#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждаются различные образцы вредоносных программ, таких как MrAgent, Guloader, HemiGate и IronWind, с подробным описанием их функциональных возможностей, используемых методов и связей с участниками угроз. Это также подчеркивает важность поставщиков услуг кибербезопасности в выявлении и анализе этих угроз для усиления мер безопасности.
-----

Сбор подписей, предлагаемый поставщиком услуг кибербезопасности, специально разработан для выявления различных угроз безопасности, таких как хакерские инструменты, следы, оставленные хакерами, необычное поведение пользователей, скрытые параметры конфигурации и законное программное обеспечение, которое потенциально может быть использовано в злонамеренных целях. Этот подход особенно эффективен при выявлении тактики, обычно используемой при атаках на цепочки поставок, и выявлении инструментов, которые могут обойти традиционные антивирусные системы и системы обнаружения конечных точек и реагирования (EDR).

Одним из изучаемых образцов является MrAgent, на который первоначально обратила внимание команда MalwareHunterTeam в связи с аналогичным образцом, используемым RansomHouse. Этот образец во время его загрузки в сентябре вызвал общее правило вредоносного по VMware ESX. MrAgent - это двоичный файл, созданный для работы с гипервизорами, основной целью которого является автоматизация и мониторинг развертывания программ-вымогателей в больших средах с многочисленными системами гипервизоров. Двоичный файл устанавливает обратные соединения с определенным набором серверов управления, при этом сведения о сервере должны быть предоставлены в качестве параметра командной строки.

Guloader выделяется как вредоносное ПО на основе шеллкода первой стадии, обычно используемое для загрузки других вариантов вредоносных программ, таких как Agent Tesla и Lokibot, среди прочих. Обнаруженный в 2019 году, Guloader остается активным по сей день. Исследования показывают, что многие из этих образцов представляют собой дампы памяти, извлеченные с помощью API VirusTotal (VT), обнаруживающие присутствие шеллкода GuLoader. Примечательно, что были случаи прямой загрузки шеллкода GuLoader в VT, причем некоторые поставщики систем безопасности быстро обнаруживали это. С другой стороны, HemiGate предстает как бэкдор, связанный с субъектом угрозы, идентифицированным как Earth Estries, о чем в прошлом году появился первый публичный отчет TrendMicro. После этого первоначального разоблачения было отслежено, как четыре отдельных образца HemiGate были загружены в VT в течение последующих месяцев. Самый последний образец, загруженный в начале января 2024 года, по поведению очень напоминает своих предшественников. Демонстрируя характеристики, сходные с имитацией libvlc.dll Библиотеки динамических ссылок (DLL), HemiGate использует методы боковой загрузки DLL, о чем свидетельствуют экспортируемые функции. Все экспортируемые данные, за исключением libvlc_new, остаются пустыми, при этом последний выполняет функции для расшифровки зашифрованной полезной нагрузки (бэкдор HemiGate) с помощью алгоритма шифрования RC4.

IronWind идентифицирован как загрузчик с начальным доступом, впервые опубликованный Proofpoint в ноябре прошлого года. Для получения подробной технической информации заинтересованные стороны могут обратиться к всестороннему анализу, предоставленному Proofpoint. После этого раскрытия был введен постоянный мониторинг для отслеживания случаев загрузки образцов IronWind в VirusTotal.

Кроме того, есть ссылка на правило обнаружения под названием "Потенциальная Libvlc.DLL Боковая загрузка", предназначенное для выявления потенциальных случаев боковой загрузки библиотеки DLL с использованием libvlc.dll, законной библиотеки DLL, обычно связанной с медиаплеером VLC. Специфика правила, автор, ссылки и связанная с ними информация приведены для контекста и дальнейшего изучения.

#ParsedReport #CompletenessMedium
07-03-2024

TODDLERSHARK: ScreenConnect Vulnerability Exploited to Deploy BABYSHARK Variant

https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Babyshark
Screenconnect_tool
Polymorphism_technique
Connectwise_rat
Junk_code_technique
Spear-phishing_technique
Reconshark

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:

IOCs:
File: 3
Command: 14
Registry: 1
Path: 3
Url: 4
Domain: 1

Soft:
windows registry

Algorithms:
exhibit, base64

Languages:
powershell, visual_basic

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в уязвимости в ConnectWise ScreenConnect версий 23.9.7 и более ранних, использовании этой уязвимости субъектами угроз для удаленного выполнения кода, обнаружении новой вредоносной кампании, связанной с APT-группой Kimsuky, использовании полиморфных методов в вредоносном ПО для уклонения от обнаружения и важности о своевременном исправлении уязвимых приложений и внедрении упреждающих мер безопасности для смягчения киберугроз.
-----

ConnectWise ScreenConnect версий 23.9.7 и более ранних уязвим для эксплуатации, что требует немедленного исправления.

