#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в утечке документов, раскрывающих операции и коммерческие предложения китайской компании по кибербезопасности под названием I-Soon, которая занимается хакерскими услугами по найму, технологиями вторжения и услугами исследовательского подразделения APT, ориентированными в первую очередь на органы местного самоуправления. Компания работает со значительной степенью автономии, используя базовые методы проникновения, такие как фишинг, для взлома целей по всему миру, нацеливаясь на различные организации и отрасли. Утечки подробно описывают прошлых жертв, вторжения и действия, раскрывая операции I-Soon и потенциально нанося ущерб ее репутации. Каталог компании включает вредоносные программы-имплантанты для различных платформ и продуктов, таких как оборудование для определения местоположения WiFi-терминалов и DDoS-атаки как услуга. В нем также описаны сценарии физического проникновения с использованием устройств, замаскированных под розетки, для сбора данных и доступа к сетям.
-----

Просочившиеся документы раскрывают подробности о китайской компании по кибербезопасности I-Soon, предоставляя информацию об их услугах по взлому по найму, технологиях вторжения и исследовательском подразделении APT, в основном обслуживающем местные органы власти.

I-Soon использует базовые методы взлома, такие как фишинг, но за последнее десятилетие успешно взломала стратегические цели по всему миру и работает автономно, имея возможность активно взламывать данные жертв для получения интересных данных.

Целями компании являются правительственные и военные организации, образовательные учреждения, частные лица, НПО, аналитические центры, авиакомпании, операторы связи и другие, с глобальным акцентом как на внутренние, так и на международные цели, связанные с известными кампаниями APT, такими как APT41.

I-Soon предлагает ряд вредоносных программ-имплантантов для различных платформ, таких как Windows, Linux, macOS и iOS, обеспечивающих удаленный доступ, управление, эксфильтрацию данных и возможности наблюдения, несмотря на то, что в основном используются базовые методы вторжения.

Один из описанных сценариев предполагает, что I-Soon использует устройство, замаскированное под розетку, для физического проникновения в помещения цели, сбора данных сети Wi-Fi, криптографических материалов и передачи их облачным службам взлома по каналу 5G для получения паролей.

Компания также предоставляет такие продукты, как оборудование для определения местоположения WiFi-терминалов, маршрутизаторы для обхода интернет-ограничений, возможности DDoS-атак как услуги, консультации по инфраструктуре атак, анонимные сетевые покупки, платформы управления атакующими возможностями, инструменты мониторинга социальных сетей, ориентированные на китайский рынок, и другие.

#ParsedReport #CompletenessMedium
01-03-2024

Let's check in: how Fluffy Wolf uses acts of check in attacks

https://bi.zone/expertise/blog/davayte-sverimsya-kak-fluffy-wolf-ispolzuet-akty-sverki-v-atakakh

Report completeness: Medium

Actors/Campaigns:
Fluffy_wolf
Sticky_werewolf

Threats:
Meta_stealer
Warzone_rat
Xmrig_miner
Redline_stealer
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique

Geo:
Russia

TTPs:
Tactics: 10
Technics: 0

IOCs:
Path: 1
File: 2
Registry: 2
Domain: 1
Hash: 2

Soft:
NSIS installer, Telegram

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Fluffy Wolf - это группа киберугроз, известная тем, что использует фишинговые электронные письма в качестве основного метода первоначального доступа. Они используют различные вредоносные инструменты и программное обеспечение для компрометации систем, уделяя особое внимание России и региону СНГ. Группа постоянно совершенствует свою тактику, используя такие инструменты, как Meta Stealer, для сбора конфиденциальной информации и универсальный загрузчик для расширения возможностей атак. Для защиты от таких угроз, как Fluffy Wolf, организациям рекомендуется внедрять решения для фильтрации электронной почты и использовать платформы анализа угроз для упреждающего подхода к защите кибербезопасности.
-----

Fluffy Wolf - это группа киберугроз, которая действует как минимум с 2022 года, используя фишинговые электронные письма в качестве основного метода первоначального доступа. Фишинговые электронные письма содержат защищенные паролем архивы с исполняемыми файлами, замаскированными под отчеты о сверке расчетов. Эти файлы предоставляют ряд инструментов для взломанных систем, включая законное программное обеспечение Remote Utilities, Meta Stealer, WarZone RAT и XMRig miner. Злоумышленникам удалось использовать по меньшей мере 5% сотрудников организации, которые загружают и открывают вредоносные вложения, что подчеркивает сохраняющуюся эффективность фишинга как вектора атаки.

