#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: ShinyHunters, высококвалифицированная группа по борьбе с киберугрозами, приобрела дурную славу за организацию крупных утечек данных, нацеленных на различные организации, используя сложные методы взлома. Их деятельность подчеркивает важность надежных мер кибербезопасности для защиты конфиденциальных данных и снижения рисков.
-----

ShinyHunters, также известная как ShinyCorp, является международной группой по борьбе с киберугрозами, которая появилась в 2020 году и получила дурную славу за организацию громких утечек данных. Несмотря на свое, казалось бы, безобидное название, навеянное покемонами, ShinyHunters глубоко вовлечены в киберпреступность, специализируясь на краже и продаже обширных баз данных. Они допустили утечку личной информации более миллиарда интернет-пользователей и нацелились на такие известные компании, как Tokopedia, Mathway и GitHub от Microsoft.

ShinyHunters используют сложные методы взлома, включая поиск в репозиториях GitHub, использование незащищенных облачных хранилищ, нацеливание на веб-сайты и инструменты разработчиков, развертывание фишинговых атак и использование темной сети для продажи украденной информации. Они известны своим методичным и хитроумным подходом к проникновению в системы и извлечению ценных данных.

Ключевые нарушения, приписываемые ShinyHunters, включают кражу 91 миллиона записей пользователей Tokopedia, 500 ГБ данных из частных хранилищ Microsoft на GitHub, 271 миллиона записей пользователей Wattpad, 1,9 миллиона записей пользователей Pixlr и 30 миллионов записей заказов клиентов из Pizza Hut Australia. Группа также заявляла о нарушениях, связанных с системами AT&T, хотя AT&T опровергла эти утверждения.

Группа была связана с закрытием RaidForums и последующим запуском BreachForums V2, одного из самых посещаемых хакерских форумов. Репутация ShinyHunters привлекла бывших участников, причастных к кибератакам, присоединиться к BreachForums, но опасения по поводу потенциального вмешательства правоохранительных органов отпугнули некоторых участников.

Себастьен Рауль, также известный как "Сезио Кайдзен", член ShinyHunters, был приговорен к трем годам тюремного заключения за свою роль в создании обманчивых веб-страниц для фишинговых схем. Несмотря на их первоначальный успех в продаже данных в даркнете, данные, распространяемые ShinyHunters, в конечном итоге попали на общедоступные форумы бесплатно.

В ответ на угрозы, подобные ShinyHunters, организации могут использовать такие инструменты, как модуль облачной безопасности SOCRadar и функция мониторинга утечки исходного кода, для эффективного обнаружения нарушений и реагирования на них. Наборы данных о нарушениях SOCRadar предоставляют доступ к обширным коллекциям данных о нарушениях, позволяя организациям определять масштабы затрагивающих их нарушений.

Деятельность ShinyHunters высвечивает опасности, исходящие от квалифицированных и опасных киберпреступников, и подчеркивает важность надежных мер кибербезопасности для защиты конфиденциальных данных и снижения рисков.

Интересный канал, собирающий фишинговые домены.

#ParsedReport #CompletenessMedium
20-03-2024

LockBit 4.0? - An Update on the LockBit Ransomware Group

https://explore.avertium.com/resource/lockbit-4-0-an-update-on-the-ransomware-group

Report completeness: Medium

Threats:
Lockbit
Mpress_tool
Akira_ransomware
Shadow_copies_delete_technique
Supply_chain_technique
Citrix_bleed_vuln
Blackout
Conti
Snatch_ransomware
Credential_dumping_technique

Victims:
Accenture, Pendragon, Oomiya, Kingfisher insurance, Thales, Boeing, Industrial and commercial bank of china, Equilend holdings, Fulton county

Industry:
Healthcare, E-commerce, Financial

Geo:
French, Georgia, India, France, Japanese, China, Indonesia, Russia, Germany, Ukraine

TTPs:
Tactics: 4
Technics: 8

Soft:
Windows PowerShell

Crypto:
bitcoin

Algorithms:
aes

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа программ-вымогателей LockBit была вовлечена во вредоносную деятельность по всему миру, нацеливаясь на организации и накапливая значительные суммы выкупа. Несмотря на вмешательство правоохранительных органов, LockBit продолжает свои атаки, и в настоящее время возникают опасения по поводу потенциального появления новой версии их вредоносного ПО. Организациям рекомендуется активно защищать себя от угроз программ-вымогателей, внедряя надежные меры безопасности и сотрудничая с надежными поставщиками кибербезопасности.
-----

