#ParsedReport #CompletenessLow
26-02-2024

Ransomware Roundup Abyss Locker

https://www.fortinet.com/blog/threat-research/ransomware-roundup-abyss-locker

Report completeness: Low

Threats:
Abyss_locker
Hellokitty
Domino

Industry:
Entertainment

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1485, T1027, T1567

IOCs:
File: 118
Command: 1
Hash: 15

Soft:
DefWatch, MSSQL, MSExchange, PccNTMon, onenote, outlook, thebat, wordpad, bcdedit, windows defender, have more...

Win Services:
MSSQLServerADHelper100, sqlbrowser, SQLWriter, WinDefend, MSExchangeIS, MSExchangeSA, ShadowProtectSvc, IISADMIN, QBCFMonitorService, QBVSS, have more...

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В отчете FortiGuard Labs, публикуемом раз в две недели, был выделен вариант программы-вымогателя Abyss Locker, производный от кода программы-вымогателя HelloKitty, первоначально обнаруженный в начале 2024 года для Windows. Программа-вымогатель шифрует файлы, стирает резервные копии и извлекает данные, распространяясь по всему миру. Версия 1 фокусируется на шифровании файлов и добавлении расширений, в то время как версия 2 имеет незначительные различия в сообщениях о выкупе и адресах TOR. Исполнитель угрозы использует команды запуска и расширения файлов .crypt, используя платформу на базе TOR для переговоров, несмотря на отсутствие конкретного места утечки данных жертвы.
-----

FortiGuard Labs раз в две недели публикует отчеты о набирающих популярность вариантах программ-вымогателей, в этом выпуске основное внимание уделяется Abyss Locker. Abyss Locker, созданный на основе кода программы-вымогателя HelloKitty, был впервые обнаружен в начале 2024 года для Windows, были идентифицированы версии 1 и 2. Эта программа-вымогатель шифрует файлы, удаляет резервные копии и крадет данные перед развертыванием. Сведений о переносчике заражения мало, но программа-вымогатель была обнаружена во всем мире. Версия 1 шифрует файлы и добавляет расширения, в то время как версия 2 показывает лишь незначительные различия в сообщении о выкупе и TOR-адресе для переговоров. Вариант программы-вымогателя известен использованием команд запуска и расширений файлов .crypt. Исполнитель угрозы, хотя и не имеет места утечки данных о жертвах, предлагает платформу для переговоров на основе TOR.

#ParsedReport #CompletenessHigh
27-02-2024

Cisco Talos Blog. TimbreStealer campaign targets Mexican users with financial lures

https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users

Report completeness: High

Threats:
Timbrestealer
Mispadu
Heavens_gate_technique
Sandbox_evasion_technique
Autokms_tool
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Dll_sideloading_technique

Industry:
Financial, Transport

Geo:
Spanish, Russian, Mexico, American, Mexican

TTPs:
Tactics: 1
Technics: 28

IOCs:
File: 14
Path: 1
Url: 138
IP: 24
Domain: 128
Hash: 63

Soft:
qemu, Event Tracing for Windows, internet explorer, MacOS, KMSAuto, winlogon

Algorithms:
xor, zip, crc-32, exhibit

Win API:
decompress, ZwCreateThreadEx, ResumeThread, SRRemoveRestorePoint

Win Services:
BrokerInfrastructure

Languages:
javascript

Platforms:
x86, x64, intel

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой вредоносной кампании под названием TimbreStealer, инициированной злоумышленником, нацеленным на жертв в Мексике с помощью изощренной тактики, такой как спам по электронной почте и скомпрометированные веб-сайты. Вредоносная программа демонстрирует высокий уровень изощренности, методы уклонения и возможности кражи информации, демонстрируя изменение тактики злоумышленника от распространения банковского трояна Mispadu к TimbreStealer. Для полного понимания воздействия и возможностей кампании необходимо продолжающееся расследование.
-----

Cisco Talos обнаружила новую вредоносную кампанию, распространяющую вредоносное ПО под названием TimbreStealer.

Исполнитель угроз, стоящий за кампанией, переключился с распространения банковского трояна Mispadu на TimbreStealer, нацеленный на мексиканских пользователей.

TimbreStealer демонстрирует изощренность в предотвращении обнаружения и обеспечении сохранности скомпрометированных систем.

Вредоносная программа использует геозону, пользовательские загрузчики, обфускацию и различные методы, препятствующие обнаружению.

Кампания распространения началась в ноябре 2023 года и продолжается с использованием таких методов, как рассылка спама по электронной почте и скомпрометированные веб-сайты.

TimbreStealer включает в себя слои оркестратора, загрузчики шелл-кода и подмодули, указывающие на сложные операции.

Хотя вредоносная программа проявляет поведение, сходное с программами-вымогателями, конкретных доказательств активности программ-вымогателей нет.

Вредоносная программа предназначена для кражи информации, сбора машинной информации, публикации данных, сканирования каталогов и сетевого взаимодействия.