Группа постоянно совершенствует свою тактику, экспериментируя с законным программным обеспечением удаленного доступа и используя коммерческое вредоносное ПО и его взломанные варианты для расширения спектра угроз в России и регионе СНГ. Даже злоумышленники с ограниченными техническими знаниями могут проводить успешные атаки, используя эти инструменты. В ходе недавней кампании Fluffy Wolf рассылал фишинговые электронные письма от имени строительной компании с вложениями, содержащими вредоносные файлы, которые устанавливали удаленные утилиты и запускали Meta Stealer в скомпрометированной системе.

Meta Stealer, клон RedLine stealer, является ключевым инструментом, используемым злоумышленниками для сбора информации из скомпрометированных систем в России и СНГ. Он может собирать различные данные, такие как файлы, учетные данные, cookies, данные из браузеров и крипто-кошельков, а также информацию от VPN-клиентов. Злоумышленники могут получить Meta Stealer через теневые форумы или официальный Telegram-канал с возможностью арендовать программное обеспечение на месяц или приобрести пожизненную лицензию. Stealer позволяет злоумышленникам собирать конфиденциальную информацию без региональных ограничений, что делает его прибыльным инструментом для проведения кибератак.

Fluffy Wolf использует универсальный загрузчик, который может развертывать удаленные утилиты, Meta Stealer и WarZone RAT в одном файле для расширения возможностей атаки. Группа демонстрирует уровень сложности в своих операциях, используя комбинацию инструментов и методов для достижения своих целей. Несмотря на то, что группа не полагалась на самые передовые инструменты, она продемонстрировала эффективность при проведении атак, подчеркнув важность проактивной аналитики угроз для обнаружения и смягчения последствий вредоносных действий на ранних стадиях атаки.

#ParsedReport #CompletenessLow
01-03-2024

Predator Spyware Operators Rebuild Multi-Tier Infrastructure to Target Mobile Devices

https://www.recordedfuture.com/predator-spyware-operators-rebuild-multi-tier-infrastructure-target-mobile-devices

Report completeness: Low

Threats:
Predator_spyware
Lockdown
Chrysaor
Spear-phishing_technique

Geo:
Mongolia, Indonesia, Armenia, Philippines, Kazakhstan, Angola, Oman, Botswana, Egypt

TTPs:

IOCs:
Domain: 81
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Insikt Group из Recorded Future провела исследование инфраструктуры мобильного шпионского ПО Predator, выявив его злоупотребление против гражданского общества и необходимость усиления мер безопасности для снижения рисков, связанных с наемническими шпионскими программами. В тексте также подчеркивается упорство операторов программ-шпионов, несмотря на публичные разоблачения, и подчеркивается важность упреждающих мер безопасности и оценки рисков для устранения текущих угроз, создаваемых такими инструментами.
-----

Insikt Group из Recorded Future провела новое исследование инфраструктуры, связанной с операторами Predator, наемного мобильного шпионского ПО. Эта инфраструктура действует в одиннадцати странах, включая Анголу, Армению, Ботсвану, Египет, Индонезию, Казахстан, Монголию, Оман, Филиппины, Саудовскую Аравию и Тринидад и Тобаго. Примечательно, что это исследование знаменует собой первое обнаружение клиентов Predator в Ботсване и на Филиппинах. Несмотря на то, что Predator продается для целей борьбы с терроризмом и обеспечения правопорядка, он часто используется против гражданского общества, нацеливаясь на отдельных лиц, таких как журналисты, политики и активисты. Исследование не выявило каких-либо конкретных жертв или мишеней в этой недавней деятельности. Использование программ-шпионов, таких как Predator, вызывает серьезные опасения, связанные с неприкосновенностью частной жизни, законностью и физической безопасностью, особенно когда они используются вне контекста серьезных преступлений и борьбы с терроризмом. Руководители и другие высокопоставленные лица подвергаются повышенному риску из-за высоких затрат, связанных с развертыванием таких программ-шпионов.

