#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что GUloader - это сложный загрузчик вредоносных программ, известный своими скрытными методами и тактикой уклонения, которые позволяют ему избежать обнаружения традиционными мерами безопасности. Он обладает высокой степенью адаптации, используя полиморфный код и шифрование для проникновения в сети, создания точек входа для вредоносных действий, а также загрузки и развертывания различных других вариантов вредоносного ПО. В тексте также освещается конкретная кампания GUloader, которая использовала вредоносный SVG-файл, распространяемый по электронной почте, для инициирования серии вредоносных действий в системе жертвы. В общем сообщении подчеркивается важность сохранения бдительности и внедрения надежных мер кибербезопасности для защиты от угроз, подобных GUloader.
-----

GUloader - это сложный загрузчик вредоносных программ, известный своими скрытными методами и тактикой уклонения, которые позволяют ему избегать обнаружения традиционными мерами безопасности. Он обладает способностью динамически изменять свою структуру с помощью полиморфного кода и шифрования, что затрудняет идентификацию и смягчение последствий для антивирусного программного обеспечения и систем обнаружения вторжений. Такая адаптивность позволяет GUloader постоянно проникать в сети и создавать точки входа для дальнейших вредоносных действий.

В недавнем отчете McAfee Labs освещалась кампания GUloader, которая распространялась с помощью вредоносного файла SVG, отправленного по электронной почте. Файлы SVG обычно используются для векторной графики и поддерживают интерактивность и анимацию с помощью языков сценариев, таких как JavaScript и CSS. В этом сценарии атаки вредоносный SVG-файл содержал JavaScript-код, который был встроен в изображение, что создало вредоносный ZIP-архив при открытии вложения. Этот ZIP-файл содержал файл сценария Windows (WSF), который подключался к вредоносному домену с помощью PowerShell для выполнения шеллкода, введенного в законное приложение MSBuild.

Атака начинается с того, что жертва получает спам-сообщение по электронной почте с вложением, содержащим вредоносный SVG-файл. Когда жертва открывает вложение, код JavaScript внутри SVG-изображения запускает создание вредоносного ZIP-архива. Затем пользователю предлагается расшифровать и сохранить файл, что инициирует выполнение PowerShell для подключения к вредоносному домену. Содержимое, полученное из домена, включает данные в кодировке base64, содержащие шелл-код и сценарий PowerShell. Сценарий PowerShell загружает шелл-код в процесс MSBuild, используя удаление процесса, изменяет ключ запуска реестра для сохранения, а также загружает и выполняет окончательную вредоносную полезную нагрузку.

GUloader также способен загружать и развертывать различные другие варианты вредоносных программ, что делает его универсальным инструментом для киберпреступников, стремящихся осуществлять целый ряд вредоносных действий. Его способность избегать обнаружения и закрепляться в сетях подчеркивает важность того, чтобы организации и отдельные лица сохраняли бдительность и применяли надежные меры кибербезопасности для защиты от развивающихся угроз, таких как GUloader.

#ParsedReport #CompletenessLow
01-03-2024

Malware analysis report: Snake keylogger. IOCs

https://mssplab.github.io/threat-hunting/2024/03/01/malware-analysis-snake-keylogger-1.html

Report completeness: Low

Threats:
Snake_keylogger

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1056, T1113, T1115, T1567, T1204, T1105, T1573, T1041, T1082, T1566, have more...

IOCs:
File: 7
Hash: 1

Soft:
Telegram, Windows Setup

Functions:
tAcKs, autoopen, PsfmA, LaunchINFSectionW, whtle, CByte, flkmt, rFdPB

Win API:
WinExec

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кейлоггера Snake, сложного средства для кражи информации, которое тайно извлекает личную информацию у жертв. Анализ сосредоточен на том, как кейлоггер использует Advpack.dll, чтобы обойти традиционные средства защиты, подчеркивая его способность использовать тактику социальной инженерии и технические манипуляции. В тексте также обсуждаются методы извлечения данных кейлоггером, стратегии фишинговой электронной почты и идентификация его командно-контрольного сервера, подчеркивается важность постоянной бдительности при защите от таких постоянных киберугроз.
-----

