#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует значительная и растущая угроза, исходящая от использования уязвимостей в установках ConnectWise ScreenConnect, которые приводят к различным атакам, включающим развертывание вредоносных программ, программ-вымогателей, кражу данных и другие вредоносные действия. В нем подчеркивается важность оперативного исправления уязвимых систем, проведения тщательных расследований и внедрения усиленных мер безопасности для снижения рисков, связанных с этими уязвимостями, с целью защиты от развивающихся киберугроз.
-----

Sophos X-Ops отслеживает растущую тенденцию использования уязвимостей, нацеленных на незарегистрированные установки ConnectWise ScreenConnect. 19 февраля 2024 года ConnectWise выпустила рекомендации по безопасности, в которых выделяются две критические уязвимости, затрагивающие более старые версии ScreenConnect. Эти уязвимости, CVE-2024-1709 и CVE-2024-1708, могут позволить удаленное выполнение кода или повлиять на конфиденциальные данные. Злоумышленники использовали эти уязвимости для развертывания вредоносного ПО на серверах или рабочих станциях с установленным клиентским программным обеспечением. Исправление сервера не приводит к удалению развернутого вредоносного ПО, поэтому необходимо тщательно исследовать скомпрометированные среды. Реализации, размещенные в облаке, быстро получили меры по устранению неполадок, в то время как экземпляры, размещенные самостоятельно, остаются в зоне риска до тех пор, пока вручную не будет обновлено до версии 23.9.8.

21 февраля 2024 года на GitHub был опубликован тестовый код, использующий эти уязвимости, что привело к наблюдаемой активной эксплуатации в дикой природе. Sophos выявила атаки, связанные с программой-вымогателем LockBit, созданной с использованием просочившегося инструмента создания вредоносных программ. Кроме того, в связи с атаками ScreenConnect были обнаружены варианты вредоносных программ, такие как buhtiRansom и Xworm. Злоумышленники использовали эти эксплойты для запуска различных атак и доставки вредоносных программ, таких как AsyncRAT и Vidar/Redline data stealer, через ScreenConnect.

Анализируя данные телеметрии, Sophos обнаружила рост угроз, связанных с ScreenConnect, после раскрытия уязвимостей. Злоумышленники использовали ScreenConnect для развертывания программ-вымогателей, кражи данных и распространения вредоносных программ, таких как Redcap. Были обнаружены инциденты, связанные с доставкой маяка Cobalt Strike и RATs, таких как Xworm, нацеленные на компьютеры с клиентским программным обеспечением ScreenConnect. Эти атаки подчеркивают необходимость тщательного расследования и немедленного исправления уязвимых установок ScreenConnect.

Sophos рекомендует предпринять шаги для идентификации и обеспечения безопасности установок ScreenConnect, включая определение местоположения всех экземпляров в сети, временную изоляцию или деинсталляцию клиентского программного обеспечения, проведение подробного анализа подозрительных действий и инициирование реагирования на инциденты, если это необходимо. Организациям рекомендуется отслеживать появление новых пользователей, необычную активность программного обеспечения, системную разведку и отключение средств контроля безопасности. Кроме того, следует внимательно отслеживать показатели возможного использования, такие как IP-адреса, подключающиеся к серверам ScreenConnect, SetupWizard.aspx в журналах IIS и user.xml изменения файлов, для обнаружения потенциальных угроз.

В ответ на растущую волну атак, нацеленных на ScreenConnect, организациям крайне важно оперативно исправлять свои серверы, выявлять признаки компрометации и усиливать меры безопасности для снижения рисков, связанных с этими уязвимостями. Постоянная бдительность и упреждающие меры безопасности необходимы для защиты от развивающихся киберугроз в современном цифровом ландшафте.

