#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и отслеживании вредоносных программ для macOS под названием RustDoor и GateDoor центром анализа угроз S2W. Эти варианты вредоносных программ распространяются под видом обычных обновлений программ или утилит и взаимодействуют с сервером C&C для выполнения команд, сбора информации, загрузки файлов и выполнения вредоносных действий. Считается, что они разработаны одним и тем же злоумышленником и связаны с партнерской программой-вымогателем ShadowSyndicate. Эволюция RustDoor от вредоносного ПО для Windows на базе Golang до вредоносного ПО для macOS на основе Rust указывает на стратегический сдвиг в нацеливании на устройства Apple. В тексте также подчеркивается растущее использование злоумышленниками технологий искусственного интеллекта и сохраняющийся ландшафт угроз для пользователей macOS.
-----

Центр анализа угроз S2W Talon обнаружил и отслеживал вредоносные программы для macOS под названием RustDoor и GateDoor, распространяемые в виде обновлений программного обеспечения или утилит.

RustDoor использует ключевые слова, связанные с Apple, а GateDoor замаскирован под утилиту WebViewHost, использующую метод перехвата порядка поиска DLL.

Обе вредоносные программы взаимодействуют с сервером C&C для выполнения команд, сбора данных, загрузки файлов и вредоносных действий, причем общие конечные точки связи указывают на одного и того же злоумышленника.

Инфраструктура RustDoor и GateDoor, по-видимому, связана с партнерской программой-вымогателем ShadowSyndicate (RaaS), что предполагает возможное сотрудничество между киберпреступниками.

Злоумышленники все чаще нацеливаются на пользователей macOS, используя такие языки, как Golang и Rust, для кроссплатформенных возможностей и технологии искусственного интеллекта для более эффективной разработки вредоносных программ.

RustDoor и GateDoor могут быть созданы одним и тем же создателем, причем RustDoor функционирует как бэкдор, а GateDoor - как загрузчик.

RustDoor эволюционирует от вредоносной программы для Windows на базе Golang к вредоносной программе для macOS на базе Rust, демонстрируя стратегический сдвиг в сторону таргетинга на устройства Apple.

Методы сохранения включают регистрацию RustDoor в программах запуска macOS и хранение информации о конфигурации в формате JSON.

GateDoor выполняет произвольный код, фокусируется на функциях бэкдора и загрузчика в системах Windows и взаимодействует с сервером C&C для выполнения задач.

Схемы коммуникации, сайты распространения и функции дополнительных вариантов вредоносного ПО, таких как DataCollector, предполагают скоординированные усилия киберпреступных групп, потенциально связанных с филиалами RaaS, такими как ShadowSyndicate.

#ParsedReport #CompletenessMedium
21-02-2024

Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war

https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war

Report completeness: Medium

Actors/Campaigns:
Texonto (motivation: psyop, cyber_criminal, disinformation, cyber_espionage)
Seaborgium (motivation: cyber_espionage)
Sandworm
Gamaredon (motivation: cyber_espionage)

Threats:
Industoyer2
Spear-phishing_technique

Victims:
Ukrainian defense company, Eu agency, Ukrainian government, Energy companies, Individuals in ukraine, People in other european countries, An italian shoe manufacturer

Industry:
Healthcare, Logistic, Military, Foodtech, Energy, Government

Geo:
Belarus, Palestinian, Ukraine, Russian, Belarusian, Rus, Ukrainians, Ukrainian, Canadian, Italian, Usa, Russia

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 18
Email: 13
Url: 1
File: 3
IP: 11

Soft:
Telegram, Microsoft Office 365, Outlook, Office 365

Platforms:
arm

Links:
https://github.com/eset/malware-ioc/tree/master/operation\_texonto

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в усилиях ESET по защите украинской ИТ-инфраструктуры от кибератак, в частности, в выявлении и расследовании кибератак и кампаний дезинформации, проводимых группами, связанными с Россией. В тексте обсуждаются конкретные операции, такие как операция Texonto, кампании подводной охоты, технические совпадения между различными кибероперациями и эволюционирующие стратегии, используемые этими субъектами угроз. Кроме того, в нем освещается взаимосвязь между кибероперациями, кампаниями по дезинформации и коммерческим спамом, что проливает свет на сложную и многогранную природу современных киберугроз в контексте эскалации кибервойн в Украине.
-----

ESET активно защищает украинскую ИТ-инфраструктуру от кибератак с 2022 года, особенно во время эскалации конфликта.

