#ParsedReport #CompletenessLow
15-03-2024

Ransomware Roundup RA World

https://www.fortinet.com/blog/threat-research/ransomware-roundup-ra-world

Report completeness: Low

Actors/Campaigns:
Ra-group

Threats:
Shadow_copies_delete_technique

Victims:
23 victims

Geo:
Netherlands, Czech, Japan, India, Colombia, Poland, Taiwan, Korea, France, Mexico, Italy, Thailand, Germany

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1485, T1020, T1567, T1102, T1071

IOCs:
Hash: 4
File: 26
Command: 1

Soft:
DefWatch, onenote, outlook, thebat, wordpad, Telegram, Internet Explorer, Opera, Mozilla Firefox

Algorithms:
sha2

Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, QBFCService, have more...

Platforms:
intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении варианта программы-вымогателя RA World в качестве значительной угрозы в ландшафте киберугроз, подчеркивающей его тактику, воздействие на жертв, векторы заражения, географическое распространение, характеристики, методы коммуникации с жертвами и необходимость принятия упреждающих мер кибербезопасности для снижения связанных с ним рисков.
-----

В последнем выпуске отчета FortiGuard Labs Roundup о программах-вымогателях основное внимание уделяется RA World ransomware, варианту, который набирает обороты в сфере киберугроз. Это ПО-вымогательски было впервые идентифицировано в декабре 2023 года, когда оно было отправлено в общедоступную службу сканирования файлов. Исполнитель угроз, стоящий за RA World, занимается кражей данных у жертв, прежде чем внедрить свою программу-вымогатель для шифрования файлов. Они также используют сайты TOR и не-TOR для утечки украденных данных и препятствуют восстановлению системы, удаляя теневые копии томов и резервные копии резервных копий.

Конкретный вектор заражения, используемый RA World ransomware group, в настоящее время неизвестен, но считается, что он аналогичен тактике других групп вымогателей. Образцы этой программы-вымогателя были выявлены в различных странах, включая Нидерланды, Францию, Великобританию, Чешскую Республику, Польшу, Колумбию и Японию. На сайтах утечки данных программы-вымогателя указаны 23 жертвы, расположенные в таких странах, как Германия, Великобритания, США, Италия и других.

Проанализированный исходный образец RA World (SHA2: 4866d6994c2f8b4dadfaabc2e2b81bd86c12f68fdf0da13d41d7b0e30bea0801) демонстрирует такие характеристики, как шифрование файлов, удаление теневых копий томов и добавление определенного расширения к зашифрованным файлам. Исполнитель угроз предоставляет жертвам способы связи через Tox и Telegram, последствия несоблюдения которых приводят к публикации украденных файлов в файлообменной службе. Уведомление о выкупе включает жестко запрограммированный список неоплаченных жертв и исключает определенные типы файлов из шифрования. Выборка предполагает, что группа программ-вымогателей начала свою деятельность примерно в ноябре 2023 года, причем даты компиляции указывают на временные рамки активности. Последующие варианты программы-вымогателя RA World, такие как SHA2: 51da3acc6c7089bd0f1df9d9902e183db0d1342552404c3c1b898b168399b0bc и SHA2: 9479a5dc61284ccc3f063ebb38da9f63400d8b25d8bca8d04b1832f02fac24de, были идентифицированы с аналогичным поведением, но незначительными вариациями.

Группа программ-вымогателей использует как сайты TOR, так и сайты, не связанные с TOR, для публикации данных, что добавляет дополнительный уровень сложности усилиям по отслеживанию и смягчению последствий. В целом, программа-вымогатель RA World представляет значительную угрозу для организаций и частных лиц, подчеркивая важность упреждающих мер кибербезопасности и протоколов реагирования на инциденты для защиты от эволюционирующей тактики программ-вымогателей.

#ParsedReport #CompletenessMedium
15-03-2024

BlackCat Ransomware Affiliate TTPs

https://www.huntress.com/blog/blackcat-ransomware-affiliate-ttps

Report completeness: Medium

Threats:
Blackcat
Connectwise_rat
Screenconnect_tool
Shadow_copies_delete_technique

Industry:
Healthcare

TTPs:

IOCs:
Url: 1
Path: 3
File: 3
Command: 1
Registry: 1
Hash: 1
IP: 1

Soft:
curl, Windows Defender, psexec

Win API:
NetBIOS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании и реагировании на инцидент с атакой программы-вымогателя, осуществленной субъектом угрозы, использующим вариант программы-вымогателя ALPHV/BlackCat в качестве сервиса, нацеленного на конечную точку, связанную со здравоохранением, через скомпрометированный экземпляр ScreenConnect. Инцидент подчеркивает угрозу, исходящую от вариантов RaaS, и важность надежной защиты от кибербезопасности.
-----

