#ParsedReport #CompletenessHigh
22-02-2024

Scattered Spider laying new eggs

https://blog.sekoia.io/scattered-spider-laying-new-eggs

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Muddled_libra
Vice_society

Threats:
Blackcat
Rhysida
Credential_harvesting_technique
Anydesk_tool
Rattyrat
Truesocks_tool
Megasync_tool
Aitm_technique
Exmatter_tool
Stealbit
Grixba
Lockbit
Trigona
Monti
Linpeas_tool
Stonestop
Poortry
Kdmapper_tool
Mimikatz_tool
Procdump_tool
Dcsync_technique
Lazagne_tool
Advanced-port-scanner_tool
Rustscan_tool
Adrecon
Ad_explorer_tool
Pingcastle_tool
Microburst_tool
Bloodhound_tool
Impacket_tool
Mobaxterm_tool
Putty_tool
Vidar_stealer
Meduza
Raccoon_stealer
Lumma_stealer
Avemaria_rat
Twingate_tool
Connectwise_rat
Rustdesk_tool
Dwservice_tool
Dwagent_tool
Screenconnect_tool
Fleetdeck_tool
Splashtop_tool
Revshell_tool
Rms_tool
Logmein_tool
Teamviewer_tool
Tightvnc_tool
Sorillus_rat
Parsec_tool

Industry:
Retail, Bp_outsourcing, Foodtech, Healthcare, Financial, Entertainment, Telco

Geo:
Thailand, Canada

TTPs:
Tactics: 12
Technics: 0

IOCs:
Domain: 45
File: 3
IP: 27
Url: 63

Soft:
Telegram, ESXi, egram mess, OpenAM applicatio, WinSCP, macOS, Jabber, Roblox, HashiCorp Vault, OpenSSH, have more...

Crypto:
bitcoin, binance

Functions:
GetScreen

Platforms:
apple, cross-platform

Links:
https://github.com/meganz/MEGAsync
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/ScatteredSpider/20240220\_ScatteredSpider\_IOC.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте дается обзор группы киберугроз Scattered Spider, подробно описывающей их деятельность, эволюцию, тактику и связи в сфере киберпреступности. Группа выделяется своими навыками социальной инженерии, атаками с использованием программ-вымогателей, принадлежностью к BlackCat ransomware и акцентом на финансовую выгоду с помощью целевых кампаний. Кроме того, в тексте обсуждается адаптация группой новых инструментов и методов, действия правоохранительных органов, предпринятые против них, и необходимость постоянного мониторинга и стратегий смягчения последствий для противодействия их киберугрозам.
-----

Scattered Spider - это группа кибератак с несколькими псевдонимами, такими как UNC3944, Scatter Swine, Muddled Libra, Octo Tempest, Oktapus и StarFraud, действующая как минимум с мая 2022 года.

Группа занимается социальной инженерией, атаками с использованием программ-вымогателей, кампаниями по вымогательству и другими передовыми методами, ориентируясь на такие компании, как Twilio, Caesars Entertainment и MGM Resorts International.

Они связаны с такими псевдонимами, как 0ktapus, Star Fraud и Octo Tempest, при этом аналитики отмечают, что они являются отдельными участниками, использующими общие наборы инструментов, вероятно, действующими как подгруппы под более широкой эгидой.

Группа в основном состоит из лиц в возрасте от 17 до 22 лет из западных стран, имеющих различный технический опыт, причем некоторые члены специализируются на мошенничестве с использованием электронных средств связи и краже личных данных.

Scattered Spider превратился из брокера доступа в партнера по борьбе с программами-вымогателями, проводя кампании двойного вымогательства совместно с BlackCat ransomware group с середины 2023 года.

Они используют социальную инженерию на базе телефонов, специализированные фишинговые домены, замену SIM-карт и расширенную разведку для проникновения в корпоративные сети, используя такие инструменты, как MEGA, DropBox и Gofile для эксфильтрации данных.

Группа нацелена в первую очередь на организации в Соединенных Штатах в таких отраслях, как телекоммуникации, технологии, криптовалюты и гостиничный бизнес, постоянно совершенствуя свою тактику, чтобы избежать обнаружения.

