#ParsedReport #CompletenessLow
03-03-2024

New Wave of SocGholish Infections Impersonates WordPress Plugins

https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html

Report completeness: Low

Threats:
Socgholish_loader
Eight

ChatGPT TTPs:
do not use without manual check
T1195, T1059, T1566, T1547, T1190

IOCs:
Domain: 5
Url: 3
IP: 2

Soft:
WordPress, Ubuntu

Algorithms:
base64, zip

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о вредоносной кампании SocGholish, которая использует тактику обмана, такую как поддельные обновления браузера и поддельные плагины WordPress, для распространения троянов удаленного доступа (RATs) и потенциально приводит к атакам программ-вымогателей. Эта сложная вредоносная кампания нацелена на посетителей веб-сайтов, подчеркивая важность защиты веб-сайтов от подобных угроз и опыт аналитиков безопасности, таких как Бен Мартин, в борьбе с заражениями вредоносными программами.
-----

Вредоносная программа SocGholish, известная как поддельные обновления браузера, представляет собой постоянный тип вредоносного ПО, активного по крайней мере с 2017 года, предназначенного для обмана пользователей, заставляя их загружать троян удаленного доступа (RAT), замаскированный под безобидное обновление браузера, что часто приводит к атакам программ-вымогателей.

Увеличилось количество заражений SocGholish, нацеленных на веб-сайты WordPress через скомпрометированные учетные записи wp-admin, что подчеркивает важность защиты панелей администратора независимо от используемой CMS.

Вредоносная программа была перепрофилирована в поддельные версии законных плагинов WordPress, встраивая вредоносный код в измененные плагины и внедряя вредоносное ПО на общедоступные страницы, к которым обращаются пользователи, не являющиеся администраторами.

Один манипулируемый плагин, Performance Lab, использовал уникальный метод внедрения кода, регистрируя и помещая в очередь пользовательский скрипт, содержащий вредоносную полезную нагрузку, полученную с сервера SocGholish.

Было идентифицировано несколько доменов TDS, связанных с кампанией SocGholish, что указывает на схему использования вредоносной инфраструктуры, направленную на то, чтобы побудить посетителей веб-сайта загружать RATs, что потенциально может привести к атакам программ-вымогателей.

Атаки с использованием программ-вымогателей являются прибыльными для участников угроз, причем некоторые из них работают аналогично обычным предприятиям, что требует от владельцев веб-сайтов принятия надежных мер безопасности для защиты от вредоносных программ и защиты посетителей.

Лица, обращающиеся за помощью в связи с заражениями SocGholish или постоянными проблемами с вредоносными программами, могут связаться с аналитиком по безопасности Беном Мартином, который специализируется на обнаружении вредоносных программ, анализе тенденций и очистке сайта, предлагая круглосуточную поддержку.

#ParsedReport #CompletenessHigh
29-02-2024

#StopRansomware: Phobos Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a

Report completeness: High

Threats:
Phobos
Smokeloader
Elking
Eight
Devos
Backmydata
Cobalt_strike
Bloodhound_tool
Process_hacker_tool
Powertool_tool
Mimikatz_tool
Passview_tool
Elbie
Eking
Mirai
Spear-phishing_technique
Credential_dumping_technique

Victims:
State, local, tribal, and territorial governments, Municipal and county governments, Emergency services, Education, Public healthcare, Critical infrastructure entities

Industry:
Healthcare, Government, Education, Financial

Geo:
Israel, California

TTPs:
Tactics: 4
Technics: 43

IOCs:
File: 10
Command: 3
Domain: 3
Path: 2
Email: 63
IP: 4
Hash: 13

Soft:
windows shell, active directory, WinSCP, Jabber, bcdedit, Windows Firewall, Telegram, remote desktop services

