#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление и эволюция вируса-вымогателя Meow, производного от просочившегося вируса-вымогателя Conti. В нем подробно описываются действия, цели, методы шифрования и эволюция группы Meow, подчеркивается переход к продаже данных вместо атак на основе шифрования. Приводятся рекомендации по защите данных и стратегиям смягчения последствий, а также такие инструменты, как SOCRadar. Подчеркивается важность упреждающих мер безопасности для борьбы с развивающимися киберугрозами, такими как те, которые исходят от таких групп, как Meow.
-----

В тексте обсуждается появление и эволюция штамма программы-вымогателя Meow, полученного из просочившегося штамма программы-вымогателя Conti. В конце 2022 года были обнаружены четыре штамма программы-вымогателя, связанных с Conti, и одним из них является программа-вымогатель Meow. Операции программ-вымогателей Meow наблюдались с конца августа по февраль 2023 года, а в марте 2023 года был выпущен бесплатный дешифратор, что привело к прекращению их деятельности. По оценкам Касперского, программа-вымогатель Meow зашифровала данные 257 жертв, 14 из которых заплатили выкуп. Закрытые ключи для расшифровки были сгенерированы в период с ноября 2022 по февраль 2023 года.

Группа Meow продолжила свою деятельность в 2024 году, на данный момент жертвами стали девять человек. Группа, хотя и не подтверждено, что она работает по модели RaaS, нацелилась на различные учреждения, что предполагает сосредоточение внимания на вымогательстве. Недавние жертвы сообщали об извлечении данных без шифрования. Веб-сайт группы под названием Meow Leaks указывает на изменения в их деятельности.

Ранее группа действовала под разными названиями, такими как MeowCorp и MeowLeaks, шифровала данные с использованием алгоритма ChaCha20 и требовала выплаты выкупа по электронной почте или Telegram. В записке с требованием выкупа содержалась фраза МЯУ! МЯУ! МЯУ! и учетные данные для входа в meowcorp2022. Они нацеливались на жертв в разных странах, в первую очередь в США, причем частыми целями были такие отрасли, как здравоохранение и медицинские исследования.

Программа-вымогатель распространялась несколькими способами, включая спам по электронной почте, настройки RDP и вредоносные загрузки. Зашифрованные файлы имели расширение .MEOW. Недавние жертвы, такие как Медицинский центр Университета Вандербильта, сталкивались с кибератаками, но публично не раскрывали подробности. Группа перешла к продаже данных, а не к атакам на основе шифрования, что требует сосредоточения внимания на стратегиях защиты данных и смягчения последствий.

Рекомендации включают в себя надежные политики классификации данных, шифрование конфиденциальных данных, обучение сотрудников угрозам кибербезопасности и стратегию резервного копирования и восстановления. SOCRadar предлагается в качестве инструмента для обнаружения и устранения утечек данных, обеспечивающего соблюдение нормативных требований и всестороннюю аналитику угроз.

Наконец, приведены TTP для анализа штамма программ-вымогателей Meow и потенциальных индикаторов компрометации (IOCs) для группы. В тексте подчеркивается важность сохранения активности в адаптации мер безопасности для борьбы с развивающимися киберугрозами, особенно со стороны таких групп, как Meow.

#ParsedReport #CompletenessLow
12-03-2024

CryptoWire ransomware with decryption key

https://asec.ahnlab.com/ko/62868

Report completeness: Low

Threats:
Cryptowire
Shadow_copies_delete_technique
Kryptik
Ransomware/win.bcdedit.c5590639
Malware/mdp.ransom.m1171

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1112, T1485, T1027, T1071

IOCs:
File: 1
Hash: 2
Url: 1

Soft:
task scheduler, bcdedit

Algorithms:
md5

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель CryptoWire - это вредоносная угроза, которая распространяется через фишинговые электронные письма, использует сценарий автоматической загрузки, реплицируется в системе, препятствует восстановлению путем удаления определенных файлов и уникальна благодаря включению в ее структуру ключа дешифрования. Эта функция ключа расшифровки отличает CryptoWire от других разновидностей программ-вымогателей, подчеркивая необходимость соблюдать осторожность при работе с файлами из неизвестных или ненадежных источников, чтобы избежать атак программ-вымогателей.
-----