Европейский союз предпринял шаги по борьбе со злоупотреблением шпионскими программами наемников в своих государствах-членах. Чтобы свести к минимуму риски, связанные с такими программами-шпионами, организациям и частным лицам рекомендуется придерживаться передовых методов обеспечения безопасности, включая регулярные обновления телефонов, перезагрузку устройств, использование режима блокировки, использование систем управления мобильными устройствами и поддержание четкого разделения между личными и корпоративными устройствами. Обучение по вопросам безопасности и пропаганда культуры минимального доступа к данным также считаются важными. Кроме того, в качестве долгосрочного решения рекомендуется внедрение динамичных политик безопасности, основанных на оценке рисков.

Поскольку рынок шпионских программ для наемников продолжает расширяться, риски, связанные с этими инструментами, не ограничиваются гражданским обществом, а распространяются на всех, кто представляет интерес для тех, кто имеет доступ к таким возможностям. Ожидаемые инновации в этой области, как ожидается, приведут к появлению более сложных и незаметных функций шпионских программ. Результаты исследований Insikt Group свидетельствуют об открытии новой многоуровневой инфраструктуры доставки Predator, подтвержденной доказательствами, полученными с помощью анализа предметной области и данных сетевой аналитики. Несмотря на публичные разоблачения о Predator в сентябре 2023 года, операторы шпионского ПО внесли минимальные изменения в свои операции, что свидетельствует о постоянстве их деятельности. Predator, наряду с Pegasus из NSO Group, остается известным поставщиком шпионских программ для наемников, характеризующихся последовательной тактикой, методами и процедурами на протяжении долгого времени.

#ParsedReport #CompletenessLow
03-03-2024

New Wave of SocGholish Infections Impersonates WordPress Plugins

https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html

Report completeness: Low

Threats:
Socgholish_loader
Eight

ChatGPT TTPs:
do not use without manual check
T1195, T1059, T1566, T1547, T1190

IOCs:
Domain: 5
Url: 3
IP: 2

Soft:
WordPress, Ubuntu

Algorithms:
base64, zip

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о вредоносной кампании SocGholish, которая использует тактику обмана, такую как поддельные обновления браузера и поддельные плагины WordPress, для распространения троянов удаленного доступа (RATs) и потенциально приводит к атакам программ-вымогателей. Эта сложная вредоносная кампания нацелена на посетителей веб-сайтов, подчеркивая важность защиты веб-сайтов от подобных угроз и опыт аналитиков безопасности, таких как Бен Мартин, в борьбе с заражениями вредоносными программами.
-----

Вредоносная программа SocGholish, известная как поддельные обновления браузера, представляет собой постоянный тип вредоносного ПО, активного по крайней мере с 2017 года, предназначенного для обмана пользователей, заставляя их загружать троян удаленного доступа (RAT), замаскированный под безобидное обновление браузера, что часто приводит к атакам программ-вымогателей.

Увеличилось количество заражений SocGholish, нацеленных на веб-сайты WordPress через скомпрометированные учетные записи wp-admin, что подчеркивает важность защиты панелей администратора независимо от используемой CMS.

Вредоносная программа была перепрофилирована в поддельные версии законных плагинов WordPress, встраивая вредоносный код в измененные плагины и внедряя вредоносное ПО на общедоступные страницы, к которым обращаются пользователи, не являющиеся администраторами.

Один манипулируемый плагин, Performance Lab, использовал уникальный метод внедрения кода, регистрируя и помещая в очередь пользовательский скрипт, содержащий вредоносную полезную нагрузку, полученную с сервера SocGholish.

Было идентифицировано несколько доменов TDS, связанных с кампанией SocGholish, что указывает на схему использования вредоносной инфраструктуры, направленную на то, чтобы побудить посетителей веб-сайта загружать RATs, что потенциально может привести к атакам программ-вымогателей.

Атаки с использованием программ-вымогателей являются прибыльными для участников угроз, причем некоторые из них работают аналогично обычным предприятиям, что требует от владельцев веб-сайтов принятия надежных мер безопасности для защиты от вредоносных программ и защиты посетителей.

Лица, обращающиеся за помощью в связи с заражениями SocGholish или постоянными проблемами с вредоносными программами, могут связаться с аналитиком по безопасности Беном Мартином, который специализируется на обнаружении вредоносных программ, анализе тенденций и очистке сайта, предлагая круглосуточную поддержку.