ESET раскрыла масштабную дезинформационную и психологическую операцию "Операция Texonto", которая использовала спам-рассылки для распространения ложной информации, связанной с нехваткой отопления, лекарств и продовольствия в Украине.

Были выявлены кампании шпионского фишинга, нацеленные на украинские оборонные компании и агентства ЕС с целью кражи учетных данных Microsoft Office 365, при этом сходство в сетевой инфраструктуре указывает на сильную корреляцию между этими атаками.

Злоумышленники, стоящие за операцией Texonto, перепрофилировали почтовый сервер для распространения спама в канадских аптеках, что указывает на сочетание кибершпионажа, информационных операций и незаконной предпринимательской деятельности, напоминающей группу кибершпионажа Callisto.

Хотя операции "Тексонто" и "Каллисто" имеют концептуальное сходство, технические совпадения остаются неясными, но операция предварительно связана с объединением, поддерживаемым Россией, на основе тактики и целей.

В Украине развернулись различные кампании по дезинформации, выдающие себя за министерства украинского правительства с целью распространения дезинформации и подрыва доверия среди населения.

Переход от кампаний по дезинформации к призыву получателей принять тревожные резолюции в декабре 2023 года предполагал изменение стратегий в рамках операции.

Переход домена, используемого для рассылки электронных писем PSYOP, для распространения спама в канадских аптеках в январе 2024 года может сигнализировать об изменении мотивов злоумышленников, подчеркивая сложность современных киберугроз.

Связанные с Россией кибергруппировки, такие как Sandworm и Gamaredon, активизировали киберактивность в Украине, и операция Texonto является частью этих враждебных кампаний, направленных на влияние на общественное восприятие во время конфликта.

#ParsedReport #CompletenessLow
22-02-2024

Doppelgnger \| Russia-Aligned Influence Operation Targets Germany

https://www.sentinelone.com/labs/doppelganger-russia-aligned-influence-operation-targets-germany

Report completeness: Low

Actors/Campaigns:
Doppelgnger (motivation: disinformation, propaganda)

Victims:
German audiences, General population

Industry:
Government, Healthcare

Geo:
German, Ukraine, France, Usa, Russian, Russia, Israel, Germany

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1583, T1584, T1027, T1071, T1043, T1090, T1573, T1568, have more...

IOCs:
Domain: 60

Soft:
WordPress, cPanel

Algorithms:
exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что SentinelLabs и ClearSky Cyber Security отслеживали сложную связанную с Россией сеть операций влияния под названием Doppelgnger, нацеленную на немецкую аудиторию с помощью пропаганды и дезинформации, чтобы потенциально повлиять на общественное мнение накануне выборов, критикуя поддержку Украины правящей правительственной коалицией. Doppelgnger использует различные тактики, включая использование большой сети скоординированных аккаунтов на таких платформах, как X, сложные методы распространения контента и создание пользовательских веб-сайтов, имитирующих новостные агентства. Инфраструктура сети сложна и тщательно управляется, чтобы избежать обнаружения, и она намерена продолжать совершенствовать свою тактику на предстоящих выборах в ЕС и США. SentinelLabs по-прежнему бдительно следит за деятельностью Doppelgnger.
-----

Предположительно связанная с Россией сеть по оказанию влияния под названием Doppelgnger нацеливала на немецкую аудиторию пропаганду и дезинформацию, критикуя правящую правительственную коалицию в Германии и ее поддержку Украины.

Doppelgnger начал свою кампанию в конце ноября 2023 года и с тех пор расширил таргетинг на аудиторию в США, Израиле, Франции, уделив особое внимание Германии.

Сеть использует значительную сеть аккаунтов на различных платформах, в частности X (ранее Twitter), для распространения контента и эффективного привлечения аудитории.