Программа-вымогатель CryptoWire - это особенно коварная угроза, которая в основном распространяется через фишинговые электронные письма и примечательна тем, что создается с использованием сценария Autoit. После активации эта программа-вымогатель предназначена для репликации себя в каталог C\Program Files\Common Files и установки планировщика задач для обеспечения постоянства в зараженной системе. В рамках своей вредоносной деятельности CryptoWire также предпринимает шаги, препятствующие восстановлению, удаляя корзину и теневую копию тома.

Что отличает CryptoWire от других разновидностей программ-вымогателей, так это включение ключа дешифрования в его структуру. Эта функция не является распространенной в большинстве вариантов программ-вымогателей, что делает ее несколько уникальной. Ключ дешифрования может быть либо встроен непосредственно в сценарий Autoit (показано на рисунке 8), либо передан вместе с данными зараженной системы на сервер управления (C2) злоумышленника (показано на рисунке 9). Такая редкость наличия подтверждаемого ключа дешифрования подчеркивает важность соблюдения крайней осторожности при работе с файлами из неизвестных или ненадежных источников, чтобы не стать жертвой атак программ-вымогателей.

#cyberthreattech

К чему это я? Скоро расскажем.

#ParsedReport #CompletenessMedium
13-03-2024

FakeBat delivered via several active malvertising campaigns

https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns

Report completeness: Medium

Threats:
Fakebat
Parsec_tool
Cloaking_technique

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1071, T1566, T1189, T1583, T1600

IOCs:
IP: 1
Domain: 13
Hash: 5

Soft:
OneNote

Wallets:
braavos_wallet

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе инцидентов, связанных с рекламой, особенно с семейством вредоносных программ FakeBat. Злоумышленники совершенствуют свою тактику, используя средства сокращения URL-адресов, легальные веб-сайты и сложные методы перенаправления, нацеливаясь на более широкий спектр брендов и приложений. Несмотря на усилия по борьбе с этими вредоносными рекламными кампаниями, злоумышленники, стоящие за FakeBat, успешно обманывают пользователей и обходят меры безопасности, подчеркивая необходимость упреждающих стратегий защиты.
-----

В феврале было отмечено значительное увеличение числа инцидентов, связанных с вредоносной рекламой на основе поиска, при этом количество задокументированных случаев почти удвоилось. Хотя наблюдались некоторые знакомые вредоносные программы, были и новые, которые, как оказалось, умело избегали обнаружения. Одним из известных семейств отслеживаемых вредоносных программ является FakeBat, известное использованием установщиков MSI с сильно запутанным кодом PowerShell. Злоумышленники, распространяющие это вредоносное ПО, изначально использовали службы сокращения URL, что делало их атаки несколько предсказуемыми. Однако позже они разнообразили свою тактику, экспериментируя с новыми перенаправителями, в том числе используя легальные веб-сайты для обхода мер безопасности.

Одним из ключевых моментов, представляющих интерес, является разнообразие брендов, на которые нацелены последние кампании по вредоносной рекламе FakeBat. В отличие от предыдущих итераций, которые были сосредоточены на конкретных брендах программного обеспечения, таких как Parsec и Freecad, недавняя волна нацелена на более широкий спектр брендов. В этих кампаниях используются два основных типа рекламных URL-адресов: в одной используются сокращения URL / аналитики для маскировки вредоносных действий, а в другой используются поддомены из доменов .com с истекшим сроком действия или скомпрометированных, чтобы создать видимость доверия. Интересно, что исполнитель угроз, стоящий за FakeBat, недавно использовал скомпрометированные законные веб-сайты в качестве посредника для перенаправления жертв на их вредоносные сайты, используя Google referer для выполнения условных перенаправлений.