Была обнаружена вредоносная кампания, напоминающая BABYSHARK, связанная с APT-группой Kimsuky (KTA082).

Использует CVE-2024-1708 и CVE-2024-1709 для облегчения удаленного выполнения кода после аутентификации.

Поведение вредоносного ПО включает в себя сильно запутанный код, динамическую загрузку URL-адресов с сервера C2, модификации реестра и эксфильтрацию данных.

Вредоносное ПО нацелено на кражу системной информации и создание запланированных задач для потенциальных дальнейших вредоносных загрузок.

Сходство наводит на мысль об эволюционировавшей версии BABYSHARK, использующей полиморфные методы уклонения.

Подчеркивалась важность оперативного исправления уязвимых приложений для снижения рисков.

Особое внимание уделяется упреждающим мерам безопасности, регулярным оценкам безопасности и мониторингу аномалий для борьбы со сложными киберугрозами.

#ParsedReport #CompletenessLow
07-03-2024

JetBrains TeamCity Authentication Bypass vulnerability under Active Exploitation

https://cyble.com/blog/jetbrains-teamcity-authentication-bypass-vulnerability-under-active-exploitation

Report completeness: Low

Actors/Campaigns:
Lazarus
Andariel

Threats:
Supply_chain_technique
Mitm_technique

Geo:
Ireland, Germany

CVEs:
CVE-2024-27198 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.11.4)

CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2024-27199 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1210, T1560, T1199

IOCs:
IP: 11

Soft:
JetBrains TeamCity, TeamCity, JetBrains, TeamCity JetBrains

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение критических уязвимостей обхода аутентификации (CVE-2024-27198 и CVE-2024-27199), влияющих на TeamCity JetBrains, выпуск исправлений для этих уязвимостей, коды эксплойтов, выпущенные Rapid7, активные попытки эксплуатации, обнаруженные Cyble Global Sensor Intelligence (CGSI), потенциальные риски, связанные с уязвимостями, и необходимость принятия организациями немедленных мер по устранению и смягчению этих рисков.
-----

В тексте обсуждается выпуск исправлений для двух уязвимостей обхода аутентификации (CVE-2024-27198 и CVE-2024-27199), влияющих на TeamCity JetBrains. Rapid7 опубликовал предварительные коды эксплойтов для этих уязвимостей, что привело к активным попыткам эксплуатации, обнаруженным Cyble Global Sensor Intelligence (CGSI) 5 марта 2024 года. Уязвимости были классифицированы как критические и высокой степени серьезности, затрагивающие все локальные версии TeamCity до версии 2023.11.4.

CVE-2024-27198 описывается как уязвимость для обхода аутентификации в веб-компоненте TeamCity, позволяющая злоумышленникам, не прошедшим проверку подлинности, получать доступ к конечным точкам с ограниченным доступом путем создания определенных URL-адресов. С другой стороны, CVE-2024-27199 - это уязвимость для обхода аутентификации на веб-сервере TeamCity, позволяющая злоумышленникам достигать аутентифицированных конечных точек из-за проблем с обходом пути.

Сканер Odin Cyble выявил 1780 подключенных к Интернету экземпляров TeamCity, значительное число из которых расположено в Соединенных Штатах, Ирландии и Германии. Попытки активного использования, обнаруженные 5 марта 2024 года, подчеркивают оперативные действия участников угроз по использованию общедоступных подтверждающих концепций и эксплойтов. Это быстрое реагирование ставит перед организациями задачу эффективного внедрения исправлений в обычные сроки, подчеркивая необходимость упреждающих контрмер.

Уязвимости, обнаруженные в TeamCity, представляют серьезную опасность, поскольку CVE-2024-27199 потенциально позволяет проводить атаки типа "отказ в обслуживании" и "человек посередине" на клиентские соединения. CVE-2024-27198, с другой стороны, подвергает уязвимые серверы TeamCity полной компрометации. Учитывая критический характер этих уязвимостей, требуется немедленное исправление для снижения рисков, связанных с эксплуатацией.