Аналитики рекомендуют проводить постоянный мониторинг и отслеживание тактик, методов и процедур Scattered Spider (TTP) для смягчения будущих угроз и защиты организаций от кибератак.

#ParsedReport #CompletenessLow
22-02-2024

Turla Wields: TinyTurla-NG and Espionage Tactics Exposed. Example YARA-like Pattern simplified - targeting WordPress C2 traffic

https://www.secureblink.com/threat-research/turla-wields-tiny-turla-ng-and-espionage-tactics-exposed

Report completeness: Low

Actors/Campaigns:
Turla_wields (motivation: cyber_espionage)
Turla (motivation: cyber_espionage)

Threats:
Tinyturla-ng
Strat_rat
Andromeda
Spear-phishing_technique
Turlapower-ng
Dll_hijacking_technique

Industry:
Military, Government, Ngo

Geo:
Russian, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1547, T1027, T1071, T1573, T1119, T1560, T1059, T1027.002, have more...

IOCs:
Registry: 1

Soft:
WordPress

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается деятельность спонсируемой российским государством APT-группы Turla, известной проведением сложных операций по кибершпионажу с конца 1990-х годов. Turla нацелена на различные организации, связанные с российскими интересами, фокусируясь на долгосрочном сборе разведданных, а не на разрушительных атаках. Группа использует различные тактики и пользовательские инструменты, чтобы избежать обнаружения и эксфильтрации данных, отдавая предпочтение организациям, поддерживающим интересы Украины. Эффективные меры защиты от Turla включают исправление уязвимостей, внедрение платформ EDR, обучение осведомленности о безопасности и усиление защиты сети. Тактика Turla включает в себя пользовательские сетевые протоколы, методы сохранения и инструменты, переходящие к операциям на базе PowerShell. Группа APT нацелена на такие отрасли, как оборона, технологии, правительство, дипломатия и НПО, согласовывая свою деятельность с геополитическими событиями, связанными с Россией.
-----

Turla - спонсируемая российским государством группа APT, занимающаяся кибершпионажем с конца 1990-х годов под различными псевдонимами.

Они нацелены на правительственные учреждения, НПО и организации, поддерживающие интересы России, уделяя особое внимание странам, граничащим с Россией и бывшими советскими государствами.

Недавние кампании были нацелены на НПО, поддерживающие интересы Украины, используя такие тактики, как скрытый фишинг, устаревшие инфекции и развивающиеся наборы инструментов.

Мотивы варьируются от сбора военной разведки до поддержки гибридной войны и дестабилизации оппозиционных партий.

Turla использует пользовательские инструменты, такие как TurlaPower-NG, для настройки менеджеров паролей и баз данных истории браузера для фильтрации данных.

Они все чаще полагаются на PowerShell с использованием методов запутывания, чтобы избежать обнаружения.

Меры защиты включают исправление уязвимостей, платформы EDR, внесение в белый список, обучение по повышению осведомленности о безопасности и системы обнаружения вторжений.

Turla использует HTTP/HTTPS с пользовательскими заголовками и необычными строками пользовательского агента для сетевых протоколов и использует различные методы сохранения.

Чтобы уклониться от анализа, они используют такие тактики, как бессмысленные имена переменных, уход от "песочницы" и очистка временных файлов.

Целевые отрасли включают оборону, технологии, правительство, дипломатию и НПО, уделяя особое внимание техническому персоналу и лицам, принимающим решения.

Целенаправленность усиливается в связи с геополитическими событиями, связанными с Россией, что стратегически соответствует российским интересам.