Doppelgnger использует сложные тактики, такие как размещение веб-сайтов, которые перенаправляют посетителей на несколько этапов, используя методы запутывания и отслеживания. Они, вероятно, используют систему отслеживания Keitaro для мониторинга эффективности кампании.

Сеть стратегически управляет кластерами аккаунтов на таких платформах, как X, для повышения показателей вовлеченности и координации распространения контента.

Doppelgnger создает веб-сайты, имитирующие сторонние новостные агентства, для распространения целенаправленных антиправительственных материалов, особенно касающихся поддержки Германией Украины.

Инфраструктура Doppelgnger сложна и тщательно управляется, используя различные части для распространения контента, чередуя доменные имена и используя облачную инфраструктуру обратного прокси для скрытия местоположений.

Деятельность сети демонстрирует четкую стратегию использования пропаганды и дезинформации для влияния на общественное мнение, особенно в отношении геополитических и социально-экономических вопросов.

Ожидается, что в связи с предстоящими выборами в ЕС и США Doppelgnger продолжит совершенствовать свою тактику и инфраструктуру для поддержания своего влияния. SentinelLabs и ClearSky Cyber Security активно отслеживают деятельность Doppelgnger, чтобы повысить осведомленность и смягчить ее последствия.

#ParsedReport #CompletenessHigh
22-02-2024

Scattered Spider laying new eggs

https://blog.sekoia.io/scattered-spider-laying-new-eggs

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Muddled_libra
Vice_society

Threats:
Blackcat
Rhysida
Credential_harvesting_technique
Anydesk_tool
Rattyrat
Truesocks_tool
Megasync_tool
Aitm_technique
Exmatter_tool
Stealbit
Grixba
Lockbit
Trigona
Monti
Linpeas_tool
Stonestop
Poortry
Kdmapper_tool
Mimikatz_tool
Procdump_tool
Dcsync_technique
Lazagne_tool
Advanced-port-scanner_tool
Rustscan_tool
Adrecon
Ad_explorer_tool
Pingcastle_tool
Microburst_tool
Bloodhound_tool
Impacket_tool
Mobaxterm_tool
Putty_tool
Vidar_stealer
Meduza
Raccoon_stealer
Lumma_stealer
Avemaria_rat
Twingate_tool
Connectwise_rat
Rustdesk_tool
Dwservice_tool
Dwagent_tool
Screenconnect_tool
Fleetdeck_tool
Splashtop_tool
Revshell_tool
Rms_tool
Logmein_tool
Teamviewer_tool
Tightvnc_tool
Sorillus_rat
Parsec_tool

Industry:
Retail, Bp_outsourcing, Foodtech, Healthcare, Financial, Entertainment, Telco

Geo:
Thailand, Canada

TTPs:
Tactics: 12
Technics: 0

IOCs:
Domain: 45
File: 3
IP: 27
Url: 63

Soft:
Telegram, ESXi, egram mess, OpenAM applicatio, WinSCP, macOS, Jabber, Roblox, HashiCorp Vault, OpenSSH, have more...

Crypto:
bitcoin, binance

Functions:
GetScreen

Platforms:
apple, cross-platform

Links:
https://github.com/meganz/MEGAsync
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/ScatteredSpider/20240220\_ScatteredSpider\_IOC.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте дается обзор группы киберугроз Scattered Spider, подробно описывающей их деятельность, эволюцию, тактику и связи в сфере киберпреступности. Группа выделяется своими навыками социальной инженерии, атаками с использованием программ-вымогателей, принадлежностью к BlackCat ransomware и акцентом на финансовую выгоду с помощью целевых кампаний. Кроме того, в тексте обсуждается адаптация группой новых инструментов и методов, действия правоохранительных органов, предпринятые против них, и необходимость постоянного мониторинга и стратегий смягчения последствий для противодействия их киберугрозам.
-----

Scattered Spider - это группа кибератак с несколькими псевдонимами, такими как UNC3944, Scatter Swine, Muddled Libra, Octo Tempest, Oktapus и StarFraud, действующая как минимум с мая 2022 года.

Группа занимается социальной инженерией, атаками с использованием программ-вымогателей, кампаниями по вымогательству и другими передовыми методами, ориентируясь на такие компании, как Twilio, Caesars Entertainment и MGM Resorts International.