Активно ведется множество кампаний по вредоносной рекламе, целями которых являются такие популярные приложения, как OneNote, Epic Games, Ginger и приложение Braavos smart wallet. Многие вредоносные домены, связанные с этими кампаниями, размещены на российском хостинг-провайдере DataLine. Каждый установщик FakeBat обычно содержит стандартизированный набор файлов вместе с определенным сценарием PowerShell. После выполнения этот сценарий подключается к серверу управления атакующего, чтобы каталогизировать жертвы для дальнейшей эксплуатации. ThreatDown EDR обнаруживает выполнение этого сценария PowerShell, генерируя предупреждение о потенциальных угрозах.

Несмотря на усилия по борьбе с вредоносной рекламой, FakeBat остается постоянной угрозой для бизнеса, заманивая жертв с помощью обманчивой рекламы для загрузки известного программного обеспечения. Операторам вредоносного ПО удалось обойти меры безопасности Google и обманом заставить пользователей посещать вредоносные сайты. Защита от этих атак требует не только снижения полезной нагрузки вредоносных программ, но и нацеливания на поддерживающую инфраструктуру. Использование законных веб-сайтов и изощренной тактики перенаправления создают проблемы для традиционных механизмов защиты, таких как списки блокировки доменов. Внедрение упреждающих мер, таких как блокировка рекламы в источнике с использованием таких инструментов, как DNS-фильтр ThreatDown, подчеркивается как эффективная стратегия противодействия кампаниям вредоносной рекламы.

#ParsedReport #CompletenessMedium
13-03-2024

What s in your notepad? Infected text editors target Chinese users

https://securelist.com/trojanized-text-editor-apps/112167

Report completeness: Medium

Actors/Campaigns:
Sea_turtle

Threats:
Redline_stealer
Typosquatting_technique
Geacon
Cobalt_strike
Portscan_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1566, T1195, T1204, T1553, T1020, T1570, T1071, T1105, T1036, T1059, have more...

IOCs:
Domain: 6
Hash: 5
Url: 2

Soft:
macOS

Algorithms:
md5

Functions:
GetComputerUUID, SetSleep

Platforms:
apple

Links:
https://github.com/Z3ratu1/geacon\_plus/
https://github.com/jas502n/BeaconTool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе недобросовестной рекламы, используемой киберпреступниками для распространения вредоносного программного обеспечения посредством вводящей в заблуждение рекламы и манипулирования результатами поиска в популярных поисковых системах и платформах, ориентируясь на пользователей, ищущих популярные программы. В тексте обсуждаются конкретные случаи вредоносных рекламных кампаний, распространяющих вредоносное ПО, такое как RedLine stealer, и модифицированные версии известных текстовых редакторов, подробно описывается, как злоумышленники используют тактику, подобную typosquatting, чтобы обманом заставить пользователей загружать вредоносные приложения, с акцентом на недавнюю угрозу, нацеленную на пользователей китайской поисковой системы, и обнаружение бэкдоров в замаскированных приложениях. как законное программное обеспечение. Упоминаются текущие исследовательские работы по дальнейшему анализу угрозы и выявлению потенциальных дополнительных этапов атаки.
-----

Вредоносная реклама обычно используется киберпреступниками для заманивания жертв на вредоносные сайты путем размещения вводящих в заблуждение рекламных блоков в верхней части результатов поиска.

Была замечена вредоносная рекламная кампания, распространявшая RedLine stealer через рекламу Google, использующая такие тактики, как опечатывание, для имитации официальных веб-сайтов.

Недавно угроза, нацеленная на пользователей популярной китайской поисковой системы, была связана с распространением модифицированных версий известных текстовых редакторов.

Скриншоты из расследования выявили вводящие в заблуждение ссылки, представленные в результатах поиска, относящиеся к популярным текстовым редакторам.