Avertium внимательно следит за вредоносной деятельностью LockBit, плодовитой группы программ-вымогателей, которая нацелена на организации по всему миру, в том числе в таких странах, как США, Великобритания, Германия, Китай и других. Жертвами LockBit стали более 2000 организаций, накопив выплаты выкупа, превышающие 120 миллионов долларов, и выдвинув требования на общую сумму еще в сотни миллионов. Несмотря на перебои со стороны правоохранительных органов, LockBit продолжала свои атаки до февраля 2024 года. В то время Национальное агентство по борьбе с преступностью Великобритании в сотрудничестве с международными партнерами нарушило работу LockBit, захватив контроль над серверами и общедоступными веб-сайтами, используемыми администраторами.

Это вмешательство серьезно ограничило способность LockBit атаковать сети, шифровать их и вымогать деньги у жертв. Однако возникли опасения, что LockBit, возможно, разработала новую версию своей вредоносной программы для шифрования файлов, что потенциально может привести к появлению LockBit 4.0. LockBit - это программа-вымогатель как услуга (RaaS), которая на протяжении многих лет подвергалась ребрендингу, при этом такие версии, как LockBit 2.0 и LockBit 3.0, демонстрируют разные характеристики. тактика и нацеливание на различные секторы, включая BFSI.

У LockBit есть история тщательной разведки своих целей, что видно по атакам на такие значимые организации, как Accenture, Thales, Boeing и EquiLend Holdings. Группа известна ребрендингом и развитием своих методов обхода средств защиты и запуска сложных атак. Недавние действия LockBit включают в себя нацеливание на такие организации, как Pendragon, Oomiya, Kingfisher Insurance и Thales, требуя крупных выкупов и угрожая утечкой украденных данных, если требования не будут выполнены.

LockBit столкнулась со значительными проблемами из-за действий правоохранительных органов, таких как операция Cronos, которые нарушили их работу и ограничили их способность продолжать свою незаконную деятельность. Проведенный Trend Micro анализ последней версии LockBit, LockBit-NG-Dev или LockBit 4.0, раскрывает технические подробности о новом шифровальщике, включая режимы шифрования, возможности и параметры конфигурации. Несмотря на технические достижения, вмешательство правоохранительных органов нанесло серьезный удар по операторам LockBit, затруднив им возобновление своей незаконной деятельности.

Red Sense считает, что шансы LockBit на восстановление своей инфраструктуры невелики из-за технических ограничений и ухода ключевого персонала. Упадок группы еще больше подчеркивается потерей их блога и включением членов LockBit в список OFAC. Сохраняются опасения по поводу потенциальных финансовых спонсоров и будущих действий группы, высказываются предположения, что LockBit может прибегнуть к сбросу старых данных после удаления. В целом будущее LockBit остается неопределенным, а сообщество кибербезопасности сохраняет бдительность в отношении любого потенциального возрождения или новой тактики.

Организациям рекомендуется проявлять инициативу в защите от программ-вымогателей, таких как LockBit, внедряя надежные меры безопасности и сотрудничая с надежными поставщиками услуг кибербезопасности, такими как Avertium. Опережая потенциальные атаки и будучи готовыми, организации могут снизить риски, связанные с программами-вымогателями и другими киберугрозами.

#ParsedReport #CompletenessMedium
19-03-2024

Malicious code disguised as installation files of domestic public institutions (Kimsuky group)

https://asec.ahnlab.com/ko/62117

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Steal-it

Threats:
Trollagent
Endoor
Spear-phishing_technique
Nikidoor
Mimikatz_tool
Appleseed
Backdoor/win.kimgoback.c5385331

Geo:
Korea, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1547, T1112, T1059, T1071, T1027, T1553, T1140, T1564, have more...