#ParsedReport #CompletenessMedium
23-02-2024

Widespread exploitation of recently disclosed Ivanti vulnerabilities

https://securityintelligence.com/x-force/exploitation-of-exposed-ivanti-vulnerabilities

Report completeness: Medium

Actors/Campaigns:
Uta0178
Unc5221

Threats:
Dslog
Framesting_shell
Wirefire
Chainline_shell
Credential_harvesting_technique
Warpwire
Giftedvisitor

Industry:
Ics

Geo:
Chinese

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)


ChatGPT TTPs:
do not use without manual check
T1190, T1550, T1505, T1574, T1505.003, T1099, T1027, T1070.004, T1041, T1059.001, have more...

IOCs:
File: 2
Hash: 6
Url: 1
IP: 6

Soft:
Ivanti

Algorithms:
sha256, rot47

Languages:
perl, python

Links:
https://gist.github.com/rxwx/03a036d8982c9a3cead0c053cf334605

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что IBM X-Force активно реагирует на успешные компрометации, связанные с уязвимостями устройств Ivanti, выявляя конкретные методы атаки, такие как кража данных токена аутентификации, и предоставляя подробную информацию, помогающую организациям защитить себя от этих угроз. Исследование, проведенное IBM X-Force, выявило ключевые выводы, касающиеся уязвимостей, эксплуатации злоумышленниками и использования вредоносных методов, таких как модификации файлов и веб-оболочек, для действий после компрометации. Организациям рекомендуется внедрять меры сдерживания, использовать инструменты для выявления признаков компрометации и сотрудничать со службой поддержки Ivanti для расшифровки и анализа скомпрометированных систем, чтобы смягчить текущую угрозу.
-----

IBM X-Force участвовала в реагировании на компрометации, связанные с уязвимостями в устройствах Ivanti, раскрытыми в январе 2024 года.

Конкретные методы атаки, выявленные исследователями IBM, включают кражу данных токена аутентификации.

Уязвимости нулевого дня CVE-2023-46805 и CVE-2024-21887 были использованы для обхода аутентификации и удаленного выполнения кода.

Злоумышленник UTA0178 (UNC5221) подозревался в использовании этих уязвимостей в декабре 2023 года, за чем последовало широкомасштабное сканирование и эксплуатация.

Код эксплойта, подтверждающий концепцию, привел к раскрытию Иванти дополнительных уязвимостей.

Злоумышленники модифицировали определенные файлы в устройствах Ivanti, чтобы отфильтровать данные токена аутентификации.

Вредоносный код был вставлен в законные файлы Ivanti для создания бэкдоров и манипулирования системными функциями.

Использование веб-оболочек, таких как FRAMESTING, WIREFIRE и CHAINLINE, позволило субъектам угроз поддерживать постоянство и извлекать данные.

X-Force рекомендует организациям внедрять меры сдерживания и использовать такие инструменты, как Ivanti Integrity Check Tool (ICT) для обнаружения компрометации.

Организациям рекомендуется следовать рекомендациям поставщиков по устранению неполадок, уделять приоритетное внимание сохранению доказательств и сотрудничать со службой поддержки Ivanti для расшифровки и анализа скомпрометированных систем.

#ParsedReport #CompletenessLow
26-02-2024

US-related APT organization analysis report - APT-C-40(NSA)

https://www.ctfiot.com/162892.html

Report completeness: Low

Actors/Campaigns:
Apt_c_40 (motivation: information_theft, cyber_espionage)

Threats:
Shadow_brokers_tool
Eternalblue_vuln
Wannacry
Submarine
Foxacid_tool
Mitm_technique
Quantum_locker
Quantumcookie_tool
Quantumsquirrel_tool
Stuxnet
Cobalt_strike

Victims:
Northwestern polytechnical university, China's leading enterprises, Governments, Universities, Medical institutions, Scientific research institutions, Information infrastructure operation and maintenance units, Organization of the petroleum exporting countries, Mexican secretariat of public security, European politicians and people, have more...