Требуется текущее расследование, чтобы полностью понять влияние и возможности кампании TimbreStealer и ответственного за угрозу субъекта.

#ParsedReport #CompletenessLow
27-02-2024

APT37RokRAT. Preface

https://mp-weixin-qq-com.translate.goog/s/NyLQztZOWUV-fbxVj2wOIg?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat

Geo:
China, Korea, Japan, Korean, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1027, T1059, T1055, T1112, T1041, T1140

IOCs:
File: 9
Path: 1

Algorithms:
xor

Functions:
such

Win API:
ShowWindow, RtlGetVersion, WinHttpOpen, WinHttpOpenRequest, WinHttpAddRequestHeaders

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
dump: 8, table: 1, schema: 1, windows: 3, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
APT37, северокорейская хакерская группа, действующая под различными псевдонимами, такими как Group123 и Reaper, активна с 2012 года. Они в основном нацелены на соседние страны, такие как Южная Корея, используя передовые вредоносные программы, такие как RokRAT. Недавнее обновление RokRAT демонстрирует улучшения в процессах выполнения, используя облачные платформы, такие как Dropbox и Pcloud, для управления. Вредоносная программа использует сложный процесс выполнения, включающий загрузку шеллкода и методы дешифрования, чтобы избежать обнаружения. Основная функциональность заключается в загрузке данных на сервер C&C для выполнения контрольных операций.
-----

APT37, известная северокорейская хакерская организация, работает под такими псевдонимами, как Group123, Venus 121 и Reaper, и активна с 2012 года. Эта группа в первую очередь нацелена на соседние с Северной Кореей страны, такие как Южная Корея, Япония, Россия и Китай, с особым акцентом на Южную Корею. RokRAT, оружие с дистанционным управлением, используемое APT37, недавно было обновлено в новом образце, приобретенном по каналам разведки угроз.

Обновленный образец RokRAT демонстрирует улучшения и итерации в процессе его выполнения по сравнению с предыдущими версиями. Этот последний образец поддерживает инфраструктуру управления (C&C) на основных общедоступных облачных платформах, таких как Dropbox, Pcloud, Yandex и Box, с основным акцентом на первые два сервиса. Используя встроенный токен учетной записи cloud disk, RokRAT взаимодействует со своим сервером C&C, инициируя запросы на загрузку, выгрузку и удаление определенных файлов на этих облачных платформах.

После распаковки исходный файл полезной нагрузки отображается как файл lnk размером 221 МБ и путем, ведущим к %windir%\SysWOW64\cmd.exe. Примечательно, что значение "Target" в ярлыке свойств файла имеет ограничение по длине, и при превышении оно становится усеченным. Чтобы получить доступ к полной информации, файл содержит поток ASCII, в котором скрипт вызывает встроенный код C# через PowerShell.

Процесс выполнения начинается с выпуска начальной полезной нагрузки, запускающей выполнение скрипта с именем "working.bat". Этот пакетный скрипт служит точкой входа для последующих операций с полезной нагрузкой. Внутри "working.bat" создается скрытый оконный процесс PowerShell, который считывает и выполняет содержимое текстового файла с именем "temp.dat". Содержимое "temp.dat" описывает стандартный процесс загрузки и выполнения шеллкода, включающий чтение двоичных данных из общедоступного файла.dat, выделение места в памяти, запись данных в это пространство и, в конечном итоге, запуск потока для выполнения кода, хранящегося в памяти.

Следуя концепции скрипта в "temp.dat", создается загрузчик шелл-кода. После успешного выполнения функции шелл-код переходит к сегменту кода, где он циклически расшифровывает имена функций Windows API, используя такие методы, как сдвиг вправо (ror), и расшифровывает PE-файл, используя XOR и другие методы расшифровки. Интересно, что шелл-код не запускает выполнение с начала PE-файла, а скорее присваивает адрес 0x71B375 (в то время как начальный адрес PE-файла равен 0x6E0000) регистру ECX и вызывает его.

Основная функциональность программы находится в пределах определенной области, как показано на анализируемом рисунке. Выполнение программы лаконично, что позволяет проводить детальную отладку и пошаговый анализ. Начальные этапы включают сбор выборочной информации и загрузку содержимого данных на сервер C&C cloud disk для дальнейших операций командования и контроля.

#ParsedReport #CompletenessMedium
27-02-2024

DCRat: Step-by-Step Analysis in ANY.RUN

https://any.run/cybersecurity-blog/dcrat-analysis-in-any-run

Report completeness: Medium

Threats:
Dcrat

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1543.003, T1056, T1113, T1552.001, T1560, T1027, T1189, T1071, T1573, T1112, have more...