19 декабря 2023 года ФБР объявило о прекращении использования варианта программы-вымогателя ALPHV/BlackCat, предлагаемого как "программа-вымогатель как услуга" (RaaS). Для оказания помощи пострадавшим организациям был предоставлен инструмент дешифрования. Позже ConnectWise выявила уязвимости в ScreenConnect версии 23.9.8, что привело к появлению рекомендаций по безопасности. 21 февраля Huntress отправила предупреждение от конечной точки, связанной со здравоохранением, с измененными файлами программы-вымогателя Canary и попыткой развертывания программы-вымогателя. Расследование выявило скомпрометированный экземпляр ScreenConnect и нерегулярный перенос конечной точки. Журналы указывали на законную установку ScreenConnect в ноябре 2021 года, в то время как подозрительная установка была прослежена до марта 2022 года. Последний подключился к REDACTED.ddns.net. Злоумышленник получил доступ к конечной точке, используя скомпрометированный экземпляр ScreenConnect, с журналами, показывающими несанкционированную активность до начала 2024 года. Новый пользователь, chlsln14, выполнял команды для облегчения развертывания программ-вымогателей и их перемещения по сети. Программа-вымогатель содержала встроенные команды для отключения мер безопасности и распространения по всей инфраструктуре. Платформа Huntress обнаружила вредоносные действия, но ни на каких других конечных точках не было обнаружено признаков компрометации или шифрования. Злоумышленник успешно запустил исполняемый файл программы-вымогателя после обхода защитника Windows и предпринял боковое распространение в сети, нацеливаясь на конкретные конечные точки, с которыми была знакома инфраструктура. Инцидент высветил сложность и опасность, которые представляют варианты RaaS, а также необходимость принятия надежных мер кибербезопасности для защиты от таких угроз.

#ParsedReport #CompletenessLow
14-03-2024

Cisco Talos Blog. Not everything has to be a massive, global cyber attack

https://blog.talosintelligence.com/threat-source-newsletter-march-14-2024

Report completeness: Low

Actors/Campaigns:
Yorotrooper (motivation: cyber_espionage)

Threats:
Spectre_rat
Predator_spyware
Intellexa
Chrysaor
Supershell
Scar

Victims:
Change healthcare

Industry:
Financial, Government, Media, Healthcare

Geo:
Israel, Greece, China, America, Americans, California, France, Canada

CVEs:
CVE-2024-2193 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.1
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1190, T1566, T1059, T1583, T1588, T1021, T1110, T1195

IOCs:
Hash: 10
File: 4

Soft:
Instagram, TikTok, Internet Explorer

Algorithms:
md5

Platforms:
intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение различных инцидентов и событий в сфере кибербезопасности, включая значительные перебои в обслуживании, новую уязвимость процессора под названием "GhostRace", кибератаку на Change Healthcare, влияющую на сектор здравоохранения, санкции США в отношении консорциума Intellexa, связанного со шпионским ПО Predator, и использование Фреймворк Supershell C2 от таких участников угроз, как YoroTrooper, нацеленный на Содружество независимых стран (СНГ).
-----

В тексте обсуждаются многочисленные инциденты и события в сфере кибербезопасности.

Во-первых, произошли значительные перебои в предоставлении услуг такими компаниями, как AT&T, и крупными платформами социальных сетей, такими как Facebook, Instagram и Threads, что вызвало опасения по поводу скоординированных атак или спонсируемых государством киберкампаний. Федеральная комиссия по связи начала расследование сбоев в работе AT&T, и потребители поспешили высказать предположения и указать пальцем на потенциальных исполнителей угроз, стоящих за этими сбоями.

Кроме того, была обнаружена новая уязвимость под названием "GhostRace", затрагивающая чипы крупных производителей процессоров, таких как Intel, AMD, Arm и IBM. Эта уязвимость, идентифицированная как CVE-2024-2193, потенциально может позволить злоумышленникам красть конфиденциальную информацию из памяти, такую как пароли и ключи шифрования, используя состояние гонки и имея физический или привилегированный доступ к целевому компьютеру. Уязвимость повлияла на различные архитектуры процессоров, поставщиков гипервизоров и операционную систему Linux, требуя от затронутых сторон следовать рекомендациям по защите для снижения рисков.