#ParsedReport #CompletenessHigh
29-02-2024

#StopRansomware: Phobos Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a

Report completeness: High

Threats:
Phobos
Smokeloader
Elking
Eight
Devos
Backmydata
Cobalt_strike
Bloodhound_tool
Process_hacker_tool
Powertool_tool
Mimikatz_tool
Passview_tool
Elbie
Eking
Mirai
Spear-phishing_technique
Credential_dumping_technique

Victims:
State, local, tribal, and territorial governments, Municipal and county governments, Emergency services, Education, Public healthcare, Critical infrastructure entities

Industry:
Healthcare, Government, Education, Financial

Geo:
Israel, California

TTPs:
Tactics: 4
Technics: 43

IOCs:
File: 10
Command: 3
Domain: 3
Path: 2
Email: 63
IP: 4
Hash: 13

Soft:
windows shell, active directory, WinSCP, Jabber, bcdedit, Windows Firewall, Telegram, remote desktop services

Crypto:
bitcoin

Win API:
VirtualAlloc, VirtualProtect, SeDebugPrivilege

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2023/11/deep-dive-into-phobos-ransomware.txt
https://github.com/cisagov/Decider/
https://github.com/cisagov/cset/releases/tag/v10.3.0.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - совместное консультирование по кибербезопасности, посвященное вариантам программ-вымогателей Phobos, их тактике, влиянию на правительства SLTT, методам работы и рекомендуемым мерам по смягчению последствий для организаций по предотвращению инцидентов с программами-вымогателями и реагированию на них. В рекомендации также подчеркивается важность невыплаты требований о выкупе и оперативного сообщения об инцидентах властям для проведения расследования и оказания помощи.
-----

Совместное консультирование по кибербезопасности (CSA) является частью продолжающейся инициативы #StopRansomware, направленной на предоставление рекомендаций сетевым защитникам относительно различных вариантов программ-вымогателей и исполнителей угроз. Эта конкретная рекомендация посвящена вариантам программ-вымогателей Phobos, которые, как было замечено, воздействуют на правительства штатов, местные органы власти, племена и территории (SLTT) с мая 2019 года. Phobos работает по модели "программа-вымогатель как услуга" (RaaS) и нацелена на такие организации, как муниципальные и окружные органы власти, службы экстренной помощи, образование, здравоохранение и критически важные объекты инфраструктуры, успешно вымогая несколько миллионов долларов США.

Программа-вымогатель Phobos связана с несколькими вариантами, включая Elking, Eight, Devos, Backmydata и Faust, из-за схожих тактик, методов и процедур (TTP), наблюдаемых при их вторжениях. Программа-вымогатель использует инструменты с открытым исходным кодом, такие как Smokeloader, Cobalt Strike и Bloodhound, что делает ее популярным выбором среди участников угроз. Участники Phobos получают первоначальный доступ с помощью таких методов, как фишинговые кампании, инструменты сканирования IP-адресов и получение аутентификации RDP в средах Windows. Оказавшись внутри сети, они используют исследования с открытым исходным кодом для создания профилей жертв и развертывания инструментов удаленного доступа.

Программа-вымогатель использует трехэтапный процесс, включающий внедрение кода в запущенные процессы, запутывание командной и управляющей активности и развертывание дополнительных вредоносных программ разрушительного действия. Участники Phobos манипулируют конфигурациями системного брандмауэра, используют такие инструменты, как Universal Virus Sniffer и Process Hacker, чтобы избежать обнаружения, и поддерживают постоянство в скомпрометированных средах, используя такие методы, как изменение реестра Windows и использование кэшированных учетных данных домена.

Злоумышленники Phobos извлекают данные с помощью таких инструментов, как WinSCP и Mega.io, шифруют пользовательские файлы и вымогают у жертв финансовую выгоду с помощью сообщений электронной почты или даже голосовых вызовов. Они также используют тактику предотвращения попыток восстановления данных жертв, такую как удаление теневых копий томов в средах Windows. CSA содержит рекомендации по мерам смягчения, которые организации могут внедрить для снижения вероятности и воздействия инцидентов с программами-вымогателями Phobos, уделяя особое внимание протоколам сетевой защиты и рекомендациям для организаций SLTT.