Industry:
Government, Aerospace, Military, Petroleum, Healthcare, Financial, Education, Telco, Transport

Geo:
Pakistan, Emirates, Colombia, Israel, Iraq, Venezuela, Germany, Norway, Mexican, Korea, Russia, Congo, Nigeria, India, Libya, Chinese, Ukrainian, Angola, Guinea, China, Kuwait, Usa, Iran, Gabon, American, Georgia, France, Danish, Sweden, Russian, Algeria

ChatGPT TTPs:
do not use without manual check
T1588, T1190, T1027, T1547, T1562, T1110, T1555, T1140, T1573, T1105, have more...

IOCs:
File: 4

Soft:
Android, JunOS, ChatGPT, WeChat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в разоблачении киберугроз, исходящих от Агентства национальной безопасности (АНБ) Соединенных Штатов, с особым акцентом на деятельность конкретной хакерской группы, известной как APT-C-40, предположительно связанной с АНБ. Это включает в себя подробную информацию о скрытых кибератаках, использовании просочившегося кибероружия, такого как Eternal Blue, организационную структуру Оперативного управления АНБ по технологиям доступа (TAO), конкретное кибероружие, используемое АНБ, инциденты, связанные с киберактивностью АНБ, и ссылки на разоблачения Эдварда Сноудена о программах слежки АНБ.
-----

В тексте подробно рассказывается о киберугрозах, исходящих от Агентства национальной безопасности (АНБ) Соединенных Штатов, в первую очередь о деятельности конкретной хакерской группы, известной как APT-C-40, предположительно связанной с АНБ. В тексте подчеркивается, что с 2008 года АНБ участвовало в скрытых и неизбирательных кибератаках против различных организаций по всему миру, включая Китай. АНБ обвинялось в использовании просочившегося кибероружия, такого как Eternal Blue, которое использовалось при атаках, подобных WannaCry. Кроме того, в тексте раскрывается существование конкретной хакерской группы в АНБ, получившей название APT-C-40, которая, как сообщается, более десяти лет проводила секретные хакерские операции против китайских предприятий, правительств, университетов и других учреждений, что привело к краже значительных объемов конфиденциальной информации.

Более того, в тексте подробно описывается организационная структура АНБ, проливающая свет на его Управление по операциям с технологиями доступа (TAO), в состав которого входят более 1000 сотрудников, ответственных за кибератаки и шпионские операции. В нем упоминается Центр удаленных операций (ROC) в рамках TAO, который обрабатывает отчеты со всего мира и крадет конфиденциальную информацию. Дальнейшие подробности объясняют функции различных отделов в рамках TAO, включая разработку средств кибератак, обслуживание глобальной инфраструктуры кибератак и осуществление тайных операций, таких как "Операция вне сети", по внедрению оборудования наблюдения в зарубежные сети.

В тексте содержится информация о конкретном кибероружии, используемом АНБ, таком как системы "Quantum" атак, предназначенные для перехвата сетевого трафика и проведения сложных эксплойтов. Это оружие, включая "Quantum locker" и "Quantum cookie", используется для нацеливания на конкретные регионы и отдельных лиц в целях шпионажа. Кибер-арсенал АНБ также включает в себя различные трояны, бэкдоры и инструменты внедрения, такие как троян "валидатор", которые облегчают удаленный доступ, кражу данных и контроль над сетью.

Кроме того, в тексте освещаются различные инциденты, связанные с киберактивностью АНБ, включая мониторинг европейских лидеров, вирусную атаку Stuxnet на ядерный объект Ирана в Натанзе и развертывание средств кибершпионажа в Гонконге и материковом Китае. В нем упоминается, как АНБ использует передовые технологии и разведывательные ресурсы для доминирования в кибервойне, проводя неизбирательные атаки по всему миру.

В тексте также упоминаются откровения разоблачителя Эдварда Сноудена о крупномасштабных программах слежки АНБ, таких как Prism, которые были нацелены как на граждан США, так и на иностранные организации. Кроме того, в нем затрагиваются просочившиеся документы, разоблачающие операции АНБ по кибершпионажу, и упоминается инцидент с кибератакой на Северо-Западный политехнический университет, приписывающий эту деятельность АНБ.