#ParsedReport #CompletenessLow
21-02-2024

Attackers Quick to Weaponize CVE-2023-22527 for Malware Delivery

https://www.imperva.com/blog/attackers-quick-to-weaponize-cve-2023-22527-for-malware-delivery

Report completeness: Low

Threats:
C3pool
Log4shell_vuln
C3rb3r

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)

CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, <8.7.1)


ChatGPT TTPs:
do not use without manual check
T1190, T1211, T1068, T1059.004, T1041, T1496

IOCs:
Url: 8
Hash: 3

Soft:
Confluence, Discord

Crypto:
monero

Algorithms:
sha256

Languages:
java

Links:
https://github.com/Avento/CVE-2023-22527\_Confluence\_RCE
https://github.com/C3Pool/xmrig\_setup

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что была раскрыта критическая уязвимость CVE-2023-22527, затрагивающая сервер и центр обработки данных Atlassian Confluence, что привело к многочисленным попыткам использования злоумышленниками с целью распространения вредоносного ПО C3Pool Cryptominer. Эта эксплуатация является частью более широкой тенденции, когда киберпреступники используют уязвимости в программном обеспечении для злонамеренного распространения своих вредоносных программ в таких целях, как криптоджекинг и распространение ботнетов.
-----

16 января 2024 года Atlassian выявил критическую уязвимость, затрагивающую центр обработки данных Confluence и сервер Confluence, известную как CVE-2023-22527. Эта уязвимость классифицируется как ошибка внедрения OGNL без проверки подлинности, позволяющая неавторизованным злоумышленникам выполнять выражения Java, вызовы методов, навигацию по объектам и доступ к свойствам. По сути, этот недостаток позволяет выполнять произвольный код на скомпрометированном сервере. Вскоре после анонса в Сети появились многочисленные доказательства концепций (POC) и эксплойтов. CVE-2023-22527 имеет сходство с двумя предыдущими раскрытиями Atlassian: CVE-2021-26084 и CVE-2022-26134, оба облегчают удаленное внедрение выражения OGNL, приводящее к удаленному выполнению кода (RCE). Эти уязвимости были занесены в реестр известных эксплуатируемых уязвимостей CISA.

После раскрытия информации произошел заметный всплеск массового сканирования и попыток эксплуатации, нацеленных на новую уязвимость Atlassian Confluence. Исследование угроз Imperva сразу после этого зафиксировало более 620 000 попыток сканирования и эксплуатации с более чем 2800 уникальных IP-адресов. При дальнейшем расследовании было обнаружено, что участники угроз использовали уязвимость CVE-2023-22527 для распространения вредоносного ПО C3Pool Cryptominer. Было замечено, что злоумышленники отправляли запросы, содержащие команды Wget во введенном выражении OGNL, с целью загрузки файла с указанного URL-адреса. В ходе попытки эксплойта был идентифицирован скрипт bash, связанный с платформой криптомайнинга C3Pool, предназначенный для того, чтобы позволить отдельным лицам использовать доступные вычислительные ресурсы для майнинга Monero.

Платформа C3Pool, широко представленная на GitHub и поддерживаемая ресурсами сообщества на таких платформах, как Discord и Reddit, облегчает эксплуатацию уязвимых веб-серверов для майнинга криптовалюты. Эксплойты, подобные тому, который доступен для CVE-2023-22527, используются киберпреступниками для злонамеренного распространения программного обеспечения C3Pool. В последние годы эта тактика применялась с использованием множества уязвимостей в различных библиотеках и фреймворках. Адрес кошелька, связанный с попыткой эксплойта, также был идентифицирован в других кампаниях, в том числе связанных с использованием CVE-2021-44228 (Log4Shell), что указывает на повторяющуюся схему вредоносной активности.

Дальнейшая проверка адреса кошелька через C3Pool показала, что на нем хранится 39,7 XMR, что эквивалентно приблизительно 4800 долларам на момент расследования. Это изменение, касающееся CVE-2023-22527, дополняет документированную историю кампаний вредоносных программ, использующих предыдущие уязвимости Atlassian Confluence, такие как CVE-2022-26134 и CVE-2021-26084, для таких целей, как криптоджекинг и распространение ботнетов. Обнаружение использования CVE-2023-22527 для распространения вредоносного ПО подчеркивает более широкое злоупотребление этой уязвимостью, о чем свидетельствуют такие случаи, как распространение вредоносного ПО C3RB3R, подробно описанного в блоге Arctic Wolf Labs.

