#ParsedReport #CompletenessLow
20-02-2024

Dark Web Profile: Hunters International

https://socradar.io/dark-web-profile-hunters-international

Report completeness: Low

Actors/Campaigns:
Hunters_international (motivation: information_theft, cyber_criminal)

Threats:
Hive

Industry:
Logistic, Education, Financial, Energy, Foodtech, Healthcare

Geo:
Japan, Canada, Nigeria, Brazil

ChatGPT TTPs:
do not use without manual check
T1583, T1585, T1027, T1560, T1486, T1071, T1490, T1105, T1552, T1021, have more...

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и эволюции группы по борьбе с киберугрозами Hunters International, предположительно связанной с ликвидированной группой программ-вымогателей Hive, демонстрирующей адаптивную природу киберпреступных сетей. Hunters International отрицает прямую принадлежность к Hive, но признает, что унаследовала ее исходный код и инфраструктуру, подчеркивая, что они сосредоточены на краже данных, а не на шифровании. Изощренная тактика группы, глобальный таргетинг на отрасли, потенциальные связи с Нигерией и влияние на организации подчеркивают проблемы в выявлении киберпреступлений и необходимость в стратегиях упреждающей защиты и международном сотрудничестве для эффективной борьбы с развивающимися киберугрозами.
-----

Hunters International - это группа Ransomware-as-a-Service (RaaS), которая возникла после распада группы программ-вымогателей Hive, что предполагает возможную связь.

Группа фокусируется на краже данных, а не на шифровании, используя индивидуальные программы-вымогатели с оптимизированным управлением ключами шифрования.

Hunters International ориентирована на различные отрасли промышленности по всему миру, демонстрируя недискриминационный подход в различных секторах и странах.

Есть подозрения в связях с Нигерией, основанные на регистрациях доменов и адресах электронной почты, связанных с группой.

Атаки группы с использованием программ-вымогателей привели к значительным утечкам данных, финансовым потерям и репутационному ущербу для пострадавших организаций.

Эксперты по кибербезопасности рекомендуют активные меры защиты и сотрудничество с правоохранительными органами для борьбы с развивающимися киберугрозами.

#ParsedReport #CompletenessLow
20-02-2024

Cracking Akira Ransomware: Prevention and Analysis by TTPs. Introduction

https://blog.morphisec.com/akira-ransomware-prevention-and-analysis

Report completeness: Low

Threats:
Akira_ransomware
Mimikatz_tool
Pchunter64_tool
Lazagne_tool
Netscan_tool

Victims:
Small and medium-sized organizations, Hospitals, Businesses

Industry:
Telco, Education, Government, Healthcare

Geo:
America, Sweden

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 2

Soft:
WinSCP, chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ тактики группы Akira Ransomware as a Service (RaaS) и эффективности решения Morphisec для защиты от программ-вымогателей с автоматической защитой от движущихся целей (AMTD) в противодействии этой угрозе. В нем подчеркивается рост числа атак программ-вымогателей и финансовые последствия для целевых организаций, подчеркивается необходимость учитывать эти риски в рамках стратегии кибербезопасности. В тексте объясняется тактика Akira, целевые сектора и заметные атаки, а также демонстрируется, как решение Morphisec обеспечивает расширенную защиту от программ-вымогателей, особенно тех, которые исходят от Akira, путем постоянного изменения системных ресурсов для предотвращения выполнения вредоносного кода. Сравнение тактики Akira и защиты Morphisec подчеркивает проактивный подход последней к снижению средней стоимости восстановления для пострадавших организаций.
-----

Этот блог посвящен группе Akira Ransomware as a Service (RaaS) и анализирует их тактику, методы и процедуры (TTP), стремясь продемонстрировать, как решение Morphisec для защиты от программ-вымогателей, интегрированное с автоматической защитой от движущихся целей (AMTD), может эффективно противостоять этой угрозе. Рост числа атак программ-вымогателей является заметной тенденцией, имеющей значительные финансовые последствия для целевых организаций из-за затрат на восстановление и потенциальных долгосрочных последствий для бизнес-операций, репутации и доверия.