IOCs:
Domain: 3
Hash: 2
File: 10
Path: 10
Url: 2

Soft:
Telegram, Discord, NET framework

Algorithms:
hmac, aes, base64

Languages:
php

Links:
https://github.com/mandiant/flare-floss

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: DCRat, троян удаленного доступа, является универсальным и доступным вредоносным инструментом, популярным среди киберпреступников благодаря широкому спектру вредоносных функций, модульной архитектуре и скрытным операциям. Его растущая популярность и распространение через группу Telegram создают значительные риски для индивидуальной и сетевой безопасности, требуя как статического, так и динамического анализа для эффективного обнаружения угроз и смягчения их последствий в сфере кибербезопасности.
-----

DCRat, троян удаленного доступа (RAT) и похититель информации, распространяется с 2018 года по низкой цене в 5 долларов, предлагая различные вредоносные функции и бэкдор-доступ к системам Windows.

Он собирает конфиденциальную личную информацию, такую как имена пользователей, пароли и данные кредитной карты, а также крадет учетные данные для входа на такие платформы, как Telegram, Steam и Discord.

Модульная архитектура DCRat позволяет злоумышленникам настраивать ее, что делает ее универсальной для киберпреступников с различными целями.

Вредоносная программа популярна как среди начинающих, так и среди опытных исполнителей угроз, о чем свидетельствуют частые упоминания на подпольных форумах.

DCRat обеспечивает субъектам угроз полное наблюдение за жертвами и создает риски для индивидуальных данных и более широких сетей и контактов.

Он распространяется через группу Telegram на основе подписки по доступным ценам и предлагает упрощенный процесс оплаты с использованием криптовалютных платежей.

Загрузчик DCRat - это самораспаковывающийся архивный файл, которым манипулируют со злым умыслом, используя тактику, позволяющую избежать обнаружения, например, маскируясь под законные процессы.

Статический анализ выявляет функции, индикаторы компрометации (IOCs) и детали конфигурации, проливающие свет на методы эксфильтрации данных и связь с серверами командования и контроля (C2).

Динамический анализ DCRat помогает в сборе IOCS, таких как доменные имена и IP-адреса, которые имеют решающее значение для обнаружения угроз и смягчения их последствий.

Важность как статического, так и динамического анализа в кибербезопасности зависит от конкретного случая использования, при этом динамический анализ обеспечивает быструю информацию для оперативного сдерживания, а статический анализ обеспечивает всестороннее понимание для прогнозирования и смягчения будущих угроз.

#ParsedReport #CompletenessMedium
27-02-2024

DuckTail. Event overview

https://www.ctfiot.com/164427.html

Report completeness: Medium

Actors/Campaigns:
Ducktail (motivation: information_theft)
C0met

Threats:
Mango
Orbit_technique

Victims:
Digital marketers

Industry:
Financial

Geo:
Vietnam, China, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1140, T1105, T1059, T1555, T1119, T1071

IOCs:
Hash: 20
Url: 7
File: 3

Soft:
nuitka, WeChat, Liebao, telegram

Algorithms:
sha256

Languages:
cpython, python

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитическая информация о киберугрозах выявляет серию инцидентов безопасности, нацеленных на цифровых маркетологов, которые, как полагают, связаны с хакерской группой DuckTail, с акцентом на тактику, методы и процедуры (TTP), используемые злоумышленниками, и усилия Центра сетевой разведки Shanshi для защиты от таких угроз.
-----

Событие атаки тесно связано с организацией DuckTail, а злоумышленники вьетнамского происхождения нацелились на специалистов по цифровому маркетингу.

Тактика, методы и процедуры, использованные в атаке, очень напоминают тактику DuckTail, включая упаковку вредоносных полезных данных, использование nuitka для атак на Python и кражу учетных данных бизнес-менеджера Facebook.

В своей деятельности злоумышленники проявляют ярко выраженные вьетнамские черты, включая использование языка и смену часовых поясов.

Известно, что DuckTail продает информацию Facebook на подпольных рынках Вьетнама и может расширить свою деятельность в Китае.

Центр сетевой разведки Shanshi активно участвует в анализе угроз и обнаружении вторжений, используя надежную систему защиты.

Считается, что недавние инциденты с безопасностью, нацеленные на специалистов по цифровому маркетингу, связаны с ориентированной на прибыль хакерской группой DuckTail, которая занимается кражей финансовой информации путем компрометации бизнес-аккаунтов Facebook.

#ParsedReport #CompletenessHigh
27-02-2024

Threat Actor Groups, Including Black Basta, are Exploiting Recent ScreenConnect Vulnerabilities

https://www.trendmicro.com/en_us/research/24/b/threat-actor-groups-including-black-basta-are-exploiting-recent-.html

Report completeness: High

Actors/Campaigns:
Bl00dy

Threats:
Blackbasta
Screenconnect_tool
Connectwise_rat
Zipslip_technique
Cobalt_strike
Beacon
Lockbit
Conti
Xworm_rat
Atera_tool
Syncro_tool
Bitsadmin
Nltest_tool

Victims:
Connectwise

Industry:
Financial

Geo:
Belgium

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut mf (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 9
Command: 6
Path: 6
Domain: 4
Hash: 8
Url: 6
IP: 1

Soft:
Active Directory, PaperCut, curl, Windows Defender

Algorithms:
sha256

Languages:
powershell, swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 23, code: 3, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4