#ParsedReport #CompletenessLow
26-02-2024

CharmingKittenAPT technical means analysis

https://www.ctfiot.com/162600.html

Report completeness: Low

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)

Threats:
Beacon

Victims:
People related to iranian academic research, Human rights and media personnel, Political consultants on iran

Geo:
Iran, Iranian, Denmark, Israel, Switzerland, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1568, T1583

IOCs:
File: 5
Hash: 1
Url: 4
Domain: 3

Win API:
CreateThread

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста такова: CharmingKitten, иранская организация кибершпионажа, связанная с Бехзадом Месри, нацелена на лиц, занимающихся иранскими академическими исследованиями, правами человека, средствами массовой информации, а также на тех, кто выступает против деятельности Ирана внутри страны и на международном уровне. Они используют уникальные методы, такие как WinClass, для обнаружения вредоносных подключений и используют вводящие в заблуждение доменные имена, чтобы избежать обнаружения при тестировании доступности сети.
-----

Организация кибершпионажа Charming Kitten родом из Ирана и связана с Бехзадом Месри, иранцем, ранее обвиняемым в нападении на телеканал HBO. Эта группа в первую очередь нацелена на лиц, занимающихся иранскими академическими исследованиями, правами человека и средствами массовой информации, а также на тех, кто выступает против деятельности Ирана внутри страны и на международном уровне. Они также фокусируются на журналистах, освещающих иранские дела, и политических консультантах, выступающих в дискуссиях СМИ об Иране. Хотя большинство их жертв проживают в Иране, Израиле и Соединенных Штатах, были также мишени в Швейцарии, Индии, Дании и других регионах.

Одним из отличительных приемов, используемых Charming Kitten, является использование WinClass для регистрации обратных вызовов окна для установления вредоносных подключений. Этот процесс включает в себя подключение к серверу с использованием обратных вызовов window, получение сообщения об успешном ответе, обозначенного как 0x200, а затем выполнение командно-контрольных операций (C2) наряду с манипуляцией данными.

Вредоносные доменные имена группы были определены как важнейший аспект их деятельности. При изучении сетевой инфраструктуры было обнаружено, что вредоносное ПО, используемое CharmingKitten, часто проверяет подключение с помощью, казалось бы, безобидных доменных имен, таких как schmas.microsoft.com-google.com. Эта тактика направлена на то, чтобы избежать обнаружения и проверить доступность сети с помощью доменов, которые ничего не подозревающим пользователям могут показаться законными.

Должен быть интересный AM-Live про ИИ в ИБ.
Посмотрим что расскажут коллеги, ну а мы делимся своими экспериментами в этом канале :)
Кажется, придумали способ как повысить качество поиска релевантных фрагментов TI-отчетов при использовании RAG.
https://live.anti-malware.ru/am-live/primenenie-ii-v-ib/

#technique

Unveiling custom packers: A comprehensive guide

https://estr3llas.github.io/unveiling-custom-packers-a-comprehensive-guide/

#ParsedReport #CompletenessHigh
26-02-2024

SEO Poisoning to Domain Control: The Gootloader Saga Continues

https://thedfirreport.com/2024/02/26/seo-poisoning-to-domain-control-the-gootloader-saga-continues

Report completeness: High

Actors/Campaigns:
Duke

Threats:
Seo_poisoning_technique
Gootkit
Cobalt_strike
Systembc
Metasploit_tool
Sliver_c2_tool
Process_injection_technique
Beacon
Powerview
Winrm_tool
Passthehash_technique
Credential_stealing_technique
Mimikatz_tool
Powersploit
Meterpreter_tool
Credential_dumping_technique

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 8
IP: 5
Registry: 1
Url: 10
Hash: 10

