#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что атака RA World ransomware, возникшая после отставки Бабука и утечки исходного кода банды, использует многоступенчатые компоненты для нацеливания на организации по всему миру, с акцентом на здравоохранение и финансовый сектор. Тактика группы угроз включает в себя компрометацию контроллеров домена, манипулирование настройками групповой политики, развертывание вредоносных программ по сетям и проведение процедур очистки после запуска программ-вымогателей. Кроме того, операторы отключают возможности восстановления системы и используют утечку исходного кода Babuk для целей идентификации.
-----

Команда Trend Micro по поиску угроз недавно обнаружила атаку программы-вымогателя RA World, которая использует многоступенчатые компоненты для достижения максимального эффекта. Ранее известная как RA Group, RA World успешно взламывала организации по всему миру. В то время как злоумышленник нацелен на широкий круг жертв, значительное число атак было зафиксировано в США, а о дополнительных инцидентах сообщалось в таких странах, как Германия, Индия и Тайвань. Группа уделяет особое внимание здравоохранению и финансовому сектору.

После ухода Бабука на пенсию в 2021 году программа-вымогатель RA World появилась из-за утечки исходного кода банды, что способствовало появлению новых групп угроз на рынке программ-вымогателей. Это развитие в сочетании с распространением программ-вымогателей как услуги (RaaS) снизило технический барьер для участия киберпреступников в вредоносных действиях. Аналитики выявили целенаправленные атаки на организации здравоохранения в Латинской Америке, связанные с RA World, с компонентами, разработанными для обеспечения успеха операции.

Операторы RA World обычно проникают в системы через скомпрометированные контроллеры домена и распространяют компоненты по общему пути SYSVOL для объекта групповой политики компьютера (GPO). Внутренняя телеметрия выявила выполнение Stage1.exe через PowerShell в сетях, что подразумевает потенциальное вмешательство в параметры групповой политики для включения выполнения скрипта PowerShell. Эта манипуляция может способствовать развертыванию вредоносного ПО на нескольких компьютерах в домене.

Stage1.exe инициирует идентификацию контроллера домена, проверяет действительность домена и выполняет итерацию по контроллерам на основе определенных условий. Затем он подтверждает отсутствие Stage2.exe в каталоге локального компьютера и передает необходимые файлы из жестко заданного пути SYSVOL для выполнения Stage2.exe, ответственного за запуск полезной нагрузки программы-вымогателя. Наличие строк, связанных с компаниями-жертвами, как в Stage1.exe, так и в Stage2.exe - еще раз подтверждает целенаправленные атаки на конкретные организации.

В случаях, когда компьютер работает в безопасном режиме, Stage2.exe проверяет отсутствие определенных файлов перед расшифровкой pay.txt и передачей его содержимого в Stage3.exe, полезную нагрузку программы-вымогателя. После выполнения Stage3.exe выполняет процедуры очистки, удаляя следы вредоносного ПО и создавая ключи реестра. Полезная нагрузка программы-вымогателя, использующая просочившийся исходный код Babuk, генерирует определенные файлы и мьютексы для целей идентификации, аналогичные предыдущим версиям, связанным с программой-вымогателем Babuk.

Кроме того, операторы RA World используют SD.bat для попытки удаления папки Trend Micro и используют утилиту WMIC для поиска информации на диске, оставляя файл журнала в системном каталоге. Программа-вымогатель также удаляет параметр "Безопасный режим с подключением к сети" из конфигурации загрузки по умолчанию в Windows, что влияет на возможности восстановления системы.

#ParsedReport #CompletenessMedium
04-03-2024

Itll be back: Attackers still abusing Terminator tool and variants. It ll be back: Attackers still abusing Terminator tool and variants

https://news.sophos.com/en-us/2024/03/04/itll-be-back-attackers-still-abusing-terminator-tool-and-variants

Report completeness: Medium

Threats:
Terminator_tool
Zemana
Aukill_tool
Blackbyte
Byovd_technique
Robinhood
Uac_bypass_technique
Sharpterminator_rat
Xmrig_miner

Victims:
Healthcare organization

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1547.006, T1562.001, T1210, T1055, T1078, T1553.002, T1486, T1027, T1482, T1036.005, have more...