В рекомендациях подчеркивается, что не следует требовать выкуп, поскольку это не гарантирует восстановление файлов и может стимулировать дальнейшую преступную деятельность. В рекомендациях организациям рекомендуется незамедлительно сообщать об инцидентах с программами-вымогателями в ФБР и CISA для расследования и оказания помощи. ФБР запрашивает такую информацию, как уведомления о выкупе, переписка с участниками угроз и данные биткоин-кошелька, чтобы помочь в расследованиях, но не ожидает конкретных действий от затронутых организаций. Отчетность об инцидентах помогает правоохранительным органам принимать необходимые меры и предотвращать будущие атаки.

#ParsedReport #CompletenessLow
03-03-2024

NoName057(16) s DDoSia project: 2024 updates and behavioural shifts

https://blog.sekoia.io/noname05716-ddosia-project-2024-updates-and-behavioural-shifts

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)

Threats:
Ddosia_botnet
Phoenix_keylogger

Victims:
Private corporations, Ministries, Public institutions, Government-related entities, Public administrations, Public services, Official websites, Transportation sector entities, Banking sector entities

Industry:
Financial, Transport, Government

Geo:
Germany, Italian, Spain, Finland, Hungarian, France, Italy, Moldova, Asia, Japan, Turkey, Czech, Emirates, Romania, Poland, Russian, Latvia, Serbia, Nigeria, Brazil, Moscow, Bulgaria, Ukraine, Russia, Israel, Slovakia, America, Kazakhstan, Ukrainian, Africa

ChatGPT TTPs:
do not use without manual check
T1072, T1132, T1569.002, T1090, T1483, T1041, T1498, T1027

IOCs:
File: 4
Url: 1
IP: 31
Hash: 540

Soft:
Telegram

Algorithms:
zip

Platforms:
arm, intel, amd64

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DDoSia/20240229\_DDoSia\_IOC.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - деятельность и эволюция пророссийской хактивистской группы NoName057(16) и их проекта DDoSia, включая их сосредоточенность на проведении крупномасштабных DDoS-атак против организаций, поддерживающих Украину, текущие изменения в их программном обеспечении и инфраструктуре, сотрудничество с другими хактивистскими группами и их влияние на целевые страны и секторы.
-----

Появление националистических хактивистских групп, особенно на российской стороне, стало заметным с начала войны в Украине. Среди них пророссийская группа NoName057(16) привлекла внимание благодаря инициированию проекта DDoSia. Эти коллективные усилия направлены на проведение крупномасштабных распределенных атак типа "отказ в обслуживании" (DDoS) против организаций, включая частные корпорации, министерства и государственные учреждения стран, поддерживающих Украину, особенно государств-членов НАТО. По состоянию на 2024 год, проект DDoSia и группа, стоящая за ним, являются хорошо известными именами, с Sekoia.io активным мониторингом их инфраструктуры командования и контроля (C2). Отслеживались действия и изменения группы, включая обновления их программного обеспечения для генерации DDoS-атак и эволюцию их серверов C2 для целевых стран и секторов к 2024 году.

Администраторы Telegram-канала Project DDoSia 11 ноября 2023 года поделились новой версией, расширяющей совместимость с различными процессорными архитектурами и операционными системами. Обновленная версия включает поддержку 32-разрядных процессоров и операционной системы FreeBSD, в дополнение к предыдущей поддержке AMD64, ARM и ARM6465. Общий ZIP-архив содержит специальные папки, адаптированные для пользователей в зависимости от их географического местоположения, с предупреждениями, побуждающими пользователей в России переключиться на зарубежную VPN. Совместное использование подробных инструкций и раздела часто задаваемых вопросов на странице telegra.ph указывает на продолжающуюся эволюцию и распространение программного обеспечения DDoSia.

Анализ деятельности группы выявил изменения в механизмах шифрования передачи данных и частые смены серверов C2. Эволюция серверов C2 с 2023 по февраль 2024 года показала многочисленные изменения, подчеркивающие проблемы, с которыми сталкивается NoName057(16) в поддержании стабильности сервера и вовлеченности пользователей. В 2024 году геолокация хостинговых серверов по всему миру диверсифицировалась, при этом частые изменения IPv4-адресов указывают на активные контрмеры организаций по борьбе с угрозой, исходящей от группы.