Soft:
Windows Defender, Windows Firewall, WordPad, WhatsApp

Algorithms:
md5, base64, xor, zip

Functions:
CreateWowService

Win API:
NtMapViewOfSection, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread

Win Services:
eventlog

Languages:
javascript, php, python, powershell

Platforms:
intel, apple

Links:
https://github.com/mandiant/gootloader
https://github.com/GhostPack/RestrictedAdmin
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19530/19530.yar
https://github.com/The-DFIR-Report/Sigma-Rules
https://github.com/SigmaHQ/sigma

#ParsedReport #ExtractedSchema

Classified images:
table: 7, windows: 10, schema: 7, code: 32, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, которая произошла в феврале 2023 года и включала развертывание вредоносного ПО Gootloader, что привело к выполнению полезной нагрузки Cobalt Strike beacon в памяти. Злоумышленник использовал различные методы, такие как SystemBC для доступа по протоколу RDP, нацеливался на контроллеры домена и серверы ключей, потенциально извлекал конфиденциальные файлы и предпринимал действия для поддержания сохранности и изучения сетевых ресурсов. В тексте также обсуждаются службы разведки угроз организации, уделяя особое внимание отслеживанию структур командования и контроля, предоставляя подробную информацию и анализируя тактику и методы, используемые участниками угроз при вторжении.
-----

В феврале 2023 года произошло вторжение, когда пользователь загрузил и запустил файл из результатов поиска, зараженных SEO, что привело к заражению Gootloader.

Вредоносная программа Gootloader способствовала внедрению полезной нагрузки Cobalt Strike beacon в реестр хоста и выполняла ее в памяти.

Злоумышленник использовал SystemBC для туннелирования RDP-доступа в сеть и скомпрометировал контроллеры домена, серверы резервного копирования и другие ключевые серверы.

Исполнитель угрозы в интерактивном режиме просмотрел конфиденциальные файлы через RDP, и неясно, были ли данные отфильтрованы.

Организация предоставляет службу рассылки угроз, специализирующуюся на отслеживании систем командования и контроля, таких как Cobalt Strike, Metasploit и Sliver.

Цепочка заражения Gootloader включает в себя несколько этапов, включая выполнение запутанных файлов JavaScript и развертывание маяка Cobalt Strike.

Исполнитель угрозы использовал различные методы, связанные с Cobalt Strike, такие как компрометация LSASS, поддержание постоянства, отключение защитника Windows, боковое перемещение с помощью сценариев PowerShell и установление SOCKS-соединения для туннелирования.

Анализ организации выявил команды PowerShell для бокового перемещения, создания удаленных служб, потенциального сброса учетных данных через LSASS и компрометации контроллеров домена в качестве тактики, используемой участниками угроз.

#ParsedReport #CompletenessLow
26-02-2024

WogRAT malware exploiting aNotepad (Windows, Linux)

https://asec.ahnlab.com/ko/62091

Report completeness: Low

Threats:
Wograt
Wingsofgod
Tinyshell
Rekoobe_rootkit
Trojan/win.generic.c5387450

Geo:
Japan, China, Singapore, Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1105, T1573, T1071, T1059, T1113, T1041, T1090, have more...

