#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В отчете FortiGuard Labs, публикуемом раз в две недели, был выделен вариант программы-вымогателя Abyss Locker, производный от кода программы-вымогателя HelloKitty, первоначально обнаруженный в начале 2024 года для Windows. Программа-вымогатель шифрует файлы, стирает резервные копии и извлекает данные, распространяясь по всему миру. Версия 1 фокусируется на шифровании файлов и добавлении расширений, в то время как версия 2 имеет незначительные различия в сообщениях о выкупе и адресах TOR. Исполнитель угрозы использует команды запуска и расширения файлов .crypt, используя платформу на базе TOR для переговоров, несмотря на отсутствие конкретного места утечки данных жертвы.
-----

FortiGuard Labs раз в две недели публикует отчеты о набирающих популярность вариантах программ-вымогателей, в этом выпуске основное внимание уделяется Abyss Locker. Abyss Locker, созданный на основе кода программы-вымогателя HelloKitty, был впервые обнаружен в начале 2024 года для Windows, были идентифицированы версии 1 и 2. Эта программа-вымогатель шифрует файлы, удаляет резервные копии и крадет данные перед развертыванием. Сведений о переносчике заражения мало, но программа-вымогатель была обнаружена во всем мире. Версия 1 шифрует файлы и добавляет расширения, в то время как версия 2 показывает лишь незначительные различия в сообщении о выкупе и TOR-адресе для переговоров. Вариант программы-вымогателя известен использованием команд запуска и расширений файлов .crypt. Исполнитель угрозы, хотя и не имеет места утечки данных о жертвах, предлагает платформу для переговоров на основе TOR.

#ParsedReport #CompletenessHigh
27-02-2024

Cisco Talos Blog. TimbreStealer campaign targets Mexican users with financial lures

https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users

Report completeness: High

Threats:
Timbrestealer
Mispadu
Heavens_gate_technique
Sandbox_evasion_technique
Autokms_tool
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Dll_sideloading_technique

Industry:
Financial, Transport

Geo:
Spanish, Russian, Mexico, American, Mexican

TTPs:
Tactics: 1
Technics: 28

IOCs:
File: 14
Path: 1
Url: 138
IP: 24
Domain: 128
Hash: 63

Soft:
qemu, Event Tracing for Windows, internet explorer, MacOS, KMSAuto, winlogon

Algorithms:
xor, zip, crc-32, exhibit

Win API:
decompress, ZwCreateThreadEx, ResumeThread, SRRemoveRestorePoint

Win Services:
BrokerInfrastructure

Languages:
javascript

Platforms:
x86, x64, intel

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой вредоносной кампании под названием TimbreStealer, инициированной злоумышленником, нацеленным на жертв в Мексике с помощью изощренной тактики, такой как спам по электронной почте и скомпрометированные веб-сайты. Вредоносная программа демонстрирует высокий уровень изощренности, методы уклонения и возможности кражи информации, демонстрируя изменение тактики злоумышленника от распространения банковского трояна Mispadu к TimbreStealer. Для полного понимания воздействия и возможностей кампании необходимо продолжающееся расследование.
-----

Cisco Talos обнаружила новую вредоносную кампанию, распространяющую вредоносное ПО под названием TimbreStealer.

Исполнитель угроз, стоящий за кампанией, переключился с распространения банковского трояна Mispadu на TimbreStealer, нацеленный на мексиканских пользователей.

TimbreStealer демонстрирует изощренность в предотвращении обнаружения и обеспечении сохранности скомпрометированных систем.

Вредоносная программа использует геозону, пользовательские загрузчики, обфускацию и различные методы, препятствующие обнаружению.

Кампания распространения началась в ноябре 2023 года и продолжается с использованием таких методов, как рассылка спама по электронной почте и скомпрометированные веб-сайты.

TimbreStealer включает в себя слои оркестратора, загрузчики шелл-кода и подмодули, указывающие на сложные операции.

Хотя вредоносная программа проявляет поведение, сходное с программами-вымогателями, конкретных доказательств активности программ-вымогателей нет.

Вредоносная программа предназначена для кражи информации, сбора машинной информации, публикации данных, сканирования каталогов и сетевого взаимодействия.

Требуется текущее расследование, чтобы полностью понять влияние и возможности кампании TimbreStealer и ответственного за угрозу субъекта.