Akira появилась в начале 2023 года как известная RaaS-группа, специализирующаяся на работе с малыми и средними организациями. Используя тактику двойного вымогательства, Акира извлекает данные перед шифрованием файлов, чтобы принудить жертв заплатить выкуп в размере от 200 000 до 4 миллионов долларов. Группа в основном сосредоточена на предприятиях в Северной Америке, Великобритании и Европе в различных секторах, таких как государственное управление, производство, технологии, образование, консалтинг, фармацевтика и телекоммуникации. Akira приобрела дурную славу благодаря своим мощным атакам, включая инцидент, в ходе которого она зашифровала центры обработки данных провайдера в Швеции, затронув множество организаций, включая больницы и предприятия.

В блоге подчеркивается, что все инциденты с программами-вымогателями сопряжены с затратами, что вынуждает организации учитывать эти риски в рамках своей стратегии кибербезопасности. Вместо того чтобы полагаться исключительно на обнаружение, решение Morphisec защищает конечные точки, постоянно изменяя и рандомизируя системные ресурсы, эффективно предотвращая выполнение вредоносного кода.

Решение Morphisec для защиты от программ-вымогателей, основанное на технологии AMTD, объединяет несколько уровней безопасности для предотвращения атак программ-вымогателей, в том числе совершенных Akira, на разных этапах атаки. Он позиционирует себя как передовой в области кибербезопасности, защищая миллионы устройств за счет предотвращения программ-вымогателей и других обходных атак, перехитряя традиционные решения для защиты конечных точек, такие как EDR/XDRs.

В блоге освещается подробное сравнение TTP от Akira и AMTD от Morphisec для защиты от программ-вымогателей. Анализ подчеркивает, что Morphisec предлагает модульные функциональные возможности для активного предотвращения инцидентов с программами-вымогателями, подобных тем, которые были организованы Akira, что в конечном итоге снижает среднюю стоимость восстановления для пострадавших организаций.

#ParsedReport #CompletenessMedium
20-02-2024

Attackers leverage PyPI to sideload malicious DLLs

https://www.reversinglabs.com/blog/attackers-leverage-pypi-to-sideload-malicious-dlls

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Dll_sideloading_technique
Typosquatting_technique
Cobalt_strike
Spear-phishing_technique

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1574, T1105, T1547, T1027, T1218, T1588, T1047

IOCs:
File: 6
Url: 2
Hash: 11

Algorithms:
base64, zip, xor

Win API:
Dllinstall, NotifyIpInterfaceChange

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в тревожной тенденции к тому, что субъекты киберугроз злоупотребляют платформами с открытым исходным кодом в злонамеренных целях, в частности, путем использования методов боковой загрузки DLL для выполнения поэтапной полезной нагрузки и уклонения от обнаружения. Примером этой тенденции является обнаружение вредоносных пакетов PyPI и последующее выявление более масштабной кампании, включающей аналогичные атаки, что подчеркивает необходимость повышенной бдительности при мониторинге цепочек поставок программного обеспечения на предмет потенциальных угроз.
-----

Исследователи ReversingLabs заметили тревожную тенденцию в сфере киберугроз, когда платформы и код с открытым исходным кодом все чаще используются для различных вредоносных действий и кампаний. Это включает размещение вредоносной инфраструктуры управления, хранение украденных данных и распространение вредоносных программ второго и третьего уровня, таких как загрузчики и руткиты. Тенденция злоупотребления платформами с открытым исходным кодом для вредоносных целей сохранится и в 2024 году, о чем свидетельствуют недавние результаты.

10 января реверс-инженер ReversingLabs по имени Карло Занки обнаружил два подозрительных пакета в индексе пакетов Python (PyPI) - NP6HelperHttptest и NP6HelperHttper. Было обнаружено, что эти пакеты использовались злоумышленниками для скрытого выполнения кода, избегая обнаружения средствами мониторинга безопасности. Анализ этих пакетов выявил использование метода боковой загрузки DLL, при котором законные файлы использовались в качестве маскировки для вредоносных действий.

Вредоносные пакеты содержали setup.py скрипт, который был разработан для загрузки как законного файла (ComServer.exe) от Kingsoft Corp., так и вредоносного файла (dgdeskband64.dll), используемого для выполнения поэтапной загрузки. Злоумышленники использовали стороннюю загрузку DLL, чтобы заменить законную библиотеку своей собственной вредоносной версией, что позволило им выполнять вредоносный код, избегая обнаружения.