#ParsedReport #CompletenessLow
07-03-2024

Delving into Dalvik: A Look Into DEX Files. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/dalvik-look-into-dex-files

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1587.001

IOCs:
Hash: 1
File: 1

Soft:
Android

Algorithms:
zip, sha1, xor, md5

Functions:
onCreate, melodynight, justclinic, bleakperfect

Languages:
java, python

Links:
https://github.com/google/dexmod/
https://github.com/rchiossi/dexterity
https://github.com/skylot/jadx
https://github.com/google/dexmod

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ образца банковского трояна, нацеленного на смартфоны Android от Mandiant, который включает в себя расшифровку запутанных строк в коде приложения, чтобы понять его функциональность. В тексте также обсуждается банковский троян Nexus, структура DEX-файлов в APKS, проблемы при анализе образцов вредоносного по и разработка инструмента dexmod для упрощения задач анализа. Кроме того, в нем подчеркивается эволюционирующий характер угроз и важность использования таких инструментов, как dexmod, для анализа и понимания вредоносного программного обеспечения, нацеленного на устройства Android.
-----

Анализ образца банковского трояна, нацеленного на Android-смартфоны компанией Mandiant, выявил неоднократное использование механизма обфускации строк в коде приложения. Чтобы досконально понять функциональность приложения, необходимо ручное декодирование запутанных строк в каждом встречающемся методе, хотя это и трудоемкий процесс. Чтобы упростить этот анализ, было проведено тематическое исследование, посвященное банковскому троянцу Nexus, образцу вредоносного по, способному красть средства из различных банковских приложений на телефонах Android.

В качестве ориентира был использован фреймворк Nexus, доступный для покупки на подпольных форумах. Цель публикации в блоге - пролить свет на формат исполняемого файла Dalvik, его конструкцию и то, как им можно манипулировать для облегчения анализа. Было проведено углубленное изучение файлов DEX (исполняемых файлов Dalvik), содержащихся в APKs (Android Package Kit). В этих файлах DEX содержится байт-код приложений Android от Dalvik, который после компиляции является производным от байт-кода Java.

Файлы DEX структурированы по отдельным разделам, таким как заголовки, таблицы строк, определения классов, коды методов и другие сегменты данных. Одним из важных аспектов, описанных в исследовании, является раздел определения класса, в частности элемент class_data_off, который указывает на class_data_item, детализирующий атрибуты класса. Сюда входит информация о статических и виртуальных методах, а также о статических полях и полях экземпляра внутри класса.

Существенной проблемой, выявленной в ходе анализа, было отсутствие декодированных строк, необходимых для исправления байт-кода вредоносного образца, в таблице строк файла DEX. Чтобы решить эту проблему, декодированные строки необходимо было добавить в файл после декодирования, чтобы установить требуемый string_data_item и индекс string_id_item, на который может ссылаться код.

В ответ на эту проблему был разработан инструмент под названием dexmod. Dexmod - это вспомогательный инструмент на базе Python, предназначенный для исправления DEX-файлов на основе заданной пользователем логики деобфускации. Наряду с возможностями исправления, инструмент облегчает такие задачи, как поиск метода с использованием шаблонов байт-кода и добавление строк в файлы DEX. Сообщение в блоге также дает представление о внутренней работе dexmod, подчеркивая его полезность для упрощения анализа вредоносных приложений Android.

В то время как тематическое исследование демонстрирует эффективность исправления байт-кода Dalvik в оказании помощи исследователям, оно также признает эволюционирующую природу упаковщиков и методов запутывания. Поддержание универсального решения для исправления для широкого спектра приложений в течение длительного времени остается постоянной проблемой из-за динамической природы угроз. Несмотря на эффективность анализа байт-кода при выявлении шаблонов кодирования, модификация DEX-файлов без риска повреждения является сложной задачей.

Выпуск кода dexmod, связанного с проверкой образцов, призван вдохновить и поддержать других в их исследовании вредоносных приложений для Android. Используя бесплатные инструменты с открытым исходным кодом, такие как dexmod, исследователи могут расширить свои возможности в анализе и понимании потенциально вредоносного программного обеспечения, нацеленного на устройства Android.