Crypto:
bitcoin

Win API:
VirtualAlloc, VirtualProtect, SeDebugPrivilege

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2023/11/deep-dive-into-phobos-ransomware.txt
https://github.com/cisagov/Decider/
https://github.com/cisagov/cset/releases/tag/v10.3.0.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - совместное консультирование по кибербезопасности, посвященное вариантам программ-вымогателей Phobos, их тактике, влиянию на правительства SLTT, методам работы и рекомендуемым мерам по смягчению последствий для организаций по предотвращению инцидентов с программами-вымогателями и реагированию на них. В рекомендации также подчеркивается важность невыплаты требований о выкупе и оперативного сообщения об инцидентах властям для проведения расследования и оказания помощи.
-----

Совместное консультирование по кибербезопасности (CSA) является частью продолжающейся инициативы #StopRansomware, направленной на предоставление рекомендаций сетевым защитникам относительно различных вариантов программ-вымогателей и исполнителей угроз. Эта конкретная рекомендация посвящена вариантам программ-вымогателей Phobos, которые, как было замечено, воздействуют на правительства штатов, местные органы власти, племена и территории (SLTT) с мая 2019 года. Phobos работает по модели "программа-вымогатель как услуга" (RaaS) и нацелена на такие организации, как муниципальные и окружные органы власти, службы экстренной помощи, образование, здравоохранение и критически важные объекты инфраструктуры, успешно вымогая несколько миллионов долларов США.

Программа-вымогатель Phobos связана с несколькими вариантами, включая Elking, Eight, Devos, Backmydata и Faust, из-за схожих тактик, методов и процедур (TTP), наблюдаемых при их вторжениях. Программа-вымогатель использует инструменты с открытым исходным кодом, такие как Smokeloader, Cobalt Strike и Bloodhound, что делает ее популярным выбором среди участников угроз. Участники Phobos получают первоначальный доступ с помощью таких методов, как фишинговые кампании, инструменты сканирования IP-адресов и получение аутентификации RDP в средах Windows. Оказавшись внутри сети, они используют исследования с открытым исходным кодом для создания профилей жертв и развертывания инструментов удаленного доступа.

Программа-вымогатель использует трехэтапный процесс, включающий внедрение кода в запущенные процессы, запутывание командной и управляющей активности и развертывание дополнительных вредоносных программ разрушительного действия. Участники Phobos манипулируют конфигурациями системного брандмауэра, используют такие инструменты, как Universal Virus Sniffer и Process Hacker, чтобы избежать обнаружения, и поддерживают постоянство в скомпрометированных средах, используя такие методы, как изменение реестра Windows и использование кэшированных учетных данных домена.

Злоумышленники Phobos извлекают данные с помощью таких инструментов, как WinSCP и Mega.io, шифруют пользовательские файлы и вымогают у жертв финансовую выгоду с помощью сообщений электронной почты или даже голосовых вызовов. Они также используют тактику предотвращения попыток восстановления данных жертв, такую как удаление теневых копий томов в средах Windows. CSA содержит рекомендации по мерам смягчения, которые организации могут внедрить для снижения вероятности и воздействия инцидентов с программами-вымогателями Phobos, уделяя особое внимание протоколам сетевой защиты и рекомендациям для организаций SLTT.

В рекомендациях подчеркивается, что не следует требовать выкуп, поскольку это не гарантирует восстановление файлов и может стимулировать дальнейшую преступную деятельность. В рекомендациях организациям рекомендуется незамедлительно сообщать об инцидентах с программами-вымогателями в ФБР и CISA для расследования и оказания помощи. ФБР запрашивает такую информацию, как уведомления о выкупе, переписка с участниками угроз и данные биткоин-кошелька, чтобы помочь в расследованиях, но не ожидает конкретных действий от затронутых организаций. Отчетность об инцидентах помогает правоохранительным органам принимать необходимые меры и предотвращать будущие атаки.