Они связаны с такими псевдонимами, как 0ktapus, Star Fraud и Octo Tempest, при этом аналитики отмечают, что они являются отдельными участниками, использующими общие наборы инструментов, вероятно, действующими как подгруппы под более широкой эгидой.

Группа в основном состоит из лиц в возрасте от 17 до 22 лет из западных стран, имеющих различный технический опыт, причем некоторые члены специализируются на мошенничестве с использованием электронных средств связи и краже личных данных.

Scattered Spider превратился из брокера доступа в партнера по борьбе с программами-вымогателями, проводя кампании двойного вымогательства совместно с BlackCat ransomware group с середины 2023 года.

Они используют социальную инженерию на базе телефонов, специализированные фишинговые домены, замену SIM-карт и расширенную разведку для проникновения в корпоративные сети, используя такие инструменты, как MEGA, DropBox и Gofile для эксфильтрации данных.

Группа нацелена в первую очередь на организации в Соединенных Штатах в таких отраслях, как телекоммуникации, технологии, криптовалюты и гостиничный бизнес, постоянно совершенствуя свою тактику, чтобы избежать обнаружения.

Аналитики рекомендуют проводить постоянный мониторинг и отслеживание тактик, методов и процедур Scattered Spider (TTP) для смягчения будущих угроз и защиты организаций от кибератак.

#ParsedReport #CompletenessLow
22-02-2024

Turla Wields: TinyTurla-NG and Espionage Tactics Exposed. Example YARA-like Pattern simplified - targeting WordPress C2 traffic

https://www.secureblink.com/threat-research/turla-wields-tiny-turla-ng-and-espionage-tactics-exposed

Report completeness: Low

Actors/Campaigns:
Turla_wields (motivation: cyber_espionage)
Turla (motivation: cyber_espionage)

Threats:
Tinyturla-ng
Strat_rat
Andromeda
Spear-phishing_technique
Turlapower-ng
Dll_hijacking_technique

Industry:
Military, Government, Ngo

Geo:
Russian, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1547, T1027, T1071, T1573, T1119, T1560, T1059, T1027.002, have more...

IOCs:
Registry: 1

Soft:
WordPress

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается деятельность спонсируемой российским государством APT-группы Turla, известной проведением сложных операций по кибершпионажу с конца 1990-х годов. Turla нацелена на различные организации, связанные с российскими интересами, фокусируясь на долгосрочном сборе разведданных, а не на разрушительных атаках. Группа использует различные тактики и пользовательские инструменты, чтобы избежать обнаружения и эксфильтрации данных, отдавая предпочтение организациям, поддерживающим интересы Украины. Эффективные меры защиты от Turla включают исправление уязвимостей, внедрение платформ EDR, обучение осведомленности о безопасности и усиление защиты сети. Тактика Turla включает в себя пользовательские сетевые протоколы, методы сохранения и инструменты, переходящие к операциям на базе PowerShell. Группа APT нацелена на такие отрасли, как оборона, технологии, правительство, дипломатия и НПО, согласовывая свою деятельность с геополитическими событиями, связанными с Россией.
-----

Turla - спонсируемая российским государством группа APT, занимающаяся кибершпионажем с конца 1990-х годов под различными псевдонимами.

Они нацелены на правительственные учреждения, НПО и организации, поддерживающие интересы России, уделяя особое внимание странам, граничащим с Россией и бывшими советскими государствами.

Недавние кампании были нацелены на НПО, поддерживающие интересы Украины, используя такие тактики, как скрытый фишинг, устаревшие инфекции и развивающиеся наборы инструментов.

Мотивы варьируются от сбора военной разведки до поддержки гибридной войны и дестабилизации оппозиционных партий.

Turla использует пользовательские инструменты, такие как TurlaPower-NG, для настройки менеджеров паролей и баз данных истории браузера для фильтрации данных.

Они все чаще полагаются на PowerShell с использованием методов запутывания, чтобы избежать обнаружения.

Меры защиты включают исправление уязвимостей, платформы EDR, внесение в белый список, обучение по повышению осведомленности о безопасности и системы обнаружения вторжений.