#ParsedReport #CompletenessLow
22-02-2024

Unmasking Lorenz Ransomware: A Dive into Recent Tactics, Techniques and Procedures

https://research.nccgroup.com/2024/02/22/unmasking-lorenz-ransomware-a-dive-into-recent-tactics-techniques-and-procedures

Report completeness: Low

Threats:
Lorenz

Geo:
Apac

ChatGPT TTPs:
do not use without manual check
T1486, T1567

IOCs:
File: 3
Path: 7
Command: 3
IP: 7
Domain: 1

Soft:
Windows Registry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программы-вымогатели, особенно от таких групп, как Lorenz, представляют значительную угрозу для малого и среднего бизнеса по всему миру. В тексте освещаются последние тактики, применяемые компанией Lorenz, такие как тактика двойного вымогательства и изменения в расширении шифрования, а также подчеркивается важность того, чтобы организации сохраняли бдительность и адаптировали свои средства защиты от кибербезопасности для противодействия растущим угрозам со стороны программ-вымогателей.
-----

Программы-вымогатели, постоянная угроза в киберпространстве, продолжают представлять значительный риск для малого и среднего бизнеса по всему миру, а такие группы, как Lorenz, активно используют уязвимости для получения финансовой выгоды. В начале 2021 года Лоренц начал применять тактику двойного вымогательства, когда они извлекают конфиденциальные данные перед шифрованием систем и требуют выплаты выкупа под угрозой публичной утечки данных. Недавно команда NCC Group по цифровой криминалистике и реагированию на инциденты (DFIR) в регионе APAC провела расследования, которые выявили существенные изменения в тактике, методах и процедурах Лоренца (TTP), подчеркнув эволюционирующие стратегии группы.

Одним из ключевых изменений в недавней деятельности Lorenz является изменение их расширения для шифрования. Ранее известная использованием таких расширений, как Lorenz.sz40 или .sz40, группа была идентифицирована с использованием нового расширения .sz41 в результате недавнего компромисса. Хотя это может показаться незначительной деталью, эти расширения часто служат подписью группы, что делает это изменение значительным. Более того, изменение расширения шифрования может указывать на изменения в методах шифрования, используемых группой.

Поскольку группы программ-вымогателей постоянно адаптируют свою тактику, организациям настоятельно рекомендуется сохранять бдительность и соответствующим образом корректировать свои средства защиты от кибербезопасности. Недавнее расследование, проведенное NCC Group, подчеркивает важность постоянного мониторинга и анализа для упреждающего реагирования на угрозы программ-вымогателей. Получая представление о недавних изменениях в деятельности Lorenz, предприятия и специалисты по кибербезопасности могут повысить свою готовность к выявлению ранних признаков атак программ-вымогателей и эффективному снижению связанных с ними рисков.

#ParsedReport #CompletenessLow
22-02-2024

Decrypted: HomuWitch Ransomware

https://decoded.avast.io/threatresearch/decrypted-homuwitch-ransomware

Report completeness: Low

Threats:
Homuwitch
Smokeloader

Industry:
Financial

Geo:
Indonesia, Poland, Netherlands, Germany, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1027, T1566, T1204, T1485, T1071, T1105

IOCs:
Hash: 11
IP: 4

Crypto:
monero

Algorithms:
sha256, aes-cbc

Links:
https://github.com/avast/ioc/tree/master/HomuWitch

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в уникальном штамме программы-вымогателя под названием HomuWitch, который нацелен на отдельных лиц, а не на учреждения, сохраняет скрытность, использует комбинацию шифрования и сжатия для шифрования файлов, имеет уязвимость, позволяющую жертвам расшифровывать файлы без уплаты выкупа, и работает через инфраструктуру ЧПУ, расположенную в основном в Европа. Постоянный мониторинг и анализ необходимы в связи с возможностью использования новых методов шифрования и необходимостью дальнейшего дешифрования в нестандартных случаях.
-----

HomuWitch - это уникальная разновидность программ-вымогателей, появившаяся в июле 2023 года, отличающаяся своей ориентацией на отдельных конечных пользователей, а не на учреждения и компании. В отличие от многих других разновидностей программ-вымогателей, HomuWitch удалось сохранить относительно низкий профиль с точки зрения распространенности и сумм выплат выкупа, оставаясь незамеченным. Расследование этой угрозы выявило уязвимость, которая позволила создать бесплатный инструмент дешифрования, помогающий жертвам восстанавливать свои файлы без необходимости платить выкуп. В настоящее время этот инструмент публикуется публично, чтобы помочь пострадавшим лицам, и, несмотря на недавнее снижение активности HomuWitch, необходим постоянный мониторинг этой угрозы.