Более того, сектор здравоохранения столкнулся с проблемами из-за кибератаки на Change Healthcare, дочернюю компанию United HealthGroup Inc., что привело к сбоям в обработке платежей для поставщиков медицинских услуг. Атака, предположительно, с использованием программ-вымогателей, привела, по оценкам, к ежедневным потерям в размере 100 миллионов долларов для провайдеров, которые были не в состоянии осуществлять финансовые транзакции. Некоторые провайдеры столкнулись с задержками в оплате аренды, неоплаченными счетами и ограничениями в обслуживании пациентов, такими как предварительная авторизация и пополнение рецепта. Правительство США объявило о выплатах помощи пострадавшим поставщикам, и были инициированы запросы в Конгресс для дальнейшего расследования инцидента.

Кроме того, США ввели санкции в отношении физических и юридических лиц, связанных с консорциумом Intellexa, который разработал и распространял шпионское ПО Predator. Этот шаг ознаменовал первый случай, когда Министерство финансов публично ввело санкции против организации, занимающейся разработкой шпионского ПО, с целью прекращения деловых взаимодействий с Intellexa и связанными с ней организациями. Шпионские инструменты, такие как Predator, часто используются для нацеливания на лиц с высокой степенью риска, включая политиков, журналистов, активистов и диссидентов, для отслеживания их коммуникаций и передвижений. Администрация Байдена выступила за дальнейшие действия против производителей шпионского ПО, включая хорошо известную группу NSO.

Наконец, в тексте затрагивается фреймворк Supershell C2, подробно описанный в презентации Четана Рагхупрасада, в котором освещаются субъекты угроз, использующие этот фреймворк для создания ботнетов с имплантатами Supershell. За последний год число атак YoroTrooper, ориентированной на шпионаж организации, нацеленной на Содружество независимых стран (СНГ) с 2022 года, увеличилось. Презентация Ашира Малхотры на CARO 2024 будет посвящена кампаниям YoroTrooper, описанию используемых вредоносных программ, вторжениям, нацеленным на сотрудников правительственных учреждений СНГ, и эволюции тактики, используемой злоумышленником.

#ParsedReport #CompletenessLow
15-03-2024

They re watching us: How to detect Pegasus and other spyware on your iOS device?

https://www.group-ib.com/blog/pegasus-spyware

Report completeness: Low

Actors/Campaigns:
Triangulation
Quadream

Threats:
Chrysaor
Spear-phishing_technique
Predator_spyware
Lockdown
Kingspawn
Wyrmspy
Dragonegg

Victims:
Individuals, Apple users, Organizations

Industry:
Government, Healthcare, Financial

Geo:
Israeli

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1588.002, T1407, T1595, T1568.002, T1611, T1608.001, T1590, T1475, T1518.001, have more...

IOCs:
File: 12
Hash: 1

Soft:
WhatsApp, iMessage, iPadOS, Windows Subsystem for Linux, sudo, Android

Languages:
python

Platforms:
apple

Links:
https://github.com/AmnestyTech/investigations
https://github.com/mvt-project/mvt-indicators
https://github.com/blacktop/presentations/blob/main/0x41con\_2023/PDF/AnatomyOfLockdownMode.pdf

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, которую представляют шпионские программы, в частности Pegasus, для безопасности и конфиденциальности пользователей устройств iOS и Android. В нем обсуждается, как работает Pegasus, его возможности, методы проникновения и шаги, которые пользователи могут предпринять, чтобы защитить себя от таких угроз. В нем подчеркивается важность обеспечения бдительности в отношении атак программ-шпионов и подчеркивается необходимость эффективной защиты организациями своих мобильных устройств и приложений.
-----

Pegasus, разработанный NSO Group, представляет собой сложную шпионскую программу, способную удаленно собирать конфиденциальную информацию с устройств iOS и Android.

Он имеет возможность удаленно активировать камеры и микрофоны на целевых устройствах для незаконного наблюдения.

Pegasus использует уязвимости нулевого дня, использует обфускацию кода и шифрование для эффективного проникновения на устройства.

NSO Group предоставляет два метода установки Pegasus: метод с нулевым щелчком мыши и метод с одним щелчком мыши.

Что касается устройств iOS, то уязвимости, подобные недостаткам в приложении iMessage, сделали их восприимчивыми к целенаправленным атакам.

Рекомендации по защите от атак программ-шпионов включают в себя отказ от подозрительных ссылок, регулярную проверку разрешений приложений, включение функций безопасности, таких как режим блокировки, и постоянное обновление операционных систем.