Snake Keylogger, также известный как 404 Keylogger, представляет собой сложный инфокрад на основе подписки, предназначенный для скрытого извлечения личной информации у жертв. Этот кейлоггер способен регистрировать нажатия клавиш, делать скриншоты и собирать данные из системного буфера обмена. Первоначально распространенный на российском хакерском форуме в августе 2019 года, кейлоггер Snake выделяется своим уникальным подходом к эксфильтрации данных, использующим такие методы, как электронная почта, FTP, SMTP, Pastebin и платформа обмена сообщениями Telegram.

Основная цель этого поста в блоге - пролить свет на то, как Snake Keylogger использует Advpack.dll для развертывания и запуска своей основной полезной нагрузки. Используя тактику социальной инженерии и технические манипуляции, Snake Keylogger обходит традиционные средства защиты. В статье рассматриваются тонкости стратегий фишинговой рассылки кейлоггера и использования им вредоносных макросов, а также предлагается критическая информация для специалистов по кибербезопасности и частных лиц, стремящихся усилить свою защиту от этой постоянной угрозы.

Одним из примечательных наблюдений является активация многочисленных флагов, указывающих на вредоносную активность в полной командной строке. Заслуживающие внимания результаты включают наличие 4D5A, ссылки на сигнатуру MZ, связанную с переносимыми исполняемыми файлами (PE). Для дальнейшего расследования при вызове функции tAcKs была установлена точка останова, которая указывает на процедуру LaunchINFSectionW.

После анализа было обнаружено, что удаленный файл представляет собой 32-разрядную библиотеку DLL со строками, которые предполагают его роль в качестве загрузчика. Затем фокус сместился в сторону идентификации сервера командования и контроля (C2), ответственного за выборку последующих этапов цепочки атак. Подчеркивая критическую важность обнаружения C2, аналитик показал C2 как vybsnf3p.sa.com/fdsfh.exe. Однако было обнаружено, что C2 в то время был неактивен, что привело к ответу сервера с ошибкой 404. Несмотря на эту неудачу, удаленный файл по-прежнему обрабатывается с помощью вызова WinExec API.

Дальнейшее изучение домена, связанного с сервером C2, привело к выявлению программы Snake Keylogger Stealer и дополнительных файлов, таких как скрипт med.bat. Аналитик подчеркивает наличие загруженного reposonse, который послужил бы полезной нагрузкой следующего этапа, если бы сервер C2 работал. Временное бездействие сервера C2 подчеркивает динамичный характер киберугроз и необходимость постоянной бдительности при мониторинге и защите от развивающихся разновидностей вредоносных программ, таких как Snake Keylogger.

#ParsedReport #CompletenessHigh
01-03-2024

A comprehensive analysis of I-Soons commercial offering. Key Findings

https://harfanglab.io/en/insidethelab/isoon-leak-analysis

Report completeness: High

Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage, hacktivism)
Green_army (motivation: hacktivism)
Winnti (motivation: hacktivism)
Earth_lusca
Chengdu_404_leak

Threats:
Supply_chain_technique
Shadowpad
Treadstone
Hector
Polymorphism_technique
Acunetix_tool
Metasploit_tool
Meterpreter_tool
Nmap_tool
Hydra
Masscan_tool

Victims:
Government organizations, Military organizations, Educational bodies, Individuals, Ngos, Think tanks, Airline companies, Telecommunication operators

Industry:
Petroleum, E-commerce, Telco, Education, Government, Military, Aerospace, Energy, Foodtech, Transport, Ngo, Financial, Healthcare

Geo:
Indonesia, America, Myanmar, Iran, Tibet, Usa, Oceania, Indian, India, Cambodia, Korea, Macedonia, Bangladesh, Nepal, Peru, Singapore, Vietnam, Guinea, Mongolia, Syria, Guangdong, Pakistani, Taiwan, Japan, Malaysia, Tibetan, Philippines, Palestine, Romania, China, Pakistan, Chinese, Turkey, African, Thailand, Uzbekistan, Africa, Egypt, Macau, Kazakhstan, Ethiopia, Asia, France, Afghanistan, Kyrgyzstan

ChatGPT TTPs:
do not use without manual check
T1566, T1114, T1583, T1046, T1498, T1095, T1040, T1016, T1608, T1590, have more...