IOCs:
File: 8
Url: 8
Domain: 1
Path: 1
Hash: 5

Soft:
task scheduler, Curl

Algorithms:
md5, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Группа Kimsuky распространяет вредоносное ПО, замаскированное под установщики, для корейских государственных учреждений, уделяя особое внимание вредоносному ПО-дропперу, известному как "TrollAgent". Эта вредоносная программа заражает системы во время установки программ безопасности и сопровождается вредоносным ПО с бэкдором Endoor, которое облегчает дальнейшие вредоносные действия, такие как загрузка дополнительных вредоносных программ и захват скриншотов. Злоумышленники используют законные сертификаты для повышения доверия к вредоносному ПО, а Endoor способен передавать системную информацию и выполнять различные функции. Тактика группы Kimsuky подчеркивает необходимость повышенной бдительности, и пользователям рекомендуется обновить программное обеспечение безопасности, чтобы снизить риск заражения.
-----

Kimsuky group распространяет вредоносное ПО, замаскированное под установщики для корейских государственных учреждений, используя дроппер, известный как "TrollAgent", который заражает системы во время установки программ безопасности.

В этих атаках используется вредоносное ПО с бэкдором Endoor, используемое для загрузки дополнительного вредоносного ПО или захвата скриншотов.

Endoor распространяется в рамках кампаний по борьбе с фишингом, имеет сходство с TrollAgent и способен передавать системную информацию и выполнять различные функции.

Вредоносная программа маскируется под законные установочные файлы с действительным сертификатом от отечественной компании, что повышает доверие.

Метод установки Endoor остается неподтвержденным, но он связан с инфраструктурой ASD и был обновлен для включения различных двоичных файлов.

Endoor использует бесплатный доменный адрес Ngrok в качестве сервера C&C, и в феврале и марте 2024 года было подтверждено несколько случаев его использования.

Наличие вредоносных программ-бэкдоров, таких как Endoor и AppleSeed, представляет значительную угрозу, позволяя красть конфиденциальную информацию и выполнять вредоносные команды.

Вредоносное ПО, связанное с группой Kimsuky, часто включает термин "Niki" в строки пути PDB.

Пользователям рекомендуется обновить свое программное обеспечение безопасности, например версию 3, чтобы снизить риск заражения вредоносными программами.

#ParsedReport #CompletenessLow
20-03-2024

Attributing I-SOON: Private Contractor Linked to Multiple Chinese State-sponsored Groups

https://www.recordedfuture.com/attributing-i-soon-private-contractor-linked-chinese-state-sponsored-groups

Report completeness: Low

Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage)
Earth_empusa (motivation: cyber_espionage)
Redhotel (motivation: cyber_espionage)

Threats:
Redalpha

Victims:
Anxun information technology co., ltd. (i-soon)

Industry:
Telco

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1595, T1608, T0842

IOCs:
Domain: 24
Email: 11
IP: 7

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что результаты исследования Insikt Group раскрывают утечку i-SOON, связывающую китайскую компанию по ИТ и кибербезопасности с финансируемой государством деятельностью по кибершпионажу, в частности с участием таких групп, как RedAlpha, RedHotel и POISON CARP. Эта сложная сеть шпионских операций сосредоточена вокруг кражи телекоммуникационных данных для отслеживания отдельных лиц, выявления организационных и оперативных связей между i-SOON и этими группами кибершпионажа. Утечка информации дает защитникам сетей ценные разведданные, позволяющие понять мотивы и методологии целевых кампаний кибершпионажа. Несмотря на разоблачение, ожидается, что i-SOON продолжит свою деятельность с корректировками, что потенциально приведет к юридическим последствиям и более глубокому пониманию усилий Китая по кибершпионажу. Текущие разработки в области домена и инфраструктуры, связанные с группами, связанными с i-SOON, подчеркивают необходимость постоянной бдительности и принятия упреждающих мер кибербезопасности против спонсируемых государством угроз из Китая.
-----

Новые результаты исследования Insikt Group пролили свет на недавнюю утечку i-SOON, произошедшую 18 февраля 2024 года. Утечка касалась документов Anxun Information Technology Co., Ltd. (i-SOON), китайской компании в области информационных технологий и кибербезопасности, и раскрыла спонсируемую государством деятельность Китая по кибершпионажу. Ключевые разоблачения утечки включают связи между i-SOON и спонсируемыми китайским государством кибергруппировками, такими как RedAlpha, RedHotel и POISON CARP. Это наводит на мысль о сложной сети шпионских операций, связанных с кражей телекоммуникационных данных для отслеживания отдельных лиц.