Программа-вымогатель закодирована на C# .NET, а ее название получено из информации о версии двоичного файла. Типичный способ заражения предполагает, что жертвы подвергаются воздействию через черный ход SmokeLoader, замаскированный под пиратское программное обеспечение. После заражения устанавливается вредоносный дроппер, который в конечном итоге запускает программу-вымогатель HomuWitch в системе жертвы. Основные места, где были зарегистрированы случаи заражения, находятся в Польше и Индонезии.

HomuWitch выделяется своим подходом к шифрованию файлов, использующим комбинацию алгоритма Deflate для сжатия и алгоритма AES-CBC для шифрования. Этот метод приводит к тому, что файлы одновременно сжимаются и шифруются, на что указывает расширение .homuencrypted, добавляемое к именам файлов. В то время как большинство программ-вымогателей сосредоточены исключительно на шифровании файлов, HomuWitch делает все возможное, включая сжатие файлов, что делает зашифрованные файлы меньше оригиналов. Примечательно, что была выявлена уязвимость в процессе шифрования, позволяющая жертвам извлекать все свои файлы без выполнения требования о выкупе. Однако возможность появления новых или неизвестных образцов с использованием различных методов шифрования подчеркивает необходимость дальнейшего анализа для расшифровки потенциально нестандартных случаев.

Для осуществления своей деятельности HomuWitch опирается на инфраструктуру управления (CnC), расположенную в основном в Европе. Перед шифрованием программа-вымогатель отправляет личную информацию на свои серверы CnC, а после шифрования уведомление о выкупе либо извлекается с сервера, либо сохраняется в образцах ресурсов программы-вымогателя. Суммы выкупа обычно находятся в диапазоне от 25 до 70 долларов, при этом ожидается, что оплата будет произведена в криптовалюте Monero. Пример типичной записки с требованием выкупа HomuWitch содержит инструкции для жертв предоставить оригинальный и зашифрованный файл с возможностью ввода пароля шифрования, если таковой имеется. Процесс взлома пароля инициируется для определения правильного ключа дешифрования с использованием всех известных паролей HomuWitch.

#ParsedReport #CompletenessMedium
22-02-2024

8220 Gang Cryptomining Campaign Targets Linux & Windows Platforms. Sign up here:

https://www.uptycs.com/blog/8220-gang-cryptomining-cloud-based-infrastructure-cyber-threat

Report completeness: Medium

Actors/Campaigns:
8220_gang (motivation: cyber_criminal, information_theft)

Threats:
Dll_sideloading_technique
Uac_bypass_technique
Sysrv_botnet
Process_injection_technique
Masscan_tool
Massscan_tool
Upx_tool
Zgrab_scanner_tool
Tsunami_botnet
Ircbot

Geo:
Chinese

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1562, T1059, T1574, T1088, T1112, T1055, T1133, T1496, T1197, have more...

IOCs:
File: 7
Hash: 4
IP: 6

Soft:
Windows PowerShell, Event Tracing for Windows, Windows security, Windows Defender, SELinux, curl

Algorithms:
aes, gzip, base64, md5

Functions:
Createservices, makecron

Win API:
AMSIscanBuffer, EtwEventWrite, CreateDirectory

Languages:
powershell, rust, golang, python

Links:
https://github.com/theaog/spirit/tree/master
https://github.com/uptycslabs/IOCs/blob/main/8220Gang

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1, code: 16, windows: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается возрождение хорошо известной китайской группы исполнителей угроз, the 8220 Gang, с новой кампанией, нацеленной на облачную инфраструктуру, с мая 2023 по февраль 2024 года. Эта кампания демонстрирует их продвинутую тактику, такую как использование уязвимостей как на платформах Linux, так и на Windows, использование сложных методов уклонения и сосредоточение внимания на деятельности по криптомайнингу. Развивающийся подход группы представляет серьезную угрозу для организаций, полагающихся на облачную инфраструктуру, подчеркивая необходимость усиления мер безопасности для борьбы с их сложными технологиями.
-----