Turla использует HTTP/HTTPS с пользовательскими заголовками и необычными строками пользовательского агента для сетевых протоколов и использует различные методы сохранения.

Чтобы уклониться от анализа, они используют такие тактики, как бессмысленные имена переменных, уход от "песочницы" и очистка временных файлов.

Целевые отрасли включают оборону, технологии, правительство, дипломатию и НПО, уделяя особое внимание техническому персоналу и лицам, принимающим решения.

Целенаправленность усиливается в связи с геополитическими событиями, связанными с Россией, что стратегически соответствует российским интересам.

#ParsedReport #CompletenessLow
21-02-2024

Attackers Quick to Weaponize CVE-2023-22527 for Malware Delivery

https://www.imperva.com/blog/attackers-quick-to-weaponize-cve-2023-22527-for-malware-delivery

Report completeness: Low

Threats:
C3pool
Log4shell_vuln
C3rb3r

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)

CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)


ChatGPT TTPs:
do not use without manual check
T1190, T1211, T1068, T1059.004, T1041, T1496

IOCs:
Url: 8
Hash: 3

Soft:
Confluence, Discord

Crypto:
monero

Algorithms:
sha256

Languages:
java

Links:
https://github.com/Avento/CVE-2023-22527\_Confluence\_RCE
https://github.com/C3Pool/xmrig\_setup

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что была раскрыта критическая уязвимость CVE-2023-22527, затрагивающая сервер и центр обработки данных Atlassian Confluence, что привело к многочисленным попыткам использования злоумышленниками с целью распространения вредоносного ПО C3Pool Cryptominer. Эта эксплуатация является частью более широкой тенденции, когда киберпреступники используют уязвимости в программном обеспечении для злонамеренного распространения своих вредоносных программ в таких целях, как криптоджекинг и распространение ботнетов.
-----

16 января 2024 года Atlassian выявил критическую уязвимость, затрагивающую центр обработки данных Confluence и сервер Confluence, известную как CVE-2023-22527. Эта уязвимость классифицируется как ошибка внедрения OGNL без проверки подлинности, позволяющая неавторизованным злоумышленникам выполнять выражения Java, вызовы методов, навигацию по объектам и доступ к свойствам. По сути, этот недостаток позволяет выполнять произвольный код на скомпрометированном сервере. Вскоре после анонса в Сети появились многочисленные доказательства концепций (POC) и эксплойтов. CVE-2023-22527 имеет сходство с двумя предыдущими раскрытиями Atlassian: CVE-2021-26084 и CVE-2022-26134, оба облегчают удаленное внедрение выражения OGNL, приводящее к удаленному выполнению кода (RCE). Эти уязвимости были занесены в реестр известных эксплуатируемых уязвимостей CISA.

После раскрытия информации произошел заметный всплеск массового сканирования и попыток эксплуатации, нацеленных на новую уязвимость Atlassian Confluence. Исследование угроз Imperva сразу после этого зафиксировало более 620 000 попыток сканирования и эксплуатации с более чем 2800 уникальных IP-адресов. При дальнейшем расследовании было обнаружено, что участники угроз использовали уязвимость CVE-2023-22527 для распространения вредоносного ПО C3Pool Cryptominer. Было замечено, что злоумышленники отправляли запросы, содержащие команды Wget во введенном выражении OGNL, с целью загрузки файла с указанного URL-адреса. В ходе попытки эксплойта был идентифицирован скрипт bash, связанный с платформой криптомайнинга C3Pool, предназначенный для того, чтобы позволить отдельным лицам использовать доступные вычислительные ресурсы для майнинга Monero.

Платформа C3Pool, широко представленная на GitHub и поддерживаемая ресурсами сообщества на таких платформах, как Discord и Reddit, облегчает эксплуатацию уязвимых веб-серверов для майнинга криптовалюты. Эксплойты, подобные тому, который доступен для CVE-2023-22527, используются киберпреступниками для злонамеренного распространения программного обеспечения C3Pool. В последние годы эта тактика применялась с использованием множества уязвимостей в различных библиотеках и фреймворках. Адрес кошелька, связанный с попыткой эксплойта, также был идентифицирован в других кампаниях, в том числе связанных с использованием CVE-2021-44228 (Log4Shell), что указывает на повторяющуюся схему вредоносной активности.

