#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что BlackCat group, группа киберугроз, которая вновь появилась после взлома, запустила масштабную атаку с использованием программ-вымогателей на Change Healthcare, в результате которой было украдено 6 ТБ данных. Атака нарушила обработку платежей, вынудив клиентов платить из своего кармана и предотвратив заполнение рецептов. Группа использовала сложную тактику, законные инструменты удаленного доступа и уникальные токены, подчеркивая необходимость постоянного совершенствования безопасности для борьбы с развивающимися киберугрозами, такими как BlackCat. Вариант программы-вымогателя использовал передовые методы, позволяющие избежать обнаружения, настраивать атаки и требовать выкуп за зашифрованные файлы, подчеркивая важность непрерывного мониторинга, анализа поведения и подхода к безопасности с нулевым доверием для эффективного обнаружения и реагирования.
-----

В быстро меняющемся киберпространстве Trustwave отметила возрождение группы BlackCat после того, как в декабре 2023 года Министерство юстиции США прекратило ее деятельность. 21 февраля группа предприняла масштабную атаку на Change Healthcare, часть Optum, принадлежащую UnitedHealth Group, где, как они утверждали, было украдено 6 ТБ данных. Эта атака нарушила обработку платежей, вынудив клиентов платить из своего кармана и предотвратив выполнение рецептов. BlackCat использовала законные инструменты удаленного доступа и уникальные токены для развертывания сложного варианта программы-вымогателя, подчеркивая важность постоянного совершенствования безопасности для борьбы с такими угрозами. Группа устанавливает первоначальный доступ, используя широко используемые инструменты удаленного управления, такие как Total Software Deployment и ScreenConnect, маскируя свои действия в рамках обычного административного поведения. После отключения продукта безопасности злоумышленник запустил двоичный файл программы-вымогателя BlackCat update.exe, для выполнения которого требовался шестнадцатеричный токен доступа из 64 символов для обеспечения скрытности. В отличие от предыдущих версий, этот двоичный файл нельзя обойти с помощью случайных токенов. Программа-вымогатель фокусируется на снижении шума, чтобы предотвратить поведение, подобное червеобразному, с командами, направленными на настройку атак в зависимости от жертв и предотвращение распространения по общим дискам. Программа-вымогатель, написанная на Rust, создает проблемы с анализом, поскольку возможности ведения журнала помогают при первоначальной сортировке. Попытки повышения привилегий включают сброс учетных данных для горизонтального перемещения внутри сети, использование хэшей NT для обхода домена. Шифрование файлов распространяется на скрытые разделы, в то время как такие действия, как остановка служб IIS и удаление теневых копий, еще больше нарушают работу. Зашифрованные файлы получают уведомление о выкупе и уникальное расширение, при этом дешифратор доступен, но требует определенного закрытого ключа. Чтобы избежать эвристического обнаружения, программа-вымогатель исключает указанные каталоги из шифрования, демонстрируя продвинутую тактику, которая требует постоянного мониторинга, анализа поведения и подхода к безопасности с нулевым доверием для эффективного обнаружения и реагирования на развивающиеся киберугрозы, такие как BlackCat.

#ParsedReport #CompletenessMedium
06-03-2024

Spinning YARN - A New Linux Malware Campaign Targets Docker, Apache Hadoop, Redis and Confluence

https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence

Report completeness: Medium

Actors/Campaigns:
Spinning_yarn
Teamtnt
Commando_cat

Threats:
Platypus
Xmrig_miner
Netstat_tool
Masscan_tool
Libprocesshider_rootkit
Diamorphine_rootkit
Migo
Libpcap_tool
Zgrab_scanner_tool
Pnscan_tool
Kinsing_miner
Log4shell_vuln

Victims:
Misconfigured servers

Industry:
Government

Geo:
Asian

CVEs:
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059.004, T1133, T1543.003, T1027, T1070.004, T1574.001, T1059.006, T1112, T1046, have more...

IOCs:
IP: 5
Url: 8
Hash: 9

Soft:
Docker, Hadoop, Redis, Confluence, Alpine, firewalld, SELinux, systemd, Ubuntu, UNIX, have more...

Algorithms:
base64

Functions:
check_exist, env_set, main, DeleteImagesByRepo, AddEntryToHost, time_Now, generateRandomOctets, executeDockerCommand, executeYARNCommand, setrlimit, have more...

