробное сравнение TTP от Akira и AMTD от Morphisec для защиты от программ-вымогателей. Анализ подчеркивает, что Morphisec предлагает модульные функциональные возможности для активного предотвращения инцидентов с программами-вымогателями, подобных тем, которые были организованы Akira, что в конечном итоге снижает среднюю стоимость восстановления для пострадавших организаций.

#ParsedReport #CompletenessMedium
20-02-2024

Attackers leverage PyPI to sideload malicious DLLs

https://www.reversinglabs.com/blog/attackers-leverage-pypi-to-sideload-malicious-dlls

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Dll_sideloading_technique
Typosquatting_technique
Cobalt_strike
Spear-phishing_technique

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1574, T1105, T1547, T1027, T1218, T1588, T1047

IOCs:
File: 6
Url: 2
Hash: 11

Algorithms:
base64, zip, xor

Win API:
Dllinstall, NotifyIpInterfaceChange

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в тревожной тенденции к тому, что субъекты киберугроз злоупотребляют платформами с открытым исходным кодом в злонамеренных целях, в частности, путем использования методов боковой загрузки DLL для выполнения поэтапной полезной нагрузки и уклонения от обнаружения. Примером этой тенденции является обнаружение вредоносных пакетов PyPI и последующее выявление более масштабной кампании, включающей аналогичные атаки, что подчеркивает необходимость повышенной бдительности при мониторинге цепочек поставок программного обеспечения на предмет потенциальных угроз.
-----

Исследователи ReversingLabs заметили тревожную тенденцию в сфере киберугроз, когда платформы и код с открытым исходным кодом все чаще используются для различных вредоносных действий и кампаний. Это включает размещение вредоносной инфраструктуры управления, хранение украденных данных и распространение вредоносных программ второго и третьего уровня, таких как загрузчики и руткиты. Тенденция злоупотребления платформами с открытым исходным кодом для вредоносных целей сохранится и в 2024 году, о чем свидетельствуют недавние результаты.

10 января реверс-инженер ReversingLabs по имени Карло Занки обнаружил два подозрительных пакета в индексе пакетов Python (PyPI) - NP6HelperHttptest и NP6HelperHttper. Было обнаружено, что эти пакеты использовались злоумышленниками для скрытого выполнения кода, избегая обнаружения средствами мониторинга безопасности. Анализ этих пакетов выявил использование метода боковой загрузки DLL, при котором законные файлы использовались в качестве маскировки для вредоносных действий.

Вредоносные пакеты содержали setup.py скрипт, который был разработан для загрузки как законного файла (ComServer.exe) от Kingsoft Corp., так и вредоносного файла (dgdeskband64.dll), используемого для выполнения поэтапной загрузки. Злоумышленники использовали стороннюю загрузку DLL, чтобы заменить законную библиотеку своей собственной вредоносной версией, что позволило им выполнять вредоносный код, избегая обнаружения.

Дальнейшее расследование ReversingLabs выявило, каким образом выполнение вредоносного кода было достигнуто с помощью обработчика исключений внутри функции экспорта Dllinstall. Этот обработчик был использован для передачи потока кода вредоносной подпрограмме, которая установила соединение с внешним сервером и загрузила полезную нагрузку, замаскированную под GIF-файл. Полезной нагрузкой на самом деле был шеллкод x86_64, который был расшифрован и идентифицирован как маяк Cobalt Strike, инструмент, обычно используемый red teams для тестирования на проникновение, но также используемый участниками угроз.

Обнаружение этих вредоносных пакетов PyPI привело исследователей к раскрытию более масштабной кампании, включающей аналогичные атаки. Используя платформу ReversingLabs Titanium и YARA Retro Hunt, были идентифицированы дополнительные образцы вредоносных программ, которые имели общие характеристики с исходными пакетами. Было обнаружено, что эти образцы являются частью одной и той же кампании, что указывает на скоординированные усилия участников угроз по использованию дополнительной загрузки библиотек DLL для атак на цепочки поставок программного обеспечения.

Эта эскалация вредоносной деятельности, использующей платформы с открытым исходным кодом, подчеркивает эволюционирующую тактику участников киберугроз, которые все чаще используют сложные методы, такие как дополнительная загрузка библиотек DLL, для проникновения в цепочки поставок программного обеспечения. Появление таких атак создает серьезную проблему для производителей программного обеспечения и организаций, требуя большей бдительности при мониторинге безопасности и целостности пакетов программного обеспечения в рамках их цепочек поставок.

#ParsedReport #CompletenessMedium
21-02-2024

A stealthy threat uncovered: TeaBot on Google Play Store. Notice

https://www.cleafy.com/cleafy-labs/a-stealthy-threat-uncovered-teabot-on-google-play-store

Report completeness: Medium

Threats:
Anatsa
Findzip

Victims:
Google play store users

Industry:
Financial

Geo:
Croatia, Ireland, Italy, Bulgaria, Spain, Estonia, Chinese, Slovenia, Russian, Russia, Slovakia, Finland, Czech

ChatGPT TTPs:
do not use without manual check
T1475, T1402, T1485, T1128, T1102, T1068

IOCs:
File: 2
Hash: 3
Url: 1
IP: 2

Soft:
Android

Algorithms:
md5

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространении банковского трояна TeaBot во многих европейских странах, распространяемого через приложение-дроппер в Google Play Store с использованием тактики уклонения и передовых методов, с заметным сдвигом в сторону использования официальных магазинов приложений для распространения вредоносного ПО и расширением целевой базы, включая Россию.
-----

Банковский троян TeaBot растет во многих европейских странах со второй недели февраля. Начальная фаза заражения связана с приложением, ранее доступным в Google Play Store, которое было загружено более 100 000 раз, прежде чем оно было удалено. Это приложение действовало как дроппер, позволяя устанавливать троян TeaBot на различных этапах, используя передовые тактики уклонения, такие как запутывание и удаление файлов.