IOCs:
Email: 2
Hash: 1
Domain: 3
IP: 9

Soft:
Sysinternals, macos, android, Outlook, Gmail

Algorithms:
rc4, aes

Languages:
ruby

Platforms:
intel

Links:
https://github.com/trustedsec/social-engineer-toolkit
https://github.com/mttaggart/I-S00N
https://github.com/I-S00N/I-S00N
https://github.com/vanhauser-thc/thc-hydra
https://github.com/HarfangLab/iocs/tree/main/TRR240301

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в утечке документов, раскрывающих операции и коммерческие предложения китайской компании по кибербезопасности под названием I-Soon, которая занимается хакерскими услугами по найму, технологиями вторжения и услугами исследовательского подразделения APT, ориентированными в первую очередь на органы местного самоуправления. Компания работает со значительной степенью автономии, используя базовые методы проникновения, такие как фишинг, для взлома целей по всему миру, нацеливаясь на различные организации и отрасли. Утечки подробно описывают прошлых жертв, вторжения и действия, раскрывая операции I-Soon и потенциально нанося ущерб ее репутации. Каталог компании включает вредоносные программы-имплантанты для различных платформ и продуктов, таких как оборудование для определения местоположения WiFi-терминалов и DDoS-атаки как услуга. В нем также описаны сценарии физического проникновения с использованием устройств, замаскированных под розетки, для сбора данных и доступа к сетям.
-----

Просочившиеся документы раскрывают подробности о китайской компании по кибербезопасности I-Soon, предоставляя информацию об их услугах по взлому по найму, технологиях вторжения и исследовательском подразделении APT, в основном обслуживающем местные органы власти.

I-Soon использует базовые методы взлома, такие как фишинг, но за последнее десятилетие успешно взломала стратегические цели по всему миру и работает автономно, имея возможность активно взламывать данные жертв для получения интересных данных.

Целями компании являются правительственные и военные организации, образовательные учреждения, частные лица, НПО, аналитические центры, авиакомпании, операторы связи и другие, с глобальным акцентом как на внутренние, так и на международные цели, связанные с известными кампаниями APT, такими как APT41.

I-Soon предлагает ряд вредоносных программ-имплантантов для различных платформ, таких как Windows, Linux, macOS и iOS, обеспечивающих удаленный доступ, управление, эксфильтрацию данных и возможности наблюдения, несмотря на то, что в основном используются базовые методы вторжения.

Один из описанных сценариев предполагает, что I-Soon использует устройство, замаскированное под розетку, для физического проникновения в помещения цели, сбора данных сети Wi-Fi, криптографических материалов и передачи их облачным службам взлома по каналу 5G для получения паролей.

Компания также предоставляет такие продукты, как оборудование для определения местоположения WiFi-терминалов, маршрутизаторы для обхода интернет-ограничений, возможности DDoS-атак как услуги, консультации по инфраструктуре атак, анонимные сетевые покупки, платформы управления атакующими возможностями, инструменты мониторинга социальных сетей, ориентированные на китайский рынок, и другие.