#ParsedReport #CompletenessLow
27-02-2024

APT37RokRAT. Preface

https://mp-weixin-qq-com.translate.goog/s/NyLQztZOWUV-fbxVj2wOIg?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat

Geo:
China, Korea, Japan, Korean, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1027, T1059, T1055, T1112, T1041, T1140

IOCs:
File: 9
Path: 1

Algorithms:
xor

Functions:
such

Win API:
ShowWindow, RtlGetVersion, WinHttpOpen, WinHttpOpenRequest, WinHttpAddRequestHeaders

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
dump: 8, table: 1, schema: 1, windows: 3, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
APT37, северокорейская хакерская группа, действующая под различными псевдонимами, такими как Group123 и Reaper, активна с 2012 года. Они в основном нацелены на соседние страны, такие как Южная Корея, используя передовые вредоносные программы, такие как RokRAT. Недавнее обновление RokRAT демонстрирует улучшения в процессах выполнения, используя облачные платформы, такие как Dropbox и Pcloud, для управления. Вредоносная программа использует сложный процесс выполнения, включающий загрузку шеллкода и методы дешифрования, чтобы избежать обнаружения. Основная функциональность заключается в загрузке данных на сервер C&C для выполнения контрольных операций.
-----

APT37, известная северокорейская хакерская организация, работает под такими псевдонимами, как Group123, Venus 121 и Reaper, и активна с 2012 года. Эта группа в первую очередь нацелена на соседние с Северной Кореей страны, такие как Южная Корея, Япония, Россия и Китай, с особым акцентом на Южную Корею. RokRAT, оружие с дистанционным управлением, используемое APT37, недавно было обновлено в новом образце, приобретенном по каналам разведки угроз.

Обновленный образец RokRAT демонстрирует улучшения и итерации в процессе его выполнения по сравнению с предыдущими версиями. Этот последний образец поддерживает инфраструктуру управления (C&C) на основных общедоступных облачных платформах, таких как Dropbox, Pcloud, Yandex и Box, с основным акцентом на первые два сервиса. Используя встроенный токен учетной записи cloud disk, RokRAT взаимодействует со своим сервером C&C, инициируя запросы на загрузку, выгрузку и удаление определенных файлов на этих облачных платформах.

После распаковки исходный файл полезной нагрузки отображается как файл lnk размером 221 МБ и путем, ведущим к %windir%\SysWOW64\cmd.exe. Примечательно, что значение "Target" в ярлыке свойств файла имеет ограничение по длине, и при превышении оно становится усеченным. Чтобы получить доступ к полной информации, файл содержит поток ASCII, в котором скрипт вызывает встроенный код C# через PowerShell.

Процесс выполнения начинается с выпуска начальной полезной нагрузки, запускающей выполнение скрипта с именем "working.bat". Этот пакетный скрипт служит точкой входа для последующих операций с полезной нагрузкой. Внутри "working.bat" создается скрытый оконный процесс PowerShell, который считывает и выполняет содержимое текстового файла с именем "temp.dat". Содержимое "temp.dat" описывает стандартный процесс загрузки и выполнения шеллкода, включающий чтение двоичных данных из общедоступного файла.dat, выделение места в памяти, запись данных в это пространство и, в конечном итоге, запуск потока для выполнения кода, хранящегося в памяти.

Следуя концепции скрипта в "temp.dat", создается загрузчик шелл-кода. После успешного выполнения функции шелл-код переходит к сегменту кода, где он циклически расшифровывает имена функций Windows API, используя такие методы, как сдвиг вправо (ror), и расшифровывает PE-файл, используя XOR и другие методы расшифровки. Интересно, что шелл-код не запускает выполнение с начала PE-файла, а скорее присваивает адрес 0x71B375 (в то время как начальный адрес PE-файла равен 0x6E0000) регистру ECX и вызывает его.

Основная функциональность программы находится в пределах определенной области, как показано на анализируемом рисунке. Выполнение программы лаконично, что позволяет проводить детальную отладку и пошаговый анализ. Начальные этапы включают сбор выборочной информации и загрузку содержимого данных на сервер C&C cloud disk для дальнейших операций командования и контроля.

#ParsedReport #CompletenessMedium
27-02-2024

DCRat: Step-by-Step Analysis in ANY.RUN

https://any.run/cybersecurity-blog/dcrat-analysis-in-any-run

Report completeness: Medium

Threats:
Dcrat

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1543.003, T1056, T1113, T1552.001, T1560, T1027, T1189, T1071, T1573, T1112, have more...