Win API:
lockfile

Languages:
golang, python

Links:
https://github.com/gianlucaborello/libprocesshider
https://github.com/zmap/zgrab2
https://github.com/m0nad/Diamorphine
https://github.com/cado-security
https://github.com/WangYihang/Platypus

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте описывается продвинутая вредоносная кампания, нацеленная на неправильно сконфигурированные серверы, на которых запущены веб-сервисы, использующие уникальные полезные нагрузки Golang для автоматизации обнаружения и заражения. Злоумышленники используют уязвимости для проведения атак с удаленным выполнением кода, развертывания майнеров криптовалют, установления постоянного доступа и уклонения от обнаружения с помощью различных методов. Кампания демонстрирует обширные знания облачных сред, фокусируясь на использовании таких сервисов, как Docker и Confluence, с использованием современных уязвимостей и изощренной тактики.
-----

Исследователи Cado Security Labs выявили новую кампанию вредоносного ПО, нацеленную на неправильно сконфигурированные серверы, на которых запущены веб-сервисы.

Campaign использует уникальные двоичные файлы Golang для обнаружения и заражения хостов, используя распространенные неправильные настройки и n-дневные уязвимости для RCE-атак.

Злоумышленники внедряют майнеры криптовалют, обратные оболочки и поддерживают постоянный доступ, используя сценарии оболочки и методы Linux-атак.

Атрибуция сложна, но сходство с прошлыми облачными атаками приписывается таким участникам угроз, как TeamTNT, WatchDog и кампания "Поцелуй собаку".

Четыре новые полезные нагрузки Golang использовались для использования хостов Docker, Hadoop YARN, Confluence и Redis.

Связь с инфраструктурой C2 через исполняемый файл vurl; попытки извлечь полезные нагрузки с помощью Python в случае сбоя.

Дополнительные методы включают переименование утилит, разведку пользователей, команды ослабления системы, меры по борьбе с криминалистикой и тактику уклонения.

Цепочка заражения включает XMRig для майнинга, Platypus для reverse shell и использование уязвимых сервисов, таких как Docker, Hadoop YARN, Confluence и Redis.

Кампания демонстрирует глубокое понимание облачных сред и эффективное использование веб-сервисов с акцентом на современные уязвимости.

#ParsedReport #CompletenessMedium
06-03-2024

TA4903: Actor Spoofs U.S. Government, Small Businesses in Phishing, BEC Bids

https://www.proofpoint.com/us/blog/threat-insight/ta4903-actor-spoofs-us-government-small-businesses-phishing-bec-bids

Report completeness: Medium

Actors/Campaigns:
Ta4903 (motivation: financially_motivated, cyber_criminal)

Threats:
Bec_technique
Evilproxy_tool
Credential_harvesting_technique

Industry:
Government, Foodtech, Transport, Financial, Energy, Healthcare

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1133, T1587, T1588.002, T1199, T1078, T1114.002, T1102.002, T1595, have more...

IOCs:
File: 1
Url: 2
Domain: 2
Hash: 3

Algorithms:
sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что TA4903 является финансово мотивированным субъектом угроз, который проводит кампании по фишингу учетных данных и компрометации деловой электронной почты, нацеленные на организации в различных секторах, преимущественно в США, путем подмены государственных структур США и частного бизнеса. Злоумышленник использует массовые кампании по электронной почте с различными приманками, включая URL-адреса, вложения и QR-коды, для кражи корпоративных учетных данных и выполнения других действий. Proofpoint отслеживает действия TA4903, обращая особое внимание на настойчивость участника, тактику регистрации доменов и развивающиеся методы, такие как использование EvilProxy в 2023 году. Организациям рекомендуется проявлять бдительность и обновлять наборы правил обнаружения угроз для мониторинга и смягчения последствий действий субъекта угрозы.
-----

Исполнитель угроз TA4903 мотивирован финансово и проводит кампании по фишингу учетных данных и компрометации деловой электронной почты (BEC), нацеленные на различные организации, с акцентом на такие секторы, как строительство, финансы, здравоохранение, продукты питания и напитки.

TA4903 подделывает правительственные учреждения США и частные предприятия, проводя масштабные кампании по электронной почте, объем которых варьируется от сотен до десятков тысяч сообщений за кампанию.

Proofpoint с высокой степенью уверенности отслеживает действия TA4903, приписывая злоумышленнику кампании, направленные на кражу корпоративных учетных данных и проникновение в почтовые ящики.

С декабря 2021 года было замечено, что TA4903 подменяет федеральные правительственные учреждения США, активизируя свою деятельность в середине 2023-2024 годов с увеличением числа кампаний по фишингу учетных данных и мошенничеству, нацеленных на малый и средний бизнес.