Проведенный Insikt Group анализ просочившихся материалов подтвердил оперативные и организационные связи между i-SOON и этими группами кибершпионажа, подчеркнув роль digital quartermasters в содействии совместному использованию кибервозможностей в рамках наступательной киберэкосистемы Китая. Информация, полученная в результате утечки, дает ценную информацию сетевым защитникам, позволяя им лучше понять мотивы и методологии целенаправленных кампаний кибершпионажа, нацеленных как на организации государственного, так и частного секторов.

Несмотря на утечку, i-SOON, которая является относительно небольшим игроком в более широкой сети частных подрядчиков Китая, занимающихся спонсируемой государством киберактивностью, как ожидается, продолжит свою деятельность с незначительными корректировками. Раскрытие этих связей может иметь последствия для будущих судебных исков, предпринятых США против персонала i-SOON, а также позволит глубже понять масштабы и изощренность усилий Китая по кибершпионажу.

С тех пор как произошла утечка, группа Insikt уже выявила новые домены и инфраструктурные разработки, связанные с группами, связанными с i-SOON, такими как RedAlpha и RedHotel. Эти события еще больше подчеркивают текущую деятельность этих субъектов угроз и подчеркивают необходимость постоянной бдительности и упреждающих мер кибербезопасности для борьбы с киберугрозами, спонсируемыми государством, исходящими из Китая.

#ParsedReport #CompletenessMedium
20-03-2024

Android malware, Android malware and more Android malware

https://securelist.com/crimeware-report-android-malware/112121

Report completeness: Medium

Actors/Campaigns:
Triangulation

Threats:
Tambir
Godfather
Dwphon
Supply_chain_technique
Triada_trojan
Gigabud_rat
Dexguard_tool
Virbox_tool

Industry:
Retail, Financial, E-commerce, Aerospace

Geo:
Thailand, China, Peru, Chinese, Turkey, Asia, Russian, Turkish, Israeli

ChatGPT TTPs:
do not use without manual check
T1406, T1475, T1583, T1402, T1517, T1422, T1404, T1444, T1608, T1533, have more...

IOCs:
Hash: 9

Soft:
Android, Telegram

Algorithms:
exhibit

Languages:
kotlin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространенности вредоносных атак на мобильные устройства в 2023 году, особенно на устройства Android, с акцентом на три конкретных экземпляра вредоносного ПО для Android - Tambir, Dwphon и Gigabud. Атаки включали в себя такие тактические приемы, как выдача себя за легальные приложения, нацеливание на определенные регионы и кража банковских учетных данных. Это также подчеркивает важность осведомленности пользователей и мер предосторожности для защиты от таких атак.
-----

В 2023 году на мобильных устройствах было заблокировано 33,8 миллиона вредоносных программ, рекламного ПО и рискованных программных продуктов, причем Android был самой популярной мишенью для киберпреступников. Одной из заметных атак была операция Triangulation на iOS, но Android оставался основным объектом внимания злоумышленников. В отчетах были выделены три конкретных экземпляра вредоносного ПО для Android:.

Тамбир: Этот Android-бэкдор был нацелен на пользователей в Турции, выдавая себя за приложение IPTV, в то время как на самом деле функционировал как шпионское ПО. Он собирал SMS-сообщения, нажатия клавиш и многое другое. Приложение запросило разрешение службы специальных возможностей на турецком языке, затем получило адрес C2 из таких источников, как Telegram или ICQ. Tambir мог выполнять более 30 команд, включая ввод с клавиатуры и отправку SMS-сообщений. Было отмечено сходство между Tambir и вредоносной программой GodFather, нацеленной на турецких пользователей и использующей Telegram для поиска C2.