Дальнейшее расследование ReversingLabs выявило, каким образом выполнение вредоносного кода было достигнуто с помощью обработчика исключений внутри функции экспорта Dllinstall. Этот обработчик был использован для передачи потока кода вредоносной подпрограмме, которая установила соединение с внешним сервером и загрузила полезную нагрузку, замаскированную под GIF-файл. Полезной нагрузкой на самом деле был шеллкод x86_64, который был расшифрован и идентифицирован как маяк Cobalt Strike, инструмент, обычно используемый red teams для тестирования на проникновение, но также используемый участниками угроз.

Обнаружение этих вредоносных пакетов PyPI привело исследователей к раскрытию более масштабной кампании, включающей аналогичные атаки. Используя платформу ReversingLabs Titanium и YARA Retro Hunt, были идентифицированы дополнительные образцы вредоносных программ, которые имели общие характеристики с исходными пакетами. Было обнаружено, что эти образцы являются частью одной и той же кампании, что указывает на скоординированные усилия участников угроз по использованию дополнительной загрузки библиотек DLL для атак на цепочки поставок программного обеспечения.

Эта эскалация вредоносной деятельности, использующей платформы с открытым исходным кодом, подчеркивает эволюционирующую тактику участников киберугроз, которые все чаще используют сложные методы, такие как дополнительная загрузка библиотек DLL, для проникновения в цепочки поставок программного обеспечения. Появление таких атак создает серьезную проблему для производителей программного обеспечения и организаций, требуя большей бдительности при мониторинге безопасности и целостности пакетов программного обеспечения в рамках их цепочек поставок.

#ParsedReport #CompletenessMedium
21-02-2024

A stealthy threat uncovered: TeaBot on Google Play Store. Notice

https://www.cleafy.com/cleafy-labs/a-stealthy-threat-uncovered-teabot-on-google-play-store

Report completeness: Medium

Threats:
Anatsa
Findzip

Victims:
Google play store users

Industry:
Financial

Geo:
Croatia, Ireland, Italy, Bulgaria, Spain, Estonia, Chinese, Slovenia, Russian, Russia, Slovakia, Finland, Czech

ChatGPT TTPs:
do not use without manual check
T1475, T1402, T1485, T1128, T1102, T1068

IOCs:
File: 2
Hash: 3
Url: 1
IP: 2

Soft:
Android

Algorithms:
md5

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространении банковского трояна TeaBot во многих европейских странах, распространяемого через приложение-дроппер в Google Play Store с использованием тактики уклонения и передовых методов, с заметным сдвигом в сторону использования официальных магазинов приложений для распространения вредоносного ПО и расширением целевой базы, включая Россию.
-----

Банковский троян TeaBot растет во многих европейских странах со второй недели февраля. Начальная фаза заражения связана с приложением, ранее доступным в Google Play Store, которое было загружено более 100 000 раз, прежде чем оно было удалено. Это приложение действовало как дроппер, позволяя устанавливать троян TeaBot на различных этапах, используя передовые тактики уклонения, такие как запутывание и удаление файлов.

Одним из существенных изменений, наблюдаемых в последние годы, является то, что злоумышленники используют официальные магазины приложений для распространения вредоносных программ вместо того, чтобы полагаться исключительно на фишинговые кампании. Такой подход позволяет им охватить более широкую аудиторию, увеличивая потенциал для успешных мошеннических действий. Заражение TeaBot было обнаружено с помощью данных телеметрии, что указывает на использование приложений dropper для доставки вредоносных программ через Google Play Store. Процесс заражения включает в себя несколько этапов, начиная с того, что приложение dropper незаметно загружает дополнительный код и файлы конфигурации, чтобы избежать обнаружения.

Приложение dropper запрашивает определенные разрешения для управления дополнительным кодом, необходимым для последующих этапов заражения. В отличие от предыдущих кампаний, в которых банковский троянец загружался напрямую, эта кампания включает в себя несколько шагов и проверок перед установкой TeaBot. Вредоносная программа использует сложные методы обхода, такие как динамическая загрузка дополнительного исполняемого файла в виде dex-файла с сервера управления. Чередуя полезную нагрузку, содержащуюся в dex-файле, субъекты угроз повышают свою способность эффективно обходить меры безопасности.