Вредоносный сайт продвигался с помощью рекламного блока, ложно рекламирующего загрузку Notepad++ и содержащего вредоносные ссылки для версий macOS и Linux.

Вредоносная версия macOS содержала исполняемый файл с именем "NotePad", который, как было обнаружено, функционировал как бэкдор, аналогичный Geacon.

Связь с сервером командования и контроля "dns.transferusee.com" осуществлялась по протоколу HTTPS.

Текущие исследовательские усилия направлены на выявление нераскрытых промежуточных стадий угрозы, отмечая существование бэкдора для Linux, аналогичного версии для macOS.

#ParsedReport #CompletenessMedium
12-03-2024

Tweaks Stealer Targets Roblox Users Through YouTube and Discord

https://www.zscaler.com/blogs/security-research/tweaks-stealer-targets-roblox-users-through-youtube-and-discord

Report completeness: Medium

Threats:
Tweaks_stealer

Victims:
Roblox users

Industry:
Financial, Entertainment

TTPs:
Tactics: 1
Technics: 10

IOCs:
File: 2
Hash: 2
Url: 4
Path: 1

Soft:
Roblox, Discord

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о киберкампании с участием инфостилера Tweaks, нацеленного на пользователей Roblox, распространяемого через популярные платформы, такие как YouTube и Discord. Злоумышленники обманом заставляют пользователей загружать вредоносные файлы, замаскированные под пакеты оптимизации FPS, воруя конфиденциальные данные, такие как информация о пользователях и пароли. Вредоносная программа отфильтровывает данные на сервер, контролируемый злоумышленником, через Discord webhooks, причем как бесплатные, так и платные версии содержат идентичную вредоносную нагрузку. Злоумышленники стремятся использовать ценные данные из огромной базы пользователей, используя тактику обмана, чтобы создать у пользователей ложное чувство безопасности и создать более широкий спектр угроз, подчеркивая необходимость осторожности и использования законных приложений для борьбы с киберугрозами.
-----

ThreatLabZ от Zscaler обнаружил новую киберкампанию, распространяющую инфостилер под названием Tweaks, нацеленный на пользователей Roblox, используя YouTube и Discord.

Tweaks маскируется под инструмент оптимизации FPS для кражи конфиденциальных данных, таких как информация о пользователях, пароли, идентификаторы Roblox и внутриигровая валюта.

Хакеры продают различные версии настроек, намекая на возможный мотив монетизации, стоящий за атаками.

Пользователей обманывают, заставляя отключать антивирусное программное обеспечение для загрузки настроек, причем как бесплатные, так и платные версии содержат одинаковую вредоносную нагрузку.

Infostealer отправляет данные на серверы, контролируемые злоумышленниками, через веб-хуки Discord, используя доверие пользователей к поддельным преимуществам безопасности.

Tweaks использует обманные методы, такие как установка веб-подключений, кража профилей Wi-Fi и паролей, а также сбор системной информации с помощью WMI.

Кража данных включает в себя IP-адреса, системные временные метки, идентификаторы Roblox и информацию о валюте, передаваемую неавторизованным лицам.

Tweaks скрывается в папке во временном каталоге, чтобы избежать обнаружения, что усложняет усилия по удалению.

#technique

The Development of a Telco Attack Testing Tool

https://research.nccgroup.com/2024/03/13/the-development-of-a-telco-attack-testing-tool/

#ParsedReport #CompletenessMedium
13-03-2024

Cisco Talos Blog. Threat actors leverage document publishing sites for ongoing credential and session token theft

https://blog.talosintelligence.com/threat-actors-leveraging-document-publishing-sites

Report completeness: Medium

Threats:
Ddp_publishing_technique
Bec_technique
Credential_harvesting_technique
Fastflux_technique

Industry:
Telco, Financial

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1566, T1114, T1556, T1584, T1583, T1071, T1598, T1190, T1020