#ParsedReport #CompletenessLow
03-03-2024

NoName057(16) s DDoSia project: 2024 updates and behavioural shifts

https://blog.sekoia.io/noname05716-ddosia-project-2024-updates-and-behavioural-shifts

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)

Threats:
Ddosia_botnet
Phoenix_keylogger

Victims:
Private corporations, Ministries, Public institutions, Government-related entities, Public administrations, Public services, Official websites, Transportation sector entities, Banking sector entities

Industry:
Financial, Transport, Government

Geo:
Germany, Italian, Spain, Finland, Hungarian, France, Italy, Moldova, Asia, Japan, Turkey, Czech, Emirates, Romania, Poland, Russian, Latvia, Serbia, Nigeria, Brazil, Moscow, Bulgaria, Ukraine, Russia, Israel, Slovakia, America, Kazakhstan, Ukrainian, Africa

ChatGPT TTPs:
do not use without manual check
T1072, T1132, T1569.002, T1090, T1483, T1041, T1498, T1027

IOCs:
File: 4
Url: 1
IP: 31
Hash: 540

Soft:
Telegram

Algorithms:
zip

Platforms:
arm, intel, amd64

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DDoSia/20240229\_DDoSia\_IOC.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - деятельность и эволюция пророссийской хактивистской группы NoName057(16) и их проекта DDoSia, включая их сосредоточенность на проведении крупномасштабных DDoS-атак против организаций, поддерживающих Украину, текущие изменения в их программном обеспечении и инфраструктуре, сотрудничество с другими хактивистскими группами и их влияние на целевые страны и секторы.
-----

Появление националистических хактивистских групп, особенно на российской стороне, стало заметным с начала войны в Украине. Среди них пророссийская группа NoName057(16) привлекла внимание благодаря инициированию проекта DDoSia. Эти коллективные усилия направлены на проведение крупномасштабных распределенных атак типа "отказ в обслуживании" (DDoS) против организаций, включая частные корпорации, министерства и государственные учреждения стран, поддерживающих Украину, особенно государств-членов НАТО. По состоянию на 2024 год, проект DDoSia и группа, стоящая за ним, являются хорошо известными именами, с Sekoia.io активным мониторингом их инфраструктуры командования и контроля (C2). Отслеживались действия и изменения группы, включая обновления их программного обеспечения для генерации DDoS-атак и эволюцию их серверов C2 для целевых стран и секторов к 2024 году.

Администраторы Telegram-канала Project DDoSia 11 ноября 2023 года поделились новой версией, расширяющей совместимость с различными процессорными архитектурами и операционными системами. Обновленная версия включает поддержку 32-разрядных процессоров и операционной системы FreeBSD, в дополнение к предыдущей поддержке AMD64, ARM и ARM6465. Общий ZIP-архив содержит специальные папки, адаптированные для пользователей в зависимости от их географического местоположения, с предупреждениями, побуждающими пользователей в России переключиться на зарубежную VPN. Совместное использование подробных инструкций и раздела часто задаваемых вопросов на странице telegra.ph указывает на продолжающуюся эволюцию и распространение программного обеспечения DDoSia.

Анализ деятельности группы выявил изменения в механизмах шифрования передачи данных и частые смены серверов C2. Эволюция серверов C2 с 2023 по февраль 2024 года показала многочисленные изменения, подчеркивающие проблемы, с которыми сталкивается NoName057(16) в поддержании стабильности сервера и вовлеченности пользователей. В 2024 году геолокация хостинговых серверов по всему миру диверсифицировалась, при этом частые изменения IPv4-адресов указывают на активные контрмеры организаций по борьбе с угрозой, исходящей от группы.

Несмотря на нестабильность работы серверов, проект DDoSia продолжал свою деятельность и продолжал брать на себя ответственность за атаки через свои Telegram-каналы. Основное внимание по-прежнему уделялось европейским целям, особенно странам, участвующим в поддержке Украины, при этом Украина была основной целью, а значительные атаки наблюдались в Финляндии и Италии. Анализ затронутых URL-адресов и доменов выявил концентрацию на организациях, связанных с правительством, транспортном секторе и банковской вертикали, что отражает цели и стратегии группы.

Рост числа пользователей проекта DDoSia и подписчиков каналов NoName057(16) продемонстрировал расширение сообщества, вовлеченного по политическим или экономическим мотивам. Соглашения о сотрудничестве с другими коллективами хактивистов также указывают на желание усилить влияние и совместно достигать поставленных целей. Несмотря на изменения инфраструктуры и регулярные обновления программного обеспечения, способность группы ежедневно противостоять атакам очевидна, и ожидается продолжение изменений программного обеспечения и серверов в краткосрочной перспективе, а также адаптивные разработки механизмов шифрования к 2024 году.