Одним из существенных изменений, наблюдаемых в последние годы, является то, что злоумышленники используют официальные магазины приложений для распространения вредоносных программ вместо того, чтобы полагаться исключительно на фишинговые кампании. Такой подход позволяет им охватить более широкую аудиторию, увеличивая потенциал для успешных мошеннических действий. Заражение TeaBot было обнаружено с помощью данных телеметрии, что указывает на использование приложений dropper для доставки вредоносных программ через Google Play Store. Процесс заражения включает в себя несколько этапов, начиная с того, что приложение dropper незаметно загружает дополнительный код и файлы конфигурации, чтобы избежать обнаружения.

Приложение dropper запрашивает определенные разрешения для управления дополнительным кодом, необходимым для последующих этапов заражения. В отличие от предыдущих кампаний, в которых банковский троянец загружался напрямую, эта кампания включает в себя несколько шагов и проверок перед установкой TeaBot. Вредоносная программа использует сложные методы обхода, такие как динамическая загрузка дополнительного исполняемого файла в виде dex-файла с сервера управления. Чередуя полезную нагрузку, содержащуюся в dex-файле, субъекты угроз повышают свою способность эффективно обходить меры безопасности.

Интересно, что кампания TeaBot охватывает такие страны, как Россия, несмотря на то, что обычно она исключается из других кампаний вредоносного ПО, нацеленных на Содружество Независимых Государств. Вредоносная программа после установки запрашивает разрешения доступа, чтобы получить контроль над зараженным устройством. Примечательно, что недавний образец TeaBot включал код, предназначенный для таргетинга на банковское приложение Revolut, что еще больше расширяет его возможности.

TeaBot был впервые обнаружен в январе 2021 года и с тех пор постоянно обновлялся, включая новые цели, методы уклонения и языковую поддержку. Участники угроз, стоящие за TeaBot, постоянно совершенствуют свою тактику, чтобы избежать обнаружения и максимизировать свою эффективность. Использование магазина Google Play в качестве метода распространения и потенциальная ориентация на граждан России представляют собой примечательные аспекты кампании TeaBot, свидетельствующие о стратегическом изменении приоритетов таргетинга со стороны участников угроз.

#ParsedReport #CompletenessLow
21-02-2024

Vibrator virus steals your personal information

https://www.malwarebytes.com/blog/news/2024/02/vibrator-virus-steals-your-personal-information

Report completeness: Low

Threats:
Lumma_stealer
Zipbomb_technique

ChatGPT TTPs:
do not use without manual check
T1193, T1056, T1485, T1027, T1566, T1205, T1105, T1059, T1057, T1090, have more...

IOCs:
Path: 2
File: 3
Hash: 3

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Malwarebytes предотвратила заражение вредоносным ПО с зараженного вибратора, подключенного к USB-порту, подчеркнув важность проактивной защиты от развивающихся киберугроз, таких как Lumma, нацеленная на криптовалютные кошельки, и данные двухфакторной аутентификации через USB-устройства.
-----

Клиент Malwarebytes Premium поделился на Reddit реальным случаем, когда Malwarebytes успешно заблокировал заражение своего компьютера вредоносным ПО, когда они подключили вибратор, в частности, 8-функциональный перезаряжаемый вибратор Bullet от Spencer Sexology Pussy Power, к USB-порту для зарядки. Вибратор был заражен Lumma, похитителем информации, известным тем, что нацеливался на криптовалютные кошельки и расширения браузера, а также собирал данные двухфакторной аутентификации. Lumma работает по модели "Вредоносное ПО как услуга" (MaaS), когда киберпреступники платят за доступ к вредоносному программному обеспечению и инфраструктуре.

Lumma обычно распространяется с помощью кампаний по электронной почте, но в данном случае он был распространен через зараженный USB-накопитель. Файлы XML, задействованные в атаке вредоносного ПО, по-видимому, были разработаны как XML-бомбы, которые представляют собой вредоносные файлы, предназначенные для сбоя веб-приложений путем экспоненциального расширения сущностей, во многом похожие на ZIP-бомбу. Эта тактика, вероятно, служит для отвлечения внимания от фактической полезной нагрузки вредоносного ПО. Вредоносный файл запускал сильно запутанный переносимый исполняемый файл, идентифицированный Malwarebytes как троян.Склеп.MSIL - общее название для обнаружения запутанных троянских программ, написанных на Microsoft Intermediate Language (MSIL). Удаленный исполняемый файл состоял как из Lumma Stealer, так и из дополнительной библиотеки .NET dll.

Клиенты Malwarebytes ThreatDown получают выгоду от расширенного контроля устройств, функции, которая активно сканирует USB-устройства при подключении, а не просто контролирует доступ. Пользователи могут заблокировать устройство до тех пор, пока оно не пройдет проверку, гарантируя, что угрозы будут обнаружены и нейтрализованы до того, как они смогут причинить вред. Этот механизм проактивной защиты играет решающую роль в предотвращении заражения вредоносными программами через USB-устройства и подчеркивает важность внедрения надежных мер кибербезопасности для защиты от развивающихся киберугроз.