IOCs:
File: 5
Path: 2
Url: 2
IP: 2
Hash: 7

Soft:
Process Explorer, Windows security, Windows Error Reporting

Algorithms:
aes-256, sha256

Languages:
rust, powershell

Platforms:
cross-platform

Links:
https://github.com/ZeroMemoryEx/Terminator
https://github.com/mertdas/SharpTerminator
https://github.com/sophoslabs/IoCs/blob/master/Zemana-driver-IoCs.csv
https://github.com/nbaertsch/Ternimator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение киберугрозы, связанной с использованием уязвимых драйверов Zemana субъектами угроз для получения привилегий на уровне ядра в атаках BYOVD (Принесите свой собственный уязвимый драйвер). Эти атаки используются для отключения EDR-решений, сокрытия вредоносных программ, сброса учетных данных и выполнения вредоносных действий. Поставщики систем безопасности разрабатывают механизмы защиты от этих атак, и рекомендации по защите включают внедрение защиты от несанкционированного доступа, строгую гигиену безопасности, постоянное обновление систем и использование правил поведенческой защиты и адаптивной защиты от атак. Субъекты угроз постоянно используют известные уязвимые компоненты, что вызывает необходимость в непрерывных исследованиях и оценке, чтобы опережать развивающиеся угрозы, такие как атаки BYOVD. Выделено несколько инцидентов, демонстрирующих модели поведения атак, связанные с использованием драйверов Zemana и инструментов BYOVD.
-----

Киберугроза, связанная с EDR-киллером, использующим уязвимые драйверы Zemana для атак BYOVD с целью получения привилегий на уровне ядра.

Атаки BYOVD включают удаление уязвимых драйверов для отключения EDR-решений и выполнения вредоносных действий, таких как сокрытие вредоносных программ и сброс учетных данных.

Инструмент Terminator использует уязвимые драйверы Zemana zam64.sys и zamguard64.sys для завершения процессов AV и EDR.

Поставщики систем безопасности, такие как Sophos, реагируют на это разработкой механизмов защиты от различных вариантов уязвимых драйверов.

Рекомендации по защите от атак BYOVD включают защиту от несанкционированного доступа, строгую гигиену безопасности, системные обновления и правила поведенческой защиты.

Участники угроз продолжают использовать известные уязвимые компоненты, такие как драйверы Zemana, а некоторые изучают пользовательские вредоносные драйверы, подписанные украденными или просочившимися сертификатами.

Инциденты демонстрируют схемы атак с использованием драйверов Zemana и инструментов BYOVD, включая попытки отключить EDR-клиенты, выполнить криптоминеры и подорвать механизмы безопасности.

Продемонстрирована эффективность стратегий проактивной защиты, таких как правила поведенческой защиты от угроз BYOVD.

#ParsedReport #CompletenessLow
05-03-2024

Infostealer disguised as Adobe Reader installation file

https://asec.ahnlab.com/ko/62064

Report completeness: Low

Threats:
Dll_hijacking_technique
Uac_bypass_technique
Trojan/win.agent.c5594460
Infostealer/win.agent.c5594461
Trojan/win.agent.c5594846
Malware/mdp.drop.m254

Geo:
Portuguese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1547.012, T1055, T1036.005, T1071.001, T1012, T1518.001, T1105

IOCs:
Url: 3
File: 6
Path: 3
Hash: 4

Soft:
Windows Defender, chrome, Google Chrome

Algorithms:
md5

Win API:
CreateProcess

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Аналитический центр безопасности AhnLab (ASEC) обнаружил новую угрозу, связанную с вредоносным ПО Infostealer, замаскированным под программу установки Adobe Reader, распространяемую через поддельные PDF-документы, обманом заставляя пользователей невольно загружать и запускать вредоносное программное обеспечение злоумышленника, которое затем выполняет гнусные действия и передает данные на сервер управления.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно выявил новую угрозу, связанную с вредоносным ПО Infostealer, которое распространяется под видом установочного файла Adobe Reader. Метод распространения заключается в том, чтобы заманить пользователей загрузить и запустить вредоносный файл через PDF-документ. Вводящий в заблуждение PDF-документ предлагает пользователям установить Adobe Reader на португальском языке, заставляя их щелкнуть ссылку для скачивания внутри файла. Эта тактика основана на предположении, что пользователям требуется Adobe Reader для просмотра документа, тем самым обманом заставляя их невольно загружать и запускать вредоносное ПО злоумышленника.