#ParsedReport #CompletenessLow
01-03-2024

PikaBot malware on the rise: What organizations need to know

https://www.malwarebytes.com/blog/business/2024/03/pikabot-malware-on-the-rise-what-organizations-need-to-know

Report completeness: Low

Threats:
Pikabot
Qakbot
Blackbasta
Darkgate

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1193, T1063, T1027, T1105, T1071, T1082, T1566, T1573, T1059, T1046, have more...

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Появление новой вредоносной программы PikaBot, используемой бандами вымогателей в качестве преемника QakBot, представляет значительные угрозы из-за ее модульных возможностей и методов уклонения. Группы вымогателей, такие как Black Basta, включают PikaBot в свои атаки, используя его для различных вредоносных действий. Эффективная профилактика включает в себя внедрение мер безопасности и упреждающий поиск угроз для обнаружения и нейтрализации динамических угроз, таких как PikaBot. Готовность организации к борьбе с возникающими угрозами включает понимание функциональности вредоносных программ, внедрение упреждающих мер безопасности и внедрение методов поиска угроз.
-----

PikaBot - это новая модульная троянская программа, используемая группами вымогателей, в частности бандой Black Basta, в качестве преемника трояна QakBot.

PikaBot позволяет злоумышленникам легко обновлять и настраивать его функциональные возможности, что делает его крайне опасным, позволяя выполнять произвольные команды, загружать дополнительную полезную нагрузку и создавать бэкдоры для дальнейших атак.

Вредоносная программа обходит традиционные средства безопасности, используя такие методы, как косвенные системные вызовы и продвинутые методы обфускации.

PikaBot в основном распространяется с помощью кампаний рассылки спама по электронной почте с вредоносными ссылками, ведущими к zip-файлам, содержащим полезную нагрузку вредоносного ПО, а также с использованием общих ресурсов SMB для доставки.

Банды вымогателей используют PikaBot для различных вредоносных действий, таких как кража учетных данных, боковые перемещения, зашифрованная связь с командными серверами и разведка скомпрометированных систем для оптимизации атак вымогателей.

Предотвращение заражения PikaBot требует внедрения фильтров веб-контента, обучения осведомленности о фишинге, развертывания платформ безопасности, которые могут автоматически обнаруживать угрозы и помещать их в карантин, а также упреждающего поиска угроз.

Реальный пример демонстрирует, как поиск угроз, включая анализ индикаторов компрометации (IOCs) и поведенческих паттернов, успешно обнаружил и нейтрализовал атаку QBot на нефтегазовую компанию.

Организации могут бороться с возникающими угрозами, такими как PikaBot, понимая функциональность вредоносного ПО, методы распространения, внедряя упреждающие меры безопасности и применяя методы поиска угроз.

#ParsedReport #CompletenessHigh
01-03-2024

Rise in Deceptive PDF: The Gateway to Malicious Payloads

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads

Report completeness: High

Threats:
Agent_tesla
Process_injection_technique
Procmon_tool

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 5
Url: 3
Path: 7
Command: 3
IP: 1
Registry: 1
Hash: 5

Soft:
Microsoft Defender, Windows Defender, Windows Firewall, NET framework, Opera, Telegram, Task Scheduler

Algorithms:
exhibit

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем использовании PDF-файлов для распространения сложных вредоносных программ, таких как Agent Tesla, по электронной почте, нацеленных на пользователей с помощью тактики обмана и использующих уязвимости в программном обеспечении PDF, чтобы избежать обнаружения и поставить под угрозу безопасность системы.
-----

Рост распространения известных вредоносных программ через PDF-файлы, отход от традиционных методов.

Вредоносное ПО, скрытое в, казалось бы, безобидных электронных письмах с вложениями в PDF-файлы.

Увеличение распространения вредоносных программ с помощью переносчиков, отличных от PE.

Злоумышленники используют доверие к PDF-файлам для доставки вредоносных программ.

Конкретная атака с использованием PDF-файла с именем Booking.com-1728394029.pdf.