#ParsedReport #CompletenessMedium
01-03-2024

Let's check in: how Fluffy Wolf uses acts of check in attacks

https://bi.zone/expertise/blog/davayte-sverimsya-kak-fluffy-wolf-ispolzuet-akty-sverki-v-atakakh

Report completeness: Medium

Actors/Campaigns:
Fluffy_wolf
Sticky_werewolf

Threats:
Meta_stealer
Warzone_rat
Xmrig_miner
Redline_stealer
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique

Geo:
Russia

TTPs:
Tactics: 10
Technics: 0

IOCs:
Path: 1
File: 2
Registry: 2
Domain: 1
Hash: 2

Soft:
NSIS installer, Telegram

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Fluffy Wolf - это группа киберугроз, известная тем, что использует фишинговые электронные письма в качестве основного метода первоначального доступа. Они используют различные вредоносные инструменты и программное обеспечение для компрометации систем, уделяя особое внимание России и региону СНГ. Группа постоянно совершенствует свою тактику, используя такие инструменты, как Meta Stealer, для сбора конфиденциальной информации и универсальный загрузчик для расширения возможностей атак. Для защиты от таких угроз, как Fluffy Wolf, организациям рекомендуется внедрять решения для фильтрации электронной почты и использовать платформы анализа угроз для упреждающего подхода к защите кибербезопасности.
-----

Fluffy Wolf - это группа киберугроз, которая действует как минимум с 2022 года, используя фишинговые электронные письма в качестве основного метода первоначального доступа. Фишинговые электронные письма содержат защищенные паролем архивы с исполняемыми файлами, замаскированными под отчеты о сверке расчетов. Эти файлы предоставляют ряд инструментов для взломанных систем, включая законное программное обеспечение Remote Utilities, Meta Stealer, WarZone RAT и XMRig miner. Злоумышленникам удалось использовать по меньшей мере 5% сотрудников организации, которые загружают и открывают вредоносные вложения, что подчеркивает сохраняющуюся эффективность фишинга как вектора атаки.

Группа постоянно совершенствует свою тактику, экспериментируя с законным программным обеспечением удаленного доступа и используя коммерческое вредоносное ПО и его взломанные варианты для расширения спектра угроз в России и регионе СНГ. Даже злоумышленники с ограниченными техническими знаниями могут проводить успешные атаки, используя эти инструменты. В ходе недавней кампании Fluffy Wolf рассылал фишинговые электронные письма от имени строительной компании с вложениями, содержащими вредоносные файлы, которые устанавливали удаленные утилиты и запускали Meta Stealer в скомпрометированной системе.

Meta Stealer, клон RedLine stealer, является ключевым инструментом, используемым злоумышленниками для сбора информации из скомпрометированных систем в России и СНГ. Он может собирать различные данные, такие как файлы, учетные данные, cookies, данные из браузеров и крипто-кошельков, а также информацию от VPN-клиентов. Злоумышленники могут получить Meta Stealer через теневые форумы или официальный Telegram-канал с возможностью арендовать программное обеспечение на месяц или приобрести пожизненную лицензию. Stealer позволяет злоумышленникам собирать конфиденциальную информацию без региональных ограничений, что делает его прибыльным инструментом для проведения кибератак.

Fluffy Wolf использует универсальный загрузчик, который может развертывать удаленные утилиты, Meta Stealer и WarZone RAT в одном файле для расширения возможностей атаки. Группа демонстрирует уровень сложности в своих операциях, используя комбинацию инструментов и методов для достижения своих целей. Несмотря на то, что группа не полагалась на самые передовые инструменты, она продемонстрировала эффективность при проведении атак, подчеркнув важность проактивной аналитики угроз для обнаружения и смягчения последствий вредоносных действий на ранних стадиях атаки.

#ParsedReport #CompletenessLow
01-03-2024

Predator Spyware Operators Rebuild Multi-Tier Infrastructure to Target Mobile Devices

https://www.recordedfuture.com/predator-spyware-operators-rebuild-multi-tier-infrastructure-target-mobile-devices

Report completeness: Low

Threats:
Predator_spyware
Lockdown
Chrysaor
Spear-phishing_technique

Geo:
Mongolia, Indonesia, Armenia, Philippines, Kazakhstan, Angola, Oman, Botswana, Egypt

TTPs:

IOCs:
Domain: 81
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Insikt Group из Recorded Future провела исследование инфраструктуры мобильного шпионского ПО Predator, выявив его злоупотребление против гражданского общества и необходимость усиления мер безопасности для снижения рисков, связанных с наемническими шпионскими программами. В тексте также подчеркивается упорство операторов программ-шпионов, несмотря на публичные разоблачения, и подчеркивается важность упреждающих мер безопасности и оценки рисков для устранения текущих угроз, создаваемых такими инструментами.
-----

Insikt Group из Recorded Future провела новое исследование инфраструктуры, связанной с операторами Predator, наемного мобильного шпионского ПО. Эта инфраструктура действует в одиннадцати странах, включая Анголу, Армению, Ботсвану, Египет, Индонезию, Казахстан, Монголию, Оман, Филиппины, Саудовскую Аравию и Тринидад и Тобаго. Примечательно, что это исследование знаменует собой первое обнаружение клиентов Predator в Ботсване и на Филиппинах. Несмотря на то, что Predator продается для целей борьбы с терроризмом и обеспечения правопорядка, он часто используется против гражданского общества, нацеливаясь на отдельных лиц, таких как журналисты, политики и активисты. Исследование не выявило каких-либо конкретных жертв или мишеней в этой недавней деятельности. Использование программ-шпионов, таких как Predator, вызывает серьезные опасения, связанные с неприкосновенностью частной жизни, законностью и физической безопасностью, особенно когда они используются вне контекста серьезных преступлений и борьбы с терроризмом. Руководители и другие высокопоставленные лица подвергаются повышенному риску из-за высоких затрат, связанных с развертыванием таких программ-шпионов.

Европейский союз предпринял шаги по борьбе со злоупотреблением шпионскими программами наемников в своих государствах-членах. Чтобы свести к минимуму риски, связанные с такими программами-шпионами, организациям и частным лицам рекомендуется придерживаться передовых методов обеспечения безопасности, включая регулярные обновления телефонов, перезагрузку устройств, использование режима блокировки, использование систем управления мобильными устройствами и поддержание четкого разделения между личными и корпоративными устройствами. Обучение по вопросам безопасности и пропаганда культуры минимального доступа к данным также считаются важными. Кроме того, в качестве долгосрочного решения рекомендуется внедрение динамичных политик безопасности, основанных на оценке рисков.

Поскольку рынок шпионских программ для наемников продолжает расширяться, риски, связанные с этими инструментами, не ограничиваются гражданским обществом, а распространяются на всех, кто представляет интерес для тех, кто имеет доступ к таким возможностям. Ожидаемые инновации в этой области, как ожидается, приведут к появлению более сложных и незаметных функций шпионских программ. Результаты исследований Insikt Group свидетельствуют об открытии новой многоуровневой инфраструктуры доставки Predator, подтвержденной доказательствами, полученными с помощью анализа предметной области и данных сетевой аналитики. Несмотря на публичные разоблачения о Predator в сентябре 2023 года, операторы шпионского ПО внесли минимальные изменения в свои операции, что свидетельствует о постоянстве их деятельности. Predator, наряду с Pegasus из NSO Group, остается известным поставщиком шпионских программ для наемников, характеризующихся последовательной тактикой, методами и процедурами на протяжении долгого времени.

#ParsedReport #CompletenessLow
03-03-2024

New Wave of SocGholish Infections Impersonates WordPress Plugins

https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html

Report completeness: Low

Threats:
Socgholish_loader
Eight

ChatGPT TTPs:
do not use without manual check
T1195, T1059, T1566, T1547, T1190

IOCs:
Domain: 5
Url: 3
IP: 2

Soft:
WordPress, Ubuntu

Algorithms:
base64, zip

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о вредоносной кампании SocGholish, которая использует тактику обмана, такую как поддельные обновления браузера и поддельные плагины WordPress, для распространения троянов удаленного доступа (RATs) и потенциально приводит к атакам программ-вымогателей. Эта сложная вредоносная кампания нацелена на посетителей веб-сайтов, подчеркивая важность защиты веб-сайтов от подобных угроз и опыт аналитиков безопасности, таких как Бен Мартин, в борьбе с заражениями вредоносными программами.
-----

Вредоносная программа SocGholish, известная как поддельные обновления браузера, представляет собой постоянный тип вредоносного ПО, активного по крайней мере с 2017 года, предназначенного для обмана пользователей, заставляя их загружать троян удаленного доступа (RAT), замаскированный под безобидное обновление браузера, что часто приводит к атакам программ-вымогателей.