Интересно, что кампания TeaBot охватывает такие страны, как Россия, несмотря на то, что обычно она исключается из других кампаний вредоносного ПО, нацеленных на Содружество Независимых Государств. Вредоносная программа после установки запрашивает разрешения доступа, чтобы получить контроль над зараженным устройством. Примечательно, что недавний образец TeaBot включал код, предназначенный для таргетинга на банковское приложение Revolut, что еще больше расширяет его возможности.

TeaBot был впервые обнаружен в январе 2021 года и с тех пор постоянно обновлялся, включая новые цели, методы уклонения и языковую поддержку. Участники угроз, стоящие за TeaBot, постоянно совершенствуют свою тактику, чтобы избежать обнаружения и максимизировать свою эффективность. Использование магазина Google Play в качестве метода распространения и потенциальная ориентация на граждан России представляют собой примечательные аспекты кампании TeaBot, свидетельствующие о стратегическом изменении приоритетов таргетинга со стороны участников угроз.

#ParsedReport #CompletenessLow
21-02-2024

Vibrator virus steals your personal information

https://www.malwarebytes.com/blog/news/2024/02/vibrator-virus-steals-your-personal-information

Report completeness: Low

Threats:
Lumma_stealer
Zipbomb_technique

ChatGPT TTPs:
do not use without manual check
T1193, T1056, T1485, T1027, T1566, T1205, T1105, T1059, T1057, T1090, have more...

IOCs:
Path: 2
File: 3
Hash: 3

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Malwarebytes предотвратила заражение вредоносным ПО с зараженного вибратора, подключенного к USB-порту, подчеркнув важность проактивной защиты от развивающихся киберугроз, таких как Lumma, нацеленная на криптовалютные кошельки, и данные двухфакторной аутентификации через USB-устройства.
-----

Клиент Malwarebytes Premium поделился на Reddit реальным случаем, когда Malwarebytes успешно заблокировал заражение своего компьютера вредоносным ПО, когда они подключили вибратор, в частности, 8-функциональный перезаряжаемый вибратор Bullet от Spencer Sexology Pussy Power, к USB-порту для зарядки. Вибратор был заражен Lumma, похитителем информации, известным тем, что нацеливался на криптовалютные кошельки и расширения браузера, а также собирал данные двухфакторной аутентификации. Lumma работает по модели "Вредоносное ПО как услуга" (MaaS), когда киберпреступники платят за доступ к вредоносному программному обеспечению и инфраструктуре.

Lumma обычно распространяется с помощью кампаний по электронной почте, но в данном случае он был распространен через зараженный USB-накопитель. Файлы XML, задействованные в атаке вредоносного ПО, по-видимому, были разработаны как XML-бомбы, которые представляют собой вредоносные файлы, предназначенные для сбоя веб-приложений путем экспоненциального расширения сущностей, во многом похожие на ZIP-бомбу. Эта тактика, вероятно, служит для отвлечения внимания от фактической полезной нагрузки вредоносного ПО. Вредоносный файл запускал сильно запутанный переносимый исполняемый файл, идентифицированный Malwarebytes как троян.Склеп.MSIL - общее название для обнаружения запутанных троянских программ, написанных на Microsoft Intermediate Language (MSIL). Удаленный исполняемый файл состоял как из Lumma Stealer, так и из дополнительной библиотеки .NET dll.

Клиенты Malwarebytes ThreatDown получают выгоду от расширенного контроля устройств, функции, которая активно сканирует USB-устройства при подключении, а не просто контролирует доступ. Пользователи могут заблокировать устройство до тех пор, пока оно не пройдет проверку, гарантируя, что угрозы будут обнаружены и нейтрализованы до того, как они смогут причинить вред. Этот механизм проактивной защиты играет решающую роль в предотвращении заражения вредоносными программами через USB-устройства и подчеркивает важность внедрения надежных мер кибербезопасности для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessLow
21-02-2024

Extra credit: VietCredCare information stealer takes aim at Vietnamese businesses

https://www.group-ib.com/blog/vietcredcare-stealer

Report completeness: Low

Threats:
Vietcredcare
Fategrab

Victims:
Leading vietnamese bank, Vietnamese government agencies, Universities, E-commerce platforms, Banks, Major vietnamese enterprises, Personal and business social media accounts

Industry:
Education, Financial, E-commerce, Government

Geo:
Vietnam, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1555, T1112, T1565, T1105, T1071, T1583, T1595, T1027, have more...