При нажатии на указанную область в PDF-документе пользователи перенаправляются по определенному адресу, по которому загружается вредоносное ПО. Весь процесс, от первоначального взаимодействия с PDF-файлом до установки вредоносного программного обеспечения, схематично изображен на диаграмме, описывающей последовательность событий.

Как только вредоносный файл с именем Reader_Install_Setup.exe запускается, он запускает последовательность действий. Первоначально этот файл генерирует два дополнительных вредоносных файла и переходит к выполнению msdt.exe, который является законным системным файлом Windows, с использованием определенной команды.

В отличие от обычных DLL-файлов, вредоносный BluetoothDiagnosticUtil.dll не имеет функции экспорта и содержит исключительно функцию DllMain. Эта функция DllMain отвечает за выполнение файла require.exe, который был создан первоначальным процессом Reader_Install_Setup.exe.

Кроме того, второй вредоносный файл, chrome.exe, замаскирован под исполняемый файл, связанный с законным браузером Google Chrome, и содержит обманчивый значок файла, чтобы усилить его сходство с настоящим браузерным приложением.

Вредоносная программа после успешного выполнения выполняет гнусные действия, включая сбор системной информации и информации, связанной с браузером, из зараженной системы. Впоследствии эти украденные данные передаются на сервер управления (C2), расположенный по адресу hxxps://thinkforce.com.br/. Это подчеркивает важность соблюдения осторожности при обращении с файлами, которые принуждают пользователей к выполнению вредоносного кода, и подчеркивает важность бдительности при запуске файлов, полученных из неофициальных источников.

#ParsedReport #CompletenessLow
05-03-2024

A Ransomware That Doesn t Extort Money WinDestroyer & Its Origin

https://www.cyfirma.com/outofband/a-ransomware-that-doesnt-extort-money-windestroyer-its-origin

Report completeness: Low

Threats:
Windestroyer
Api_hammering_technique
Process_injection_technique

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1485, T1070.004, T1055, T1547.001, T1027, T1562.001, T1046, T1567, T1570, T1543.003, have more...

IOCs:
Email: 1
Hash: 1

Soft:
Windows GDI

Algorithms:
md5

Win API:
BitBlt

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, filemanager: 1, windows: 2, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении разрушительной вредоносной программы WinDestroyer, которая, по-видимому, была разработана в хактивистских целях с геополитической целью, ориентированной на разрушение, а не на финансовую выгоду. Вредоносное ПО представляет значительный риск для организаций, особенно малого и среднего бизнеса, и организациям рекомендуется внедрить базовые средства обнаружения конечных точек и реагирования, а также уделять приоритетное внимание международному сотрудничеству и обмену информацией для защиты от возникающих киберугроз, таких как WinDestroyer.
-----

Исследовательская группа CYFIRMA обнаружила вредоносное ПО под названием WinDestroyer, которое шифрует файлы и делает системы непригодными для использования без требования выкупа, что указывает на нефинансовую мотивацию. Эта сложная угроза использует передовые методы, такие как атаки с перезагрузкой библиотеки DLL, взлом API и возможности бокового перемещения. Разработчик вредоносного ПО, идентифицированный как житель Санкт-Петербурга, Россия, похоже, создал WinDestroyer в хактивистских целях, о чем свидетельствует канал YouTube, восхваляющий российского президента, связанного с вредоносным ПО. Вредоносная программа предназначена для выполнения вызовов API, заражения загрузочной записи тома, внедрения процессов, создания бэкдоров, мониторинга активности пользователей, снятия скриншотов, предотвращения локальной отладки и компрометации исполняемых файлов.

Отсутствие финансовых мотивов у WinDestroyer наводит на мысль о геополитической повестке дня, причем его намерения совпадают с целями хактивистов, сосредоточенными на разрушении, а не на финансовой выгоде. В условиях российско-украинского конфликта вредоносное ПО потенциально может быть использовано в качестве цифрового оружия, создавая значительный риск для организаций, особенно малого и среднего бизнеса, не имеющих надлежащего контроля безопасности. Нарушая работу критически важных систем, отключая каналы связи и компрометируя конфиденциальные данные, WinDestroyer может оказать серьезное воздействие на целевую инфраструктуру.