Увеличилось количество заражений SocGholish, нацеленных на веб-сайты WordPress через скомпрометированные учетные записи wp-admin, что подчеркивает важность защиты панелей администратора независимо от используемой CMS.

Вредоносная программа была перепрофилирована в поддельные версии законных плагинов WordPress, встраивая вредоносный код в измененные плагины и внедряя вредоносное ПО на общедоступные страницы, к которым обращаются пользователи, не являющиеся администраторами.

Один манипулируемый плагин, Performance Lab, использовал уникальный метод внедрения кода, регистрируя и помещая в очередь пользовательский скрипт, содержащий вредоносную полезную нагрузку, полученную с сервера SocGholish.

Было идентифицировано несколько доменов TDS, связанных с кампанией SocGholish, что указывает на схему использования вредоносной инфраструктуры, направленную на то, чтобы побудить посетителей веб-сайта загружать RATs, что потенциально может привести к атакам программ-вымогателей.

Атаки с использованием программ-вымогателей являются прибыльными для участников угроз, причем некоторые из них работают аналогично обычным предприятиям, что требует от владельцев веб-сайтов принятия надежных мер безопасности для защиты от вредоносных программ и защиты посетителей.

Лица, обращающиеся за помощью в связи с заражениями SocGholish или постоянными проблемами с вредоносными программами, могут связаться с аналитиком по безопасности Беном Мартином, который специализируется на обнаружении вредоносных программ, анализе тенденций и очистке сайта, предлагая круглосуточную поддержку.

#ParsedReport #CompletenessHigh
29-02-2024

#StopRansomware: Phobos Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a

Report completeness: High

Threats:
Phobos
Smokeloader
Elking
Eight
Devos
Backmydata
Cobalt_strike
Bloodhound_tool
Process_hacker_tool
Powertool_tool
Mimikatz_tool
Passview_tool
Elbie
Eking
Mirai
Spear-phishing_technique
Credential_dumping_technique

Victims:
State, local, tribal, and territorial governments, Municipal and county governments, Emergency services, Education, Public healthcare, Critical infrastructure entities

Industry:
Healthcare, Government, Education, Financial

Geo:
Israel, California

TTPs:
Tactics: 4
Technics: 43

IOCs:
File: 10
Command: 3
Domain: 3
Path: 2
Email: 63
IP: 4
Hash: 13

Soft:
windows shell, active directory, WinSCP, Jabber, bcdedit, Windows Firewall, Telegram, remote desktop services

Crypto:
bitcoin

Win API:
VirtualAlloc, VirtualProtect, SeDebugPrivilege

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2023/11/deep-dive-into-phobos-ransomware.txt
https://github.com/cisagov/Decider/
https://github.com/cisagov/cset/releases/tag/v10.3.0.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - совместное консультирование по кибербезопасности, посвященное вариантам программ-вымогателей Phobos, их тактике, влиянию на правительства SLTT, методам работы и рекомендуемым мерам по смягчению последствий для организаций по предотвращению инцидентов с программами-вымогателями и реагированию на них. В рекомендации также подчеркивается важность невыплаты требований о выкупе и оперативного сообщения об инцидентах властям для проведения расследования и оказания помощи.
-----

Совместное консультирование по кибербезопасности (CSA) является частью продолжающейся инициативы #StopRansomware, направленной на предоставление рекомендаций сетевым защитникам относительно различных вариантов программ-вымогателей и исполнителей угроз. Эта конкретная рекомендация посвящена вариантам программ-вымогателей Phobos, которые, как было замечено, воздействуют на правительства штатов, местные органы власти, племена и территории (SLTT) с мая 2019 года. Phobos работает по модели "программа-вымогатель как услуга" (RaaS) и нацелена на такие организации, как муниципальные и окружные органы власти, службы экстренной помощи, образование, здравоохранение и критически важные объекты инфраструктуры, успешно вымогая несколько миллионов долларов США.