Злоумышленник использует URL-адреса, вложения и темы, подобные кибератакам, чтобы побудить жертв предоставить конфиденциальную информацию, используя такие методы, как приманки для предложений ставок, QR-коды и ссылки на конфиденциальные документы и платежи ACH.

TA4903 использовал средство обхода многофакторной аутентификации EvilProxy в 2023 году, но позже в этом году его использование сократилось и не наблюдалось в 2024 году. Актер постоянно использует в своих кампаниях приманку для электронной почты и PDF-контент, а также инфраструктуру домена, принадлежащую актеру.

Фишинговый набор, используемый TA4903, остается совместимым с минимальными изменениями. Proofpoint предупреждает организации о необходимости постоянного обновления наборов правил обнаружения угроз для расширения возможностей обнаружения в отношении TA4903.

#ParsedReport #CompletenessLow
06-03-2024

Coper / Octo - A Conductor for Mobile Mayhem With Eight Limbs?. Key Findings

https://www.team-cymru.com/post/coper-octo-a-conductor-for-mobile-mayhem-with-eight-limbs

Report completeness: Low

Threats:
Exobot
Exobotcompact
Godfather
Vultur

Industry:
Financial

Geo:
Armenia, Turkmenistan, Turkey, Belarus, Moldova, China, Kyrgyzstan, Spain, Spanish, Tajikistan, Portugal, Uzbekistan, Russia, Ukraine, Netherlands, Colombian, Azerbaijan, Kazakhstan

IOCs:
IP: 2
Url: 10

Soft:
Android, Google Chrome, Gmail

Algorithms:
rc4, aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в эволюции и тактике вредоносного ПО Coper/Octo, производного от семейства Exobot, нацеленного на пользователей Android по всему миру с помощью таких тактик, как подмена законных приложений, с возможностями, включающими кейлоггинг, перехват конфиденциальной информации, удаленный доступ и сложную инфраструктуру командования и контроля. Освещаются развитие вредоносного ПО с течением времени, уникальные функции, тактика распространения, взаимодействие с серверами C2 и его влияние на различные регионы, подчеркивая необходимость постоянного мониторинга и мер по смягчению последствий для борьбы с этой киберугрозой.
-----

Coper, разновидность вредоносного ПО, производного от семейства Exobot, нацелена на пользователей Android, выдавая себя за поддельные версии законных приложений, таких как Bancolombia "Personas"..

Coper/Octo, идентифицированный в 2022 году, представляет собой вредоносное ПО как услугу, разработанное компанией Exobot для обслуживания глобальных кампаний, с возможностями, включающими кейлоггинг, перехват сообщений, управление экраном, удаленный доступ VNC и сложную инфраструктуру командования и контроля.

Вредоносная программа распространяется с помощью тактики подмены, в частности, нацелена на банковские приложения и нацелена на конкретные страны, такие как Португалия, Испания, Турция и Соединенные Штаты, избегая определенных регионов в соответствии с интересами операторов.

Coper/Octo взаимодействует со своим сервером C2 посредством зашифрованных сообщений, позволяя вносить изменения в конфигурации и взаимодействовать с функциями вредоносного ПО, такими как кейлоггинг, инъекции, возможности VNC и SMS.

Основные функции вредоносного ПО включают кейлоггинг, кражу данных с помощью инъекций, VNC для удаленного мониторинга и перехват SMS.

Отслеживание констант в коде вредоносного ПО, таких как сертификаты X.509, помогает отслеживать соответствующую инфраструктуру и понимать текущие кампании и их влияние на такие страны, как Турция, Португалия, Испания и Соединенные Штаты.

#ParsedReport #CompletenessLow
06-03-2024

From Web3 Drainer to Distributed WordPress Brute Force Attack

https://blog.sucuri.net/2024/03/from-web3-drainer-to-distributed-wordpress-brute-force-attack.html

Report completeness: Low

Threats:
Angel_drainer

Victims:
Wordpress sites

ChatGPT TTPs:
do not use without manual check
T1190, T1110, T1071, T1059, T1557, T1566

IOCs:
Domain: 3
File: 4
IP: 7
Coin: 2
Url: 2

Soft:
WordPress

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в новом типе взлома веб-сайтов с участием похитителей крипто-кошельков Web3, который превратился в запуск распределенных атак методом перебора на веб-сайты WordPress через скомпрометированные сайты и браузеры ничего не подозревающих посетителей. Злоумышленники используют модифицированный сценарий для выполнения нескольких этапов атак структурированным и автоматизированным образом, чтобы использовать уязвимости и получить несанкционированный доступ к целевым сайтам.
-----