IOCs:
Domain: 3
Hash: 2
File: 10
Path: 10
Url: 2

Soft:
Telegram, Discord, NET framework

Algorithms:
hmac, aes, base64

Languages:
php

Links:
https://github.com/mandiant/flare-floss

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: DCRat, троян удаленного доступа, является универсальным и доступным вредоносным инструментом, популярным среди киберпреступников благодаря широкому спектру вредоносных функций, модульной архитектуре и скрытным операциям. Его растущая популярность и распространение через группу Telegram создают значительные риски для индивидуальной и сетевой безопасности, требуя как статического, так и динамического анализа для эффективного обнаружения угроз и смягчения их последствий в сфере кибербезопасности.
-----

DCRat, троян удаленного доступа (RAT) и похититель информации, распространяется с 2018 года по низкой цене в 5 долларов, предлагая различные вредоносные функции и бэкдор-доступ к системам Windows.

Он собирает конфиденциальную личную информацию, такую как имена пользователей, пароли и данные кредитной карты, а также крадет учетные данные для входа на такие платформы, как Telegram, Steam и Discord.

Модульная архитектура DCRat позволяет злоумышленникам настраивать ее, что делает ее универсальной для киберпреступников с различными целями.

Вредоносная программа популярна как среди начинающих, так и среди опытных исполнителей угроз, о чем свидетельствуют частые упоминания на подпольных форумах.

DCRat обеспечивает субъектам угроз полное наблюдение за жертвами и создает риски для индивидуальных данных и более широких сетей и контактов.

Он распространяется через группу Telegram на основе подписки по доступным ценам и предлагает упрощенный процесс оплаты с использованием криптовалютных платежей.

Загрузчик DCRat - это самораспаковывающийся архивный файл, которым манипулируют со злым умыслом, используя тактику, позволяющую избежать обнаружения, например, маскируясь под законные процессы.

Статический анализ выявляет функции, индикаторы компрометации (IOCs) и детали конфигурации, проливающие свет на методы эксфильтрации данных и связь с серверами командования и контроля (C2).

Динамический анализ DCRat помогает в сборе IOCS, таких как доменные имена и IP-адреса, которые имеют решающее значение для обнаружения угроз и смягчения их последствий.

Важность как статического, так и динамического анализа в кибербезопасности зависит от конкретного случая использования, при этом динамический анализ обеспечивает быструю информацию для оперативного сдерживания, а статический анализ обеспечивает всестороннее понимание для прогнозирования и смягчения будущих угроз.

#ParsedReport #CompletenessMedium
27-02-2024

DuckTail. Event overview

https://www.ctfiot.com/164427.html

Report completeness: Medium

Actors/Campaigns:
Ducktail (motivation: information_theft)
C0met

Threats:
Mango
Orbit_technique

Victims:
Digital marketers

Industry:
Financial

Geo:
Vietnam, China, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1140, T1105, T1059, T1555, T1119, T1071

IOCs:
Hash: 20
Url: 7
File: 3

Soft:
nuitka, WeChat, Liebao, telegram

Algorithms:
sha256

Languages:
cpython, python

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитическая информация о киберугрозах выявляет серию инцидентов безопасности, нацеленных на цифровых маркетологов, которые, как полагают, связаны с хакерской группой DuckTail, с акцентом на тактику, методы и процедуры (TTP), используемые злоумышленниками, и усилия Центра сетевой разведки Shanshi для защиты от таких угроз.
-----

Событие атаки тесно связано с организацией DuckTail, а злоумышленники вьетнамского происхождения нацелились на специалистов по цифровому маркетингу.

Тактика, методы и процедуры, использованные в атаке, очень напоминают тактику DuckTail, включая упаковку вредоносных полезных данных, использование nuitka для атак на Python и кражу учетных данных бизнес-менеджера Facebook.

В своей деятельности злоумышленники проявляют ярко выраженные вьетнамские черты, включая использование языка и смену часовых поясов.

Известно, что DuckTail продает информацию Facebook на подпольных рынках Вьетнама и может расширить свою деятельность в Китае.

Центр сетевой разведки Shanshi активно участвует в анализе угроз и обнаружении вторжений, используя надежную систему защиты.

Считается, что недавние инциденты с безопасностью, нацеленные на специалистов по цифровому маркетингу, связаны с ориентированной на прибыль хакерской группой DuckTail, которая занимается кражей финансовой информации путем компрометации бизнес-аккаунтов Facebook.