При атаке использовались обманчивые тактики, такие как ложные сообщения о совместимости и запутанные ссылки.

Выполнение JavaScript инициирует компрометацию системы путем отключения функций безопасности.

Вредоносная программа, идентифицированная как Agent Tesla, маскирующаяся под законный файл пакета McAfee.

Использование Telegram-ботов для скрытой утечки данных.

Постоянство устанавливается с помощью запланированных задач и записей реестра.

Сложная цепочка атак - от доставки PDF-файла до эксфильтрации и сохранения данных.

#technique

EC2-Instance-Connect Lateral Movement Tactics in Cloud Exploitation

https://www.uptycs.com/blog/ec2-instance-connect-lateral-movement-strategy-and-tactics-for-data-exfiltration

#technique

ComPromptMized: Unleashing Zero-click Worms that Target GenAI-Powered Applications

https://sites.google.com/view/compromptmized

#technique

SecretPixel is a cutting-edge steganography tool designed to securely conceal sensitive information within images. It stands out in the realm of digital steganography by combining advanced encryption, compression, and a seeded Least Significant Bit (LSB) technique to provide a robust solution for embedding data undetectably.

https://github.com/x011/SecretPixel

#ParsedReport #CompletenessLow
04-03-2024

TA577 s Unusual Attack Chain Leads to NTLM Data Theft

https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

Report completeness: Low

Actors/Campaigns:
Ta577 (motivation: information_theft, cyber_criminal)

Threats:
Passthehash_technique
Impacket_tool
Qakbot
Blackbasta
Pikabot

ChatGPT TTPs:
do not use without manual check
T1071, T1558.002, T1557, T1021.002, T1560, T1059, T1204.002, T1566.002

Soft:
SMB server, Outlook

Algorithms:
zip

Win Services:
NTLMSSP

Links:
https://github.com/fortra/impacket/blob/985690e9d3d1012e18f1727701b44bbe953cb1c9/examples/smbserver.py#L94-L98
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Proofpoint идентифицировал субъекта киберугроз TA577, участвующего в сложной цепочке атак с целью кражи аутентификационной информации NTLM у организаций по всему миру, демонстрируя способность субъекта угроз быстро применять новую тактику и уклоняться от обнаружения. Этот новый метод атаки включал использование настроенных HTML-файлов в zip-вложениях для захвата хэшей NTLM, что могло обеспечить боковое перемещение и атаки с передачей хэша в скомпрометированных средах. В ходе атаки был задействован сервер SMB, контролируемый TA577, что свидетельствует об использовании злоумышленником передовых методов и наборов инструментов с открытым исходным кодом, таких как Impacket. Инцидент подчеркивает необходимость сохранения бдительности организаций и усиления защиты от развивающихся киберугроз.
-----

Proofpoint идентифицировала участника киберугроз TA577, использующего новую цепочку атак для кражи аутентификационной информации NTLM, что является редкой целью в среде киберугроз.

TA577 провел по меньшей мере две кампании 26 и 27 февраля 2024 года, отправив тысячи сообщений по всему миру с помощью перехвата потоков с заархивированными HTML-вложениями.

Злоумышленник стремился перехватить хэши NTLM, запуская системные подключения к внешнему SMB-серверу через настроенные HTML-файлы.

TA577 использовал Impacket toolkit на серверах SMB, отображая сложные методы с помощью настроек NTLM по умолчанию и наблюдений GUID.

Цепочка атак была разработана для сбора пар Вызов/ответ NTLMv2 для взлома паролей или атак "с передачей хэша".

Эволюция тактики TA577 и быстрая адаптация к новым методам предполагают расширенные возможности и ресурсы.

TA577 связан с Qbot affiliate и, как известно, функционирует как брокер начального доступа (IAB), связанный с программами-вымогателями, такими как Black Basta.

Актер недавно предпочел использовать Pikabot в качестве начальной полезной нагрузки, демонстрируя универсальность тактики.

Организациям рекомендуется блокировать исходящий SMB-трафик, чтобы предотвратить использование URI файловой схемы и сохранять бдительность в отношении развивающихся киберугроз.