Dwphon: Этот вариант вредоносного ПО был нацелен на мобильные телефоны китайских OEM-производителей, предназначенные для российского рынка. Он также был обнаружен в прошивке детских смарт-часов израильского производителя, продаваемых в Европе и на Ближнем Востоке. Dwphon появился как компонент приложения для обновления системы, собирающего информацию об устройстве и личную информацию, потенциально посредством атаки по цепочке поставок. Вредоносная программа содержала модули для сбора системной информации, данных устройства и включения других приложений. Некоторые образцы содержали троянца Triada, намекающего на связь между Dwphon и Triada.

Gigabud: Обнаруженная в начале 2023 года Android-крыса, в первую очередь нацеленная на кражу банковских учетных данных в Юго-Восточной Азии, прежде чем распространиться на другие страны, такие как Перу. Она маскировалась под приложение для местных авиакомпаний, а позже - под вредоносное ПО для поддельных займов. Написанный на Kotlin и замаскированный с помощью Dexguard и Virbox, Gigabud имитировал приложения компаний в Таиланде и Перу. Он крал учетные данные, отправляя их в C2 после имитации экранов входа в систему и отображал виртуального помощника, который помогал жертвам в подаче заявок на получение кредита. КРЫСА встроила модуль записи экрана и связалась с серверами C2 в Китае.

Кроме того, в 2023 году на Android было нацелено более 1,3 миллиона уникальных вредоносных установочных пакетов, распространяемых различными способами. Пользователям было рекомендовано избегать неофициальных рынков приложений, тщательно проверять разрешения приложений и использовать средства защиты от вредоносных программ для эффективной защиты своих устройств.

#ParsedReport #CompletenessLow
20-03-2024

Python Ciphering : Delving into Evil Ants Ransomwares Tactics. Python Ciphering : Delving into Evil Ant s Ransomware s Tactics

https://labs.k7computing.com/index.php/python-ciphering-delving-into-evil-ants-ransomwares-tactics

Report completeness: Low

Threats:
Evil_ant

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1497, T1486, T1112, T1082, T1490, T1071

IOCs:
File: 1
Hash: 1
Email: 1
Coin: 1

Soft:
pyinstaller, Windows Defender, Telegram

Crypto:
bitcoin

Functions:
MAGIC, ALL, getlogin, bak, unlock

Win API:
ShellExecuteW

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается поведение и функциональные возможности программы-вымогателя Evil Ant, подчеркивается использование языка программирования Python, скрытые операции, методы шифрования, особенности взаимодействия с пользователем и процесс дешифрования с использованием жестко закодированного ключа разблокировки.
-----

Недавно K7Labs наткнулась на твит, в котором упоминается программа-вымогатель Evil Ant, член группы программ-вымогателей, использующая Python в качестве языка программирования. Программа-вымогатель работает скрытно, скрывая окно консоли и запускаясь в фоновом режиме с помощью Windows DLL API. Чтобы избежать обнаружения, Evil Ant отключает защитник Windows с помощью команды PowerShell и проверяет наличие контролируемой среды, используя переменную окружения PROCESSOR_IDENTIFIER, прежде чем продолжить. При обнаружении на виртуальной машине программа-вымогатель завершает выполнение.

Evil Ant генерирует уникальный ключ, используя Fernet для шифрования файлов жертвы. Ключ создается и сохраняется в глобальной переменной методом MAGIC(), что облегчает его использование в других функциях. Функция ALL() сканирует и шифрует файлы в указанных каталогах на компьютере жертвы, в том числе в папке Users, извлекая текущее имя пользователя с помощью функции getlogin() из модуля os на Python. Шифрование выполняется с использованием библиотеки Fernet для криптографии.

Кроме того, программа-вымогатель включает в себя функции, направленные на привлечение внимания пользователя и посеяние паники. Он изменяет обои рабочего стола жертвы, отображает обратный отсчет в правом верхнем углу и включает кнопку "как купить биткоин", при нажатии на которую открывается ряд ссылок на Википедию с использованием библиотеки webbrowser на Python. Evil Ant также включает функцию дешифрования, но если процесс дешифрования прерывается из-за выключения системы, он завершается необратимым сбоем.

В случае оплаты жертва получает ключ разблокировки для расшифровки своих файлов. Этот ключ жестко закодирован злоумышленником в образце программы-вымогателя, и введенный пользователем ключ должен совпадать с жестко закодированным ключом для успешной расшифровки.