IOCs:
Domain: 10
Url: 3
File: 1

Soft:
Publuu, Oneflow, FlipSnack, Issuu, FlippingBook, SimpleBooklet, Office 365

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Субъекты угроз используют законные сайты публикации цифровых документов для фишинга, кражи учетных данных и токенов сеанса, используя такие тактики, как отправка фишинговых электронных писем со ссылками на вредоносные документы, размещенные на этих платформах. Это создает проблемы для служб безопасности в плане быстрого обнаружения угроз и реагирования на них из-за временного характера сайтов DDP. Для защиты от этих атак командам безопасности рекомендуется блокировать распространенные сайты DDP, использовать решения EDR, настраивать средства контроля безопасности электронной почты, использовать аналитику угроз и проводить обучение пользователей.
-----

Субъекты угроз используют законные сайты публикации цифровых документов (DDP) для фишинга, кражи учетных данных и токенов сеанса.

Злоумышленники размещают фишинговые приманки на сайтах DDP, чтобы воспользоваться их хорошей репутацией, что затрудняет их блокировку веб-фильтрами.

Замечено, что злоумышленники перемещаются между сайтами DDP для быстрого развертывания и удаления вредоносных документов.

Наиболее часто используемыми сайтами DDP являются Publuu, Marq, FlipSnack, Issuu, FlippingBook, RelayTo и SimpleBooklet.

Сайты DDP предлагают варианты настройки, которые делают фишинговые атаки более убедительными и повышают количество переходов по ссылкам.

Командам безопасности рекомендуется блокировать распространенные сайты DDP, использовать EDR-решения, такие как Cisco Secure Endpoint, и обновлять обучение пользователей для защиты от фишинговых схем, основанных на DDP.

#ParsedReport #CompletenessMedium
13-03-2024

Tool of First Resort: Israel-Hamas War in Cyber

https://blog.google/technology/safety-security/tool-of-first-resort-israel-hamas-war-in-cyber

Report completeness: Medium

Actors/Campaigns:
Apt42

Threats:
Redalert
Ahmyth_rat
Blackatom
Sysjoker
Blackstem
Magnifi
Pasqotdroid
Chillwipe
Coolwipe
Lovelydroid
Moaazdroid
Bibi-wiper
Mythdroid
Solodroid
Powerpug
Redruse
Toxichelp

Industry:
Petroleum, Military, Financial

Geo:
Russia, Ukraine, Israeli, Russian, Lebanon, Palestine, Tehran, Israel, Yemen, Iran, Moscow, Iranian

IOCs:
Hash: 34
Domain: 24
IP: 6
Url: 14

Soft:
Android, outlook, Telegram

Links:
https://github.com/google/threat-team/blob/main/2024/2024-02-14-tool-of-first-resort-israel-hamas-war-cyber/indicators.csv

#ParsedReport #CompletenessMedium
13-03-2024

CVE-2024-21412: DarkGate Operators Exploit Microsoft Windows SmartScreen Bypass in Zero-Day Campaign

https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-sma.html

Report completeness: Medium

Actors/Campaigns:
Water_hydra

Threats:
Darkgate
Amos_stealer
Rhadamanthys
Motw_bypass_technique
Dll_sideloading_technique
Process_injection_technique
Process_hollowing_technique

Geo:
Africa, America, Asia

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 8.1
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...

TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1553.005, T1574, T1059, T1027, T1105, T1055, T1082, T1112, have more...

IOCs:
Domain: 2
File: 12
Hash: 10
Path: 1
Registry: 1

Soft:
macOS, Windows Defender SmartScreen, Microsoft Defender

Algorithms:
md5, sha256, zip, base64, xor

Functions:
GetHandleVerifier

Win API:
decompress, VirtualProtect, EnumWindows, VirtualAlloc, LoadLibraryA, GetProcAddress, GetTickCount, GetSystemInfo

Languages:
autoit, delphi

Platforms:
apple, x86, x64