IOCs:
File: 3
Url: 2
Path: 2
Hash: 35

Soft:
Telegram, WhatsApp, Chrome, Chromium, Windows Defender, Slack

Algorithms:
sha256, exhibit

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
code: 3, schema: 1, windows: 9, chats: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Ключевые моменты:.
Group-IB обнаружила нового похитителя информации под названием VietCredCare, нацеленного на пользователей во Вьетнаме.
Вредоносная программа была специально нацелена на аккаунты Facebook, управляющие рекламой с положительным балансом мета-рекламы.
VietCredCare стремилась скомпрометировать конфиденциальную информацию, такую как данные банковской карты и учетные данные криптокошелька.
Вредоносная программа распространялась через фишинговые сайты, замаскированные под законные загрузки программного обеспечения.
В первую очередь он был нацелен на пользователей, управляющих профилями известных компаний и организаций в Facebook.
Киберпреступники, стоящие за VietCredCare, предлагали вредоносное ПО в качестве услуги, предоставляя покупателям доступ к уникальным каналам Telegram-ботов для утечки данных.
Вредоносная программа заразила жертв в 44 провинциях Вьетнама, воздействуя на правительственные учреждения, университеты, банки, предприятия и аккаунты в социальных сетях.
VietCredCare обладал расширенными функциональными возможностями для кражи файлов cookie и паролей, обхода двухфакторной аутентификации Facebook и автоматической классификации скомпрометированных аккаунтов с использованием рекламных кредитов.
Анализ Group-IB показал, что лица, говорящие по-вьетнамски, вероятно, ответственны за создание и использование VietCredCare.
Особое внимание уделялось сотрудничеству с правоохранительными органами для борьбы с угрозой, исходящей от таких похитителей информации, как VietCredCare.
-----

Group-IB обнаружила нового похитителя информации под названием VietCredCare, нацеленного на пользователей во Вьетнаме.

VietCredCare может отфильтровывать аккаунты Facebook с положительным балансом по мета-рекламе и фокусируется на компрометации конфиденциальной информации, такой как данные банковской карты и учетные данные крипто кошелька.

Вредоносная программа распространяется через фишинговые сайты, замаскированные под законные загрузки программного обеспечения, которыми делятся в социальных сетях и на платформах обмена сообщениями.

VietCredCare в первую очередь нацелена на пользователей, управляющих профилями известных компаний и организаций в Facebook, для потенциального захвата аккаунтов с целью политических манипуляций или получения финансовой выгоды путем фишинга и продажи учетных данных.

Вредоносная программа поражает жертв в 44 провинциях Вьетнама, с наибольшей концентрацией в Ханое, Хошимине и Дананге, затрагивая правительственные учреждения, университеты, банки и предприятия.

Сложные возможности VietCredCare включают в себя кражу файлов cookie и паролей из браузеров, обход двухфакторной аутентификации Facebook и автоматическую классификацию скомпрометированных учетных записей Facebook.

Вредоносная программа продвигается во вьетнамских кругах киберпреступников, что указывает на то, что лица, говорящие по-вьетнамски, вероятно, ответственны за ее создание и разработку.

Group-IB сотрудничала с правоохранительными органами Вьетнама в борьбе с угрозой, исходящей от VietCredCare, подчеркивая необходимость усиления мер кибербезопасности для снижения рисков.

#ParsedReport #CompletenessLow
21-02-2024

SSH-Snake: New Self-Modifying Worm Threatens Networks

https://sysdig.com/blog/ssh-snake

Report completeness: Low

Actors/Campaigns:
Labrat

Threats:
Ssh-snake_tool
Supply_chain_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1082, T1021, T1105, T1505, T1552, T1059, T1562, T1083, T1053, have more...

Soft:
rsync, Confluence

Languages:
perl, javascript

Links:
https://github.com/MegaManSec/SSH-Snake