#cyberthreattech
Добавили еще 3 новых источника с майнинговыми пулами.
А Я то думал, что мы уже выгребли все что было в Deep Web :)
Итого теперь 263 источника IoC (не считая аккаунты в соцсетях и источники TI-отчетов)

#ParsedReport #CompletenessHigh
07-03-2024

Penetration Tester's Shadow: F.A.C.C.T. Experts investigated unknown Shadow ransomware attacks

https://www.facct.ru/blog/shadow-ransomware

Report completeness: High

Actors/Campaigns:
C0met (motivation: cyber_criminal)

Threats:
Metasploit_tool
Sqlmap_tool
Proxyshellscanner_tool
Dockerregistrygrabber_tool
Mythic_c2
Athena_botnet
Babuk
Lockbit
Crackmapexec_tool
Cobalt_strike
Sliver_c2_tool
Proxylogon_exploit
Proxynotshell_vuln
Proxyshell_vuln
Meterpreter_tool
Facefish
Beacon
Xenarmor_tool
Dynamic_linker_hijacking_technique

Victims:
Russian companies

Industry:
Financial

Geo:
Russian, Russia

CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34423 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- zoom meetings (<5.8.3, <5.8.4)
- zoom meetings for blackberry (<5.8.1)
- zoom meetings for intune (<5.8.4)
- zoom meetings for chrome os (<5.0.1)
- zoom rooms for conference rooms (<5.8.3)
have more...
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-27925 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)


TTPs:
Tactics: 11
Technics: 28

IOCs:
IP: 4
File: 2
Hash: 7
Domain: 3
Url: 2

Soft:
Confluence, OpenSSL, Zimbra, Microsoft Exchange, sudo, Microsoft Exchange server, Outlook, Docker, Active Directory, Redis, have more...

Algorithms:
zip, sha1

Languages:
python

Links:
https://github.com/sqlmapproject/sqlmap
https://github.com/Syzik/DockerRegistryGrabber
https://github.com/cyberheartmi9/Proxyshell-Scanner
https://github.com/its-a-feature/Mythic

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 4, chart: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступная группировка, известная как Shadow, провела серию кибератак, нацеленных на организации в России, используя различные широко доступные инструменты для разведки и эксплуатации. Группа продемонстрировала стратегический подход к таргетингу, сосредоточив внимание на уязвимых организациях в различных отраслях промышленности России, что указывает на эволюционирующую тактику киберпреступности, позволяющую маскироваться под угрозы более низкого уровня, продолжая проводить сложные атаки.
-----

С сентября 2022 по август 2023 года серия кибератак была направлена против более чем ста организаций в России. Злоумышленники были первоначально идентифицированы платформой киберразведки F.A.C.C.T. Threat Intelligence, получившей доступ к серверу, где были обнаружены различные инструменты тестирования на проникновение, такие как SQLMap, Metasploit и ProxyShell-Scanner. Анализ связал эти нападения со значительной организованной преступной группировкой, известной как Shadow, в рамках синдиката ShadowTwelve. Первоначально предполагалось, что они начали свою деятельность в начале 2023 года, но более поздние результаты показали, что их деятельность началась гораздо раньше.

Shadow, также известная как Comet, а позже как DARKSTAR, была идентифицирована как группа двойного назначения, способная к финансово мотивированным атакам с использованием программ-вымогателей и политически мотивированным операциям по краже данных. Группа использовала индивидуальные версии программ-вымогателей LockBit 3.0 и Babuk, нацеленные на системы Windows и Linux соответственно, требуя выкупов, которые достигли максимума в 3,5 миллиона долларов в 2023 году. Выбор жертв был в основном основан на их местоположении в России, а не на конкретных секторах.

Дальнейшие расследования выявили методы работы Теневой группы, включавшие в себя различные общедоступные инструменты для разведки и эксплуатации. Metasploit использовался для выявления уязвимостей в таких сервисах, как Confluence, Cisco ASA, GitLab, Exchange, IIS, OpenSSL и Zimbra. Группа также использовала SQLMap для использования баз данных и выявления уязвимостей SQL-инъекций. ProxyShell-Scanner использовался для таргетинга на серверы Microsoft Exchange, в то время как DockerRegistryGrabber использовался для извлечения данных из образов Docker. Кроме того, на сервере злоумышленников были обнаружены такие инструменты, как Cobalt Strike, Mythic Athena и Sliver, позволяющие осуществлять расширенный удаленный доступ и манипулирование данными.

Сосредоточенность злоумышленников на использовании широко доступных инструментов продемонстрировала их способность справляться с киберугрозами более низкого уровня, помогая уклоняться и сокращая ресурсы, необходимые для планирования сложных атак. Несмотря на использование базовых инструментов, Теневая группа продемонстрировала стратегический целевой подход, сосредоточив внимание на уязвимых организациях в различных отраслях промышленности России. Такая географическая концентрация выявила продуманную стратегию использования слабых мест в конкретном регионе.