В тексте обсуждается новый тип взлома веб-сайта с участием похитителей крипто-кошельков Web3, которые внедряют злоумышленников с помощью внешнего скрипта cachingjs/turboturbo.js. Этот вариант был обнаружен на более чем 1200 сайтах с февраля 2024 года. Кампания вредоносного ПО эволюционировала с двумя новыми итерациями, ведущими к распределенным атакам методом перебора на веб-сайты WordPress, используя браузеры невинных посетителей сайта. Тот settings.js файл был изменен, изменив рабочий адрес с 0xc5cE06FC4E2A26514afe69e25a6B36ab51F9FE42 на 0xFe8a95604CB87A9C6C5b1Ec681Bcfb4aE77F0c31.

Удивительно, но новый скрипт не загружает crypto drainer и не имеет никакого отношения к Web3 или криптовалютам. Короткий и не запутанный фрагмент кода позволяет легко понять назначение скрипта. Злоумышленники используют скрипт для запуска атак в режиме управления задачами. Атака включает в себя пять ключевых этапов: получение URL-адресов сайтов WordPress, извлечение имен пользователей авторов, внедрение вредоносных скриптов, атаки с использованием учетных данных методом перебора и проверка скомпрометированных учетных данных.

Злоумышленники сначала получают URL-адреса сайтов WordPress либо путем обхода Интернета, либо с помощью поисковых систем. Затем они извлекают настоящие имена пользователей авторов с целевых сайтов, внедряют свой dynamic-linx.com/chx.js скрипт на скомпрометированные веб-сайты и инициируют атаки методом перебора, когда посетители сайта загружают зараженные страницы. Атака распространяется на тысячи целевых сайтов без непосредственного участия злоумышленников, позволяя им проверять скомпрометированные учетные данные и получать несанкционированный доступ к целевым сайтам.

В тексте также отмечается, что IP-адрес 87.121.87.178, связанный с доменом billionair.app, на котором размещен Angel Drainer, используется для автоматизации проверки результатов атак методом перебора с помощью скриптов Python. Эта информация свидетельствует о скоординированном и автоматизированном подходе злоумышленников к использованию уязвимых веб-сайтов и получению несанкционированного доступа.

Подводя итог, можно сказать, что развивающаяся вредоносная кампания с участием похитителей кошельков Web3 перешла к запуску распределенных атак методом перебора на веб-сайты WordPress через скомпрометированные сайты и браузеры ничего не подозревающих посетителей. С помощью модификаций вредоносного скрипта и структурированного подхода, включающего несколько этапов, злоумышленники стремятся использовать уязвимости и получить несанкционированный доступ к широкому спектру целевых сайтов.

#ParsedReport #CompletenessMedium
06-03-2024

Data Exfiltration: Increasing Number of Tools Leveraged by Ransomware Attackers

https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomware-data-exfiltration

Report completeness: Medium

Threats:
Anydesk_tool
Screenconnect_tool
Atera_tool
Lolbin_technique
Cobalt_strike
Blackcat
Tightvnc_tool
Pandora
Ehorus_tool
Credential_dumping_technique
Chisel_tool
Ragnar_locker
Mimikatz_tool
Lazagne_tool

ChatGPT TTPs:
do not use without manual check
T1020, T1486, T1071, T1567, T1059, T1560, T1219, T1190, T1552, T1021, have more...

IOCs:
Registry: 1
Command: 2
File: 2
Url: 6
Hash: 100

Soft:
WinSCP, Local Security Authority, SoftPerfect Network Scanner

Algorithms:
zip

Languages:
powershell

Links:
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники-вымогатели все чаще используют в своих атаках инструменты для извлечения данных, такие как Rclone, для кражи и угрозы разглашения данных, если выкуп не будет выплачен. Эти злоумышленники также используют легальное программное обеспечение, такое как Cobalt Strike, Restic и PowerShell, для вредоносных целей, таких как эксфильтрация данных и удаленный доступ. Этот переход к использованию легального программного обеспечения рассматривается как тактика, позволяющая избежать обнаружения в сетях жертв.
-----

Злоумышленники-вымогатели все чаще используют инструменты для извлечения данных в атаках, что приводит к тактике двойного вымогательства, когда они шифруют файлы и крадут данные, чтобы потребовать выкуп.