Дальнейшая проверка адреса кошелька через C3Pool показала, что на нем хранится 39,7 XMR, что эквивалентно приблизительно 4800 долларам на момент расследования. Это изменение, касающееся CVE-2023-22527, дополняет документированную историю кампаний вредоносных программ, использующих предыдущие уязвимости Atlassian Confluence, такие как CVE-2022-26134 и CVE-2021-26084, для таких целей, как криптоджекинг и распространение ботнетов. Обнаружение использования CVE-2023-22527 для распространения вредоносного ПО подчеркивает более широкое злоупотребление этой уязвимостью, о чем свидетельствуют такие случаи, как распространение вредоносного ПО C3RB3R, подробно описанного в блоге Arctic Wolf Labs.

#ParsedReport #CompletenessLow
22-02-2024

Unmasking Lorenz Ransomware: A Dive into Recent Tactics, Techniques and Procedures

https://research.nccgroup.com/2024/02/22/unmasking-lorenz-ransomware-a-dive-into-recent-tactics-techniques-and-procedures

Report completeness: Low

Threats:
Lorenz

Geo:
Apac

ChatGPT TTPs:
do not use without manual check
T1486, T1567

IOCs:
File: 3
Path: 7
Command: 3
IP: 7
Domain: 1

Soft:
Windows Registry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программы-вымогатели, особенно от таких групп, как Lorenz, представляют значительную угрозу для малого и среднего бизнеса по всему миру. В тексте освещаются последние тактики, применяемые компанией Lorenz, такие как тактика двойного вымогательства и изменения в расширении шифрования, а также подчеркивается важность того, чтобы организации сохраняли бдительность и адаптировали свои средства защиты от кибербезопасности для противодействия растущим угрозам со стороны программ-вымогателей.
-----

Программы-вымогатели, постоянная угроза в киберпространстве, продолжают представлять значительный риск для малого и среднего бизнеса по всему миру, а такие группы, как Lorenz, активно используют уязвимости для получения финансовой выгоды. В начале 2021 года Лоренц начал применять тактику двойного вымогательства, когда они извлекают конфиденциальные данные перед шифрованием систем и требуют выплаты выкупа под угрозой публичной утечки данных. Недавно команда NCC Group по цифровой криминалистике и реагированию на инциденты (DFIR) в регионе APAC провела расследования, которые выявили существенные изменения в тактике, методах и процедурах Лоренца (TTP), подчеркнув эволюционирующие стратегии группы.

Одним из ключевых изменений в недавней деятельности Lorenz является изменение их расширения для шифрования. Ранее известная использованием таких расширений, как Lorenz.sz40 или .sz40, группа была идентифицирована с использованием нового расширения .sz41 в результате недавнего компромисса. Хотя это может показаться незначительной деталью, эти расширения часто служат подписью группы, что делает это изменение значительным. Более того, изменение расширения шифрования может указывать на изменения в методах шифрования, используемых группой.

Поскольку группы программ-вымогателей постоянно адаптируют свою тактику, организациям настоятельно рекомендуется сохранять бдительность и соответствующим образом корректировать свои средства защиты от кибербезопасности. Недавнее расследование, проведенное NCC Group, подчеркивает важность постоянного мониторинга и анализа для упреждающего реагирования на угрозы программ-вымогателей. Получая представление о недавних изменениях в деятельности Lorenz, предприятия и специалисты по кибербезопасности могут повысить свою готовность к выявлению ранних признаков атак программ-вымогателей и эффективному снижению связанных с ними рисков.

#ParsedReport #CompletenessLow
22-02-2024

Decrypted: HomuWitch Ransomware

https://decoded.avast.io/threatresearch/decrypted-homuwitch-ransomware

Report completeness: Low

Threats:
Homuwitch
Smokeloader

Industry:
Financial

Geo:
Indonesia, Poland, Netherlands, Germany, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1027, T1566, T1204, T1485, T1071, T1105

IOCs:
Hash: 11
IP: 4

Crypto:
monero

Algorithms:
sha256, aes-cbc

Links:
https://github.com/avast/ioc/tree/master/HomuWitch