#ParsedReport #CompletenessHigh
27-02-2024

Threat Actor Groups, Including Black Basta, are Exploiting Recent ScreenConnect Vulnerabilities

https://www.trendmicro.com/en_us/research/24/b/threat-actor-groups-including-black-basta-are-exploiting-recent-.html

Report completeness: High

Actors/Campaigns:
Bl00dy

Threats:
Blackbasta
Screenconnect_tool
Connectwise_rat
Zipslip_technique
Cobalt_strike
Beacon
Lockbit
Conti
Xworm_rat
Atera_tool
Syncro_tool
Bitsadmin
Nltest_tool

Victims:
Connectwise

Industry:
Financial

Geo:
Belgium

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut mf (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 9
Command: 6
Path: 6
Domain: 4
Hash: 8
Url: 6
IP: 1

Soft:
Active Directory, PaperCut, curl, Windows Defender

Algorithms:
sha256

Languages:
powershell, swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 23, code: 3, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в программном обеспечении ConnectWise ScreenConnect имеются критические уязвимости (CVE-2024-1708 и CVE-2024-1709), которые активно используются группами участников угроз, что приводит к несанкционированному доступу, развертыванию программ-вымогателей, утечке данных и другим вредоносным действиям. В нем подчеркивается важность оперативного обновления до последней версии программного обеспечения для снижения этих рисков и подчеркивается необходимость того, чтобы организации активно управляли обновлениями программного обеспечения для усиления защиты от кибербезопасности и предотвращения потенциальных нарушений безопасности и их последствий.
-----

В этой записи блога представлен тщательный анализ недавних уязвимостей, обнаруженных в программном обеспечении ConnectWise ScreenConnect, в частности, CVE-2024-1708 и CVE-2024-1709, затрагивающих версии 23.9.7 и более ранние. Эти уязвимости подвергли системы несанкционированному доступу и контролю со стороны субъектов угроз, что привело к таким инцидентам, как внедрение программ-вымогателей, утечка данных и кража информации. Уязвимости были связаны с такими проблемами, как обход каталога с помощью ZipSlip-атаки и обход аутентификации, позволяющий злоумышленникам добавлять неавторизованные учетные записи на сервер.

ConnectWise отреагировала на эти критические уязвимости, выпустив исправления безопасности и призвав клиентов оперативно обновляться до последней версии для эффективного снижения рисков. Trend Micro также предоставила рекомендации для своих клиентов в статье базы знаний о стратегиях защиты и обнаружения в свете этих уязвимостей.

Были выявлены группы исполнителей угроз, такие как банды вымогателей Black Basta и Bl00dy, которые активно используют CVE-2024-1708 и CVE-2024-1709. Эти группы использовали такие методы, как маяки Cobalt Strike, вредоносное ПО XWorm и просочившиеся сборщики программ-вымогателей, для осуществления вредоносных действий в скомпрометированных системах. Скомпрометированные системы используются для различных гнусных целей, включая развертывание программ-вымогателей, получение удаленного доступа, распространение по сетям и эксфильтрацию конфиденциальных данных.

Простота использования CVE-2024-1709, которая включает механизм обхода аутентификации, вызвала опасения по поводу потенциального воздействия этих уязвимостей на уязвимые системы. Злоупотребляя этой уязвимостью, злоумышленники могут внедрять неавторизованные учетные записи на сервер и выполнять вредоносный код, такой как загрузка веб-оболочек на скомпрометированные компьютеры. Кроме того, использование уязвимости обхода каталогов с помощью ZipSlip-атаки подчеркивает риски, связанные с этими недостатками.

В блоге подчеркивается важность обновления до последней версии ConnectWise ScreenConnect как важнейшей меры безопасности для эффективного устранения выявленных угроз. Настоятельно рекомендуется немедленное исправление для защиты систем от сложных атак, использующих эти уязвимости. Для организаций крайне важно активно управлять обновлениями программного обеспечения, чтобы поддерживать надежную защиту от кибербезопасности и защищаться от нарушений безопасности, которые могут привести к компрометации данных, сбоям в работе и финансовым потерям.

Для клиентов Trend Micro использование предоставленной статьи базы знаний может повысить эффективность усилий по обнаружению и устранению этих уязвимостей после эксплуатации. Оперативные действия и постоянное информирование об угрозах кибербезопасности жизненно важны для организаций, чтобы защитить себя от потенциальных нарушений безопасности и связанных с ними серьезных последствий. Активное использование этих уязвимостей для распространения программ-вымогателей подчеркивает настоятельную необходимость принятия организациями оперативных корректирующих мер и эффективного укрепления своей системы кибербезопасности.