Банда 8220, хорошо известная китайская группа исполнителей угроз, вновь появилась с новой кампанией, посвященной облачной инфраструктуре, которая продлится с мая 2023 по февраль 2024 года. Эта кампания демонстрирует переход группы к более изощренной тактике, нацеленной на такие уязвимости, как CVE-2021-44228 и CVE-2022-26134 как на платформах Linux, так и Windows. Используя интернет-сканирование в поисках уязвимых приложений, банда получает несанкционированный доступ к облачным системам, используя незащищенные уязвимости. Оказавшись внутри, они используют передовые методы обхода, такие как отключение принудительного обеспечения безопасности и изменение правил брандмауэра. Такая эволюция их подхода представляет серьезную угрозу для организаций, полагающихся на облачную инфраструктуру, и подчеркивает необходимость усиления мер безопасности.

В этой последней кампании банда 8220 использует Windows PowerShell для выполнения без файлов, что приводит к развертыванию криптоминера. Группа использует новые методы, такие как боковая загрузка библиотеки DLL, обход контроля учетных записей пользователей (UAC) и модификация AMSIscanBuffer и ETWEventWrite для оптимизации скрытности и уклонения. Эта тактика демонстрирует изобретательность группы в обходе мер безопасности и отличает эту кампанию от предыдущих случаев. Что касается Linux, основное внимание по-прежнему уделяется криптоджекингу, при этом группа использует знакомые инструменты, такие как masscan и spirit для разведки, но обновляет их до более новых версий.

Тактика, используемая бандой 8220 в системах Windows, включает в себя различные методы обхода антивирусных систем и систем обнаружения конечных точек, наряду с использованием атак без файлов и дополнительной загрузки DLL. Они исправляют такие функции, как AmsiScanBuffer, чтобы обойти механизмы безопасности и избежать обнаружения. Группа также использует такие методы, как создание каталога с конечным разделителем, используя API CreateDirectory с префиксом unc, чтобы обойти ограничения Windows, с последующим выполнением законной программы, подверженной боковой загрузке DLL.

Выполнение полезной нагрузки включает в себя сложные этапы, включая PowerShell для выполнения без файлов, развертывание криптоминера и использование новых методов обхода. Сосредоточенность группы на системах Windows демонстрирует их способность адаптировать и совершенствовать свою тактику для эффективного обхода мер безопасности. Их кампания в Linux в первую очередь направлена на криптоджекинг, использующий сценарии оболочки для загрузки вредоносных программ и майнеров, с акцентом на разведку и распространение.

В то время как кампания банды 8220 в Linux претерпела незначительные изменения, их кампания в Windows демонстрирует значительные улучшения в тактике и методах уклонения. Организации должны сохранять бдительность, регулярно обновлять системы безопасности и обучать пользователей передовым методам кибербезопасности, чтобы смягчить возникающие угрозы, исходящие от таких групп, как банда 8220. Надежные антивирусные решения, регулярное обновление программного обеспечения, обучение пользователей, фильтрация электронной почты, мониторинг сети и резервное копирование данных являются важными мерами для повышения уровня безопасности от таких сложных угроз.

#ParsedReport #CompletenessMedium
22-02-2024

Web3 Crypto Malware: Angel Drainer From Phishing Sites to Malicious Injections

https://blog.sucuri.net/2024/02/web3-crypto-malware-angel-drainer.html

Report completeness: Medium

Actors/Campaigns:
Darkhotel
Turla

Threats:
Angel_drainer
Socgholish_loader
Pandora
Rilide

Industry:
Financial, Education, Petroleum

Geo:
Moscow, Bulgaria, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1059, T1199, T1547, T1574, T1600, T1583, T1584

IOCs:
Url: 7
Domain: 43
IP: 4
File: 4
Coin: 2

Soft:
WordPress

Wallets:
metamask

Crypto:
bitcoin, ethereum, binance, apecoin, chainlink

Algorithms:
xor, base64

Win API:
Polygon

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4