Организации могут использовать инструменты анализа угроз, такие как Group-IB Threat Intelligence, для выявления и устранения киберугроз и уязвимостей.

В случае обнаружения скомпрометированного устройства рекомендуется немедленно обратиться за экспертной поддержкой для анализа устройства и принятия дополнительных мер безопасности.

19 марта в 11:00 (МСК) вместе с коллегами из Кода Безопасности расскажем про IoC-и в NGFW.

В этой теме много интересных и не совсем очевидных нюансов.
Думаю, что этот вебминар может быть полезен всем, кто хотел бы начать использовать фиды не только в SIEM|SOAR|TIP, но и сетевых устройствах.

https://my.mts-link.ru/1664385/1346183402

#ParsedReport #CompletenessLow
17-03-2024

Cybercriminals Evolve Tooling for Remote Access Compromise

https://www.resecurity.com/blog/article/cybercriminals-evolve-tooling-for-remote-access-compromise

Report completeness: Low

Actors/Campaigns:
0ktapus

Threats:
Tmchecker_tool
Paranoidchecker_tool
Lockbit
Blackcat
Connectwise_rat
Screenconnect_tool

Victims:
Government organization

Industry:
E-commerce, Financial, Government, Healthcare

Geo:
Ecuador, Americans

ChatGPT TTPs:
do not use without manual check
T1110, T1595, T1078, T1583, T1584, T1568, T1496

Soft:
Telegram, confluence

Crypto:
bitcoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в Даркнете продается новый инструмент под названием TMChecker, предназначенный для служб удаленного доступа и приложений электронной коммерции. Он более сложен, чем аналогичные инструменты, и используется злоумышленниками для проникновения в корпоративные сети, создавая значительную угрозу, облегчая доступ к RDP, VPN и персональным устройствам. Рост числа атак программ-вымогателей, управляемых человеком, сотрудничество между участниками программ-вымогателей и появление таких групп, как Scattered Spider, подчеркивают серьезность таких инструментов, как TMChecker, в нынешнем ландшафте угроз. Организациям настоятельно рекомендуется усовершенствовать процессы комплексной проверки в киберпространстве и усилить свою защиту от таких инструментов.
-----

Служба безопасности обнаружила в Темной сети новый инструмент под названием TMChecker, предназначенный для атаки на сервисы удаленного доступа и приложения электронной коммерции, продаваемый threat actor "M762" за 200 долларов в месяц.

TMChecker более продвинутый, чем аналогичные инструменты, такие как ParanoidChecker, и нацелен на корпоративные шлюзы удаленного доступа, используемые в качестве основных векторов проникновения программ-вымогателей и атак высокого уровня.

Инструмент поддерживает различные решения для таргетинга на VPN-шлюзы, корпоративные почтовые серверы, базы данных, механизмы электронной коммерции, панели хостинга и использовался для таргетинга на правительственные организации.

Количество атак программ-вымогателей, управляемых людьми, утроилось с сентября 2022 года, и прогнозируется дальнейший рост в 2024 году, поскольку отдельные субъекты сотрудничают с несколькими бандами ради получения прибыли.

TMChecker представляет значительную угрозу, позволяя злоумышленникам нацеливаться на RDP, VPN и персональные устройства, снижая барьеры для доступа к корпоративным сетям и повышая риск разрушительных атак программ-вымогателей.

Появление таких групп, как Scattered Spider, эволюционирующих в филиалы ALPHV, подчеркивает важность таких инструментов, как TMChecker, в ландшафте угроз.

Удобная в использовании модель TMChecker позволяет как начинающим, так и опытным участникам угроз получать доступ к удаленным шлюзам, что влияет на цели приобретения на среднем рынке, поскольку ожидается, что количество сделок слияний и поглощений и прямых инвестиций увеличится более чем на 10%.

Платформа Resecurity RISKTM предлагает расширенные возможности анализа киберугроз, которые помогают организациям визуализировать подверженность угрозам удаленного доступа, таким как TMChecker, подчеркивая необходимость усиления защиты от кибербезопасности в свете растущих киберугроз и слияний и поглощений.

#ParsedReport #CompletenessLow
17-03-2024

Case Study. Taurus Stealer Backstory

https://russianpanda95.github.io/2024/03/16/The-GlorySprout-Stealer-or-a-Failed-Clone-of-Taurus-Stealer

Report completeness: Low

Threats:
Taurus
Glorysprout
Antivm
Predator_stealer

ChatGPT TTPs:
do not use without manual check
T1583, T1588, T1027, T1140, T1071, T1056, T1566, T1112, T1041, T1486, have more...