Rclone является широко используемым инструментом для эксфильтрации данных, в то время как другие легальные программы, такие как AnyDesk, ScreenConnect и Atera, также используются.

Атаки используют такие инструменты, как Cobalt Strike, Restic, Chisel и PowerShell, для различных вредоносных целей, включая скрытую связь, эксфильтрацию данных и удаленный доступ.

Злоумышленники перепрофилируют такие инструменты, как Rclone, для извлечения данных из скомпрометированных сетей, часто маскируя их под законные процессы, чтобы избежать обнаружения.

Эксфильтрация данных является решающим шагом в атаках программ-вымогателей, когда украденные данные используются для вымогательства у организаций, что приводит к созданию сайтов утечки данных в даркнете для жертв, не соблюдающих требования.

Многие злоумышленники в настоящее время используют для своей деятельности легальное программное обеспечение, полагая, что оно вызывает меньше предупреждений в сетях жертв по сравнению с традиционными вредоносными программами.

#ParsedReport #CompletenessMedium
06-03-2024

WikiLoader Delivery Spikes in February 2024

https://blog.eclecticiq.com/wikiloader-delivery-spikes-in-february-2024

Report completeness: Medium

Actors/Campaigns:
Ta544 (motivation: financially_motivated)
Shathak (motivation: financially_motivated)

Threats:
Wikiloader
Gozi
Lolbin_technique
Spear-phishing_technique

Industry:
Financial

Geo:
Japan, Russia, Ukraine

TTPs:

IOCs:
File: 1

Soft:
OneNote, Microsoft Office, ChatGPT

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем распространении WikiLeader в феврале 2024 года как серьезной киберугрозы, от которой организациям и частным лицам необходимо защищаться путем усиления своих мер кибербезопасности. WikiLoader - это загрузчик, связанный с банковским трояном Ursnif и используемый финансово мотивированными группами исполнителей киберугроз для вредоносных действий. В тексте также освещается модель вредоносного ПО "Вредоносное ПО как услуга", цепочка заражения через фишинговые электронные письма, методы уклонения, распространенные механизмы доставки, а также предлагаются рекомендации по эффективному смягчению последствий и обнаружению атак WikiLeader.
-----

Увеличение распространения WikiLeader наблюдалось в феврале 2024 года.

WikiLoader служит загрузчиком, размещающим вредоносные полезные файлы, связанные с банковским трояном Ursnif.

Связан с группами исполнителей киберугроз TA544 и TA551, нацеленными на корпорации в Европе и Японии.

Описывается как вредоносное ПО как услуга (MaaS), доступное в аренду киберпреступникам.

Цепочка заражения начинается с фишинговых писем, содержащих PDF-вложение, запускающее загрузку сжатого файла JavaScript.

WikiLoader использует запутывание и косвенные системные вызовы для уклонения.

Конечная полезная нагрузка может отличаться, часто это банковское вредоносное ПО, такое как Ursnif.

Механизмы доставки включают документы с поддержкой макросов, PDF-файлы с полезной нагрузкой на JavaScript и вложения OneNote с вредоносными исполняемыми файлами.

Стратегии смягчения последствий включают использование подозрительного правила дочернего процесса Microsoft Office, мониторинг wscript.exe, внедрение общесистемного 2FA и запрет хранения учетных данных браузера.

Дополнительные меры, такие как отключение макросов, предотвращение выполнения внешних файлов в документах OneNote и настройка файлов JavaScript для открытия в текстовом редакторе, усиливают защиту.

#ParsedReport #CompletenessHigh
06-03-2024

Unveiling Earth Kapre aka RedCurls Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence. Unveiling Earth Kapre aka RedCurl s Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence

https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html

Report completeness: High

Actors/Campaigns:
Red_wolf (motivation: cyber_espionage, information_theft)

Threats:
Crudler
Impacket_tool
Smbexec_tool
Netstat_tool

Geo:
Germany, Canada, Slovenia, Russia, Ukraine, Australia

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1059, T1053, T1071, T1105, T1027, T1041, T1036, T1583, have more...

IOCs:
File: 12
Path: 27
Url: 13
IP: 2
Command: 16
Registry: 4
Domain: 1
Hash: 13

Soft:
curl, Windows service

Algorithms:
aes, exhibit, sha256, 7zip

Win API:
InternetOpenA, InternetConnectA, BcryptDecrypt

Languages:
python, powershell