Результаты расследования проливают свет на эволюционирующую тактику киберпреступных группировок, таких как Shadow, подчеркивая важность понимания как базовых, так и продвинутых методологий атак. Эффективно используя вездесущие инструменты, продвинутые участники угроз могут скрывать свою деятельность на фоне менее изощренных атак, оптимизируя свои ресурсы для проведения сложных и результативных киберопераций.

#ParsedReport #CompletenessMedium
07-03-2024

The Spreading Wave of Pig-Butchering Scams in India

https://cyble.com/blog/the-spreading-wave-of-pig-butchering-scams-in-india

Report completeness: Medium

Threats:
Pig_butchering
Blackrock

Victims:
Indian investors, Blackrock

Industry:
Financial, Education

Geo:
Indian, Korean, China, India, Taiwan, Chinese, Asian, Korea

ChatGPT TTPs:
do not use without manual check
T1199, T1204, T1566, T1584, T1608, T1583, T1589, T1595

IOCs:
Email: 2
Url: 6
Domain: 4
IP: 1
Hash: 3

Soft:
Telegram, Android, Instagram, WhatsApp

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Cyble раскрыла мошенническую схему под названием "Афера с разделкой свиней", нацеленную на индийских инвесторов с помощью поддельных торговых приложений, распространяемых через Google Play Store и App Store. Мошенники используют скомпрометированные учетные записи разработчиков и фишинговые сайты для обмана жертв, ложно заявляя о партнерстве с уважаемыми компаниями и выдавая себя за индийские брокерские фирмы. Мошенничество распространяется за пределы Индии на такие страны, как Тайвань и Корея, причем доказательства указывают на киберпреступников, базирующихся в Китае, в качестве вдохновителей. Жертв заманивают с помощью заманчивой рекламы в социальных сетях, обещающей высокую доходность на фондовом рынке, что в конечном итоге приводит их к инвестированию в мошеннические криптовалюты и торговые схемы, что приводит к финансовым потерям и эмоциональному расстройству. Мошенничество требует повышенной осведомленности, бдительности и образования, чтобы защитить людей от того, чтобы они не стали жертвами таких финансовых хищников в эпоху цифровых технологий.
-----

Компания по кибербезопасности Cyble выявила рост мошенничества с разделкой свиней, нацеленного на индийских инвесторов с помощью поддельных торговых приложений в Google Play Store и App Store.

Мошенники используют скомпрометированные учетные записи разработчиков для распространения поддельных приложений и фишинговых сайтов, ложно заявляя о партнерстве с авторитетными компаниями, такими как BlackRock и индийские брокерские фирмы.

Афера распространяется на такие страны, как Тайвань и Корея, и доказательства указывают на киберпреступников, базирующихся в Китае, в качестве вдохновителей.

Мошенники рекламируют высокую доходность на фондовом рынке на платформах социальных сетей, таких как Facebook и Instagram, чтобы привлечь жертв.

Жертв заманивают инвестировать в мошеннические криптовалюты и торговые схемы с помощью поддельных рекомендаций по акциям, что приводит к потерям при попытке вывести средства.

Cyble Research and Intelligence Labs (CRIL) сообщили о распространении поддельных торговых приложений, выдающих себя за индийских брокеров, в Google Play Store и App Store.

Афера имеет глобальный охват за пределами Индии, нацелена на частных лиц на Тайване и в Корее и происходит из Китая.

Жертвы этих мошеннических схем испытывают финансовые потери, эмоциональный стресс и подорванное доверие, что подчеркивает необходимость повышения осведомленности и образования для борьбы с подобными мошенничествами.

#ParsedReport #CompletenessLow
07-03-2024

Cisco Talos Blog. You re going to start seeing more tax-related spam, but remember, that doesn t actually mean there s more spam

https://blog.talosintelligence.com/threat-source-newsletter-march-7-2024

Report completeness: Low

Actors/Campaigns:
Mogilevich
Yorotrooper (motivation: cyber_espionage)
Stormous (motivation: financially_motivated)
Ghostsec (motivation: financially_motivated)
Stmx_ghostlocker
Stormousx (motivation: financially_motivated)

Threats:
Supershell
Ghostlocker
Cuba_ransomware
Xmrig_miner
Symmi

Victims:
Epic, Health care systems, Wordpress users

Industry:
Financial, Retail, Government, Healthcare

Geo:
Argentina, Lebanon, Japan, California, Vietnam, Brazil, France, Egypt, Thailand, China, Israel, Poland, Chile, Usa, Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1583, T1190, T1486, T1496, T1133

IOCs:
Hash: 10
File: 5

Soft:
Fortnite, Android, Telegram, WordPress, Internet Explorer

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4