Несмотря на нестабильность работы серверов, проект DDoSia продолжал свою деятельность и продолжал брать на себя ответственность за атаки через свои Telegram-каналы. Основное внимание по-прежнему уделялось европейским целям, особенно странам, участвующим в поддержке Украины, при этом Украина была основной целью, а значительные атаки наблюдались в Финляндии и Италии. Анализ затронутых URL-адресов и доменов выявил концентрацию на организациях, связанных с правительством, транспортном секторе и банковской вертикали, что отражает цели и стратегии группы.

Рост числа пользователей проекта DDoSia и подписчиков каналов NoName057(16) продемонстрировал расширение сообщества, вовлеченного по политическим или экономическим мотивам. Соглашения о сотрудничестве с другими коллективами хактивистов также указывают на желание усилить влияние и совместно достигать поставленных целей. Несмотря на изменения инфраструктуры и регулярные обновления программного обеспечения, способность группы ежедневно противостоять атакам очевидна, и ожидается продолжение изменений программного обеспечения и серверов в краткосрочной перспективе, а также адаптивные разработки механизмов шифрования к 2024 году.

#ParsedReport #CompletenessLow
01-03-2024

PikaBot malware on the rise: What organizations need to know

https://www.malwarebytes.com/blog/business/2024/03/pikabot-malware-on-the-rise-what-organizations-need-to-know

Report completeness: Low

Threats:
Pikabot
Qakbot
Blackbasta
Darkgate

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1193, T1063, T1027, T1105, T1071, T1082, T1566, T1573, T1059, T1046, have more...

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Появление новой вредоносной программы PikaBot, используемой бандами вымогателей в качестве преемника QakBot, представляет значительные угрозы из-за ее модульных возможностей и методов уклонения. Группы вымогателей, такие как Black Basta, включают PikaBot в свои атаки, используя его для различных вредоносных действий. Эффективная профилактика включает в себя внедрение мер безопасности и упреждающий поиск угроз для обнаружения и нейтрализации динамических угроз, таких как PikaBot. Готовность организации к борьбе с возникающими угрозами включает понимание функциональности вредоносных программ, внедрение упреждающих мер безопасности и внедрение методов поиска угроз.
-----

PikaBot - это новая модульная троянская программа, используемая группами вымогателей, в частности бандой Black Basta, в качестве преемника трояна QakBot.

PikaBot позволяет злоумышленникам легко обновлять и настраивать его функциональные возможности, что делает его крайне опасным, позволяя выполнять произвольные команды, загружать дополнительную полезную нагрузку и создавать бэкдоры для дальнейших атак.

Вредоносная программа обходит традиционные средства безопасности, используя такие методы, как косвенные системные вызовы и продвинутые методы обфускации.

PikaBot в основном распространяется с помощью кампаний рассылки спама по электронной почте с вредоносными ссылками, ведущими к zip-файлам, содержащим полезную нагрузку вредоносного ПО, а также с использованием общих ресурсов SMB для доставки.

Банды вымогателей используют PikaBot для различных вредоносных действий, таких как кража учетных данных, боковые перемещения, зашифрованная связь с командными серверами и разведка скомпрометированных систем для оптимизации атак вымогателей.

Предотвращение заражения PikaBot требует внедрения фильтров веб-контента, обучения осведомленности о фишинге, развертывания платформ безопасности, которые могут автоматически обнаруживать угрозы и помещать их в карантин, а также упреждающего поиска угроз.

Реальный пример демонстрирует, как поиск угроз, включая анализ индикаторов компрометации (IOCs) и поведенческих паттернов, успешно обнаружил и нейтрализовал атаку QBot на нефтегазовую компанию.

Организации могут бороться с возникающими угрозами, такими как PikaBot, понимая функциональность вредоносного ПО, методы распространения, внедряя упреждающие меры безопасности и применяя методы поиска угроз.

#ParsedReport #CompletenessHigh
01-03-2024

Rise in Deceptive PDF: The Gateway to Malicious Payloads

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads

Report completeness: High

Threats:
Agent_tesla
Process_injection_technique
Procmon_tool

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 5
Url: 3
Path: 7
Command: 3
IP: 1
Registry: 1
Hash: 5

Soft:
Microsoft Defender, Windows Defender, Windows Firewall, NET framework, Opera, Telegram, Task Scheduler

Algorithms:
exhibit

Languages:
javascript, powershell