Чтобы снизить риск, связанный с WinDestroyer и подобными угрозами, организациям рекомендуется внедрить базовые средства обнаружения конечных точек и реагирования. Кроме того, специалистам по анализу киберугроз (CTI) следует уделять приоритетное внимание международному сотрудничеству и обмену информацией для улучшения понимания возникающих киберугроз. Работая сообща и обмениваясь разведданными, сообщество кибербезопасности может лучше подготовиться к таким угрозам, как WinDestroyer, и защититься от них.

#ParsedReport #CompletenessMedium
05-03-2024

Cisco Talos Blog. GhostSec s joint ransomware operation and evolution of their arsenal

https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware

Report completeness: Medium

Actors/Campaigns:
Ghostsec (motivation: financially_motivated, hacktivism, cyber_criminal)
Stormous (motivation: financially_motivated)
Stmx_ghostlocker
Stormousx (motivation: financially_motivated)
Siegedsec
Threatsec
Blackforums

Threats:
Ghostlocker
Ghostpresser_tool
Cuba_ransomware

Industry:
Transport, Financial, Energy

Geo:
Lebanon, Israel, Uzbekistan, Egypt, Poland, China, Africa, Russia, Brazil, Vietnam, Indonesia, Canada, Moscow, Qatar, India, Morocco, Argentina, Thailand

ChatGPT TTPs:
do not use without manual check
T1588.002, T1190, T1485, T1496, T1027, T1071.001, T1566.001, T1583.001, T1119, T1132.001, have more...

IOCs:
IP: 1
Url: 3
File: 3

Soft:
Telegram, WordPress

Algorithms:
aes

Win Services:
bits

Languages:
golang, python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/03/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Cisco Talos наблюдала рост вредоносной активности хакерской группы GhostSec и их сотрудничество с Stormous ransomware group, что привело к разработке новых вариантов программ-вымогателей и инструментов для кибератак. Эти группы осуществляли атаки с двойным вымогательством на предприятия во многих странах, уделяя особое внимание программам "программа-вымогатель как услуга" (RaaS) и нацеливаясь на различные отрасли с помощью изощренной киберпреступной деятельности.
-----

GhostSec активизировала вредоносную активность, представив новый вариант программы-вымогателя под названием GhostLocker 2.0, вариант GhostLocker на языке Golang.

GhostSec и Stormous сотрудничали в проведении атак с двойным вымогательством в нескольких странах с использованием таких программ, как GhostLocker и StormousX.

Эти группы используют программу-вымогатель как услугу под названием STMX_GhostLocker.

В GhostSec есть такие инструменты, как GhostSec Deep Scan для сканирования веб-сайтов и GhostPresser для использования уязвимостей сайта WordPress.

Киберпреступная группировка стремится собирать средства с помощью кибердеятельности, участвуя в одиночных и двойных атаках с вымогательством, DoS-атаках и удалении веб-сайтов.

GhostSec нацелена на промышленные системы Израиля, критически важные объекты инфраструктуры и технологические компании и является частью группы, включающей ThreatSec, Stormous, Blackforums и SiegedSec.

#cyberthreattech

Интеграция Noise Control c OpenCTI уже в процессе :)

Noise Control - это такой прикольный сервис, который может проверить IP, Domain, URL по нашим базам и сказать насколько вероятен false-positive, если он выстрелит.

Его можно использовать для очистки фидов от любых поставщиков :)

#ParsedReport #CompletenessHigh
06-03-2024

The NGC2180 group spies on high-ranking targets using the DFKRAT implant

https://rt-solar.ru/solar-4rays/blog/4124

Report completeness: High

Actors/Campaigns:
Ngc2180 (motivation: cyber_espionage)

Threats:
Dfkrat
Dll_sideloading_technique
Timestomp_technique
Winrm_tool

Victims:
Executive authorities, National center for scientific research, Ottodigital group

Geo:
Greece, Indonesian, Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1547.009, T1055, T1574, T1027, T1071, T1560, T1112, T1036, have more...

IOCs:
Path: 5
File: 12
Hash: 14
Url: 4
Registry: 1
Domain: 3
IP: 2

Soft:
Microsoft Word

Algorithms:
rc4, sha1, sha256, rsa-4096, sha384, md5

Functions:
WriteHost, WriteSDat

Win API:
ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwQueueApcThread, ZwResumeThread, D3D10CreateDevice1, CreateProcessW, NtAllocateVirtualMemory, NtWriteVirtualMemory, GetThreadContext, SetThreadContext, have more...