Программа-вымогатель Phobos связана с несколькими вариантами, включая Elking, Eight, Devos, Backmydata и Faust, из-за схожих тактик, методов и процедур (TTP), наблюдаемых при их вторжениях. Программа-вымогатель использует инструменты с открытым исходным кодом, такие как Smokeloader, Cobalt Strike и Bloodhound, что делает ее популярным выбором среди участников угроз. Участники Phobos получают первоначальный доступ с помощью таких методов, как фишинговые кампании, инструменты сканирования IP-адресов и получение аутентификации RDP в средах Windows. Оказавшись внутри сети, они используют исследования с открытым исходным кодом для создания профилей жертв и развертывания инструментов удаленного доступа.

Программа-вымогатель использует трехэтапный процесс, включающий внедрение кода в запущенные процессы, запутывание командной и управляющей активности и развертывание дополнительных вредоносных программ разрушительного действия. Участники Phobos манипулируют конфигурациями системного брандмауэра, используют такие инструменты, как Universal Virus Sniffer и Process Hacker, чтобы избежать обнаружения, и поддерживают постоянство в скомпрометированных средах, используя такие методы, как изменение реестра Windows и использование кэшированных учетных данных домена.

Злоумышленники Phobos извлекают данные с помощью таких инструментов, как WinSCP и Mega.io, шифруют пользовательские файлы и вымогают у жертв финансовую выгоду с помощью сообщений электронной почты или даже голосовых вызовов. Они также используют тактику предотвращения попыток восстановления данных жертв, такую как удаление теневых копий томов в средах Windows. CSA содержит рекомендации по мерам смягчения, которые организации могут внедрить для снижения вероятности и воздействия инцидентов с программами-вымогателями Phobos, уделяя особое внимание протоколам сетевой защиты и рекомендациям для организаций SLTT.

В рекомендациях подчеркивается, что не следует требовать выкуп, поскольку это не гарантирует восстановление файлов и может стимулировать дальнейшую преступную деятельность. В рекомендациях организациям рекомендуется незамедлительно сообщать об инцидентах с программами-вымогателями в ФБР и CISA для расследования и оказания помощи. ФБР запрашивает такую информацию, как уведомления о выкупе, переписка с участниками угроз и данные биткоин-кошелька, чтобы помочь в расследованиях, но не ожидает конкретных действий от затронутых организаций. Отчетность об инцидентах помогает правоохранительным органам принимать необходимые меры и предотвращать будущие атаки.

#ParsedReport #CompletenessLow
03-03-2024

NoName057(16) s DDoSia project: 2024 updates and behavioural shifts

https://blog.sekoia.io/noname05716-ddosia-project-2024-updates-and-behavioural-shifts

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)

Threats:
Ddosia_botnet
Phoenix_keylogger

Victims:
Private corporations, Ministries, Public institutions, Government-related entities, Public administrations, Public services, Official websites, Transportation sector entities, Banking sector entities

Industry:
Financial, Transport, Government

Geo:
Germany, Italian, Spain, Finland, Hungarian, France, Italy, Moldova, Asia, Japan, Turkey, Czech, Emirates, Romania, Poland, Russian, Latvia, Serbia, Nigeria, Brazil, Moscow, Bulgaria, Ukraine, Russia, Israel, Slovakia, America, Kazakhstan, Ukrainian, Africa

ChatGPT TTPs:
do not use without manual check
T1072, T1132, T1569.002, T1090, T1483, T1041, T1498, T1027

IOCs:
File: 4
Url: 1
IP: 31
Hash: 540

Soft:
Telegram

Algorithms:
zip

Platforms:
arm, intel, amd64

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DDoSia/20240229\_DDoSia\_IOC.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4