IOCs:
File: 8
Hash: 16
Domain: 2
Url: 9

Soft:
Chrome

Algorithms:
hmac, base64, md5, aes-128, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) обнаружил вредоносную программу-бэкдор под названием WogRAT, распространяемую через бесплатную онлайн-платформу notepad, предназначенную как для систем Windows, так и для Linux с различными вариантами. Злоумышленник, известный как "WingOfGod", активно внедряет это вредоносное ПО с конца 2022 года, в основном ориентируясь на страны Азии. Вредоносное ПО выдает себя за законные инструменты для обмана пользователей, собирает системную информацию, взаимодействует с серверами C&C и использует методы шифрования. Пользователям рекомендуется соблюдать осторожность при загрузке исполняемых файлов и постоянно обновлять программное обеспечение безопасности, чтобы предотвратить заражение.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил вредоносную программу-бэкдор, распространяемую через бесплатную онлайн-платформу для блокнотов под названием aNotepad. Эта вредоносная программа под названием WogRAT примечательна тем, что нацелена как на системы Windows с вредоносным по формата PE, так и на системы Linux с вредоносным ПО формата ELF. Злоумышленник, использующий псевдоним "WingOfGod", активно внедряет WogRAT с конца 2022 года. Хотя подтвержденных атак на систему Linux не было, вредоносное ПО, нацеленное на Windows, часто маскируется под обычные утилиты, чтобы обманом заставить пользователей загрузить его. Атака в первую очередь направлена на азиатские страны, такие как Гонконг, Сингапур, Китай и Япония, основываясь на данных, собранных с помощью VirusTotal.

Один из вариантов WogRAT, распространяемый в системах Windows, выдает себя за инструмент Adobe, в то время как на самом деле является вредоносной программой-загрузчиком на базе .NET, замаскированной под инструмент браузера Chrome. При запуске эта вредоносная программа компилирует и загружает внутренне зашифрованный исходный код с aNotepad, расшифровывая его с помощью алгоритма Base64. Последняя загруженная вредоносная программа с бэкдором называется WingsOfGod. Изначально WogRAT собирает системную информацию при выполнении и отправляет ее на сервер команд и контроля (C&C). Он поддерживает различные команды, такие как выполнение задач, обмен результатами и загрузка файлов с помощью POST-запросов. Вредоносная программа также использует FTP для загрузки файлов, хотя проанализированная версия не полностью поддерживает эту функциональность.

Что касается Linux-версии WogRAT, то, как и ее аналог для Windows, она маскируется под обычный процесс с именем "kblockd", чтобы избежать обнаружения. Этот вариант заимствует методы из вредоносного ПО с открытым исходным кодом Tiny SHell. После взлома системы WogRAT собирает основные системные данные и взаимодействует с сервером C&C, используя идентификаторы задач, типы и данные. Он шифрует данные во время обмена данными и, в отличие от версии для Windows, взаимодействует с отдельным сервером, предназначенным для функций обратной оболочки. WogRAT использует метод шифрования, включающий ключ AES-128, сгенерированный с помощью HMAC SHA1, используя разные строки паролей для каждого экземпляра (например, 03c7c0ace395d80182db07ae2c30f034 и 194112c60cb936ed1c195b98142ff49d).

Наблюдается заметная эволюция, когда WogRAT теперь поражает системы Linux в дополнение к Windows. Хотя точный вектор заражения остается нераскрытым, злоумышленник, вероятно, использует вводящие в заблуждение имена файлов, чтобы побудить пользователей загрузить вредоносное ПО. Чтобы предотвратить заражение, пользователям рекомендуется не устанавливать исполняемые файлы с сомнительных веб-сайтов и приобретать программное обеспечение только из официальных источников. Обновление программного обеспечения безопасности, такого как версия 3, имеет решающее значение для превентивной защиты от вредоносных угроз.

#ParsedReport #CompletenessLow
26-02-2024

Ransomware Roundup Abyss Locker

https://www.fortinet.com/blog/threat-research/ransomware-roundup-abyss-locker

Report completeness: Low

Threats:
Abyss_locker
Hellokitty
Domino

Industry:
Entertainment

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1485, T1027, T1567

IOCs:
File: 118
Command: 1
Hash: 15

Soft:
DefWatch, MSSQL, MSExchange, PccNTMon, onenote, outlook, thebat, wordpad, bcdedit, windows defender, have more...

Win Services:
MSSQLServerADHelper100, sqlbrowser, SQLWriter, WinDefend, MSExchangeIS, MSExchangeSA, ShadowProtectSvc, IISADMIN, QBCFMonitorService, QBVSS, have more...

Platforms:
x86