Platforms:
apple, x86, x64, intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, chats: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО DFKRAT, его функциональных возможностей, механизмов доставки и деятельности группы исполнителей киберугроз, идентифицированной как NGC2180. В тексте подчеркивается изощренность и тактика, применяемые злоумышленниками, эволюция вредоносного ПО, тактика, используемая для избежания обнаружения, а также важность бдительности и обмена разведданными в сообществе кибербезопасности для смягчения угроз, исходящих от этой группы.
-----

В конце 2023 года команда Solar 4RAYS, проводившая оценку компрометации, обнаружила атаку на исполнительный орган с использованием многоступенчатого вредоносного ПО, приведшую к внедрению имплантата, известного как DFKRAT. Это вредоносное ПО, ориентированное на шпионаж, позволяет злоумышленникам извлекать данные из файловых систем жертв. Обширное исследование выявило другие образцы, использовавшиеся той же группой злоумышленников с маркировкой NGC2180 с 2021 по 2023 год против русскоязычных целей. Вредоносная программа DFKRAT облегчает эксфильтрацию файлов, поддержку интерактивной оболочки и потенциальную загрузку дополнительных вредоносных программ с сервера управления C2. Скомпрометированные серверы в Греции и Индонезии использовались в качестве C2 для внедрения. Основная функциональность вредоносного ПО включает в себя использование сторонней загрузки DLL для доставки полезной нагрузки и поддержания постоянства на хосте жертвы.

В развертывании вредоносного ПО использовались законные исполняемые файлы, вредоносные библиотеки, внедряющие шелл-код, и двоичные файлы, содержащие полезную нагрузку. Вредоносное ПО использовало различные методы, такие как сторонняя загрузка библиотеки DLL, использование уникальных законных процессов для сокрытия вредоносных действий и расшифровка шелл-кода с использованием пользовательских алгоритмов и ключей.

Имплантат DFKRAT, идентифицированный в нескольких вариантах в разных образцах, взаимодействует с сервером C2 посредством зашифрованных POST-запросов, использует определенное значение User-Agent и использует оболочку функции ожидания для маскировки сетевых действий. Последняя версия DFKRAT использует стороннюю загрузку DLL с улучшениями, позволяющими избежать обнаружения решениями безопасности.

Исторические примеры 2021-2022 годов, связанные с кластером NGC2180, выявили различные версии имплантата DFKRAT и механизмов доставки. Злоумышленники использовали OLE-объекты, встроенные в документы, для активации исполняемых файлов, доставляя полезную нагрузку с удаленных серверов. Злоумышленники продемонстрировали операционную изощренность, используя скомпрометированную инфраструктуру для C2, обеспечивая ограниченную видимость и затрудняя отслеживание их действий.

Анализ изменений инфраструктуры группы NGC2180 показал изменения в серверах C2 и тактике с течением времени. Злоумышленники скомпрометировали законные хосты для размещения своей инфраструктуры C2, что позволило обойти решения по обеспечению безопасности. Системный подход злоумышленников и нацеливание на высокопоставленные организации предполагают потенциальные политические мотивы. Постоянный и эволюционирующий характер группы NGC2180 подчеркивает важность постоянной бдительности и обмена разведданными в сообществе кибербезопасности.

Показатели компрометации (IOCs), представленные в исследовании, включая хэши вредоносных программ и сведения о сервере C2, могут помочь идентифицировать и смягчить угрозы, связанные с кластером NGC2180. Сообществу рекомендуется использовать эти IOC для расширения возможностей обнаружения угроз и реагирования на них в отношении этой группы участников угроз.

#ParsedReport #CompletenessLow
06-03-2024

New APT Group 'Lotus Bane' Behind Recent Attacks on Vietnam's Financial Entities

https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html

Report completeness: Low

Actors/Campaigns:
Lotus_bane (motivation: financially_motivated, cyber_criminal)
Oceanlotus
Blindeagle
Lazarus
Lightbasin (motivation: financially_motivated)
Unc2891

Threats:
Dll_sideloading_technique
Pipedance
Caketap

Victims:
Financial organizations in apac, europe, latam, north america

Industry:
Financial

Geo:
America, Asia-pacific, Latam, Apac, Vietnam, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1574.002, T1095, T1053.005, T1105, T1555.003, T1053

Soft:
Kitty