IOCs:
File: 9
Command: 1
Path: 1
Hash: 2
IP: 2

Soft:
Telegram, Discord, Jabber, Foxmail, Outlook, WinSCP, Authy, mysql

Wallets:
electrum, jaxx, dashcore, wassabi, mainnet

Crypto:
ethereum, bitcoin

Algorithms:
rc4, zip, base64, xor

Languages:
golang, python

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/GlorySprout/win\_mal\_GlorySprout\_Stealer.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ новой вредоносной программы под названием GlorySprout, которая появилась как клон Taurus Stealer с модификациями для удовлетворения конкретных потребностей. В тексте освещаются особенности, возможности и технические аспекты GlorySprout, сравнивая его с Taurus Stealer с точки зрения структуры кода, функциональных возможностей и потенциальных ограничений. Несмотря на свое сходство с Taurus Stealer, считается, что GlorySprout вряд ли получит значительную популярность на рынке из-за различий в функциональности и особенностях.
-----

Реклама GlorySprout появилась на форуме XSS в начале марта 2024 года по цене 300 долларов за пожизненный доступ, а также 20-дневный сервис шифрования для шифрования полезной нагрузки похитителя для уклонения. Разработанный на C++, stealer оснащен встроенным загрузчиком, функцией защиты от CIS и нефункциональным модулем захвата. Несмотря на заявленные возможности AntiVM и кейлоггинга, нет никаких свидетельств использования этих функций в действии. Stealer поддерживает резервное копирование журналов и их запрет, позволяя исключать журналы из определенных стран или IP-адресов. Анонимный источник сообщил, что GlorySprout является клоном Taurus Stealer, имеющим сходство с Taurus с точки зрения структуры и возможностей.

Taurus Stealer, который впервые появился в продаже в апреле 2020 года, был написан на C++ с использованием панели Golang. По цене 150 долларов за пожизненный доступ, Taurus Stealer имел сходство с Predator The Thief stealer, что привело к предположениям об общем коде или элементах дизайна. Taurus Stealer прекратил свою деятельность примерно в 2021 году, и взломанная версия теперь доступна в Telegram. Взломанная версия намекает на потенциальную продажу исходного кода Taurus Stealer, объясняя параллели с другими stealers на рынке.

GlorySprout использует динамическое разрешение API посредством хеширования API, ориентируясь на различные библиотеки для таких операций, как шифрование, XOR и сдвиг. Похититель запутывает строки, используя XOR и арифметические операции. Обмен данными C2 включает в себя извлечение адреса C2 из раздела ресурсов полезной нагрузки и обмен данными через порт 80 с конкретными запросами POST. Функции рандомизации генерируют ключи RC4 для шифрования, при этом ключ RC4 для начальной регистрации остается постоянным, несмотря на попытки рандомизации.

GlorySprout собирает широкий спектр информации с зараженных компьютеров, включая историю браузера, скриншоты, криптокошельки, данные игровой платформы, сеансы приложений для обмена сообщениями и многое другое. Он также использует меры защиты от виртуальных машин и возможности самоудаления после отправки журналов на сервер C2. Панель для GlorySprout написана на Golang и использует базы данных SQL, что имеет сходство с проектом Taurus Stealer с точки зрения структуры кода и упоминаний в базе данных.

Анализ подтверждает, что GlorySprout основан на клонированном коде от Taurus Stealer с изменениями в соответствии с конкретными потребностями. Однако GlorySprout отличается от Taurus Stealer такими аспектами, как отсутствие загрузки зависимостей DLL с серверов C2 и отсутствие функции защиты от виртуальных машин, присутствующей в Taurus Stealer. Несмотря на свое происхождение, GlorySprout вряд ли получит значительную популярность на рынке по сравнению с другими известными stealers из-за этих различий и потенциальных ограничений в функциональности.

#ParsedReport #CompletenessLow
17-03-2024

What is .htaccess Malware? (Detection, Symptoms & Prevention)

https://blog.sucuri.net/2024/03/what-is-htaccess-malware-detection-symptoms-prevention.html

Report completeness: Low

Threats:
Htaccess_malware_technique

Victims:
Website owners

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1190, T1566, T1505, T1562, T1199, T1565, T1595

IOCs:
Url: 5

Soft:
WordPress

Languages:
php